breve, aqui, hackers europeus

será que a gente deveria estar morrendo de medo deles,… ou não?

o FBI está alertando as autoridades locais que hackers do leste europeu podem estar tomando ciência de que o brasil passou a ser economicamente interessante –isso internacionalmente- do ponto de vista do crime virtual.

a oportunidade de negócios é óbvia, se você procurar e entender os sinais: a economia brasileira passa dos R$3 trilhões este ano, perto de 100% das empresas tem algum tipo de presença na rede, há um plano de banda larga que deve triplicar, na década, o número de casas na internet… e por aí vai.

por outro lado, o desempenho do governo em segurança da informação deixa muito a desejar, como mostra esta reportagem do convergência digital:

…Para o TCU, o problema é mais grave ainda, porque se constatou que de 2007 a 2010, a falta de uma política de Segurança da Informação não decorreu apenas da ausência de soluções técnicas desenvolvidas para a proteção dos sistemas que rodam na Administração Pública Federal.

A maior falha estaria na incompetência dos órgãos federais e empresas estatais de avaliarem quais os principais riscos a que as suas informações críticas estariam sujeitas e que tipo de tratamento deveriam ter dado para garantir a proteção desses dados…

quer dizer que, breve, haverá hackers de todos os tipos, inclusive aqueles do leste europeu, tomando conta dos sistemas de informação públicos?

não se sabe. tomara que o setor público se resolva. por outro lado, o setor privado não está imune ao problema. em 2009, o uso dos bancos pela internet cresceu 17.7% e já representa 20% do total de transações, perto de 9,33 bilhões de interações. pra ver onde isso vai dar, pense que, na década e se o PNBL der certo, haverá três vezes mais casas em rede. quem vai querer ir pra fila do banco?

o gráfico abaixo mostra que há entre 35 e 48 milhões de contas bancárias “na internet”, dependendo da estimativa em que você acredita. e o presidente do banco central acha que não haverá mais agências bancárias [físicas] em 2020. olhe que só são 10 anos daqui pra lá…

com tanta gente nos bancos pela web, as instituições do sistema financeiro investem dinheiro grande para melhorar sua [e esperamos, nossa] segurança de informação. a conta ronda os R$2B por ano, mas mesmo assim as fraudes online contra o sistema estão chegando a R$1B por ano. a conta é de mais ou menos um milhão de fraudes que causam prejuízo médio de mil reais cada, tudo em números redondos de marcelo câmara, diretor de prevenção a fraudes da federação brasileira de bancos [febraban].

podemos até acreditar nestes números mas… perguntei a opinião de várias pessoas do meio de segurança de informação e eles acham que o valor real [minha média das respostas] é tres vezes maior, pelo menos.

mas isso é só parte do problema. pegue brasília, por exemplo: lá, uma média de 19 pessoas é lesada na rede por dia, 5.600 pessoas de janeiro a agosto deste ano, 26% a mais do que no mesmo período do ano passado. os dados se referem a crimes virtuais de todos os tipos, de contas bancárias invadidas até quem aproveitou a “oferta do século” na rede e era só mais um golpe.

agora acompanhe esta aplicação da lei dos grandes números: considere brasília, uma das cidades mais ricas e conectadas do país, como se fosse o brasil do fim da década, depois do PNBL dar certo. arredonde a população da capital federal para dois milhões, a do brasil para duzentos, ajuste aqui e ali, assuma que o DF vai ter mais de dez mil e-lesados este ano e, dobrando a cada tres anos, uns cem mil no fim da década. se [grande se…] todas os outros fatores se mantiverem constantes [e desconsiderando a hipótese de uma explosão exponencial do crime virtual], podemos vir a ter dez milhões de brasileiros afetados por crimes virtuais em 2020. cinco por cento da população.

este número me parece em linha com a previsão do presidente do BC de que não teremos mais agências bancárias e que tudo será online ou diretamente realizado pelos correntistas.

