'Brasil é o novo alvo para
o cibercrime' diz especialista da Microsoft
Conselheiro
assistente da Unidade de Crimes Digitais da Microsoft, Richard Boscovich fala
sobre o aumento de ataques digitais
Moacir
Drskamdrska@brasileconomico.com.br
São Paulo - Brasileiro de origem, Richard Boscovich deixou o país
aos três anos de idade. Longe da terra natal, ele construiu uma carreira sólida
nos Estados Unidos, com uma passagem de 17 anos pelo departamento americano de
Justiça. Há oito anos, Boscovich atua como conselheiro assistente geral da
Unidade de Crimes Digitais da Microsoft, à frente de uma equipe de cem
profissionais, que identifica e combate as botnets — redes de computadores
infectados controladas remotamente por cibercriminosos para a realização de
ataques — globais. É esse trabalho que vai abrir novas oportunidades para que
Boscovich, hoje com 53 anos, retome o contato com o Brasil. Em meio à
globalização do cibercrime, o país é um dos novos alvos dos hackers. E como
reflexo desse cenário, a Microsoft está abrindo uma operação local da divisão.
Como é o trabalho da divisão de crimes digitais da Microsoft?
Nós trabalhamos juntos com parceiros no setor privado e no setor público
para o que chamamos de defesa proativa, mais ofensiva, em termos do que podemos
fazer legalmente para poder realmente destruir ou incapacitar a habilidade de
qualquer vírus. Nossa primeira operação teve início em 2010 e desde então,
realizamos doze operações em parceria com agências como o FBI, nos Estados
Unidos, a National Crime Agency (NCA), na Inglaterra, a Europol, e também no
Japão e na Austrália. Criamos um modelo legal e uma estrutura técnica para não
ter nenhuma implicação legal nos Estados Unidos e nos países em que temos
negócios.
Como esses processo acontece na prática?
Nós desenvolvemos um sistema que permite pedir uma ordem judicial para tomar o sistema de comando dos vírus e redes de máquinas zumbis das mãos dos cibercriminosos. Nosso objetivo é obter uma ordem judicial para que todos esses computadores se comuniquem com a Microsoft. Mas, a única coisa que fazemos é identificar o IP dos computadores que estão infectados. A partir desse controle, passamos “ouvir”. Qual é o IP, o tempo e a data. Precisamos disso para determinar quais são e onde estão as máquinas infectadas. E aí trabalhamos com os provedores de serviços de internet e times de segurança de parceiros, para não só comunicar as vítimas, mas também ajudar a limpar esses computadores. Ao mesmo tempo, trabalhamos para destruir ou pelo menos interromper a comunicação entre o cibercrime e as máquinas infectadas.
Vocês conseguem chegar na origem dessas ameaças?
Nós desenvolvemos um sistema que permite pedir uma ordem judicial para tomar o sistema de comando dos vírus e redes de máquinas zumbis das mãos dos cibercriminosos. Nosso objetivo é obter uma ordem judicial para que todos esses computadores se comuniquem com a Microsoft. Mas, a única coisa que fazemos é identificar o IP dos computadores que estão infectados. A partir desse controle, passamos “ouvir”. Qual é o IP, o tempo e a data. Precisamos disso para determinar quais são e onde estão as máquinas infectadas. E aí trabalhamos com os provedores de serviços de internet e times de segurança de parceiros, para não só comunicar as vítimas, mas também ajudar a limpar esses computadores. Ao mesmo tempo, trabalhamos para destruir ou pelo menos interromper a comunicação entre o cibercrime e as máquinas infectadas.
Vocês conseguem chegar na origem dessas ameaças?
Nós fornecemos informações para as polícias de cada país para que elas
possam identificar quem está por trás. Nossa última operação, em julho, foi uma
operação civil, nos Estados Unidos, coordenada com uma investigação criminal na
Europa. Nós destruímos uma botnet com um vírus financeiro que roubou mais de
250 milhões de libras esterlinas dos bancos britânicos. E depois da operação,
esses bancos reportaram que a fraude diminuiu em 98%.
Como funciona a cooperação nessa cadeia do cibercrime?
