MENU

Escrito por • 21/09/2010

breve, aqui, hackers europeus

será que a gente deveria estar morrendo de medo deles,… ou não?

o FBI está alertando as autoridades locais que hackers do leste europeu podem estar tomando ciência de que o brasil passou a ser economicamente interessante –isso internacionalmente- do ponto de vista do crime virtual.

a oportunidade de negócios é óbvia, se você procurar e entender os sinais: a economia brasileira passa dos R$3 trilhões este ano, perto de 100% das empresas tem algum tipo de presença na rede, há um plano de banda larga que deve triplicar, na década, o número de casas na internet… e por aí vai.

por outro lado, o desempenho do governo em segurança da informação deixa muito a desejar, como mostra esta reportagem do convergência digital:

…Para o TCU, o problema é mais grave ainda, porque se constatou que de 2007 a 2010, a falta de uma política de Segurança da Informação não decorreu apenas da ausência de soluções técnicas desenvolvidas para a proteção dos sistemas que rodam na Administração Pública Federal.

A maior falha estaria na incompetência dos órgãos federais e empresas estatais de avaliarem quais os principais riscos a que as suas informações críticas estariam sujeitas e que tipo de tratamento deveriam ter dado para garantir a proteção desses dados…

quer dizer que, breve, haverá hackers de todos os tipos, inclusive aqueles do leste europeu, tomando conta dos sistemas de informação públicos?

não se sabe. tomara que o setor público se resolva. por outro lado, o setor privado não está imune ao problema. em 2009, o uso dos bancos pela internet cresceu 17.7% e já representa 20% do total de transações, perto de 9,33 bilhões de interações. pra ver onde isso vai dar, pense que, na década e se o PNBL der certo, haverá três vezes mais casas em rede. quem vai querer ir pra fila do banco?

o gráfico abaixo mostra que há entre 35 e 48 milhões de contas bancárias “na internet”, dependendo da estimativa em que você acredita. e o presidente do banco central acha que não haverá mais agências bancárias [físicas] em 2020. olhe que só são 10 anos daqui pra lá…

image

com tanta gente nos bancos pela web, as instituições do sistema financeiro investem dinheiro grande para melhorar sua [e esperamos, nossa] segurança de informação. a conta ronda os R$2B por ano, mas mesmo assim as fraudes online contra o sistema estão chegando a R$1B por ano. a conta é de mais ou menos um milhão de fraudes que causam prejuízo médio de mil reais cada, tudo em números redondos de marcelo câmara, diretor de prevenção a fraudes da federação brasileira de bancos [febraban].

podemos até acreditar nestes números mas… perguntei a opinião de várias pessoas do meio de segurança de informação e eles acham que o valor real [minha média das respostas] é tres vezes maior, pelo menos.

mas isso é só parte do problema. pegue brasília, por exemplo: lá, uma média de 19 pessoas é lesada na rede por dia, 5.600 pessoas de janeiro a agosto deste ano, 26% a mais do que no mesmo período do ano passado. os dados se referem a crimes virtuais de todos os tipos, de contas bancárias invadidas até quem aproveitou a “oferta do século” na rede e era só mais um golpe.

agora acompanhe esta aplicação da lei dos grandes números: considere brasília, uma das cidades mais ricas e conectadas do país, como se fosse o brasil do fim da década, depois do PNBL dar certo. arredonde a população da capital federal para dois milhões, a do brasil para duzentos, ajuste aqui e ali, assuma que o DF vai ter mais de dez mil e-lesados este ano e, dobrando a cada tres anos, uns cem mil no fim da década. se [grande se…] todas os outros fatores se mantiverem constantes [e desconsiderando a hipótese de uma explosão exponencial do crime virtual], podemos vir a ter dez milhões de brasileiros afetados por crimes virtuais em 2020. cinco por cento da população.

este número me parece em linha com a previsão do presidente do BC de que não teremos mais agências bancárias e que tudo será online ou diretamente realizado pelos correntistas.

ah, sim: dez milhões de roubados e média de mil reais por roubo, hoje, [mais a inflação e aumento da produtividade do crime virtual, na década] deve levar a algo perto de R$20B levados pelo crime virtual, no país, daqui a uma década. isso se mantidas todas as coisas nos patamares atuais, sem os tais hackers do leste europeu. se o PIB, em 2020, chegar a R$4T, estamos falando de 0,5% do PIB nas mãos do crime virtual.

 |  | United Statesn | Braziln(log scale)n(from 1961 to 2010) | (in billions of US dollars per year) |

mas… isso faz sentido no contexto global? o internet crime complaint center [IC3] reporta que o crime virtual levou a uma perda de mais ou menos R$1B nos EUA em 2009, 100% maior que em 2008. considerando que o PIB americano é mais de oito vezes maior que o nosso, o IC3 diz que as perdas totais deles [em números absolutos] são mais ou menos iguais às declaradas pelo nosso setor bancário online. sei não, parece ter muita coisa passando pela peneira do FBI ou então o brasil, inteiro, é uma peneira. e a gente nem precisa dos hackers do leste europeu.

