CIBERCRIMES - MANUAL DE SOBREVIVÊNCIA NA INTERNET
Como venho postado textos sobre cibercrimes achei interessante postar hoje aqui parte de uma matéria da Revista Galileu sobre Crimes Virtuais edição de dezembro de 2009.
O entrevistado é Cris Swecker, especialista em cibercrimes
O FUTURO DO TERROR
O que um criminoso virtual pode fazer?
Seus alvos críticos são quatro: bancos, energia, comunicações e transportes. Se algo acontecer a um desses sistemas, os efeitos serão sentidos em todo o país. Então, o pior cenário possível seria, digamos, se um ciberterrorista (ou um país com más intenções) consegue desligar um desses pontos, seja com um ataque pela internet, seja com outra forma de invasão de sistemas. Imagine se alguém consegue desligar o sistema de fornecimento de energia. Ou acabar com as transações bancárias.
Mas, hoje, isso é possível?
Sim. Qualquer sistema conectado à internet pode ser monitorado. Muitas empresas estão aperfeiçoando seus sistemas para diminuir essa vulnerabilidade. O problema é que a maioria pertence ao setor privado, e o grande perigo são as empresas públicas.
Esse será o terrorismo do futuro?
Estou absolutamente convencido disso. E não apenas terrorismo. Se dois países estiverem em conflito, isso vira guerra virtual. Imagine algo muito simples: se no Brasil alguém consegue interromper o sistema de pagamento bancário. Só com essa ação você acaba com o comércio, com os negócios, ou seja, gera crise. Se a guerra e o terrorismo são, basicamente, meios de causar danos a um país, os crimes virtuais são muito mais eficazes do que sair por aí matando gente. Se alguém, um dia, interromper o fluxo de informações da internet que viaja pelos troncos de fibra óptica entre um continente, será o caos. E sem disparar uma bala.
Mas como isso funciona hoje em dia? São pessoas isoladas? Redes?
São teias muito bem organizadas, redes unidas pela internet por meio de caminhos tortuosos da web. São espécies de fóruns, ou chats onde apenas pessoas convidadas podem entrar. No caso de fraudes, por exemplo, existem espaços para a venda de números de cartão de crédito. Mas uma pessoa só pode entrar neles e fazer negócio se for convidado e apresentado por um membro. Não precisam necessariamente se conhecer pessoalmente.
(Rita Loiola)*
*A repórter viajou a Las Vegas a convite da fabricante de software SAS
COLISÃO NO AR - Aeronaves são máquinas protegidas. Especialistas repetem: "Um avião só é derrubado por uma cadeia de falhas". Ou seja, destruir um Boeing usando o laptop não é uma tarefa das mais fáceis. Mas é possível. Sistemas de controle do tráfego aéreo podem ser invadidos. Se em países como os EUA a segurança é maior, atacar uma república de bananas seria o suficiente. Nessa hipótese, aviões receberiam informações erradas, desviariam da rota e, assim, diversas naves seriam levadas a rumar a um mesmo ponto, colidindo no ar ou na pista de pouso.
RACHADURAS NA SUA MÁQUINA
As falhas de segurança, ou "vulnerabilidades", presentes nos sistemas operacionais, como Windows, e principalmente nos navegadores, como Explorer e Firefox, estão entre as principais portas de entrada para conteúdo malicioso. No ano passado, os cibercriminosos fizeram uso de 5.491 pontos fracos, conforme dados mundiais da Symantec. "A avidez das empresas para disponibilizar seus produtos antes dos concorrentes é um pouco a causa dessas vulnerabilidades", diz Paulo Prado, gerente de marketing da Symantec. É um prato cheio para o trabalho em larga escala dos hackers, que programam botnets inteiras para explorar automaticamente essas brechas e infectar o que puder.
