O duro ofício com segurança cibernética

Ameaças veladas ou explícitas. Invasão de escritórios e da própria casa. Explosões. Como Estados e criminosos tentam deter quem os rastreia

Por Andrada Fiscutean, na Vice

A Kaspersky, da Romênia, identificou o vírus Stuxnet, produzido por EUA e Israel para sabotar programa nuclear iraniano. Pesquisadores da empresa foram "aconselhados" a "dar um tempo"

A Kaspersky, da Romênia, identificou o vírus Stuxnet, produzido por EUA e Israel para sabotar programa nuclear iraniano. Pesquisadores da empresa foram “aconselhados” a “dar um tempo”

.

Ameaças veladas ou explícitas. Invasão de escritórios e da própria casa. Explosões. Como Estados e criminosos tentam deter quem rastreia seus atos de vigilância e sabotagem

Por Andrada Fiscuten, na Vice

O pesquisador em segurança cibernética Peter Kruse, fundador do CSIS Security Group na Dinamarca, pensou que sua mãe estava lhe ligando. O número dela apareceu em seu celular e, quando ele atendeu, não era ela. Em seu lugar, uma voz masculina lhe ordenava que parasse sua atuação como especialista em computadores.

“Verificaram quem são meus parentes”, disse, referindo-se aos anônimos que lhe perturbavam. “Fizeram a tarefa de casa.”

O pesquisador de segurança Costin Raiu, do Kaspersky Lab da Romênia, tem história semelhante para contar. Enquanto analisava o Stuxnet, vírus criado por gente dos EUA e Israel, considerado a primeira arma cibernética, alguém invadiu sua casa.

O intruso deixou para trás um cubo de decisões – um dado de borracha com dizeres como “sim”, “não”, “talvez” – na mesa de sua sala de estar com a mensagem “tire uma folga” virada para cima.

Tais casos de ameaças são comuns na comunidade dos pesquisadores em segurança cibernética de alto nível, mas poucos estão dispostos a compartilhá-los.

“Se você está envolvido na caça à ciber-criminosos, em pesquisa, tem que tomar cuidado onde anda, com sua família, quem está ao seu redor”, afirmou Righard Zwienenberg, especialista em segurança da ESET. “As pessoas que trabalham na área assumem esse risco conscientemente.”

Inimigos por todos os lados

Embora esse estilo de vida fora dos holofotes pode ser atraente para alguns, a maioria dos pesquisadores é composta por geeks. A informática ensinada no ensino médio e nas universidades não os preparou para situações que podem muito bem ser descritas como jogos de espionagem.

Descobrir quem está por trás das ameaças é quase impossível, já que evidências são escassas. Muito dos incidentes nem são relatados. “Ninguém acredita quando você vai à delegacia e diz que um cubo de borracha apareceu na sua casa”, afirmou Raiu.

Em alguns casos, pesquisadores afirmam suspeitar de agências de inteligência que podem proteger interesses de estado. No caso do Stuxnet, o fato de que ele havia sido desenvolvido por EUA e Israel se manteve em segredo por dois anos após sua descoberta. Em outras ocasiões, cibercriminosos podem ter se envolvido na busca das informações obtidas pelos pesquisadores – ou em atos para silenciá-los.

Os ataques também podem ter ocorrido “pela zoeira” já que crackers — especialistas em sistemas que procuram quebrar códigos para obter vantagens impondo danos a terceiros — muitas vezes querem apenas se desafiar ou se divertir.

As ameaças podem incluir “pressão sutil, evocação patriótica, suborno, chantagem e extorsão, repercussões legais, ameaça aos meios de vida, ameaça à viabilidade de vida na área de influência da vítima, coerção ou ameaça de eliminação”, dependendo de quem atacar, escreveu o especialista em segurança cibernética Juan Andres Guerrero-Saade em um artigo apresentado esse ano na Virus Bulletin Conference de Praga, na República Tcheca.

As ameaças mais assustadoras podem vir de governos, afirmou.

