Ex-FBI: “Cibercriminosos são pessoas muito inteligentes”

Edward Stroz liderou uma brigada de combate ao cibercrime no FBI e trabalhou em colaboração com a NSA. Em entrevista ao ECO, explica quem são as pessoas por detrás dos grandes ataques a empresas.

É calmo. A experiência dá segurança e isso traduz-se na voz e na escolha das palavras. Dá exemplos, explica e mostra-se preocupado pela falta de consciência face às ameaças que circulam na internet. Edward Stroz trabalhou no FBI na área da criminalidade informática e chegou a colaborar com a NSA, a polémica agência secreta de segurança norte-americana.

Agora, “Ed” Stroz tem uma empresa só sua, a Stroz Friedberg. Ou era só sua até ter sido adquirida pela Aon. Presta consultoria em áreas sensíveis, como as extorsões digitais, hacking de computadores, abuso de informação privilegiada, roubo de segredos comerciais, entre outras. E aceitou dar uma entrevista ao ECO sobre o tema da cibersegurança.

Como evoluiu o panorama da cibersegurança ao longo da última década? E como pensa que vai evoluir nos próximos anos?

Dez anos levam-nos até 2007. Nessa altura, alguns dos grandes eventos ainda não tinham acontecido. Ainda não tinha havido a brecha de segurança da Target [um ataque à empresa que expôs dados bancários de milhões de clientes], que fez muita diferença. Não tinham havido os ataques de ransomware que vimos agora e alguma da litigância ainda não tinha progredido suficientemente nos tribunais. As pessoas ainda não se tinham apercebido do quão vulneráveis são e de quão grande pode ser o impacto do cibercrime nas suas vidas. Nos últimos dez anos, temos visto casos nos tribunais, mais mediatismo e pessoas a aprender sobre tecnologia porque têm iPhones e outros dispositivos.

Há agora uma maior consciência do que havia há dez anos. Nos próximos, a tendência deverá continuar, mas creio que as pessoas vão começar a ser mais cuidadosas. À medida que os anos vão passar, as pessoas vão pensar no que fazer com estes riscos. No que pensar acerca deles. Essa vai ser a continuidade que acredito que vai existir das tendências que vimos nos últimos dez anos.

Portanto, a consciência da população está a aumentar.

Os consumidores, parceiros de negócio e os Governos vão dizer: “Mostra-me que não estás a ser negligente. Mostra-nos que estás realmente a empenhar algum tempo a tratar disso por nós.” É quase como um ecossistema. Temos de ser bons cidadãos digitais, com uma boa higiene digital. A segurança de alguém é um sinal de credibilidade. É como dizer: “Se faz negócios com a minha empresa, quero que esteja certo de que dei os passos razoáveis com a sua informação.”

Mas é difícil de controlar. Se um funcionário não souber o suficiente, pode conectar-se a uma rede comprometida e comprometer a rede da empresa para a qual trabalha?

Sim, mas há coisas que podem ser feitas em relação a isso. Primeiro, a formação. E como as pessoas estão a sentir isto nas suas vidas é muito mais fácil perceber que a empresa também não quer que isso aconteça. Há dez anos, os vírus eram só problemas das empresas. Ninguém se preocupava que o seu iPhone ou Blackberry tivesse vírus. Agora as pessoas estão mais próximas dessa temática.

Em segundo lugar, é possível segmentar a rede de uma empresa. Toda a gente tem o seu próprio dispositivo e conecta-o à rede, e há ataques que afetam a rede. Mas se um vírus está a infetar um dispositivo, não tem de se propagar a toda a empresa se se investir algum tempo na segmentação da rede. Outra coisa é assegurar que os computadores não têm permissões de administração a não ser que seja necessário.

Isto é reduzir o impacto. Se estão vulneráveis, sim. Mas, se têm de ter um impacto enorme, não necessariamente. Portanto, temos de formar a pessoa, temos de desenhar bem a rede e dizer que mesmo que alguma coisa má aconteça, é preferível que seja um dano menor do que maior.

É verdade que os criminosos estão a ficar cada vez mais sofisticados, ou isso é apenas uma falsa perceção?