Nem sempre, porém, as vulnerabilidades estão nos softwares. Muitas vezes, a principal rachadura está em uma daquelas peças de hardware que senta-se diante dos teclados, ou seja, o próprio usuário. "Eu percebo que as empresas se preocupam muito em proteger a rede, mas se esquecem de treinar o funcionário", afirma Vinicius. O programador costuma atuar em "testes de penetração", em que uma empresa contrata um hacker para tentar invadir seus computadores e assim descobrir os pontos fracos da sua segurança.
Quando não consegue passar pelo firewall (programa que controla as conexões entre o computador e a web) de uma empresa, Vinicius apela para a "engenharia social", o que neste caso significa tentar enrolar um funcionário. Há a engenharia social off-line, em que o hacker entra pela porta da frente da empresa com identidade falsa - passando-se, por exemplo, por funcionário de uma empresa telefônica. Uma vez lá dentro, ele não precisa mais se preocupar com o firewall e pode aproveitar um momento de distração para conectar seu laptop à rede. Invasão consumada. E há a engenharia social on-line, mais comum e segura, que consiste em usar o e-mail como ferramenta de tapeação. "É muito fácil descobrir o endereço eletrônico de um gerente de uma empresa via Google. Depois de entrar em contato com ele, posso passar um e-mail para outro funcionário como se fosse o gerente. Nesse e-mail, eu anexo um Powerpoint com conteúdo malicioso e pronto."
Autointitulado "hacker do bem", Vinicius ficou conhecido por expor vulnerabilidades no Orkut, na Campus Party e no site da Telefônica - que o denunciou à polícia por isso, embora ele não tenha lucrado com a ação. Ele diz que nunca causou prejuízo a ninguém com suas ações, mas reconhece que faz parte de uma minoria. "Boa parte acaba optando pelo mundo do crime", diz.
Há um tipo de crime virtual que lança uma comprida sombra no futuro: o ciberterrorismo, em que as vítimas de invasões, vírus, trojans e botnets seriam não mais pessoas ou empresas, mas nações inteiras. O conceito chama-se ciberguerra ("cyberwarfare") e ganhou popularidade após Bruce Willis explodir um grupo de terroristas que usava a internet para atacar estações de energia e instalações públicas no filme Duro de Matar 4.0. São Paulo viveu uma pequena amostra disso em abril, quando hackers tiraram do ar por quase uma semana o Speedy, provedor de internet da Telefônica.
Serviços importantes, como a confecção de boletins de ocorrência em delegacias, foram suspensos. As coisas foram piores na Estônia. Em 2007, o país sofreu um ataque coordenado de negação de serviço (supostamente praticado por hackers russos, em represália à retirada de um monumento em homenagem ao Exército Vermelho do centro da capital) que derrubou vários sites do governo, bancos e veículos de mídia, com consequências incômodas para um povo acostumado a desfrutar de vários serviços pela web.
Amostras, nada mais. Porque nenhum exemplo real ainda chegou perto dos piores cenários imaginados, aqueles em que ciberterroristas conseguem chegar aos setores de infraestrutura crítica, como estações de energia, aeroportos e usinas nucleares. "As redes dessas estruturas estão convergindo para dispositivos de sistema operacional comum (Windows, Linux ou Mac) e, quando se padroniza algo, há um risco maior de um ataque em massa", diz Dreibi. E, se você ainda tem alguma dúvida sobre as possibilidades dos crimes virtuais, conheça uma das histórias contadas pelo especialista Wanderson Castilho, autor de Manual do Detetive Virtual (Editora Matrix). Para o autor, todo crime praticado no mundo de carne e osso pode ser cometido também pela internet. Todo crime, mesmo.
No ano passado, Castilho ajudou a polícia a investigar um caso envolvendo uma menina de 13 anos. Ela chorava sem motivo e se mostrava depressiva, como se tivesse acabado de passar por algum trauma. Após insistência da mãe, a garota contou que havia sido estuprada. Mas estuprada como, se a jovem, filha de pais severos, saía tão pouco de casa? A adolescente, então, contou que havia conhecido numa festa um rapaz de 21 anos que a fotografara bebendo e fumando. Os dois trocaram contatos e, dias depois, ele ameaçou divulgar as fotos, a não ser que a menina aceitasse se exibir na webcam. Sentindo-se acuada, a menina foi cedendo: começou mostrando partes do corpo, depois ficou nua e, no final, já aceitava introduzir objetos diante da câmera. O resultado foi que, mesmo sem ter contato físico com o chantagista, a adolescente passou a sofrer as consequências emocionais e físicas de um estupro real.
