Ciberterrorismo e Cibercrime: O Brasil está preparado? – Parte 2

Cybercrime

As “botnet’s” estão se tornando uma ferramenta fundamental para o “cibercrime”, em parte porque elas podem ser projetadas para atacar diferentes sistemas de computadores de forma muito eficaz e porque um usuário mal-intencionado, sem possuir fortes habilidades técnicas, pode iniciar estes ataques a partir do ciberespaço, simplesmente alugando serviços de “botnet” em parceria com um “cibercriminoso”, tal como vem ocorrendo na atualidade, principalmente envolvendo a máfia russa.
“Botnet’s” ou “redes bot”, são constituídas por um grande número de computadores infectados com algum tipo de código malicioso, e que podem ser controlados remotamente através de comandos enviados pela Internet. Centenas ou milhares de computadores infectados por estes códigos podem funcionar em conjunto para interromper ou bloquear o tráfego da Internet para as vítimas-alvo, coletar informações, ou para distribuir spam, vírus ou outros códigos maliciosos.
É a personificação mais atual do que poderíamos chamar de “exercito do futuro” para fins maléficos.
“Botnet’s” foram descritos como verdadeiros “canivetes suíços” da economia subterrânea”, pela sua impressionante versátilidade.
Designers “botnet”, ou “botmasters”, segundo apuraram diversas agências de informações em vários países, podem arrecadar grandes somas de dinheiro através da comercialização de seus serviços técnicos.
Apenas para exemplificar, “Jeanson James Ancheta”, um conhecido “hacker” de 21 anos e membro de um grupo chamado “Botmaster Underground”, teria arrecadado mais de US$100.000 dólares de diferentes empresas de publicidade na internet que lhe pagaram para fazer “download” de um  “adware” em mais de 400.000 computadores que tinha sido secretamente infectados.

