Norton Reviewer´s Workshop – Cyber Crime Day – Como Pegar um Ladrão Cibernético?

ameacas_seguranca_symantec

No segundo dia do Norton Reviewer´s Workshop tivemos um dos momentos mais esperados por todos os jornalistas presentes, uma mesa redonda com a presença de três autoridades no assunto de segurança: A Unit Chief Donna Peterson, que é agente do FBI desde 1999 e antes de se juntar ao Bureau era especialista em criptologia linguística Russa na Força Aérea dos Estados Unidos. A Agente Donna Peterson trabalha na Divisão Cibernética (Cyber Division) no quartel general do FBI em Washington. Os outros participantes eram Matthew Parrella, promotor de justiça, idealizador e diretor da C.H.I.P. (Computer Hacking and Intellectual Property) Unit (primeira agência especializada em crimes eletrônicos do mundo) no U.S. Attorney´s Office da Distrito Norte da Califórnia (NDCA) e o Sargento Ed Schroder do Departamento de Polícia de San Jose, Califórnia, responsável pela unidade de crimes de alta tecnologia, que ajuda a proteger a comunidade local de criminosos cibernéticos. A conversa foi mediada por Dave Cole (diretor de produtos para o consumidor da Symantec. Vou transcrever abaixo as palavras e as opiniões dos presentes na mesa sobre segurança em geral, foi uma experiência bem interessante assistir este papo, e também escrever este post.

Clique abaixo para continuar lendo.

O primeiro a falar foi o Sargento Ed Schroder, que disse que o tipo de golpes que pode variar, mas a ideia básica se mantém a mesma, criminosos que buscam conseguir vantagens de pessoas que não tem muita familiaridade com a tecnologia realizando ações como roubo de informações sigilosas, invasões de redes, hacking, fraudes em compras com cartões de crédito e leilões online. E disto o Sargento Ed entende muito bem, afinal ele trabalha no distrito de San Jose, onde fica localizada a sede do eBay. Também fazem parte do seu trabalho diário investigações em redes sociais como o Facebook, perícia de computadores com buscas em discos rígidos de suspeitos e os mais diversos tipos de golpes de fishing, além de esquemas de loteria (“você acaba de ganhar 2 milhões de dólares”, quem nunca recebeu um e-mail destes?) e outros casos de extorsão por e-mail, como um caso onde o criminoso envia uma mensagem dizendo que havia sido contratado para matar a pessoa, mas que a observou e achou que era alguém interessante, então o suposto matador estaria disposto a desistir, mediante o depósito de US$ 25 mil.

A Agente Donna mostrou a perspectiva federal deste combate, contando casos de vazamento de dados que já chegaram a 10 milhões de dólares. Ela diz que os criminosos cibernéticos estão se tornando mais eficientes, mais organizados, dispondo de “sofisticação tecnológica” para conseguirem o que querem. Ou eles criam um exploit ou então compram uma solução paga em outro país, mas eles sempre conseguem as ferramentas para realizar os crimes cibernéticos. A sofisticação técnica dos criminosos pode se adaptar, dependendo da recompensa que esteja em jogo. Ela conta que organizações mundiais de hackers conseguem entrar em computadores de empresas e transferir dinheiro para contas em outras partes do mundo, e depois apagar todos os traços da sua presença. Em certos casos os funcionários da empresa iam passar o fim de semana em casa e quando voltavam na segunda-feira pela manhã a empresa havia sido tão roubada, que os seus empregos não existiam mais, porque a empresa iria falir. Existem organizações mundiais que movimentam milhares de pessoas espalhadas pelo mundo entre vítimas e cúmplices que são usados nos golpes, mas o objetivo do FBI é pegar as pessoas que estão planejando tudo isto, e conseguir as provas que possam ser usadas contra eles.

Matt trouxe a tona outra questão, a taxa de condenações diminui muito quando o criminoso mora fora dos Estados Unidos, no Paquistão, por exemplo. Os tipos de crimes que a CHIP Unit lida são casos de ex-empregados que tem acesso ao servidor e usa isto para cometer algum crime ou roubar informações sigilosas. Em seu trabalho de promotor, Matt precisa lidar com operações que estão acontecendo online em serviços como o Google Docs, por exemplo. Se você parar para pensar, verá que o aumento de casos nos últimos anos é impressionante, e daqui a cinco anos a imensa maioria dos ataques vai acontecer na nuvem, ou se preferir, na Internet. Um dos maiores alvos do mundo dos crimes cibernéticos é o Vale do Sílicio, onde existem verdadeiras fortunas em segredos industriais.

De acordo com Matt, muitos dos suspeitos de crimes cibernéticos são pessoas que estão desempregadas e tem o conhecimento técnico necessário para desempenhar a ação. A CHIP Unit pode fazer investigações internacionais, mas em muitos casos tudo acaba em uma rua sem saída por falta de apoio das autoridades do país em questão. Se existe uma denúncia de um e-mail com suspeitas de terrorismo, ele com certeza será investigado, e a unidade sob o seu comando responde a pedidos de ajuda internacionais para resolver questões onde os suspeitos estejam dentro dos Estados Unidos. Ele contou um caso que aconteceu alguns anos atrás, com uma das maiores quadrilhas de pirataria de softwares da Microsoft que tinha contatos para fazer cópias em massa de programas na China, e era chefiada por uma mulher em Singapura. A CHIP Unit conseguiu identificar ela através de uma operação secreta, mas pela legislação local o governo de Singapura não podia extraditar suspeitos para os Estados Unidos, então eles conseguiram convencer ela através de agentes infiltrados a ir até Hong Kong, onde ela ficou presa durante 2 anos e meio enquanto os promotores tentavam conseguir sua extradição.