Quando a polícia chegou ao jovem, ele acabou indiciado por pornografia infantil, já que havia enviado as imagens para amigos. "Se não fosse por isso, ele não receberia punição alguma. A lei não prevê estupro pela internet", afirma Castilho. A justiça acaba ficando para trás, diante da inesgotável capacidade humana para descobrir novas formas de praticar o mal.
MANUAL DE SOBREVIVÊNCIA NA INTERNET
Até 2020, 7 trilhões de máquinas (que vão de computadores a torradeiras) estarão conectados à web (atualmente, são 1,5 bilhão). Ou seja, no futuro praticamente tudo o que você tocar será capaz de receber um vírus. E, para deixar mais delicado o tema, entramos na era da computação na nuvem. Isso quer dizer que nossos dados e arquivos estarão flutuando numa rede de servidores espalhados por todo o planeta. "Eu costumo pensar que a internet é como as ruas de uma cidade", diz Dave Cole, desenvolvedor sênior de produtos da Norton. "Existem as avenidas iluminadas em que podemos nos sentir seguros, como a Microsoft ou o Gmail. E os becos, escuros e perigosos, que são os sites menores. Visitar essas ruelas sem luz é uma escolha sua." Galileu ouviu especialistas em segurança da informação e reuniu um manual de conduta para evitar que seu computador fique doente. DESLIGUE À NOITE A maioria dos casos de invasão de computadores e instalação de vírus acontece à noite, durante a transferência de arquivos entre sistemas
DIGA NÃO Não baixe atualizações de programas hospedados em sites suspeitos ou menores. Recuse o download e vá até a página oficial do fabricante para baixar novas versões
TENHA CÓPIAS Faça backup sempre. É chato, mas essencial. E, ainda que os vírus mais novos não sejam do tipo que destrói sua máquina, existem muitos códigos capazes de apagar seus documentos e fotos
SEJA EGOÍSTA Cuidado com sua rede wireless. Mantenha-a protegida com softwares e senhas que não sejam óbvias. Ela é uma porta para a entrada de invasores
ATUALIZE SEMANALMENTE Tenha um antivírus. Gratuito ou pago, mas tenha. Fabio Assolini, analista da Kaspersky Lab, afirma: "Ele é indispensável. É preciso atualização periódica. Um antivírus desatualizado só protege o PC de ameaças que ele conhece. Centenas de vulnerabilidades aparecem todos os dias. E, sim, baixe os pacotes de segurança do sistema operacional e do navegador"
DESCONFIE DO PERIGO Não clique em alertas de antivírus que surgem em sites. Quase sempre, esse tipo de aviso ("seu computador está infectado por 45 ameaças, clique aqui e resolva o problema") guarda um vírus escondido, que, silenciosamente, rouba suas informações
NÃO SEJA PREGUIÇOSO Procure digitar no campo do endereço o site que você quer visitar. Por incrível que pareça, hackers conseguem criar URLs muito parecidas com as originais. Sem perceber, utilizando uma ferramenta de busca, você entra em um portal clone de um banco
DESCONFIE SEMPRE Não faça cadastro em qualquer site. Quanto mais páginas mantiverem seus dados, mais fácil será para que alguém roube essas informações. Não confie nos links enviados por msn, e-mail e redes sociais. Na dúvida, pergunte antes ao seu amigo
MUDE A SENHA Troque a senha instalada pelo fabricante. Use sempre uma pessoal. Coisas óbvias como "1234" são facilmente descobertas por programas que testam combinações
CARTÃO DE CRÉDITO O analista Chris Swecker dá a dica: "Use apenas um cartão de crédito e com limite baixo para compras. Ninguém precisa usar vários cartões na web. Quanto menos dados particulares (como senhas e códigos) ficarem na rede, melhor"
O entrevistado é Cris Swecker, especialista em cibercrimes
O FUTURO DO TERROR
O que um criminoso virtual pode fazer?
