História da segurança virtual: a origem do cibercrime

Quando o hoje consultor de segurança americano Kevin Mitnick foi preso em 15 de fevereiro de 1995, em Raleigh, na Carolina do Norte, a caçada foi acompanhada em todo o mundo. A acusação contra ele à época era de crimes de invasão de computadores e fraude eletrônica. Muito antes disso, entretanto, Mitnick já praticava atividades hacker.

Aos 12 anos, em meados da década de 1970, ele usou engenharia social — quando esse conceito ainda nem existia — para burlar o sistema de cartão perfurado dos ônibus de Los Angeles, na Califórnia. Para isso, obteve informações sobre onde adquirir uma máquina de perfurar com um motorista de ônibus e passou a usar tíquetes encontrados no lixo para aproveitar o transporte público gratuitamente.

As aventuras de Mitnick não pararam aí. Quando tinha 16 anos, em 1979, ele teve acesso não autorizado a uma rede de computadores pela primeira vez: para ser aceito em um grupo de hackers que trabalhavam para o distrito escolar unificado de Los Angeles, ele foi desafiado a invadir a The Ark, a rede usada pela Digital Equipment Corporation (DEC) para desenvolver o sistema operacional RSTS/E.

A partir daí, Mitnick não parou mais. Foram muitas as redes de empresas e os sistemas governamentais que ele invadiu. Ele descarta, no entanto, o título de hacker malicioso. Isso porque, à época de suas primeiras ações, a atividade nem era contra a lei — só se tornou ilegal após mudanças na legislação. E Mitnick só se transformou em criminoso porque continuou na atividade e foi pego.

Paulo Lício de Geus, professor do Instituto de Computação da Universidade Estadual de Campinas (Unicamp), concorda: segundo ele, na época, os hackers só queriam 15 minutos de fama. “Eles invadiam os sistemas e colocavam seus apelidos porque sabiam que podiam ser contratados por empresas que estavam desenvolvendo sistemas.”

As atividades do tipo começaram ainda na década de 1970 — com grupos como o que levou Mitnick a invadir o sistema da DEC. A rede de comunicação de então era a Arpanet — patrocinada pelo Departamento de Defesa dos EUA, ela era usada para pesquisa. “Lá, os números de telefones dos modems usados para a conexão à rede foram descobertos e eram compartilhados em cabines telefônicas e banheiros públicos”, conta Geus.

Ele lembra que ainda não havia preocupação com a proteção de senhas, já que eram poucos os computadores ligados à Arpanet e eles ficavam em locais específicos, como empresas e instituições de pesquisa. “Muitas contas tinham senhas manjadas. Quando alguém descobria, geralmente por tentativa e erro, compartilhava com os demais usuários no Bulletin Board System (BBS). Com isso, era possível entrar nas contas e usar os computadores.”

Potencial do cibercrime

A verdade, porém, é que, desde que a tecnologia passou a permitir a interação remota entre dispositivos, o potencial para o cibercrime ficou claro. “O ciberespaço ganhou mais forma com a internet. Ele se tornou um meio adicional de aplicar a engenharia social. Se no passado existia o golpe do bilhete premiado, hoje existem os golpes do Pix. O que mudou foi o meio”, diz Marcelo Lau, coordenador do MBA em Cibersegurança do Centro Universitário FIAP. “O invasor tradicional é como um batedor de carteira digital.”

O termo cibercrime, entretanto, surgiu apenas no fim da década de 1990 em Lyon, na França, logo após uma reunião de um subgrupo das nações do G8 que discutiu o tema. A palavra, então, passou a designar as infrações penais praticadas no âmbito digital.

Um dos crimes cibernéticos mais famosos foi detectado por Cliff Stoll. Ele era administrador de sistemas no Lawrence Berkeley National Laboratory, em 1986, e percebeu que o tempo de uso dos computadores era maior do que o uso efetivo na instituição. “Ele descobriu que uma conta que deveria estar inativa estava sendo usada por um hacker do Chaos Computer Club, na Alemanha Oriental”, descreve Geus. “A partir do login no computador do laboratório, o criminoso tinha acesso à rede do Departamento de Defesa americano. Ele queria informações para vender para a União Soviética.”