ah, sim: dez milhões de roubados e média de mil reais por roubo, hoje, [mais a inflação e aumento da produtividade do crime virtual, na década] deve levar a algo perto de R$20B levados pelo crime virtual, no país, daqui a uma década. isso se mantidas todas as coisas nos patamares atuais, sem os tais hackers do leste europeu. se o PIB, em 2020, chegar a R$4T, estamos falando de 0,5% do PIB nas mãos do crime virtual.

mas… isso faz sentido no contexto global? o internet crime complaint center [IC3] reporta que o crime virtual levou a uma perda de mais ou menos R$1B nos EUA em 2009, 100% maior que em 2008. considerando que o PIB americano é mais de oito vezes maior que o nosso, o IC3 diz que as perdas totais deles [em números absolutos] são mais ou menos iguais às declaradas pelo nosso setor bancário online. sei não, parece ter muita coisa passando pela peneira do FBI ou então o brasil, inteiro, é uma peneira. e a gente nem precisa dos hackers do leste europeu.

mas veja isso: uma única operação suspeita do tal “leste europeu”, a IMU [innovative marketing ukraine] foi fechada por pressão do governo americano em 2009, e fontes bem informadas estimam que ela faturava US$180M por ano, transformando “máquinas invadidas em dinheiro” via scareware, como aquele software cujo anúncio você clicou… que ia testar seu PC e instalar um antivírus, mas que na verdade contaminava sua máquina.

em parte do leste europeu hacking é big business, organizado, e atrai muitos dos melhores programadores e engenheiros de software da região, que os tem aos montes.

sim… você já leu até aqui e está querendo saber: afinal!… os caras vão vir tentar pegar meu PC ou não? ninguém sabe, nem o FBI, nem a PF. mas leve em conta que o comitê de segurança do CGI.br registrou 359.000 incidentes de segurança em 2009.

como é que você se torna, do lado que perde, um incidente de segurança? olha isso: alguém compra uma lista “comprovada” de 150.000 endereços de emeio só da cidade de belo horizonte [por R$40] e manda um scam pra este povo. em quatro horas [eu disse quatro horas] tres mil inocentes clicam num link malicioso contido no emeio e suas máquinas, dominadas, passam a fazer parte de um botnet, uma rede de máquinas “do mal”. clique na figura e veja como o processo se desenrola.

sim, e aí? aí que o software instalado na sua máquina pode estar sendo usado para capturar informação sobre suas próprias ações [muitas contas e senhas em bancos e jogos são roubadas assim], ou para roubar senhas de jogos em servidores comunitários e negociar, depois armas virtuais e coisas do tipo. uma das funções dos botnets é fraudar anunciantes online [como se pode ver neste link]. o mercado americano de anúncios na web foi de US$14.2B em 2009 e a taxa de fraude esteve perto de 19%. parece que precisamos corrigir os números do FBI.

veja o mapa abaixo [clique para ver os detalhes] e note que o nível de ameça no e representado pelo brasil já é comparável aos níveis do leste europeu… talvez só nos falte veia empreendedora, investimento e uma dose extra de inovação para competir internacionalmente neste domínio…

as “oportunidades” e possibilidades são tantas que gastaria todo o tempo e tinta do blog para descrever uma pequena parte deste “mercado”. só pra você imaginar e ir dormir preocupado… sabia que há quem viva [e bem] do “aluguel” de botnets?… ninguém fala nomes, claro, mas nem todo mundo reside em borsod-abaúj-zemplén ou kohtla-järve. lembra seu sobrinho nerd que passa o tempo todo na net?…

PS: tá sabendo do que estão chamando por aí do "bug do twitter", de hoje? não é um "bug". tal como acabamos de falar aqui, twitter foi invadido e alguém trocou o código da página principal, levando qualquer usuário legítimo que entrou no sistema a enviar [automaticamente] tweets, completamente fora de seu controle. simples assim. da mesma forma, o "novo software" que foi instalado por invasores na página do twitter poderia ter ficado esperando por suas contas e senhas e, de posse delas, tê-las enviado aos "interessados"…