Seus alvos críticos são quatro: bancos, energia, comunicações e transportes. Se algo acontecer a um desses sistemas, os efeitos serão sentidos em todo o país. Então, o pior cenário possível seria, digamos, se um ciberterrorista (ou um país com más intenções) consegue desligar um desses pontos, seja com um ataque pela internet, seja com outra forma de invasão de sistemas. Imagine se alguém consegue desligar o sistema de fornecimento de energia. Ou acabar com as transações bancárias.
Mas, hoje, isso é possível?
Sim. Qualquer sistema conectado à internet pode ser monitorado. Muitas empresas estão aperfeiçoando seus sistemas para diminuir essa vulnerabilidade. O problema é que a maioria pertence ao setor privado, e o grande perigo são as empresas públicas.
Esse será o terrorismo do futuro?
Estou absolutamente convencido disso. E não apenas terrorismo. Se dois países estiverem em conflito, isso vira guerra virtual. Imagine algo muito simples: se no Brasil alguém consegue interromper o sistema de pagamento bancário. Só com essa ação você acaba com o comércio, com os negócios, ou seja, gera crise. Se a guerra e o terrorismo são, basicamente, meios de causar danos a um país, os crimes virtuais são muito mais eficazes do que sair por aí matando gente. Se alguém, um dia, interromper o fluxo de informações da internet que viaja pelos troncos de fibra óptica entre um continente, será o caos. E sem disparar uma bala.
Mas como isso funciona hoje em dia? São pessoas isoladas? Redes?
São teias muito bem organizadas, redes unidas pela internet por meio de caminhos tortuosos da web. São espécies de fóruns, ou chats onde apenas pessoas convidadas podem entrar. No caso de fraudes, por exemplo, existem espaços para a venda de números de cartão de crédito. Mas uma pessoa só pode entrar neles e fazer negócio se for convidado e apresentado por um membro. Não precisam necessariamente se conhecer pessoalmente.
(Rita Loiola)*
*A repórter viajou a Las Vegas a convite da fabricante de software SAS
COLISÃO NO AR - Aeronaves são máquinas protegidas. Especialistas repetem: "Um avião só é derrubado por uma cadeia de falhas". Ou seja, destruir um Boeing usando o laptop não é uma tarefa das mais fáceis. Mas é possível. Sistemas de controle do tráfego aéreo podem ser invadidos. Se em países como os EUA a segurança é maior, atacar uma república de bananas seria o suficiente. Nessa hipótese, aviões receberiam informações erradas, desviariam da rota e, assim, diversas naves seriam levadas a rumar a um mesmo ponto, colidindo no ar ou na pista de pouso.
RACHADURAS NA SUA MÁQUINA
As falhas de segurança, ou "vulnerabilidades", presentes nos sistemas operacionais, como Windows, e principalmente nos navegadores, como Explorer e Firefox, estão entre as principais portas de entrada para conteúdo malicioso. No ano passado, os cibercriminosos fizeram uso de 5.491 pontos fracos, conforme dados mundiais da Symantec. "A avidez das empresas para disponibilizar seus produtos antes dos concorrentes é um pouco a causa dessas vulnerabilidades", diz Paulo Prado, gerente de marketing da Symantec. É um prato cheio para o trabalho em larga escala dos hackers, que programam botnets inteiras para explorar automaticamente essas brechas e infectar o que puder.
Nem sempre, porém, as vulnerabilidades estão nos softwares. Muitas vezes, a principal rachadura está em uma daquelas peças de hardware que senta-se diante dos teclados, ou seja, o próprio usuário. "Eu percebo que as empresas se preocupam muito em proteger a rede, mas se esquecem de treinar o funcionário", afirma Vinicius. O programador costuma atuar em "testes de penetração", em que uma empresa contrata um hacker para tentar invadir seus computadores e assim descobrir os pontos fracos da sua segurança.