“O pesquisador enquanto indivíduo lida com desafios únicos na mira dos estados-nações”, escreveu. “O operador de uma campanha de espionagem não é um criminoso comum ou um simples cidadão e seus recursos são muito vastos.”

Até mesmo “ameaças vagas têm seu peso”, nota.

Tire uma folga”

Para escrever esse texto conversamos com 18 pesquisadores; a maioria negou-se a ter a identidade revelada.

Tais ameaças são reais, afirmaram, e não delírios paranoicos inspirados por seu trabalho – por mais que admitam que viver com medo pode mudar sua percepção de mundo.

“Cheguei em casa às 19h. Vi o dado na mesa com o lado ‘tire uma folga’ virado para cima”, disse Costin Raiu. “Tínhamos um desses no Kaspersky Lab em Bucareste. Ele sumiu de lá e depois apareceu na minha casa.”

Costin diz ainda não lembrar de ter levado o dado para casa e mesmo de ter tomado café da manhã naquela mesma mesa mais cedo, tendo a deixado limpa antes de sair para o trabalho. Era 29 de novembro de 2010.

Ele liga o ocorrido a uma estranha sensação no dia 30 de setembro do mesmo ano, durante a Virus Bulletin Conference em Vancouver, no Canadá, em que palestrou sobre o Stuxnet, substituindo seu colega Alexander Gostev, que não conseguiu o visto canadense.

“Naquela conferência, tivemos três participantes de última hora. Eles pagaram em dinheiro, uma quantia de milhares de dólares. Os três declaram, em formulário, serem da GOI”, disse.

Raiu comentou não saber o que significa GOI. Ele disse, porém, que a julgar por sua aparência, pareciam vir de algum país do Oriente Médio. Sua apresentação foi a única que os três assistiram.

Após o ocorrido com o dado de borracha, Costin Raiu afastou-se do estudo do Stuxnet. “Durante um tempo, minha vida virou do avesso”, revelou. “Entendi que era sério. Que minha pesquisa incomodava pessoas poderosas.”

Um ano e meio depois, ele reconsiderou sua posição. Sua equipe estava envolvida na análise do Flame, uma arma cibernética de tipo semelhante ao do Stuxnet, também focada em atacar países do Oriente Médio, sobretudo o Irã. Este sofisticado malware, mais uma vez, havia supostamente sido desenvolvido em uma parceria EUA/Israel, de acordo com o Washington Post.

“Deixar-se intimidar é um erro”, afirmou Raiu. “O que fazemos é importante.”

Telefonemas intimidadores

Peter Kruse relatou o ocorrido à polícia logo quando aconteceu. O pesquisador dinamarquês explicou ter recebido ameaças telefônicas e o responsável parecia ligar do telefone de sua mãe.

“A polícia me falou que a ligação foi feita de algum lugar no Reino Unido. Nunca mais entraram em contato comigo”, disse. Ele continua sem saber quem o ameaçou.

Peter crê que a ameaça estava relacionada ao seu trabalho com o trojan Multibanker/Patcher, que atacava bancos na rede. O malware coletava dados de modo silencioso a partir de milhares de computadores infectados, muitos deles na Dinamarca. Os crackers por trás do vírus, diz, não gostaram de tê-lo fuçando por ali.

Essa não foi a única situação em que Peter se viu ameaçado. “Já fui ameaçado na internet várias vezes, por email”, disse. Em determinado momento, os malfeitores até usaram seu nome para espalhar malware por aí. “Enviaram e-mails em meu nome com um arquivo anexado”.

É impossível ficar 100% seguro, não importa quem você seja, disse.

Bombas

Por vezes, a fonte dos ataques é mais fácil de identificar. A empresa de segurança russa Dr. Web, cujos produtos são utilizados por bancos, empresas de telecom e petroleiras, foi atacada com coquetéis molotov após seus pesquisadores revelarem que uma gangue havia criado e vendido um trojan capaz de roubar dinheiro de caixas eletrônicos.

