30/06/2004 - 10:00
Nos novos crimes do século XXI o ladrão não tem rosto ou particularidades físicas nem a polícia sai às ruas de uniforme e armas em punho. Os vilões modernos são hackers e os mocinhos são engenheiros de sistemas de computadores. No lugar de espiões, figuram agentes de segurança como o americano Patrick Gray, 57 anos, um dos nomes mais reverenciados da atualidade. Nascido em Maryland, casado e pai de três filhos, Gray investiga crimes virtuais há dez anos. Solucionou boa parte deles quando trabalhava para o FBI, departamento de investigações federais americano, onde foi agente especial durante 20 anos. Aposentou-se em 2001 e foi contratado por uma das maiores empresas de segurança em informática do mundo, a Internet Security Systems (ISS). Especializada em oferecer proteção para grandes corporações, a ISS tem entre os seus 11 mil clientes órgãos de governos federais de diversos países, empresas de telecomunicação, seguradoras, bancos e multinacionais como Microsoft, Oracle e Hewlett Packard. A função de Gray é digna dos personagens de filmes de ficção científicas. Ele é diretor da X-Force, elite de cyberdetetives, na qual coordena equipes de prontidão para atuar em tempo real contra ataques e ameaças às redes corporativas. O negócio é um dos mais lucrativos da rede. Apenas nos primeiros três meses deste ano a ISS obteve um faturamento de US$ 67 milhões. O mais surpreendente é que 4% dessa quantia vem do Brasil, que responde por metade dos rendimentos da ISS na América Latina. São 600 clientes, entre os quais 19 bancos, cinco grupos de telecomunicações e órgãos e departamentos dos governos federal, municipais e estaduais. Essas foram algumas das razões que levaram a empresa a organizar uma série de palestras no Brasil sobre estratégias de segurança. Em sua visita ao País, Patrick Gray falou com exclusividade a ISTOÉ.
É a apropriação de informações confidenciais pela internet. E isso é algo muito mais amplo do que um cara tentando entrar no seu computador, pois tudo o que você faz viaja pela internet, qualquer transação eletrônica. E em muitas delas você nem está utilizando o computador. Usar o cartão de crédito, por exemplo. Essa transação é arquivada em algum lugar e, assim, alguém pode ter acesso a esses dados. Os crimes virtuais são o atestado de que os dias de privacidade se foram.
Quando eu trabalhava para o FBI, costumávamos examinar a cena de um crime e traçar o perfil do assassino. Homem, branco, entre 25 e 35 anos, sofreu abusos na infância, coisas assim. Isso não pode ser feito com hackers. O estereótipo do hacker como um sujeito gordo trancado no quarto bisbilhotando o sistema dos outros acabou. Hoje são pessoas que trabalham em equipe para o crime organizado.
Se você perguntasse isso a um hacker há dez anos, invariavelmente ele responderia: porque sou capaz. Eram jovens testando as suas habilidades. Hoje estão mais sofisticados. São pessoas à procura de coisas de valor que possam ser roubadas e que muitas vezes são contratadas para fins específicos, como descobrir segredos dos concorrentes de uma empresa.
Não há nações na internet. O ataque pode sair da Malásia e chegar a Miami. O inimigo está sempre muito próximo, por mais longe que esteja fisicamente. Apesar disso, existem nichos onde as ações se concentram. Os grupos de crime organizado são mais populares no leste europeu. Com o fim da KGB, a polícia secreta russa, muitos de seus agentes ficaram sem função. Boa parte deles passou a servir a organizações criminosas. Como hackers, eles obtêm informações confidenciais de instituições financeiras e extorquem dinheiro da empresa vitimada para contar como invadiram o sistema e não revelarem informações sigilosas.
Recentemente a rede corporativa da agência financeira Bloomberg de Nova York foi invadida por dois indivíduos do Casaquistão, país que pertencia à URSS. A companhia recebeu um e-mail exigindo US$ 200 mil em troca do sigilo sobre dados confidenciais de seus clientes. A ISS foi acionada e, acompanhando executivos da Bloomberg, encontramos os sujeitos em Londres. Um dos executivos disse que pagaria a quantia exigida, mas antes gostaria de saber como eles haviam pene-
trado no sistema. Afinal, eles deveriam estar entre os melhores hackers do mundo. Com o ego inflado, eles narraram detalhadamente como haviam roubado aquelas informações. A conversa foi gravada e serviu como prova para prendê-los. Eles
eram ex-membros da KGB.
Em cerca de 70% dos casos, as redes corporativas são invadidas com ajuda de funcionários da própria empresa. São eles a parte mais vulnerável de qualquer sistema, pois sabem onde estão as informações importantes e geralmente têm acesso irrestrito a elas. Basta digitarem uma senha ao ligar o computador pela manhã para navegarem por todos os arquivos da companhia. Não gostamos de olhar nossos colegas de trabalho e pensar que eles possam fazer algo errado. Mas é necessário que a empresa monitore seus funcionários, especialmente aqueles que pretende demitir. Nesse caso é preciso mantê-los afastados não só fisicamente, mas eletronicamente também.
Há uma companhia em Nova Jersey chamada Omega South Engeneering, que é contratada pelo governo americano para produzir equipamentos de alta precisão. A empresa decidiu demitir o seu principal administrador de sistemas. Ao desconfiar que seria dispensado, o sujeito instalou no sistema algo que chamamos de “bomba lógica”, espécie de código capaz de acionar um intenso processo de destruição de dados. Quando recebeu a carta de demissão, detonou a “bomba”. Os sistemas de operação, os aplicativos, os contratos com o governo, tudo foi aniquilado. Um prejuízo de US$ 12 milhões.