Quando não consegue passar pelo firewall (programa que controla as conexões entre o computador e a web) de uma empresa, Vinicius apela para a "engenharia social", o que neste caso significa tentar enrolar um funcionário. Há a engenharia social off-line, em que o hacker entra pela porta da frente da empresa com identidade falsa - passando-se, por exemplo, por funcionário de uma empresa telefônica. Uma vez lá dentro, ele não precisa mais se preocupar com o firewall e pode aproveitar um momento de distração para conectar seu laptop à rede. Invasão consumada. E há a engenharia social on-line, mais comum e segura, que consiste em usar o e-mail como ferramenta de tapeação. "É muito fácil descobrir o endereço eletrônico de um gerente de uma empresa via Google. Depois de entrar em contato com ele, posso passar um e-mail para outro funcionário como se fosse o gerente. Nesse e-mail, eu anexo um Powerpoint com conteúdo malicioso e pronto."
Autointitulado "hacker do bem", Vinicius ficou conhecido por expor vulnerabilidades no Orkut, na Campus Party e no site da Telefônica - que o denunciou à polícia por isso, embora ele não tenha lucrado com a ação. Ele diz que nunca causou prejuízo a ninguém com suas ações, mas reconhece que faz parte de uma minoria. "Boa parte acaba optando pelo mundo do crime", diz.
Há um tipo de crime virtual que lança uma comprida sombra no futuro: o ciberterrorismo, em que as vítimas de invasões, vírus, trojans e botnets seriam não mais pessoas ou empresas, mas nações inteiras. O conceito chama-se ciberguerra ("cyberwarfare") e ganhou popularidade após Bruce Willis explodir um grupo de terroristas que usava a internet para atacar estações de energia e instalações públicas no filme Duro de Matar 4.0. São Paulo viveu uma pequena amostra disso em abril, quando hackers tiraram do ar por quase uma semana o Speedy, provedor de internet da Telefônica.
Serviços importantes, como a confecção de boletins de ocorrência em delegacias, foram suspensos. As coisas foram piores na Estônia. Em 2007, o país sofreu um ataque coordenado de negação de serviço (supostamente praticado por hackers russos, em represália à retirada de um monumento em homenagem ao Exército Vermelho do centro da capital) que derrubou vários sites do governo, bancos e veículos de mídia, com consequências incômodas para um povo acostumado a desfrutar de vários serviços pela web.
Amostras, nada mais. Porque nenhum exemplo real ainda chegou perto dos piores cenários imaginados, aqueles em que ciberterroristas conseguem chegar aos setores de infraestrutura crítica, como estações de energia, aeroportos e usinas nucleares. "As redes dessas estruturas estão convergindo para dispositivos de sistema operacional comum (Windows, Linux ou Mac) e, quando se padroniza algo, há um risco maior de um ataque em massa", diz Dreibi. E, se você ainda tem alguma dúvida sobre as possibilidades dos crimes virtuais, conheça uma das histórias contadas pelo especialista Wanderson Castilho, autor de Manual do Detetive Virtual (Editora Matrix). Para o autor, todo crime praticado no mundo de carne e osso pode ser cometido também pela internet. Todo crime, mesmo.
No ano passado, Castilho ajudou a polícia a investigar um caso envolvendo uma menina de 13 anos. Ela chorava sem motivo e se mostrava depressiva, como se tivesse acabado de passar por algum trauma. Após insistência da mãe, a garota contou que havia sido estuprada. Mas estuprada como, se a jovem, filha de pais severos, saía tão pouco de casa? A adolescente, então, contou que havia conhecido numa festa um rapaz de 21 anos que a fotografara bebendo e fumando. Os dois trocaram contatos e, dias depois, ele ameaçou divulgar as fotos, a não ser que a menina aceitasse se exibir na webcam. Sentindo-se acuada, a menina foi cedendo: começou mostrando partes do corpo, depois ficou nua e, no final, já aceitava introduzir objetos diante da câmera. O resultado foi que, mesmo sem ter contato físico com o chantagista, a adolescente passou a sofrer as consequências emocionais e físicas de um estupro real.