Acho que é verdade. Podemos ver isso na natureza dos ataques que têm ocorrido. Se olharmos para o código que tem de ser construído para ser possível funcionarem desta forma, vemos que têm um design muito complexo. São pessoas muito inteligentes. Depois, há um mercado clandestino na dark web que permite que haja comércio entre pessoas que querem fazer algo, pessoas que podem vender as ferramentas para isso e pessoas que implementam a ferramenta se o cliente não quiser fazê-lo.

Isso faz com que, neste mercado, cada elemento possa confraternizar, conspirar e trabalhar em conjunto para tornar um ataque mais eficaz do que se fosse feito só por uma pessoa. Algumas delas trabalham em países onde não há medo de serem chamadas à Justiça. Especialmente se atacarem outros países.

Os recentes ataques de ransomware mais mediáticos usaram uma vulnerabilidade alegadamente roubada à NSA. O Edward chegou a trabalhar em parceria com a NSA. Estas ciberarmas, guardadas por certos países, têm sido um problema. Qual é a sua opinião sobre este assunto?

É uma questão muito importante e não acho que haja uma resposta simples. Acredito é que se tem de abordar a resposta da perspetiva correta. Quanto às armas de que estamos a falar, a maioria das notícias diziam que exploravam uma fraqueza num sistema já construído. Portanto, qualquer pessoa podia ter descoberto esta falha. O criador do programa poderia, ele próprio, ter conseguido encontrá-la. É algo que alguém investigou e encontrou — não é como uma bomba. Ou seja, a capacidade de usar essa arma depende de uma falha no produto de alguém.

Também compreendo o que as empresas têm vindo a dizer: se encontraram uma fraqueza, porque não a reportaram? Mas a razão porque elas não a reportam é porque ela foi encontrada pela comunidade intelligence. E a missão da comunidade intelligence é recolher informação. Ora, se eles descobrem que podem explorar algo de forma legal e recolher informação a partir daí, isso é o que nós lhes pedimos para fazer. As democracias e civilizações sofisticadas têm de encontrar um equilíbrio nisto.

É mais importante que tornemos a comunidade intelligence em caçadores de bugs ou é mais importante que reconheçamos que eles estão a fazer o trabalho deles? Eles podem encontrar algo, que é uma fraqueza, e não a podem revelar sem contradizer a sua própria missão, que é encontrar estas coisas e usá-las.

As empresas não podem comprar essas vulnerabilidades no mercado para as corrigir?

Creio que podem, mas o mercado negro só permite que certas pessoas comuniquem dentro dele. Não sei onde foram vendidas [as dos recentes ataques de ransomware], nem creio que a NSA alguma vez tenha confirmado que esteve na origem delas, por isso temos de ter cuidado.

Quem são estas pessoas, os cibercriminosos?

Estamos a falar de cinco ou seis categorias. Uma será uma nação ou um Estado. Outro será o crime organizado. Criminosos individuais. Insiders, pessoas muito chateadas com qualquer coisa. E há hacktivistas, pessoas que têm uma agenda social — não querem dinheiro, só querem magoar porque não gostam de uma certa empresa.

Elas ligam-se todas umas às outras. Um Estado pode alcançar os seus objetivos através do crime organizado no país. Até o podem encorajar: “Ataquem aquele alvo ali, façam algum dinheiro e nem serão julgados por isso, mas ficaremos contentes de que tenham magoado o nosso adversário.”

Ou uma pessoa que trabalhe para uma empresa, não foi promovida, não a trataram justamente, e alguém bate à porta e diz: “Sei que trabalha para a empresa A. É um sítio mau não é? Posso ajudá-lo a ter vingança e vai sentir-se bem. Até lhe pago para isso. Só tem de fazer uma cópia de um ficheiro.” Quando olhamos para os adversários, são quase sempre grupos e colaboram entre si. Olhar para estas categorias permite gerir a probabilidade de um ataque de uma forma mais racional.

Se os criminosos estão sempre à frente da polícia, como nos diz o senso comum, será que isto não é uma batalha perdida logo desde o início?