O nome do hacker é Markus Hess e todo o processo de identificação dele foi descrito no livro The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, escrito por Stoll. À época, era difícil obter a cooperação das autoridades na investigação desse tipo de crime, já que a atividade ainda era recente. O trabalho de Stoll é conhecido como um dos primeiros exemplos de perícia forense digital.

Outro criminoso famoso das antigas foi o cientista da computação Elias Levy, que usou o pseudônimo Aleph One para publicar, em 1996, um artigo sobre como explorar a vulnerabilidade stack buffer overflow. “Essa falha já existia há dez anos, mas ele demonstrou como ela poderia ser explorada. O material foi publicado na revista Phrack, que circulava entre hackers”, conta Geus. “Depois disso, durante anos, houve muitos ataques diferentes a partir dessa falha.”

Em busca de dinheiro

Para Geus, as invasões em busca por dinheiro começaram com os ataques de negação de serviço. Uma empresa que parasse um dia de funcionar, tinha um prejuízo grande no faturamento. “Pareciam serviços de encomenda. A indústria do cibercrime apareceu nesse momento. Os ataques anteriores não eram ainda uma indústria: era um criminoso tentando fazer algum lucro direto”, diz. “A partir desse momento, no entanto, surgiram as botnets: essas redes eram até alugadas para ataques.”

O momento seguinte, logo após o ano 2000, marca a guerra cibernética entre nações, com espionagem de indivíduos-chave nos governos. “Aí já é outro tipo de lucro”, aponta Geus. “Tem dinheiro também, como quando os chineses invadiam empresas para roubar segredos industriais e replicar produtos.”

A partir de 2014, começou a era do ransomware. Eles sumiram por um tempo, mas agora voltaram com tecnologia mais sofisticada. Geus reforça que, quando a técnica é feita de forma adequada, é impossível recuperar os dados sequestrados. “Esse tipo de ação é em uma escala diferente: o cibercriminoso vai atrás de grandes organizações porque elas pagam muito.”

Quando o ataque ransonware atinge empresas de utilidade pública, como ocorreu na operadora americana Colonial Pipeline, que distribui combustíveis, afeta toda a sociedade e vai além do lucro simples, já que pode afetar a economia como um todo. “Esse tipo de invasão pode comprometer uma nação”, ressalta Lau. “O ataque a uma indústria alimentícia, por exemplo, pode levar à escassez de alimentos.”

Para 2022, ano de eleições majoritárias no Brasil, Lau aposta em muitos ataques relacionados a candidatos por aqui. “Isso deve tornar ainda mais acirrada a polarização eleitoral. É preciso ficar muito atento às fake news que vêm associadas ao cibercrime — e podem comprometer toda a vida do país.”

De olho nos dados privados

No futuro, o cibercrime deve se voltar aos dados privados: ou seja, sai dos documentos existentes no computador e vai para a privacidade no ambiente doméstico. “Isso deve ir muito além do que imaginamos hoje. A invasão de câmeras, por exemplo, no celular, nas casas, nas empresas deve ser uma das tendências”, aponta Geus.

Lau concorda que as tecnologias que tornam as casas cada vez mais conectadas podem ser um alvo futuro do cibercrime. “Isso inclui tecnologias de monitoramento e aumento de conveniência e pode levar parte dos ataques a migrar para esse nicho”, analisa Lau. “Outra possibilidade para o cibercrime é o terrorismo: a abertura de uma válvula de gás, por exemplo, pode explodir uma casa.”

E como se proteger? Os especialistas ensinam que a melhor forma de proteção é desconfiar sempre. “A maioria dos ataques ocorre porque as pessoas confiam demais em tudo o que é muito fácil. Existe uma tendência de ser ganancioso e querer se dar bem”, aponta Geus. “Além disso, sempre que forem solicitados dados, é preciso observar se aquele pedido faz sentido. É comum as pessoas se protegerem no mundo físico e serem extremamente ingênuas no ambiente virtual. É preciso ter a consciência de que o mundo é hostil.”

Lau concorda com Geus e reforça a necessidade de proteger o celular: é preciso ter senha, criptografar o dispositivo e adotar um antivírus. “É preciso, ainda, ter cuidado com o que se instala no aparelho. Quando faço perícias, encontro mais dados sobre o indivíduo no celular do que no computador. É importante desconfiar até de ações aparentemente simples”, diz. “Será que você cuida bem das suas contas?”, questiona ele.