“Comigo isso nunca vai acontecer”, diz o sabichão que não usa antivírus e se gaba de jamais ter tido dor de cabeça por problemas de segurança em seu computador. Até o dia em que ele clica num aplicativo falso do Facebook e morde a língua. Aquela sensação de segurança cai por uma bobagem, mas acaba sendo mais vergonhosa do que danosa. Poderia ter sido bem pior. Em vez de um WhatsApp de mentirinha, poderia ter sido algo envolvendo criminosos de verdade sedentos por dinheiro fácil e com ferramentas baratas e poderosas à disposição nos confins da internet. Dá para se garantir só no feeling?
A discussão sobre a validade do uso de soluções de segurança é antiga e, no momento em que o sistema operacional passou a interferir nesse aspecto e outros mudaram o panorama dos apps (sistemas móveis em geral), os argumentos dos anti-antivírus ganharam força. Por outro lado, especialistas em segurança, inclusive independentes, continuam a pregar a necessidade do emprego de soluções do tipo. E eles têm os números a seu lado. Segundo dados da LACNIC, em 2011 US$ 93 bilhões foram perdidos pelos bancos da América Latina em decorrência de ataques online, a maioria deles trojans e phishing scams. A Kaspersky, que no início da semana organizou a 2ª Cúpula Latino Americana de Analistas de Segurança em Quito, Equador, descobre por dia 125 mil novos malwares e bloqueia a ação de 350 mil exploits a cada 24 horas.
Instalei o antivírus, agora estou seguro?
São números assustadores, mas apesar do espanto, os antivírus modernos conseguem segurar essa onda de podridão digital sem muito esforço. E não é de hoje. Os criminosos, bastante adaptativos, apelam então para o elo mais fraco da cadeia, o usuário, com a velha e sempre eficiente engenharia social. Em entrevista a este Gizmodo, Dmitry Bestuzhev, chefe da equipe de análise e pesquisa global de malware na América Latina da Kaspersky, endossou a ideia de que tecnologia e educação precisam andar juntas para surtir efeito:
“A única proteção contra a engenharia social é o conhecimento. Porque o usuário vai clicar; se for algo realmente interessante ao usuário, ele vai clicar. Então apenas estando atento, ciente de como a engenharia social funciona, as pessoas podem se proteger. O ponto é que todos nós, jornalistas, não sei… professores, estudantes, bancários, todos precisam conhecer o inimigo, precisam saber como ele trabalha. É como na vida real; não nos importa saber como eles roubam, se usando armas ou o quê, mas precisamos conhecer as áreas de perigo, como horários ruins para sair, como ‘às 22h não é uma boa hora para ir ali’ – o mesmo vale para a internet. Isso vale para todos nós, não importa com o que você trabalhe, ou o que você faz, o que importa é a segurança. Você precisa de conhecimento para se proteger.”
O dever de educar é de todos, inclusive das ferramentas de proteção do usuário — a “tecnologia” da dupla. O novo modo Safe Money do Kaspersky Internet Security 2013 nada mais é do que um indicativo visual e simples, ao usuário, de que ele está no site verdadeiro do seu banco. Há todo um trabalho de validação da autenticidade do domínio nos bastidores, mas para o tiozinho que quer fazer uma transferência usando o computador, o que importa é que a janela ficou verde, ou seja, que ela é segura.
As novas e nem tão novas armas do mal
Durante a sua apresentação, Fabio Assolini, analista de malware da Kaspersky, trouxe à tona novas formas de ataque que burlam sistemas tradicionais de detecção por meio de medidas originais e ousadas. São coisas ainda pouco conhecidas, como o uso de certificados digitais legítimos para validar páginas e aplicativos maliciosos, ou a infecção dos sistemas operacionais de modems em vez do sistema do usuário final, alterando o destino de uma URL legítima — ação que também pode ocorrer diretamente nas configurações de proxy dos navegadores web, esse um truque já antigo.
Tais novidades podem soar algo muito fora da realidade – o que faz sentido, já que são a última palavra em formas alternativas (e eficazes) de ataque. E talvez essa impressão até as ajudem a passar despercebidas. Quem atualiza ou modifica o firmware do modem? Como assim aquele cadeado no navegador não é mais um certificado 100% seguro de que um site é legítimo? O último cenário, outrora impensável, passa a existir no momento em que certificados digitais válidos são comprados ou roubados por criminosos.
Outro exemplo: plugins desatualizados. Não é por implicância com a Adobe e com a Oracle que se fala tanto dos buracos no Flash e Java, respectivamente. Versões antigas estão suscetíveis a ataques e, para aumentar a eficácia, os criminosos usam os tais exploit kits: pacotes de códigos maliciosos vendidos a terceiros que chegam ao usuário através de um “vídeo vazado pornô” ou qualquer outra isca tentadora; ao ser executado, eles varrem o sistema em busca de plugins arcaicos disparando um ataque fulminante caso encontrem algum. Rápido, silencioso e muito eficiente. E sabe qual foi o mais explorado no Brasil entre janeiro e agosto de 2012? O Flash, responsável por 30,8% dos ataques, seguido do Java, com 28,4%, e do Adobe Reader, com 9,3%.
O que o usuário vê (topo), o que acontece em sua máquina (código, meio) e o que o criminoso recebe (relatório, abaixo) quando o BlackHole entra em ação.