Quando a polícia chegou ao jovem, ele acabou indiciado por pornografia infantil, já que havia enviado as imagens para amigos. "Se não fosse por isso, ele não receberia punição alguma. A lei não prevê estupro pela internet", afirma Castilho. A justiça acaba ficando para trás, diante da inesgotável capacidade humana para descobrir novas formas de praticar o mal.
MANUAL DE SOBREVIVÊNCIA NA INTERNET
Até 2020, 7 trilhões de máquinas (que vão de computadores a torradeiras) estarão conectados à web (atualmente, são 1,5 bilhão). Ou seja, no futuro praticamente tudo o que você tocar será capaz de receber um vírus. E, para deixar mais delicado o tema, entramos na era da computação na nuvem. Isso quer dizer que nossos dados e arquivos estarão flutuando numa rede de servidores espalhados por todo o planeta. "Eu costumo pensar que a internet é como as ruas de uma cidade", diz Dave Cole, desenvolvedor sênior de produtos da Norton. "Existem as avenidas iluminadas em que podemos nos sentir seguros, como a Microsoft ou o Gmail. E os becos, escuros e perigosos, que são os sites menores. Visitar essas ruelas sem luz é uma escolha sua." Galileu ouviu especialistas em segurança da informação e reuniu um manual de conduta para evitar que seu computador fique doente. DESLIGUE À NOITE A maioria dos casos de invasão de computadores e instalação de vírus acontece à noite, durante a transferência de arquivos entre sistemas
DIGA NÃO Não baixe atualizações de programas hospedados em sites suspeitos ou menores. Recuse o download e vá até a página oficial do fabricante para baixar novas versões
TENHA CÓPIAS Faça backup sempre. É chato, mas essencial. E, ainda que os vírus mais novos não sejam do tipo que destrói sua máquina, existem muitos códigos capazes de apagar seus documentos e fotos
SEJA EGOÍSTA Cuidado com sua rede wireless. Mantenha-a protegida com softwares e senhas que não sejam óbvias. Ela é uma porta para a entrada de invasores
ATUALIZE SEMANALMENTE Tenha um antivírus. Gratuito ou pago, mas tenha. Fabio Assolini, analista da Kaspersky Lab, afirma: "Ele é indispensável. É preciso atualização periódica. Um antivírus desatualizado só protege o PC de ameaças que ele conhece. Centenas de vulnerabilidades aparecem todos os dias. E, sim, baixe os pacotes de segurança do sistema operacional e do navegador"
DESCONFIE DO PERIGO Não clique em alertas de antivírus que surgem em sites. Quase sempre, esse tipo de aviso ("seu computador está infectado por 45 ameaças, clique aqui e resolva o problema") guarda um vírus escondido, que, silenciosamente, rouba suas informações
NÃO SEJA PREGUIÇOSO Procure digitar no campo do endereço o site que você quer visitar. Por incrível que pareça, hackers conseguem criar URLs muito parecidas com as originais. Sem perceber, utilizando uma ferramenta de busca, você entra em um portal clone de um banco
DESCONFIE SEMPRE Não faça cadastro em qualquer site. Quanto mais páginas mantiverem seus dados, mais fácil será para que alguém roube essas informações. Não confie nos links enviados por msn, e-mail e redes sociais. Na dúvida, pergunte antes ao seu amigo
MUDE A SENHA Troque a senha instalada pelo fabricante. Use sempre uma pessoal. Coisas óbvias como "1234" são facilmente descobertas por programas que testam combinações
CARTÃO DE CRÉDITO O analista Chris Swecker dá a dica: "Use apenas um cartão de crédito e com limite baixo para compras. Ninguém precisa usar vários cartões na web. Quanto menos dados particulares (como senhas e códigos) ficarem na rede, melhor"
Comentários