mas veja isso: uma única operação suspeita do tal “leste europeu”, a IMU [innovative marketing ukraine] foi fechada por pressão do governo americano em 2009, e fontes bem informadas estimam que ela faturava US$180M por ano, transformando “máquinas invadidas em dinheiro” via scareware, como aquele software cujo anúncio você clicou… que ia testar seu PC e instalar um antivírus, mas que na verdade contaminava sua máquina.

em parte do leste europeu hacking é big business, organizado, e atrai muitos dos melhores programadores e engenheiros de software da região, que os tem aos montes.

sim… você já leu até aqui e está querendo saber: afinal!… os caras vão vir tentar pegar meu PC ou não? ninguém sabe, nem o FBI, nem a PF. mas leve em conta que o comitê de segurança do CGI.br registrou 359.000 incidentes de segurança em 2009.

como é que você se torna, do lado que perde, um incidente de segurança? olha isso: alguém compra uma lista “comprovada” de 150.000 endereços de emeio só da cidade de belo horizonte [por R$40] e manda um scam pra este povo. em quatro horas [eu disse quatro horas] tres mil inocentes clicam num link malicioso contido no emeio e suas máquinas, dominadas, passam a fazer parte de um botnet, uma rede de máquinas “do mal”. clique na figura e veja como o processo se desenrola.

Botnet.svg

sim, e aí? aí que o software instalado na sua máquina pode estar sendo usado para capturar informação sobre suas próprias ações [muitas contas e senhas em bancos e jogos são roubadas assim], ou para roubar senhas de jogos em servidores comunitários e negociar, depois armas virtuais e coisas do tipo. uma das funções dos botnets é fraudar anunciantes online [como se pode ver neste link]. o mercado americano de anúncios na web foi de US$14.2B em 2009 e a taxa de fraude esteve perto de 19%. parece que precisamos corrigir os números do FBI.

veja o mapa abaixo [clique para ver os detalhes] e note que o nível de ameça no e representado pelo brasil já é comparável aos níveis do leste europeu… talvez só nos falte veia empreendedora, investimento e uma dose extra de inovação para competir internacionalmente neste domínio…

Heat Map

as “oportunidades” e possibilidades são tantas que gastaria todo o tempo e tinta do blog para descrever uma pequena parte deste “mercado”. só pra você imaginar e ir dormir preocupado… sabia que há quem viva [e bem] do “aluguel” de botnets?… ninguém fala nomes, claro, mas nem todo mundo reside em borsod-abaúj-zemplén ou kohtla-järve. lembra seu sobrinho nerd que passa o tempo todo na net?…

 

PS: tá sabendo do que estão chamando por aí do "bug do twitter", de hoje? não é um "bug". tal como acabamos de falar aqui, twitter foi invadido e alguém trocou o código da página principal, levando qualquer usuário legítimo que entrou no sistema a enviar [automaticamente] tweets, completamente fora de seu controle. simples assim. da mesma forma, o "novo software" que foi instalado por invasores na página do twitter poderia ter ficado esperando por suas contas e senhas e, de posse delas, tê-las enviado aos "interessados"…

Artigos relacionados

0 Responses to breve, aqui, hackers europeus

  1. Zé Antonio disse:

    Uma pergunta, Silvio;

    Essa questão passa muito pelo campo da educação virtual, não é? Só em não sair clicando em qualquer link que lhe aparece, diminui bastante a chance de você ser infectado. Certo?

  2. Zé Antonio disse:

    Uma pergunta, Silvio;

    Essa questão passa muito pelo campo da educação virtual, não é? Só em não sair clicando em qualquer link que lhe aparece, diminui bastante a chance de você ser infectado. Certo?

  3. Renato disse:

    Um comentário, Sílvio.

    No caso da invasão do twitter de hoje, é algo muito simples que ocorreu, devido a uma falha gravíssima de segurança em relação aos encurtadores de links: O que ocorreu é que algum usuário descobriu que dava pra colocar como link um código em javascript (uma linguagem de programação que é executada no navegador do usuário). Com isso foi possível criar um script que simplesmente ao passar o mouse por cima do link encurtado ele executava o código referente a retuitar uma mensagem, retuitando o próprio exploit.

    Depois esse script se evoluiu e usou uma classe do CSS da página do twitter que se comporta como um painel que fica sobre o site inteiro, e ao passar o mouse em cima deste painel era o suficiente para enviar a mensagem indesejada. Acho difícil esse caso em particular se desenvolver até conseguir a senha do usuário. Mas de fato foi um erro primário da equipe do twitter não bloquear esse tipo de comportamento em seu encurtador de links http://t.co, ou até mesmo no twitter como um todo, pra não sofrer do mesmo mal por outros encurtadores.

  4. Renato disse:

    Um comentário, Sílvio.

    No caso da invasão do twitter de hoje, é algo muito simples que ocorreu, devido a uma falha gravíssima de segurança em relação aos encurtadores de links: O que ocorreu é que algum usuário descobriu que dava pra colocar como link um código em javascript (uma linguagem de programação que é executada no navegador do usuário). Com isso foi possível criar um script que simplesmente ao passar o mouse por cima do link encurtado ele executava o código referente a retuitar uma mensagem, retuitando o próprio exploit.