A Dr. Web recebeu uma ameaça por email dizendo que a empresa tinha uma semana para remover quaisquer referências ao grupo postadas na rede. “Do contrário interromperemos saques e enviaremos criminosos atrás da cabeça de seus programadores”, dizia o texto. “O fim da Doctor Web será trágico.”

O CEO da empresa, Boris Sharov, decidiu não atender às exigências.

Em março de 2014, uma empresa russa em São Petersburgo que distribuía o software ATM Shield da Dr. Web foi atacada três vezes com coquetéis molotov. Também ocorreram duas invasões ao escritório da Dr. Web em Moscou.

A empresa acredita que os ataques com molotovs foram executados por terceiros pagos via internet por um grupo de desenvolvedores que venderam softwares à diversas gangues especializadas em crackeamento de caixas eletrônicos. Um banco em Moscou confirmou que a equipe operava de Kiev, na Ucrânia, de acordo com informações do CEO Boris Sharov ao jornalista Brian Krebs.

Swatting

Krebs, o jornalista com quem Sharov falou, também têm seus próprios casos de ataques ligados à pesquisa em segurança cibernética.

Em 2013, a polícia recebeu uma falsa ligação de emergência de sua casa, uma prática conhecida como “swatting” – quando se comunica uma emergência de mentirinha a fim de levar uma equipe da SWAT à casa da vítima.

“Quem ligou afirmou ser eu, relatando que russos haviam entrado em minha casa e atirado em minha esposa”, escreveu Krebs em seu blog.

Ele fez muitos inimigos no decorrer de suas matérias ao expor crackers. O jornalista, inclusive, alertou a polícia local com seis meses de antecedência. Afirmou a eles que poderia haver um swatting. Mas, ainda assim, consideraram a ligação séria. Agentes foram à casa de Krebs, com espingardas e rifles de assalto apontados para ele. Algemaram-o e, depois, o libertaram e pediram desculpas.

O incidente foi acompanhado ainda por um ataque DDoS em seu blog.

No verão de 2013, Krebs recebeu um pacote de heroína do “administrador de um fórum cibernético criminoso exclusivo” que queria armar para ele. O jornalista viu o golpe sendo tramado em um fórum em tempo real e ligou para a polícia antes que a entrega fosse feita. O cracker responsável agora responde às acusações.

Krebs também relatou que crackers abriram novas linhas de crédito em seu nome, E pagaram suas contas com cartões roubados usando seu nome e aparência na rede.

Paranoia necessária

Como tantos grupos querem acessar suas descobertas, os especialistas em segurança cibernética tem que deixar seguros seus notebooks, telefones e conversas.

“Pesquisadores de segurança são paranoicos por natureza. Toda minha comunicação é criptografada”, afirmou Kruse.

Os pesquisadores vão além quando participam de conferências de segurança cibernética, por exemplo. Sempre que deixam um notebook no quarto do hotel, ele fica fechado e com alguns cabos espalhados em cima; então, tira-se uma foto. “Se alguém abrir o notebook, é impossível arrumar os cabos da mesma forma novamente”, afirmou Raiu.

Em determinada conferência, Raiu disse ter deixado seu notebook no quarto quando foi pegar um café. Ao voltar, percebeu que alguém mais havia estado ali: o intruso nem fechou o notebook.

Dois especialistas que preferiram não revelar suas identidades confessaram trocar mensagens em meio aos códigos postados online. Eles usam a internet para compartilharem informações e evitam a infraestrutura GSM celular. Alguns até mesmo ficam em células Faraday, que bloqueiam campos elétricos e sinais de rádio, para não serem vigiados em conversas cara a cara.

Os pesquisadores de segurança cibernética sabem como se defender no mundo digital. O que lhes tira o sono são suas vidas reais e a de seus familiares.

“Quem estiver de olho em mim saberá que sou vulnerável no mundo real”, afirmou Kruse.

Isso significa que eles precisam se adequar a uma vida estilo James Bond.

“Não acho que há nada que possa ser feito para proteger quem trabalha nesta área”, disse Raiu.

Leia Também:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *