Como se apanha um hacker?

    hackers, ilustração, Luís Mestre
    Ilustração de Luís Mestre

    Hospitais, clubes de futebol, ministérios, empresas e meros utilizadores. A partir do momento em que ficam online, ninguém está a salvo dos piratas informáticos. O mundo digital é o local perfeito para cometer um crime e provocar um desastre sem ser necessário sair do conforto do sofá. Afinal, como é que se apanha um hacker?

    São mais os casos de criminosos que escapam impunes do que aqueles que são condenados – e há bons motivos para isso acontecer. Mais do que um jogo do gato e do rato, esta é uma partida de xadrez jogada à escala global.

    Dug Song acabou de vender a sua empresa, a Duo Security, à gigante tecnológica Cisco por dois mil milhões de euros. Aos 43 anos, o norte-americano é um dos nomes mais conhecidos no mundo da segurança informática, mas não apenas graças aos seus empreendimentos bem-sucedidos.

    Quando tinha pouco mais de 20 anos já fazia parte do w00w00, um grupo de hackers de elite que ganhou fama internacional. Do grupo também faziam parte mentes brilhantes como Jan Koum, cofundador do WhatsApp, Shawn Fanning, criador do Napster, ou Sean Parker, o primeiro presidente do Facebook.

    Não é à toa que o grupo w00w00 é conhecido como o billion dollar hacker club. “Era um grupo de pessoas que faziam da segurança informática um hobby. Fazíamos muita investigação em segurança, era organizado por um tipo chamado Shok [Matt Conover, fundador da CloudVolumes]. Estávamos um pouco por todo o mundo e a certa altura disseram que éramos o maior grupo de segurança informática. Tínhamos pessoas muito interessantes nos nossos círculos”, explica à DN Insider, entre risos.

    “Uma coisa que tínhamos em comum era um interesse profundo sobre como a tecnologia funciona, porque é isso que os hackers fazem. Eles não invadem apenas por invadir, tentam perceber os produtos de forma mais aprofundada, até mais do que as próprias pessoas que os criaram.”

    Dug Song já atacou e agora tenta reduzir ao máximo o número de ataques que os seus clientes, como o Instagram e o Twitter, sofrem. “É como nos filmes, em que os atacantes vestem um fato de homem do lixo e entram pela porta das traseiras. Na segurança informática é a mesma coisa: os hackers roubam uma password, fazem-se passar por um funcionário e depois têm acesso a tudo. É contra isso que ajudamos a proteger.” Sobre o porquê de ser difícil de apanhar um hacker, Dug Song aponta uma razão: “A identidade na internet é complexa.”

    Leia também | O génio que está a construir um parque de diversões para a inteligência artificial

    Muita da evolução tecnológica registada nos últimos anos teve como principal objetivo trazer maior privacidade e segurança ao mundo online. Basta pensar, por exemplo, que antes das revelações feitas pelo delator Edward Snowden, relativas à ciberespionagem feita pelos EUA, apenas 20% do tráfego web era encriptado – valor que deverá ser de 75% em 2019, segundo dados da empresa NSS Labs.

    “Podes mascarar a identidade e é difícil manteres segura a tua própria identidade. Eu posso transformar-me em ti se tiver a tua password”, lembra Dug Song.

    Já James Trainor fez carreira a apanhar criminosos. Trabalhou 20 anos no Gabinete Federal de Investigação dos EUA (FBI), os últimos três na divisão de cibersegurança, que chefiou até sair em novembro de 2016. Os seus dias começavam às seis da manhã com a leitura de um grosso relatório sobre novos casos, operações e informações de fontes.

    “Havia sempre milhares de investigações a decorrer relativas a ataques informáticos, mas o número de vítimas associadas podia ser bem maior”, conta. James esteve envolvido na investigação do ataque feito alegadamente pela Coreia do Norte contra a Sony e também no ataque contra o Comité Nacional do Partido Democrata que resultou no escândalo dos e-mails de Hillary Clinton, na altura candidata à presidência dos EUA.

    “O FBI tem mais de mil pessoas nos escritórios e no terreno que estão a fazer investigações de cibercrimes. A complexidade dos casos é muito grande, pois são feitos online, existem elementos internacionais, há tecnologia envolvida, pode ser muito complicado”, diz.

    Tal como num jogo de xadrez, o tempo e a paciência são tudo. “A evolução das criptomoedas, a anonimização da presença online, a encriptação, infraestruturas que estão vulneráveis, criminosos a entrar e a sair dessas infraestruturas, é desafiante”, acrescenta.

    Enquanto investigador, o trabalho de James Trainor era encontrar erros que tivessem sido cometidos durante os ataques. “Todos cometem erros e os maus da fita também. Autenticam-se sem ativar as redes privadas (VPN) ou usam contas de e-mail que estão associadas ao seu passado. Esses erros vão acabar por ser encontrados e as pessoas tendem a colaborar em determinado ponto.”