O objetivo é sempre dinheiro fácil e as barreiras para começar uma vida de crimes digitais estão cada vez menores. No mercado negro da internet há soluções prontas de botnets à venda por US$ 500 e exploit kits, como o BlackHole, que conta até com painel de estatísticas a la Google Analytics e já ameaça a América Latina, a partir de US$ 2.500 — com a opção de aluguel. Para os mais dedicados (ou sem recursos), a coisa toda sai de graça através de vídeotutoriais disponíveis no YouTube. A atividade já é vista como uma espécie de empreendimento do mal, com gente entrando nessa sem conhecimento algum, porém munida com as ferramentas certas — e um capital inicial relativamente pequeno. O Brasil, nesse esporte nada digno, ocupa uma posição de destaque.
Éééééé… do Brasil!
Estamos em segundo lugar no ranking de lugares com a maior concentração de sites de phishing (12%, atrás apenas dos EUA com 38%) e somos campeões mundiais na execução de trojans bancários (16,9% do total rolam por aqui). Volta o jogo de gato e rato, voltam as reclamações contra as medidas cada vez mais rígidas dos bancos para garantir a segurança, e criminosos criam outras formas de burlá-las — um exemplo recente é o “man in the middle”, técnica complementar ao phishing, que verifica os dados inseridos pelo usuário na página falsa e compara com a verdadeira. Ou seja, aquela dica de sempre inserir um dado errado de propósito para verificar a autenticidade do site já não funciona mais.
Tecnologia e educação são as chaves para a prevenção, mas para remediar o estrago já feito é preciso a aplicação das leis. Quatro profissionais do Direito estiveram no evento, incluindo Emerson Wendt, Delegado de Polícia Civil do Estado do Rio Grande do Sul e professor de Inteligência Policial e Crimes Cibernéticos. Embora a lei penal não admita analogia, ou seja, a condenação por equiparação ou comparação, diversos crimes que ocorrem no meio virtual são passíveis de pena — como disse o Dr. Emerson durante entrevista, nesses casos a internet atua apenas como meio, logo, configura-se o crime em questão.
Ele usou como exemplo um caso bem curioso de homicídio via internet. Impossível? Pense em alguém internado e tratado com uma certa posologia. Se um desafeto desse paciente invade o sistema do hospital e muda aquela posologia para uma fatal, configura-se o crime de homicídio. Via internet. Uma pessoa mata a outra com um teclado e uma conexão, remotamente. Esse é um caso hipotético, mas que mundo maluco é esse?
Aonde isso vai parar?
O exemplo acima também vale para instigar a nossa imaginação, para nos ajudar a tentar prever como será o lado negro da internet amanhã. Casos grandiosos como o do Stuxnet, Flame e, mais recentemente, o Gauss, dão uma nova dimensão ao caos da segurança online e apontam para um futuro potencialmente tenebroso.
Faz um tempinho que a minha, a sua, a nossa Internet deixou de ser um local para conversas (des)animadas no IRC, GIFs engraçadinhos e coisas do tipo. Negócios envolvendo grandes cifras acontecem ali, sistemas vitais dependem e se desenvolvem nela. Para ficarmos em um exemplo, tomemos o SCADA, software industrial usado em usinas de energia do mundo todo (inclusive Angra, no Brasil) e, não faz muito tempo, alvo do Stuxnet. E se o direcionamento fosse global, ou para outros países que não o Irã e, em vez de destruir um programa nuclear, ele criasse um colapso no sistema de transmissão elétrica. Qual teria sido o impacto disso? Ou, dita de uma forma mais ampla, até onde vai a interferência da internet no status quo de todas as coisas que consideramos ubíquas e com as quais contamos, e quais as implicações que a segurança passa a ter nesse universo tão dependente da rede?
Eu lhe digo até onde: até as últimas consequências.
Questões mais grandiosas ainda são novas, carentes de regulação. Em outra palestra, Dmity comentou os desafios que começam a surgir no horizonte. Se no nível mais íntimo da relação criminoso-vítima em ambiente online está o cara que quer ganhar uns trocados fácil e o correntista desatento, na outra ponta estão as maiores potências mundiais brigando por supremacia e vantagens econômicas e políticas. Se na primeira o prejuízo são de algumas centenas ou milhares de Reais, alguém arrisca palpitar o que podemos perder com uma ciberguerra mundial?
Tudo isso soa muito apocalíptico, distópico. Crianças e mulheres primeiros, empunhem seus teclados e mouses e vamos à luta, irmãos? Não, pelo menos não ainda. Há motivo para preocupação sim, mas não para pânico. Temos mocinhos empenhados nessa luta e que contam com o apoio no jogo político que rege as questões e diferenças maiores. É um esforço conjunto, um esquadrão do bem, em ação. A nossa parte enquanto Brasil floresce no projeto militar de inteligência online (CDCiber) e os avanços no Marco Civil da Internet, que mesmo com alguns pontos nebulosos, vem com a promessa de dar uma fundação sólida para o tratamento de crimes digitais — coisa que como Chile, México e República Dominicana, únicos países da América Latina a apresentarem um decrescimento nos casos de ataques. Esse filme nunca terá fim, é um eterno episódio de Tom & Jerry. Menos engraçado, mas muito parecido.
Foto: Shutterstock.
O Gizmodo Brasil viajou para Quito, no Equador, a convite da Kaspersky e quase perdeu o fôlego — com a altitude de 2800 metros e com a beleza estonteante da capital equatoriana.