Combate aos Crimes Cibernéticos e a ICCyber 2010

Visão geral do combate aos crimes cibernéticos no Brasil e no mundo

Nos dias 15 a 17 de setembro agora, tive a oportunidade de participar da ICCyber 2010, VII Conferência Internacional de Perícias em Crimes Cibernéticos, promovida pela ABEAT, Associação Brasileira de Especialistas em Alta Tecnologia, com apoio e colaboração técnica da Polícia Federal brasileira e da Federal Bureau of Investigation – FBI/EUA.

O evento foi muito proveitoso, tive a oportunidade de assistir 17 palestras, conversar com peritos e profissionais da área. Foi possível me atualizar com que há de mais moderno no Brasil e no mundo. Algo que notei foi que muitos órgãos de países diferentes, por exemplo PF e FBI, possuem os mesmos desafios e problemas.

Na palestra do Special Agent Gerald Reichard da CyberCrime Division do FBI, uma frase me chamou a atenção:

“O FBI não têm mais tempo para sentar em frente a um computador e caçar hackers”.

Logo pensei: “ué, se nem o FBI faz esse tipo de serviço quem irá fazer então?”.

Então o agente especial já em seguida explicou que para esse tipo de serviço eles têm parceiros que colaboram, profissionais especializados de empresas de antivírus, empresas de segurança, empresas de TI em geral. As empresas de antivírus são grandes parceiras e sempre que encontram algo que pode ser mais grave já reportam a eles, porém, logicamente que eles se envolvem somente com casos grandes, ele mesmo citou um exemplo, um furto de 500,00 dólares de uma conta eles nem perdem tempo em investigar, já o furto de 500,00 dólares em centenas de contas de vários lugares diferentes aí sim eles entram em ação.

Uma outra grande parceira do governo dos EUA, talvez a maior, e que eu nem imaginava que fosse, é a Microsoft, isso mesmo, quem diria a tão criticada Microsoft.

Na palestra sobre CyberDefense de Tim Boechl, manager da Microsoft, ele citou algumas informações intrigantes. Dos 5 maiores clientes da Microsoft, 4 são militares. A empresa possui parceria com dezenas de governos ao redor do mundo, mas principalmente o dos EUA. Ela possui um tipo de parceria que fornece o código-fonte de seus produtos para o governo auditar em busca de algum código que possa ser malicioso para a rede governamental.

Inclusive em um caso exposto pelos agentes do FBI que envolvia envio de cerca de 1,2 bilhão de SPAMs por semana para manipular o mercado de ações, foi a Microsoft que alertou e colaborou diretamente com as investigações para chegar nos criminosos, além de várias outras empresas.

Será que esse tipo de parceria ocorre apenas nos EUA?

Não, ocorre aqui também no Brasil. Perguntei para um perito se a Polícia Federal fazia alguma investigação proativa, ou seja, antes do crime ocorrer. Ele disse que não, só investigam após o crime ter sido cometido, por exemplo, só vão atrás de uma fraude bancária depois que o cara vai lá no caixa eletrônico e retira o dinheiro. Ele até citou que esse patrulhamento proativo (mesmo que cibernético) seria função de forças militares. Ele disse ainda que as vezes quem faz esse tipo de investigação são as empresas de antivírus aqui do Brasil também, e tem também a FEBRABAN, Federação Brasileira de Bancos, que realiza esse tipo de serviço e enviam pra eles.

Resumindo

Ouvi a palavra “PARCERIA” dezenas de vezes, a parceria com empresas de antivírus, de TI, profissionais especializados, é fundamental para que as forças da Lei tanto nacionais quanto internacionais consigam combater esse tipo de crime. Outra coisa que ficou bem clara, essas mesmas forças ainda não possuem estrutura adequada, pessoal e nem tempo para realizar essas investigações cibernéticas antes que o crime ocorra, por exemplo a investigação que fiz no post anterior “Hackeando o Hacker”. Praticamente ninguém faz esse tipo de trabalho, e isso contribui para que esse tipo de crime aumente já que o cerco a eles ainda não é muito fechado.

Fatos sobre o cenário atual dos crimes e da guerra cibernética

Cada vez mais notícias estão surgindo sobre a guerra cibernética. Primeiro foram os chineses espionando os EUA, depois os EUA espionando os chineses. Agora o malware Stuxnet que especialistas dizem ter sido criado por algum governo e que tem como alvo instalações essenciais do Irã. Inúmeros exércitos estão criando unidades de combate cibernéticas, inclusive o brasileiro.