    Depois esse script se evoluiu e usou uma classe do CSS da página do twitter que se comporta como um painel que fica sobre o site inteiro, e ao passar o mouse em cima deste painel era o suficiente para enviar a mensagem indesejada. Acho difícil esse caso em particular se desenvolver até conseguir a senha do usuário. Mas de fato foi um erro primário da equipe do twitter não bloquear esse tipo de comportamento em seu encurtador de links http://t.co, ou até mesmo no twitter como um todo, pra não sofrer do mesmo mal por outros encurtadores.

  5. antônio neto disse:

    as possibilidades do mundo virtual são muitas… para todos os gostos.

    quando leio notícias sobre as vulnerabilidades [ameças e riscos], todos os tipos, reais ou virtuais, penso – não sei se existo!-, no quão não-informados somos, e que tipo e qual a quantidade de informação que o governo esconde de nós.

    seria algo semelhante aos filmes de hollywood, aqueles sobre epidemias, catástrofes do espaço e jogos de poder, vistos em ebola, inimigo do estado, identidade bourne e afins…?

    até que ponto é positivo sonegar [ser econômico com] as informações? talvez a linha seja tênue demais. que aconteceria se a população soubesse dos números e vulnerabilidades, ameças e riscos, pensando só nos bancos com serviços da internet? tudo viraria pó? nova quebra da bolsa?

    a impressão que tenho é que, quando um incidente desse tipo acontece, o banco tenta resolver internamente, não querendo que o cliente exponha a situação além das suas fronteiras, pois imagem é tudo, ou quase tudo.

  6. antônio neto disse:

    as possibilidades do mundo virtual são muitas… para todos os gostos.

    quando leio notícias sobre as vulnerabilidades [ameças e riscos], todos os tipos, reais ou virtuais, penso – não sei se existo!-, no quão não-informados somos, e que tipo e qual a quantidade de informação que o governo esconde de nós.

    seria algo semelhante aos filmes de hollywood, aqueles sobre epidemias, catástrofes do espaço e jogos de poder, vistos em ebola, inimigo do estado, identidade bourne e afins…?

    até que ponto é positivo sonegar [ser econômico com] as informações? talvez a linha seja tênue demais. que aconteceria se a população soubesse dos números e vulnerabilidades, ameças e riscos, pensando só nos bancos com serviços da internet? tudo viraria pó? nova quebra da bolsa?

    a impressão que tenho é que, quando um incidente desse tipo acontece, o banco tenta resolver internamente, não querendo que o cliente exponha a situação além das suas fronteiras, pois imagem é tudo, ou quase tudo.

  7. Leandro Carlos Esteves disse:

    Caro Silvio
    Sou repórter da Revista Febraban e gostaria de entrevistá-lo. Você poderia me indicar um email?
    abraços e obrigado

  8. Leandro Carlos Esteves disse:

    Caro Silvio
    Sou repórter da Revista Febraban e gostaria de entrevistá-lo. Você poderia me indicar um email?
    abraços e obrigado

  9. Romano disse:

    O Brasil já é o mais visado pelos “hackers”, como por exemplo na matéria abaixo:

    “Brazilian ‘Banker’ caught Red-handed”
    http://blogs.technet.com/b/mmpc/archive/2010/09/21/brazilian-banker-caught-red-handed.aspx

  10. Romano disse:

    O Brasil já é o mais visado pelos “hackers”, como por exemplo na matéria abaixo:

    “Brazilian ‘Banker’ caught Red-handed”
    http://blogs.technet.com/b/mmpc/archive/2010/09/21/brazilian-banker-caught-red-handed.aspx

  11. Paulo Alexandre disse:

    Sou aluno do IST paracambi – Rio e gostei muito da video conferência que assisti. Percebi que alguns assuntos citados lá o Sr. citou em seu Blog.
    Lendo percebi um detalhe sobre esse assunto.
    Hacker pelo que sei são Profissionais que atuam para garantir a segurança. Tentam quebrar a segurança para melhor e aplicam mudanças.
    Pelo que sei tipos de criminosos da web são crackers.
    Mesmo diante da possível falta de proteção da web, sou a favor da tecnologia, da mudança. Video conferência, cartão, informações somente e tudo mais. Obrigado

  12. Paulo Alexandre disse:

    Sou aluno do IST paracambi – Rio e gostei muito da video conferência que assisti. Percebi que alguns assuntos citados lá o Sr. citou em seu Blog.
    Lendo percebi um detalhe sobre esse assunto.
    Hacker pelo que sei são Profissionais que atuam para garantir a segurança. Tentam quebrar a segurança para melhor e aplicam mudanças.
    Pelo que sei tipos de criminosos da web são crackers.
    Mesmo diante da possível falta de proteção da web, sou a favor da tecnologia, da mudança. Video conferência, cartão, informações somente e tudo mais. Obrigado