    Leia também | Um dos maiores hackers de videojogos do mundo foi detido

    Uma parte das investigações a casos de crime informático até é bem-sucedida, no sentido em que é possível identificar o culpado. A parte difícil vem a seguir. “Sabemos quem muitos deles são. Não podemos é fazer nada. Não há acordos de extradição”, atira Chester Wisniewski.

    Enquanto investigador principal da empresa de cibersegurança Sophos, uma das maiores do mundo nesta área, são valiosas as informações que lhe passam diante dos olhos. “Existem muitos cibercriminosos que conheço e tenho de decidir se estou disposto a nomeá-los ou não, porque quando os identificas a tendência é receberes ameaças de morte.”

    Quando o cibercrime é cometido nos países que compõem a Five Eyes – uma aliança de partilha de informação composta por EUA, Reino Unido, Canadá, Nova Zelândia e Austrália – ou na Europa Ocidental, “eles vão presos”. “Não há muitos, digamos assim, polícias digitais. Não há muitos investigadores sofisticados de crime, por isso só os casos mais importantes são investigados.”

    A DN Insider questionou a Unidade Nacional de Combate ao Cibercrime e a Criminalidade Tecnológica (UNC3T) da Polícia Judiciária para perceber como são feitas as investigações de cibercrime em Portugal, mas não obteve resposta.

    Chester Wisniewski explicou depois o porquê de muitas vezes as investigações nem avançarem. “Conheço muitos casos em que tivemos razão para acreditar que a pessoa estava na Moldávia ou na Rússia, onde a polícia simplesmente diz ‘não nos vamos preocupar em investigar, não temos extradição, não vamos investir recursos nisso, vamos investir em casos em que podemos prender as pessoas’.”

    Leia também | NFCDrip: Português descobre falha que afeta smartphones, impressoras e milhões de outros equipamento

    A resolução de ataques informáticos, sobretudo os de grande escala, também envolvem quase sempre coordenação internacional entre diferentes organismos, como o FBI, no caso dos EUA, ou a Europol, no caso da Europa.
    Um caso recente em Portugal, que envolveu o grupo José de Mello Saúde, que viu os sistemas informáticos dos seus hospitais afetados pelo ransomware SamSam, é um caso que já chegou ao Centro Europeu de Cibersegurança, pelo perfil internacional da ameaça.

    De acordo com dados da empresa de segurança informática Check Point Software, para os primeiros seis meses do ano, os EUA são o país a partir do qual se registam mais ataques informáticos contra Portugal (36%), seguido dos ataques feitos dentro do próprio país, que representam 27%, e do Reino Unido (8%).

    “Quando um atacante vem de outro país com o qual não tens acordos de jurisdição, como é que tu coordenas para resolveres esse problema?”, questiona Dug Song, da Duo Security. “Leva tempo, mas assim que as pessoas são acusadas nos EUA, essa acusação não desaparece. Podemos não o apanhar neste ano, mas vamos apanhá-lo daqui a três anos. É uma questão de tempo”, diz James Trainor.

    “Computação quântica, 5G e inteligência artificial. A tecnologia vai fazer evoluir os bons e os maus”, afirma James Trainor.

    Há casos em que o crime está deslindado, o seu perpetrador identificado e todos ficam à espera do turismo – sim, do turismo. As autoridades chegam a esperar vários anos para que um cibercriminoso vá de férias para um país onde existem acordos de extradição. Foi o que aconteceu em 2016 com um hacker russo suspeito de estar por trás de um ataque violento contra o LinkedIn, quando estava na República Checa com a namorada.

    “Nas minhas apresentações costumo brincar com um mapa que está colorido nos países que não têm jurisdição de extradição com a Europa ou com os EUA. Se seguirem o meu conselho e decidirem ir para o lado negro, são os locais onde devem passar férias. É por isso que estão a investir tanto dinheiro em Sochi [Rússia]”, disse o perito da Sophos.

    Para Chester Wisniewski, há outro problema que desequilibra a balança na luta contra o cibercrime: as forças de segurança não têm a mesma quantidade e qualidade de dados das grandes tecnológicas. “Os dados estão todos no setor privado e a questão é como partilhamos essa informação, como a disponibilizamos e como é que isso encaixa a nível legal. Não podemos quebrar os acordos de não divulgação com os clientes, não podemos comprometer a privacidade dos utilizadores. Enquanto sociedade, estamos dependentes da boa vontade das empresas.”

    Afinal, que época é esta de perigo constante à distância de alguns cliques e de poder mal distribuído? “Não sei se é uma guerra ou não, mas há muita atividade maliciosa a acontecer e, para usar uma expressão americana, é como o faroeste, não há muitas regras. Talvez este seja o termo certo, o faroeste cibernético.”

     

    São portugueses, hackers de elite e recebem milhares pelas suas descobertas