Por Rodrigo Fragola, presidente da Aker
Já há algum tempo, os especialistas em segurança digital e a mídia dedicada ao assunto tinham reportando uma impressionante evolução da competência tecnológica do crime digital, que age tanto de forma global como localizada.
Este segmento ilícito já emprega tecnologias novíssimas e complexas, como a engenharia social aplicada às redes sociais (utilizando semântica, gramática e análise de vínculos) e o uso de "clusterização" de milhares de máquinas escravas para o processamento colaborativo de grandes massas de dados. E estes são apenas alguns dos exemplos de um patamar de excelência que a maior parte das empresas – e mesmo governos nacionais – ainda está longe de dominar e que já integram o arsenal do crime cibernético.
Mas a novidade mais surpreendente que começa a ser revelada é a sofisticada visão gerencial dos grupos criminosos, envolvendo a aplicação de técnicas e conceitos ainda fora do alcance da maioria das empresas. Inclui-se aí desde o outsourcing de serviços para ataques em massa, através do qual a alta bandidagem arregimenta mão de obra altamente especializada no submundo da web para a produção de ferramentas de ataque.
Mas a lista vai muito além, abrangendo, por exemplo, a adoção de ferramentas de BPM (Business Process Management) para a gestão dos ataques e monitoramento de sua produtividade; e o emprego de modelos de aquisição de malwares no modelo "software as a service". Neste último exemplo específico, recentemente, especialistas norte-americanos da empresa Loockout descobriram uma central de crime da Rússia que tem por prática "alugar" componentes de malware para que outros criminosos possam produzir artefatos digitais voltados para múltiplas funções, como a violação de dados, sequestro de informações, desvio de "Bitcoins", roubo de senhas, invasões a tesouros de dados ou controle remoto de smartphones de milhares de usuários para a prática de outros e outros crimes.
Nesse modelo "malware as a service" descrito pela Loockout, os contratos de parceria para o crime acontecem em sombrios canais clandestinos da Internet. Não obstante, sua pescaria de "incautos" ocorre exatamente na via pública da World Wide Web onde, nós cidadãos honrados, estabelecemos nossos relacionamentos e nossas transações de negócios.
Além disso, os novos bandidos virtuais não localizam seus comparsas de maneira aberta, ainda que nessas zonas escuras. Eles constituem listas top secret de conhecimento exclusivo dos próprios grupos criminosos, que trocam "figurinhas" entre si. E é nessas listas fechadas que eles compõem seu metier e realizam seus consórcios. Uma vez apto para o ataque, através de códigos de terceiros, acessados em nuvem, o atacante 'cliente' entrega parte de suas vítimas para o fornecedor da "solução" e assim está caracterizada uma sofisticada confraria.
Se rastrear e identificar um atacante individual, ou desbaratar um grupo específico especializado na produção de códigos maliciosos, já era uma tarefa hercúlea para as autoridades e empresas, imagine a situação atual, em que o originador do crime se vale de formas indiretas e de tão difícil mapeamento.
A tudo isto se acrescenta o reluzente mercado de armas cibernéticas, de toda espécie, a partir das quais se pode atacar tanto uma usina hidrelétrica quanto uma rede de farmácia, um usuário de cartão ou uma transportadora de valores.
Com o dispêndio de alguns dólares, é possível a qualquer aventureiro adquirir malwares para roubo de informações de cartão de crédito e, em seguida, comercializar estas informações no submundo para outros marginais cibernéticos ou, simplesmente, atacar as vítimas e obter dividendos diretos. A diversificação dos negócios e a definição de "nichos" de preferência dos agentes é outro sinal preocupante do amadurecimento do crime, por tornar ainda mais difícil e complicado o rastreamento e o desmantelamento desses grupos.
Constata-se, em outras palavras, que certas práticas organizacionais, ainda em fase de consolidação em grande parte das empresas, encontram-se hoje num estágio próximo à banalização nas comunidades do crime cibernético.
A situação é, portanto, de ameaça constante para todo o sistema cibernético global, mas é especialmente dramática para a pequena e média empresa, cuja capacidade financeira e cultura organizacional estão inegavelmente aquém desse poder de ataque, aqui descrito apenas em alguns de seus aspectos.
E enquanto as grandes empresas e governos se protegem, na base de investimentos cada vez mais expressivos, em ferramentas, pessoas e consultorias; estas partes mais vulneráveis do elo de conexão da Internet acabam contaminando toda a cadeia de produção por encontrarem-se umbilicalmente ligadas às maiores redes globais de negócio. Isto porque, como sabemos, a economia atual, como um todo, processa-se, essencialmente através de meios eletrônicos.
É assim que a barraca de feira, por exemplo, ou a academia de ginástica (com seus baixos níveis de criticidade informacional ou financeira) acaba por transmitir altas doses de insegurança às redes internacionais de pagamento por cartão, anulando assim o efeito prático de milhões e milhões de dólares empregados em segurança.
Perfeitamente cientes desses fatos, a indústria de pagamentos e o setor de segurança, bem como as grandes corporações e governos, desenvolvem constantemente mecanismos e processos para a disseminação das práticas seguras, e tentam levá-las rigorosamente a todos os pontos da cadeia. Aí estão no mercado normalizações como o PCI-DSS, que busca equacionar a questão da segurança no núcleo e nas pontas do processo, e uma infinidade de normas como a ISO 27000 e suas variantes.
São inúmeras e bem estruturadas iniciativas técnicas, com grande efetividade estratégica, ao menos do ponto de vista teórico. Mas concretizá-las, de fato, requer uma democratização mais profunda do acesso à tecnologia e – principalmente – a ferramentas gerenciais do dia a dia que, vamos admitir, ainda não estão ao alcance da grande massa dos agentes econômicos.
A boa notícia, contudo, é que os novos modelos de entrega de aplicações e serviços de segurança na nuvem começam a criar escala para que os provedores mais bem estruturados possam lastrear soluções compatíveis com a realidade das empresas como um todo.
Esta nova classe de provedores, inicialmente planejada para atender a elite dos mercados, e com todo o preparo necessário para a permanente evolução e atualização frente aos avanços do padrão do crime, serão em breve reconhecidos como um importante fator de amadurecimento da segurança global da Internet.
Esse desenvolvimento combinado poderá representar um importante ganho estratégico, até mesmo na perspectiva da defesa nacional. Algo bastante positivo nesse momento é que os órgãos voltados para a segurança e soberania estão mobilizados justamente para criar uma base nacional (brasileira) de conhecimentos e dispositivos que nos permitam fazer frente à fragilidade cibernética também no seu aspecto macropolítico.
É através deste modelo que o conjunto das empresas, no Brasil, poderá dar um salto expressivo de prevenção, proteção e documentação dos incidentes de rede, permitindo também um maior compartilhamento de alertas, experiências e descobertas entre os mais diversos agentes públicos e privados em função da segurança da rede.
Cabe ao governo brasileiro encarar com a máxima atenção o caráter estratégico desse segmento emergente. Seja promovendo políticas de fomento à sua evolução tecnológica, seja colaborando ele mesmo (o setor público) com o aprimoramento das competências que são articuladas em sua cadeia de produção.