Jeanson James Ancheta

Ele também arrecadou dezenas de milhares de dólares alugando os 400.000 computadores de sua “botnet” para outras empresas que os utilizaram para enviar “spam”, “vírus” e outros códigos maliciosos pela internet.
“Ancheta” foi capturado pelo F.B.I. e em 2006, foi condenado pela Justiça dos Estados Unidos a cinco anos de prisão.
O Código de uma “botnet” é originalmente distribuído como anexo de um e-mail infectado, mas como os usuários se tornaram mais cautelosos, os criminosos passaram a se valer de outros métodos. Quando os usuários “clicam” para ver uma mensagem de “spam”, o código da infecção da “botnet” pode ser secretamente instalado no computador daquele usuário.
Um site pode ser inconscientemente infectado com um código malicioso na forma de um simples anúncio em um “banner” numa página, ou pode incluir um “link” que direcione o tráfego para um site infectado. Clicando em qualquer um destes “links” pode ser instalado o código de uma “botnet”, ou o código pode ser carregado furtivamente, mesmo se o usuário não executar nenhuma ação durante a visualização do site, apenas através de alguma vulnerabilidade que possa existir no seu navegador.
“Firewalls” e software antivírus não inspecionam necessariamente todos os dados que são transferidos através de navegadores. Alguns códigos maliciosos podem desabilitar o antivírus antes de infectar o computador.
Uma vez que um computador tenha sido infectado, o software malicioso estabelece furtivamente comunicação remota para um “botmaster”, se preparando para receber novos comandos e atacar um alvo específico. Enquanto isso, o código malicioso também pode automaticamente vasculhar o computador infectado em busca de dados pessoais, ou pode registrar as teclas digitadas e transmitir informações de senhas para o “botmaster”.
Importante mencionarmos o trabalho da “Fundação Shadowserver” (http://www.shadowserver.org), que é uma organização não governamental que monitora o número de servidores de comando e controle na Internet mundial, no sentido de auxiliar na indicação do número de “botnetworks” que estão sendo controladas “on-line” em um dado momento.
De Novembro de 2006 a maio de 2007, cerca de 1.400 servidores de comando e controle foram encontrados ativos na Internet. O número de computadores infectados, denominados “zangões”, e que são controladas por esses 1.400 servidores teria crescido cerca de meio milhão de março de 2007 para mais de 3 milhões em maio de 2007.
A “Symantec”, uma empresa de segurança na internet, informou ter detectado 6 milhões de computadores infectados por “bot” no segundo semestre de 2006.
Agências internacionais de informação apuraram que alguns donos de “botnet” conseguiriam alugar suas enormes redes por cerca de US$200 a US$ 300 por hora, o que estão levando as mesmas a se tornarem uma perigosa arma para fraudes e extorsões.
E tem mais: verificou-se uma clara evolução nos métodos empregados na distribuição dos códigos maliciosos de “bot” para tornar ainda mais difícil no futuro para a aplicação da lei, uma vez que seria quase impossível a identificação e a localização do “botmaster”.
Alguns estudos mostram que os autores de software para “botnets” estão usando cada vez mais modernas técnicas para desenvolvimento de software, incluindo a colaboração de vários autores na concepção inicial do fonte, novas versões para corrigir erros no código malicioso, e desenvolvimento de módulos de software que fazem partes do código reutilizável para novas versões de softwares maliciosos projetados para diferentes fins.
Este aumento na colaboração entre os criminosos envolvidos no desenvolvimento dos códigos de “bot”, da mesma forma como é utilizado para criar produtos de software comercial, acabará fazendo com no futuro as “botnet’s” sejam mais robustas e confiáveis, ajudando a aumentar a demanda por serviços de “malware” nos próximos anos.
Tradicionalmente, as “botnet’s” se organizam de forma hierárquica, com um comando central e local de controle (às vezes dinâmico) para o “botmaster”. A localização da central de comando é útil para profissionais de segurança, pois oferece um possível ponto central de contra-ataque para a “botnet”. No entanto, num futuro próximo, os especialistas acreditam que os invasores podem usar novas arquiteturas de “botnet” muito mais sofisticadas e mais difíceis de detectar e rastrear.
E o desenvolvimento não para por ai: há uma tendência no uso de arquitetura “botnet” que utilizaria atura de redes “peer-to-peer”, que, por causa de seu projeto de controle descentralizado, deverá ser mais resistente às estratégias para combater seus efeitos negativos.
Por exemplo, uma “botnet peer to peer” poderia ser quase impossível de ser totalmente desativada, pois poderia proporcionar o anonimato para controlador, que poderia aparecer apenas como outro nó na rede “bot”.
O “cibercrime” é normalmente realizado através de uma conexão à Internet, mas também pode envolver a remoção não autorizada de dados em pequenos dispositivos portáteis de armazenamento.
A vertente do “cibercrime” sob a forma de invasão de rede acaba por envolver pessoas com grande conhecimento técnico, muitas vezes motivados pelo desejo de ganhar popularidade entre seus pares.
No entanto, a tendência atual é a do lucro com estes ataques cibernéticos através do uso de sistemas muito específicos e se valendo da colaboração entre os criminosos com vasto conhecimento técnico.
Os motivos que impulsionam esses grupos criminosos virtuais podem ser diferentes daqueles de seus clientes pagantes, os quais podem possuir pouco ou nenhum conhecimento técnico.
E para piorar o panorama descrito, novas tecnologias continuam a superar as políticas públicas de aplicação da lei.
Problemas de coordenação entre as agências policiais de diferentes países, juntamente com políticas nacionais conflitantes sobre o crime no ciberespaço, acabam por favorecer o trabalho dos criminosos, que podem escolher operar a partir de localizações geográficas onde as sanções para certas formas de criminalidade ainda não existem, exatamente como ocorre em nosso país.
Ferramentas sofisticadas para ataque cibernético já podem ser encontradas para venda ou locação na Internet, onde sites especializados anunciam a venda de uma grande variedade de códigos maliciosos, software para ataques de computadores e serviços técnicos altamente especializados.
Grupos criminosos atuam como verdadeiras empresas, utilizando sofisticadas técnicas para desenvolvimento de software e mantendo seus produtos atualizados com as mais recentes técnicas para manterem-se ocultos de antivírus e programas de firewall, além de procurarem recrutar talentosos estudantes de engenharia de software para atuarem em suas organizações.