Você tem grupos e cada um deles tem a sua especialidade. Em grandes ameaças recentes como o Citadel e o Zeus, nós vimos isso acontecer. Você tinha o grupo principal, criador do malware, tinha depois outro grupo cuja função era simplesmente vender kits de malware no mercado negro, e depois tivemos mais de 1,2 mil cibercriminosos usando esses malwares para criarem as suas próprias botnets. É um mercado muito similar ao mercado formal. Você tem, por exemplo, suporte. Se o criminoso tem algum problema para criar a sua botnet, ele pode literalmente pedir ajuda em um site, assim como existem portais para reclamações. Existe um nível de serviço que dá apoio técnico e orientações do que precisa ser feito. Assim como já vemos casos de aluguel de botnets. É nesse nível de sofisticação.
Você tem grupos e cada um deles tem a sua especialidade. Em grandes ameaças recentes como o Citadel e o Zeus, nós vimos isso acontecer. Você tinha o grupo principal, criador do malware, tinha depois outro grupo cuja função era simplesmente vender kits de malware no mercado negro, e depois tivemos mais de 1,2 mil cibercriminosos usando esses malwares para criarem as suas próprias botnets. É um mercado muito similar ao mercado formal. Você tem, por exemplo, suporte. Se o criminoso tem algum problema para criar a sua botnet, ele pode literalmente pedir ajuda em um site, assim como existem portais para reclamações. Existe um nível de serviço que dá apoio técnico e orientações do que precisa ser feito. Assim como já vemos casos de aluguel de botnets. É nesse nível de sofisticação.
É possível estimar o quanto essa indústria movimenta hoje?
Existem números diferentes sobre esse mercado. Mas posso dar um dado específico da operação Citadel, na qual trabalhamos em parceria com o setor financeiro na Austrália. Nesse caso, as perdas para os bancos foram de US$ 500 milhões, em dezoito meses. Agora, globalmente, essa cifra está na casa dos bilhões.
Existem números diferentes sobre esse mercado. Mas posso dar um dado específico da operação Citadel, na qual trabalhamos em parceria com o setor financeiro na Austrália. Nesse caso, as perdas para os bancos foram de US$ 500 milhões, em dezoito meses. Agora, globalmente, essa cifra está na casa dos bilhões.
Tradicionalmente, esses ataques têm origem no leste europeu. Há alguma
mudança nessa frente?
Isso também vem mudando. Em junho, tivemos dois casos em que vimos realmente pela primeira vez a globalização do desenvolvimento do malware, com ameaças criadas no Kuwait e na Argélia, e que se alastraram por todo o mundo. A organização é como uma máfia e ela está se desenvolvendo de tal forma que está chegando agora ao Brasil. Já saturaram os Estados Unidos, a Europa e estão saturando a Austrália. Então, está claro para nós que o Brasil é o novo mercado para o cibercrime, ao lado dos outros países da América Latina. O Brasil já faz parte dessa cadeia.E essa é a razão pela qual estamos trazendo a divisão para o país e a região.
Isso também vem mudando. Em junho, tivemos dois casos em que vimos realmente pela primeira vez a globalização do desenvolvimento do malware, com ameaças criadas no Kuwait e na Argélia, e que se alastraram por todo o mundo. A organização é como uma máfia e ela está se desenvolvendo de tal forma que está chegando agora ao Brasil. Já saturaram os Estados Unidos, a Europa e estão saturando a Austrália. Então, está claro para nós que o Brasil é o novo mercado para o cibercrime, ao lado dos outros países da América Latina. O Brasil já faz parte dessa cadeia.E essa é a razão pela qual estamos trazendo a divisão para o país e a região.
Como está sendo esse trabalho inicial no Brasil?
Já conversamos com o Ministério Público e tivemos contato com a Polícia Federal. Queremos realmente trabalhar mais próximos ao governo brasileiro e à iniciativa privada local, para aplicarmos a mesma metodologia que usamos no exterior. Estamos vendo cada vez mais a criação de malwares específicos por região geográfica. Já está acontecendo na Europa. Antes, eram botnets enormes, com 2 milhões, 3 milhões de computadores. Agora, por exemplo, uma das últimas que identificamos era pequena, com 400 mil máquinas atacando especificamente o setor financeiro britânico. Então, a tendência do cibercrime é ser mais geolocalizado. Por isso, queremos trabalhar com parceiros aqui no Brasil para identificar quais são os tipos de malware que estão sendo usados especificamente no país.