Sim, aquele que está desligado e enterrado no fundo do quintal. A vulnerabilidade a que estamos sujeitos é enorme. Mas há como se precaver. É preciso ter antivírus, Firewall e fazer atualizações diárias. Minha mãe tem 84 anos e atualiza os seus aplicativos todos os dias. Os hackers procuram pelo usuário desprotegido, inclusive o funcionário de uma grande empresa com acesso a informações importantes. Eles chutam a porta e, se ela abrir, levam tudo o que conseguirem pegar.
Há mercenários que invadem sistemas para furtar dinheiro. Outros buscam informações confidenciais. Nesse grupo se incluem organizações como Al-Qaeda e Hamas, que percorrem sistemas atrás de planos oficiais de resposta a ataques terroristas e arquivos de governo. E, por incrível que pareça, essas informações nem sempre estão protegidas como deveriam. Outro dia eu entrei no site do Google e pesquisei por “planos de resposta”. Encontrei um esquema completo com as medidas a serem tomadas no caso de um ataque bioquímico, virtual ou físico de um Estado americano.
É mais fácil atacar do que prevenir.
Há cuidados fundamentais, como ficar atento às senhas. Fizemos um levantamento em um banco de Nova York, cidade globalmente atacada, e descobrimos que seus 581 funcionários tinham a mesma senha para acessar
os computadores. E a senha era “senha”.
Deve-se misturar letras, números e caracteres especiais e mudar a senha a cada 40 dias. Muitos alegam que não conseguirão memorizar uma senha por mês e sugerem anotá-la em algum lugar, o que é arriscado porque alguém pode olhar. A solução é criar algo simples. Um exemplo é elaborar uma frase como “meu filho Pedro tem 8 anos” e utilizar a primeira letra de cada palavra criando um código como “mfpt8a”. Ou “eu moro na avenida 33” poderia ficar “e@a33”. Sejam criativos.
Um dos mais incríveis foi o de um garoto canadense de 15 anos chamado Mafiaboy. Sem sair de seu quarto, ele invadiu os sites da CNN, do eBay e da
Amazon e simplesmente tirou-os do ar por um dia inteiro. O prejuízo da brincadeira foi de US$ 8 bilhões. E a punição foi permanecer preso por oito meses numa instituição educacional.
Certamente. As nações deveriam adotar legislações específicas para punir condutas ilegais na rede. Mas melhor do que punir é educar o usuário. Ninguém ensina aos jovens que é errado invadir sistemas. A navegabilidade na internet dá a sensação de que tudo é permitido.
É um trabalho duro e sempre dependemos das autoridades locais para
agir. Basicamente acompanhamos o rastro de um hacker pela internet e fazemos
o caminho inverso para chegarmos até ele. Mas alguns são muito bons e não deixam nenhuma pista.
Atualmente a comunidade brasileira de hackers é a segunda maior do mundo, atrás apenas da China. Suponho que o Brasil tenha sido responsável por cerca de 98 mil ataques no ano passado. Normalmente é por puro vandalismo, quase não há crime organizado no meio virtual. Os brasileiros não são uma comunidade temida. Ainda.
Sim, essa é a maior preocupação. Se essas pessoas não forem educadas para usar suas habilidades, teremos problemas. Em vez de serem contratadas por empresas, se tornarem engenheiros de sistemas e ganharem dinheiro honestamente com isso, se tornarão hackers.
Não contratamos hackers sob hipótese alguma. Não preciso contratar alguém que passou a vida corrompendo sistemas. A maioria dos nossos profissionais vem da Universidade da Georgia. O candidato precisa ser programador e entender de computadores, mas acima de tudo tem de ter gosto pela aventura e ser criativo. Deve propor soluções inovadoras que vão além do perímetro que conhecemos.
É um time especializado em analisar a cena do crime e descobrir como o hacker entrou, o que levou ou poderia ter levado. Nossa missão é proteger nossos clientes. E as grandes empresas como a Microsoft, para quem trabalhamos desde o ano passado, vivem sob constante ameaça. É como se houvesse pessoas tentando arrombar a sua casa, sacudindo suas janelas, torcendo para que você esqueça a porta dos fundos aberta.
A tecnologia wireless é algo que oferece enormes riscos, pois ainda não é padronizada e isso facilita o sequestro de dados. A internet em celulares também é vulnerável, mas o aparelho não arquiva informações relevantes. Já os laptops
também são preocupantes. O próximo passo para aumentar a segurança em qualquer âmbito é a identificação biométrica a partir
do reconhecimento da impressão digital
e da íris ocular.
Esse receio não se justifica. Toda vez que usamos o cartão de crédito, estamos dando o número a um desconhecido. Atualmente o golpe mais popular da rede é o “phishing”, réplica de uma página oficial, normalmente bancária, na qual são pedidos senhas e outros dados confidenciais. O usuário não tem como se proteger, pois só percebe que foi vitimado após fornecer as informações.
Sim, e elas têm toda a razão de fazer isso. Ainda mais hoje, quando
um ataque virtual pode vir acompanhado de um ataque físico. No ano passado tivemos um blecaute seriíssimo em Nova York e Ohio. Empresas pararam de
fechar negócios, trens deixaram de funcionar, fábricas suspenderam a produção. Problemas locais têm efeitos globais. É uma bola de neve. E isso espalha pâ-
nico e terror.