Não creio que seja uma batalha perdida. Ainda estamos a progredir. Estamos aqui sentados numa sala com ar condicionado, as luzes funcionam, os telemóveis funcionam. Mas não podemos subestimar o risco. A área do risco não é compreendida lá muito bem e temos investido nela menos do que é necessário. A minha empresa, a Aon, realizou um inquérito global nos últimos meses, que mostrou algumas coisas interessantes: nenhuma empresa disse que a sua cibersegurança estava no nível que consideram ideal — todos disseram que estava aquém. Muitas empresas estão a investir quatro ou cinco vezes mais em segurança dos equipamentos do que em cibersegurança, e muitas reconhecem que a cibersegurança é um problema bem maior. Não estamos onde deveríamos estar.

Precisamos de uma mudança de mentalidades?

Temos de gerir o risco, comensurá-lo com a importância que lhe damos. Não estou a dizer que temos de investir quatro ou cinco vezes mais do que se investe agora mas acho que, pelo menos 1/4 do que se investe em proteção de propriedade e equipamento. Quem tem negócios, muitas vezes não quer saber da segurança porque tem o negócio para gerir. Portanto, recomendo que se procure ajuda de pessoas experientes.

“A nossa privacidade é um grande ponto de interrogação. Será que desapareceu?”

Quais foram os casos mais desafiantes em que trabalhou ao longo da carreira?

Foram, provavelmente, os internacionais. Quando se tem casos de ciberintrusão, em que pessoas pagam para que se invadam computadores, encontrar as provas dá muito trabalho. Normalmente, é muito difícil perceber como é que aconteceu, de onde veio e porquê. Se se está a investigar no FBI e se a fonte é um endereço de IP nos Estados Unidos, é possível usar processos legais e mandatos para alcançar o dono desse dispositivo e pedir os registos para mostrar o que estava a acontecer naquele endereço de IP naquele momento. Sabemos que aquele servidor estava a fazer qualquer coisa à vítima que o prejudicou. E é possível obter essa informação. Leva tempo e não é fácil, mas é possível.

Mas se o endereço de IP está noutro país, não temos autoridade legal enquanto FBI para obter isso. Os criminosos sabem-no e ou usam VPNs [redes que permitem encapotar a localização de um computador, por exemplo] ou vão a outros países fazer o ataque e depois regressam aos Estados Unidos. O atacante até pode estar no edifício ao lado, mas pode fazer parecer que o ataque vem da Lituânia. Se o atacante estiver noutro país, demora anos até ter tudo investigado: provas, detenções, extradições. E quando se é agente do FBI, pensa-se se será um bom serviço público todo esse esforço em investigar uma situação, ou se nos devemos dedicar a outros três ou quatro que conseguimos resolver no mesmo período de tempo. Os casos internacionais foram o obstáculo mais frustrante de um ponto de vista puramente investigativo.

Pessoalmente, o que faz para se proteger na internet?

Pessoalmente? Uso antivírus, mantenho os meus sistemas atualizados, sou cuidadoso com o tipo de serviços a que acedo. Por exemplo, não uso algumas das redes sociais que as outras pessoas usam, mas não é algo que eu recomende: para mim, para o meu estilo de vida pessoal, eu consigo evitar esse tipo de coisa. Mas isso não é opção para a maioria das pessoas.

Há outra coisa que faço e que as outras pessoas também podem fazer: ser cuidadoso com o que se publica acerca de nós. Se se vai publicar informação, não se deve só pensar no que os nossos amigos podem fazer com ela. Deve pensar-se também no que um inimigo pode fazer. E muitos dos tipos de coisas que aqui falámos, como a questão do ransomware, começa com enganar alguém com um email.

O spear phishing é um ataque feito para enganar um indivíduo específico ou uma comunidade que tem interesses. A técnica tornou-se eficaz porque é estudado o que a vítima põe nas redes sociais, que interesses tem, com quem se dá, com quem fala. E é esperado o momento certo para lançar o ataque.

Por exemplo, um pai que ame o filho e ele ande no terceiro ano numa escola qualquer. O pai publica fotos de que ele vai numa excursão amanhã e que está muito contente. O atacante pode enviar uma mensagem com um documento infetado, a dizer que é da empresa de transporte e que a criança se aleijou, e que o documento é a autorização para que ela possa ser tratada de imediato. Estou a inventar, mas ficaria muito tempo a pensar no assunto? Claro que não. Há adversários a tentar enganar pessoas e que, quanto mais saberem sobre elas, mais facilmente as enganam.