Informatizar as atividades de uma empresa é quase uma obrigação para garantir agilidade e precisão, em tempos de ávida concorrência. O difícil é garantir que as informações dos clientes permaneçam seguras a partir do momento em que todo o banco de dados da empresa é guardado na rede mundial de computadores, ainda que em uma área restrita. Nem sempre quem acessa estas informações tem autorização para isso e um invasor geralmente não tem boas intenções.
“O cliente fica vulnerável a exposição de dados como RG, CPF, telefone, e-mail, senha e até dados da conta bancária, ou seja, as empresas não estão cumprindo seu papel de zelar pela segurança das informações dos clientes”, revela um garoto de 17 anos, que nesta reportagem será chamado de Satiagraha.
Ele começou a descobrir como invadir sites aos 11 anos, lendo artigos na internet, livros, e recebendo informações de outros garotos, um pouco mais velhos. Ele, ao contrário de muitos, garante que só define um alvo para invadir quando acredita que os clientes estão expostos demais, ou por motivos ativistas. O foco de Satiagraha é fazer um levantamento de vulnerabilidades e avisar a empresa. “O que me motivou foi a sede por conhecimento, ver como são os sistemas das empresas, ver o que cada servidor armazena e como eles se organizam, como o sistema funciona… e até que ponto eu consigo chegar”, afirma.
Satiagraha garante que já encontrou falhas em sites de pelo menos três agências bancárias e até da Bolsa de Valores (BM&F Bovespa) e sempre enviou e-mails para os administradores arrumarem as falhas. Na maioria dos casos, não obteve resposta e as falhas não foram arrumadas. “Grande parte das falhas de programação são procedentes da desatenção e em algumas vezes até mesmo pelo descaso dos desenvolvedores. A maioria das empresas não se preocupa com a segurança, contendo os erros mais comuns e fáceis de ser explorados. O que me chamou atenção foi que grandes empresas não arrumaram sequer uma vulnerabilidade encontrada, isto depois de muito tempo”, lamenta.
A assessoria de imprensa da BM&F Bovespa confirmou o recebimento do e-mail do adolescente e, por meio de nota, informou que “tem uma série de dispositivos e procedimentos que visam garantir a segurança de seu web site. Todos os e-mails recebidos relacionados a este assunto são enviados para a análise de uma equipe especializada. Por questões de segurança da informação, a Bolsa não se pronuncia sobre as decisões e estratégias desenvolvidas”.
Maioria das invasões visa desvio de dinheiro de contas bancárias
Também querendo saber onde podem chegar, outras pessoas, ao contrário de Satiagraha, utilizam os dados confidenciais obtidos para cometer crimes. No Núcleo de Combate aos Cibercrimes (Nuciber) de Curitiba, quase 60% dos boletins de ocorrência registrados são de crimes contra o patrimônio e 80% destes casos são de desvio de dinheiro de conta corrente. Dá para considerar uma falsidade ideológica: quando obtém os dados, o criminoso utiliza-os para acessar as contas das vítimas, passando-se por elas.
“Não existe segurança absoluta. Sempre que tiver alguém desenvolvendo uma barreira, tem outros desenvolvendo uma forma de quebrá-la só para poder dizer “eu consigo’”, conta o delegado Demétrius Gonzaga de Oliveira, do Nuciber. Ele acredita que ainda não há uma consciência de segurança tecnológica no Brasil e, por isto, as empresas não tem a postura de buscar esse tipo de proteção.
Em quase todos os casos, entretanto, o delegado garante que a própria vítima ou empresa facilitou, de alguma forma, o acesso aos dados por parte do criminoso, ou clicando em um link malicioso capaz de instalar softwares para obtenção de dados, ou confiando a segurança do site da empresa em mãos erradas. “Vale lembrar que ,um dos fatores fundamentais para se realizar um ataque é o fator homem (engenharia social). Logo as empresas precisam realizar campanhas e treinamentos para educar seus funcionários e ensiná-los quanto a importância da segurança da informação”, concorda Satiagraha.
Invasor pode estar na mesa ao lado
Em 2010, por exemplo, representantes de uma empresa do ramo de saúde procuraram o Núcleo de Combate aos Cibercrimes (Nuciber) porque tiveram o banco de dados invadido e aplicativos deletados. A invasão foi feita por uma pessoa que havia sido contratada pela empresa muito tempo antes e que era responsável pela segurança do site. “A empresa falhou duas vezes, porque quando descobriu o crime, contratou uma empresa que acabou contaminando as provas e fez uma leitura errada da origem das conexões, o que dificultou a investigação”, afirma o delegado.
Por este motivo, o delegado ressalta a importância das empresas investirem em hardware, software, pacotes de segurança e em profissionais qualificados e gabaritados, com certificação idônea. Na hora de remover os sites, também é importante prestar atenção se nada ficou para trás. “Não raras vezes encontramos servidores esquecidos pelos gerentes, que ficam como um fantasma. Isso é um risco, uma porta aberta e desprotegida, que se for identificada poderá ser utilizada”, lembra. Foi o que aconteceu em 2007, quando criminosos utilizaram um servidor fantasma de uma petrolífera dos Estados Unidos para mandar ameaças de morte a autoridades paranaenses.
Lei Carolina Dieckmann
| Arquivo |
|---|
 |
No início deste mês, entrou em vigor a Lei 12.737, apelidada como Lei Carolina Dieckmann (foto), lembrando o caso em que a atriz teve fotografias íntimas furtadas de seu computador. “Antes da lei, a invasão de dispositivos informativos não era considerada crime. Porém já eram investigadas e julgadas alguns tipos de ações criminosas já tipificadas e que eram cometidas utilizando a internet, como estelionato, pornografia infantil, crimes contra direitos humanos e crimes de ódio, por exemplo”, explica Sandro Suffert, sócio fundador da Apura Cyber Intelligence.
Para o delegado Demétrius Gonzaga de Oliveira, do Núcleo de Combate aos Cibercrimes (Nuciber), o problema da nova lei é o custo que o cidadão comum é obrigado a ter para denunciar e conseguir dar início às investigações. A lei exige representação criminal, o que obriga a vítima a contratar um advogado e também determina que o denunciante apresente provas. Para isso, é necessária uma análise forense computacional e a vítima terá de deixar o equipamento no Instituto de Criminalística por tempo indeterminado, até o fim da perícia.
“Além disso, existem lacunas que permitem dupla interpretação ou margem de dúvida, razão pela qual caso as autoridades sejam acionadas, terão que desencadear procedimentos investigatórios e até medidas drásticas para esclarecer se efetivamente o invasor obteve ou não acesso aos dados da vítima”, diz o delegado, referindo-se ao artigo 154 da lei.
O delegado ressalta que, com a nova lei, até mesmo o invasor de sites com boas intenções como Satiagraha pode ir preso e a pena é de detenção de três meses a dois anos. Apesar da lei ter sido criada para prevenir ataques graves, já imaginando que nenhum site está completamente seguro, Demétrius defende que os jovens invasores da internet, com pouca experiência, sequer podem ser chamados de hackers.
“O verdadeiro hacker é um cara que tem um domínio tão absoluto que desenvolve as próprias ferramentas, conhece pelo menos cinco sistemas operacionais, dez linguagens de programação e protocolos de conexão. Esses garotos usam programas já prontos para descobrir e explorar vulnerabilidades apenas. Abrem algo que alguém já fez. Em quase 20 mil casos atendidos até hoje, nunca me deparei com nenhum verdadeiro hacker”, afirma.