Já conversamos com o Ministério Público e tivemos contato com a Polícia Federal. Queremos realmente trabalhar mais próximos ao governo brasileiro e à iniciativa privada local, para aplicarmos a mesma metodologia que usamos no exterior. Estamos vendo cada vez mais a criação de malwares específicos por região geográfica. Já está acontecendo na Europa. Antes, eram botnets enormes, com 2 milhões, 3 milhões de computadores. Agora, por exemplo, uma das últimas que identificamos era pequena, com 400 mil máquinas atacando especificamente o setor financeiro britânico. Então, a tendência do cibercrime é ser mais geolocalizado. Por isso, queremos trabalhar com parceiros aqui no Brasil para identificar quais são os tipos de malware que estão sendo usados especificamente no país.
Vocês já identificaram ataques específicos para a região?
Existem vários tipos de malware que têm basicamente como alvo a América do Sul, mas hoje não temos a visibilidade que gostaríamos para poder identificar a estrutura de comando e controle dessas ameaças. O objetivo de estabelecer a divisão é aprimorar esse trabalho. Uma vez que nós identificamos um alvo de malware que queremos atacar, o processo em si é relativamente rápido. Podemos fazer uma operação entre dois e três meses.
Existem vários tipos de malware que têm basicamente como alvo a América do Sul, mas hoje não temos a visibilidade que gostaríamos para poder identificar a estrutura de comando e controle dessas ameaças. O objetivo de estabelecer a divisão é aprimorar esse trabalho. Uma vez que nós identificamos um alvo de malware que queremos atacar, o processo em si é relativamente rápido. Podemos fazer uma operação entre dois e três meses.
Hoje, o Brasil não possui leis que consigam abranger todas essas
práticas. Isso é uma barreira?
Isso não quer dizer que não é possível tomar ações. Uma das coisas que
fizemos nos Estados Unidos foi levar à frente um processo civil em que
utilizamos leis que nunca foram entendidas como um recurso contra os crimes
cibernéticos. Leis que estavam nos estatutos há mais de 200 anos e que nós adaptamos
para poder aplicar naquele problema. É possível fazer muita coisa mesmo quando
não há uma legislação que regule especificamente o cibercrime.
Quais são as principais tendências em termos de ameaças?
O principal é a distribuição dos vírus. Além dos métodos tradicionais, como phishing e engenharia social, outra tendência é o envio de fotografias nas redes sociais. Muitas imagens têm um pedaço do código malicioso. Uma vez instalada no computador, ela puxa automaticamente o resto do código para infectar a máquina. Estão usando isso nos EUA. As transações móveis são outra ponta. Vamos ter um novo mercado com a tecnologia NFC (Near Field Communication, na sigla em inglês). Ao mesmo tempo, já existem botnets de celular. Todo tipo de ameaça que temos nos computadores tradicionais, estão migrando para os dispositivos móveis.
Como o sr. enxerga questões que estão no entorno da segurança, com a privacidade, o hacktivismo e os ataques com fins políticos?
O principal é a distribuição dos vírus. Além dos métodos tradicionais, como phishing e engenharia social, outra tendência é o envio de fotografias nas redes sociais. Muitas imagens têm um pedaço do código malicioso. Uma vez instalada no computador, ela puxa automaticamente o resto do código para infectar a máquina. Estão usando isso nos EUA. As transações móveis são outra ponta. Vamos ter um novo mercado com a tecnologia NFC (Near Field Communication, na sigla em inglês). Ao mesmo tempo, já existem botnets de celular. Todo tipo de ameaça que temos nos computadores tradicionais, estão migrando para os dispositivos móveis.
Como o sr. enxerga questões que estão no entorno da segurança, com a privacidade, o hacktivismo e os ataques com fins políticos?
Em uma das nossas operações, o malware tinha a capacidade de ligar a
câmera e o áudio do computador infectado para ver o que a vítima estava fazendo
em casa. Essa invasão de privacidade pode ser um problema no próprio mundo do
cibercrime. Geralmente, os criminosos recrutam pessoas que chamamos de “money
mules”, que ficam responsáveis por receber e enviar o dinheiro dos ataques para
quem está no controle e levam uma porcentagem por isso. Tivemos um caso em que
esse intermediário tirou a sua parte e não destinou o restante do dinheiro. Um
dia, ele foi questionado pelo criminoso sobre a cifra devida, e respondeu que
estava a caminho do banco para o depósito. Então, o chefe da quadrilha
respondeu: ‘Você está mentindo, porque estou te vendo na sua casa e sei
exatamente o que você está fazendo’. Então, é mais um exemplo de invasão de
privacidade, mesmo que de um criminoso contra outro.