Já é uma realidade a importância que a rede mundial tem em combates entre nações. Na palestra do gerente da Microsoft na ICCyber, ele citou um conflito que a arma principal do exército não foi tanque de guerra, bomba, avião e sim ataques pela Internet para desativar toda a rede do país.

Isso aconteceu no conflito entre a Rússia e a Georgia em 2008. A principal arma da Rússia nesse conflito foi a cibernética, eles praticamente varreram a Georgia da Internet, atacaram e tiraram do ar todos os sites e sistemas governamentais e essenciais para o país. Imagine o impacto disso? Caso o país fique sem sistema de comunicação o caos que poderá ocorrer. Não é mais ficção é realidade, apesar de lembrar o filme Duro de Matar 4.0.

E o nosso papel nisso tudo?

Tive a ideia de escrever esse post após o comentário do colega “Anonimo” no meu post anterior. Uma das coisas que ele disse é que existem poucos whitehats (hackers éticos) que fazem esse trabalho de combate aos crimes cibernéticos. E realmente é verdade, como podemos ver nem mesmo nas forças da Lei existem muitos profissionais que fazem isso.

A carência é enorme e o volume de trabalho é gigantesco. Os blackhats, crackers, criminosos, são sempre muito audaciosos e ousados, estão sempre se achando “os espertos” enganando os usuários com seus phishings e todos os tipos de artimanhas possíveis. E onde estão os profissionais éticos, que com certeza possuem muitos mais conhecimentos do que esses criminosos, para provar o contrário?

As vezes muitos pensam que possuir conhecimentos que possam ser usados para o “lado negro da força” é errado, ou acham que com esse tipo de conhecimento só dá para realizar atos criminosos. Isso é errado. Engenharia reversa pode ser usada tanto para crackear programas como também para dissecar malwares em busca dos autores. Conhecimento em invasão de computadores, sistemas ou sites pode ser usado para entrar em um sistema criminoso e contra-atacar, a PF fez isso na Operação Hércules. Pode também ser utilizado para realizar pen-tests para descobrir possíveis falhas de segurança, os governos fazem bastante isso.

Quando pensei em escrever esse blog meu intuito era de mostrar que esses conhecimentos podem ser usados para o “lado bom da força” e para compartilhar ideias com outras pessoas que possuem os mesmos interesses.

Já que os crackers e defacers formam equipes para cometer crimes, quem sabe um dia não poderíamos criar também uma equipe independente de whitehats para combater esses crimes e até ajudar as forças policiais? Tenho certeza, por experiência própria, que nossa ajuda seria muito bem-vinda por eles.

O que ganharíamos com isso? Aí depende de cada um, da vocação, do prazer em fazer o que gosta, de poder ajudar para um internet mais segura, de ser reconhecido como um profissional especialista nisso, da possibilidade de adquirir conhecimentos novos e até estar se preparando para quem sabe passar no concurso de perito da PF.

Agradeço a paciência de quem leu até aqui, ficam aí minhas ideias para serem analisadas, comentários serão muito bem-vindos. Abaixo locais onde os crimes cibernéticos podem ser denunciados.

Abraços!

Onde denunciar crimes cibernéticos

Polícia Federal

Para denunciar crimes contra os direitos humanos na internet: pornografia infantil, crimes de ódio, genocídio e tráfico de pessoas acesse o site:
http://denuncia.pf.gov.br/

SaferNet

Crimes contra os direitos humanos na internet: pornografia infantil, racismo, apologia e incitação a crimes contra a vida, xenofobia, neo nazismo, maus tratos contra animais, intolerância religiosa, homofobia e tráfico de pessoas:
http://www.safernet.org.br/site/denunciar

Blog do Delegado Emerson Wendt

Especialista em crimes virtuais da Polícia Civil do RS

Crimes variados na Internet como fraudes financeiras, invasões, defaces, etc. Recomendo esses dois posts dele:

Crimes virtuais: como proceder??

http://www.emersonwendt.com.br/2009/12/crimes-virtuais-como-proceder.html

Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

http://www.emersonwendt.com.br/2010/07/lista-dos-estados-com-possuem.html