Segundo a Agente Donna, a colaboração através das fronteiras internacionais é um cenário fascinante, porque tudo depende de vários fatores. A ação precisa ser considerada um crime nos outros países, e a falta de informação sobre as leis e diferentes estruturas de combate aos crimes cibernéticos também complica as investigações, mas mesmo assim o FBI realiza muitas operações em conjunto e operações sigilosas fora dos Estados Unidos, com muitos casos de sucesso. Donna diz que uma das coisas que precisa ser combatida é a falta de interesse do público em roubos de identidade e golpes. Quanto mais se falar sobre crimes cibernéticos melhor, porque assim a sociedade pode perceber melhor as ameaças. Os Estados Unidos estão sob constante ataque do crime organizado internacional. A recompensa dos crimes cibernéticos compensa o risco de serem presos, mas o FBI consegue solucionar muitos destes casos. Para resolver os casos de golpes de loteria na Nigéria, o FBI usa uma combinação de técnicas, mas como as organizações hoje em dia são compostas por pessoas que conhecem umas as outras há muitos anos, está cada vez mais difícil colocar um agente infiltrado dentro destes grupos.

Muita gente ouve falar nos valores envolvidos, mas não se dá conta de que o impacto na vida das vítimas é terrível, a maioria das pessoas simplesmente não percebe o tamanho do problema e a mídia não parece dar muita atenção. E antes mesmo de se avaliar se a punição ao crime é ou não justa, no mundo online muitas vezes acontecem novos crimes para os quais ainda não existe nenhuma lei. Uma coisa peculiar dos crimes online, é que se a vítima mora em San Jose, o caso vai ser investigado no mesmo local. Isto raramente acontece, porque ao contrário dos crimes normais, os crimes cibernéticos quase sempre acontecem com o suspeito em locais bem distantes da cidade onde a vítima mora, até para dificultar o trabalho da polícia e demais autoridades.

Apesar de saber que os jornalistas presentes na sala tem grandes conhecimentos em tecnologia, Ed diz que as vezes alguns e-mails falsos são tão bem feitos que podem nos enganar, e também cita o clássico caso de pagar por um produto e não receber como uma prova de que qualquer um está sujeito a cair em um golpe através da Internet. Ele nos dá alguns conselhos de coisas que você pode prevenir para evitar se tornar a próxima vítima do crime cibernético. Prestar muita atenção quando usar serviços de pagamento, e saber muito bem para quem você está mandando o seu dinheiro. Cheques ao portador (nos Estados Unidos são muito usados por golpistas. Sites como o eBay ou o Craig´s List não recebem dinheiro, e assim não podem ser considerados responsáveis pelos golpes. Vale lembrar o velho clichê, se parece bom demais para ser verdade, provavelmente não deve ser.

Matt lembra que não adianta nada processar alguém para se livrar de um problema que você já tem, o melhor é se cuidar ao máximo para evitar cair em esquemas como estes. Você precisa se preocupar com seus dados, tomar cuidado com os sites que visita ou então usar uma conta de convidado ao invés de uma conta de administrador. A motivação principal dos suspeitos é dinheiro, mas a CHIP Unit investiga casos que envolvem empresas ou agências do governo. Ele conta um caso de uma promissora empresa start-up que teve seu segredo de negócio roubado, e acabou falindo, e deixa claro que eram pessoas que entendiam muito de tecnologia, mas que não protegeram adequadamente o que tinham de mais importante. Para algo ser considerado no tribunal como um segredo industrial, ele precisa ser tratado desta forma. Caso a empresa processe um ex-funcionário ou espião que tenha roubado os segredos, a defesa dos acusados pode usar o argumento de que você não tinha qualquer tipo de proteção para o seu segredo, e que por isto não era algo realmente secreto. Uma empresa tem a obrigação de proteger a sua informação como funcionário. Se você puder provar negligência do empregado em proteger os seus dados, trata-se de uma causa de ação, o que significa que você pode você pode processá-los.

A agente Donna diz que qualquer coisa que pode passar confiança em um site pode ser adulterado, especialmente se alguém te procura. Ela aconselha a tomar cuidado com as informações pessoais que você posta na web, e no lado dos consumidores, tomar muito cuidado ao informar os seus dados financeiros online. Ela fala sobre a diferença entre legislações da América Latina, e cita que nos Estados Unidos não existe uma lei de retenção de dados, você precisa seguir a pista eletrônica para encontrar quem é que está atrás do teclado. As leis são diferentes em cada país, mas o objetivo das autoridades é sempre o mesmo analisar dados para procurar definir quem é o culpado do crime cometido na rede.

Leia também aqui no DD:
Digital Drops no Norton Reviewer’s Workshop 2009 – Primeiro Dia

Este post foi publicado originalmente no MeioBit.

Autor: Nick Ellis

Blogueiro de tecnologia e viajante profissional. Geek do Ano 2010!

Compartilhe
/* Track outbound links in Google Analytics */