Quando os lucros ilícitos são potencialmente muito grandes, os grupos criminosos de alta tecnologia usam técnicas consagradas de negócios em “T.I.” para desenvolverem sistematicamente código de computador mais eficiente e eficaz, a fim de serem utilizados em suas ações criminosas.
Existem estudos no mundo inteiro que dão conta de que o crime organizado está recrutando formandos de faculdade de engenharia e especialistas em computadores, patrocinando-os e incentivando-os a se atualizarem em cursos de sua especialidade técnica. Porém, em alguns casos, os alunos alvo acabam não percebendo que uma organização criminosa está por trás da oferta de recrutamento.
Os ataques “cibernéticos” são cada vez mais projetados para roubar informações de forma silenciosa, sem deixar para trás qualquer dano que poderia ser observado por um usuário. Esse tipo de ataque busca escapar da detecção, a fim de permanecer em sistemas de acolhimento por períodos de tempo mais longo.
E não seria demais lembrar-se que, como dispositivos de comunicação móvel estão sendo incorporados mais na vida cotidiana, eles serão cada vez mais segmentados para ataques promovidos por criminosos virtuais.
Computadores em rede com vulnerabilidades expostas podem ser interrompidos ou ter seu controle tomado por um criminoso, ou por um código malicioso automatizado. “Botnet’s” realizam varreduras na Internet para encontrar e infectar sistemas de computador que estão mal configurados, ou que se ressintam da falta de “patches” de segurança nos sistemas instalados.
Caso típico desta situação foi o vivenciado pela empresa “Telefônica”, no estado de São Paulo, onde os dados dos clientes de sua rede “ADSL” ficaram expostos na internet, após ação criminosa, favorecida pela não aplicação de uma atualização em seu software gerenciador de banco de dados.
Computadores comprometidos são atacados e se tornam escravos em uma “botnet”, a qual pode ser composta de milhares de computadores infectados e que são controlados remotamente para coletar informações confidenciais do computador da vítima, ou atacar coletivamente, como um enxame, outros computadores.
Mesmo computadores que atualizaram seus sistemas com os “patches” de segurança mais recentes, podem ainda ser vulneráveis a um tipo de ataque cibernético conhecido como “zero-day explorer”.
Isto pode ocorrer caso um hacker descubra uma nova vulnerabilidade de software e lance um ataque malicioso para infectar computadores antes do lançamento de um “patch” de segurança por parte do fornecedor do software.
Vulnerabilidades cada vez mais complexas em softwares são regularmente descobertas por “hackers”, sendo que notícias recentes dão conta que relatórios de vulnerabilidades “Zero Day” estão disponíveis em leilões online, onde compradores e vendedores negociam com períodos cronometrados e preços mínimos de lances, permitindo que vulnerabilidades de segurança recém-descobertas sejam rapidamente vendidas pelo maior lance.
Também não poderíamos deixar de lançar um alerta quanto a ameaças internas.
A grande ameaça para as organizações é a facilidade com que os dados podem agora ser copiados e levados para fora, usando uma variedade de dispositivos de armazenamento portáteis, tais como “pen drives”.
E para tornar a questão ainda mais complexa, deve ser mencionado o fato de que aplicativos complexos podem ser executados inteiramente a partir da unidade flash. Isto significa que todo o conteúdo de um PC poderia ser copiado e armazenado em um pequeno e facilmente transportável dispositivo de mídia.
Funcionários com acesso a sistemas que contenham informação sensível podem representar ameaças na forma de códigos maliciosos inseridos no software que está sendo desenvolvido localmente, ou em regime de prestação de serviços “offshore”.
Em janeiro de 2003 nos Estados Unidos, 20 (vinte) trabalhadores terceirizados das forças armadas americanas da empresa “Sikorsky Aircraft Corporation” foram presos por posse de identidade falsa, usada para obter acesso de segurança a instalações contendo tecnologia militar restrita.
Todos os envolvidos se confessaram culpados e foram condenados, com exceção de um indivíduo que foi condenado em julgamento na data de 19 de abril de 2004.
A persistência de vulnerabilidades em softwares e configurações de sistemas de computadores fornece pontos de entrada para um ataque cibernético.
Vulnerabilidades persistem em grande parte como resultado de más práticas de segurança e de procedimentos internos, treinamento inadequado na segurança do computador ou por erros técnicos em produtos de software.
A falta de recursos dedicados para segurança pessoal também pode contribuir para práticas de segurança pobres, sendo certo que usuários domésticos de computador muitas vezes têm pouca ou nenhuma formação em boas práticas para efetivamente protegerem redes domésticas e equipamentos.
Alguns grandes grupos de “cibercriminosos” são transnacionais, com nomes como “Shadowcrew”, “Carderplanet”, “Cult of Dead Cow” e “Darkprofits”.
Integrantes destes grupos afirmam operar a partir de locais no mundo todo, trabalhando em conjunto para invadir sistemas, roubar informações de cartões de crédito e vender identidades, em uma rede altamente estruturada e organizada.
O crime organizado também está recrutando adolescentes, e há indicativos de que estes se sentem mais seguros em participar de suas atividades do que por estarem na rua.
No futuro, poderemos ver novos e diferentes métodos de atuação das organizações criminosas, evoluindo a cada dia no “ciberespaço”.
O “ciberespaço” libera os indivíduos de muitas das restrições que se aplicam a atividades no mundo físico, pois o mesmo requer menos contato pessoal, menos necessidade de organização formal, e não há necessidade de controle sobre um território geográfico.
Portanto, alguns pesquisadores argumentam que a estrutura clássica hierárquica de grupos do crime organizado pode não ser adequada para o crime organizado na Internet, o que acarreta, por conseguinte, que a atividade criminosa neste segmento pode enfatizar as relações laterais e em redes, em vez de hierarquias.
Em vez de assumirem configurações estáveis de pessoal que podem persistir por anos, as organizações criminosas em linha podem incorporar o chamado “modelo enxame”, no qual os indivíduos se aglutinam por um período limitado de tempo a fim de realizar uma tarefa específica, ou um conjunto de tarefas, tomando depois caminhos separados.
A conseqüência é que aplicação da lei poderia se tornar muito mais difícil num modelo como o que foi descrito.
Se os “cibercriminosos” evoluírem para a “máfia do momento” ou o “cartel do dia”, a polícia vai perder a vantagem de identificar um grupo permanente de participantes que se envolvem em um conjunto de rotinas de atividades ilícitas, e isso só vai contribuir para o futuro sucesso da criminalidade organizada.

Deixe uma resposta