A Google oferece uma visão abrangente sobre como as organizações podem fintar o cibercrime.
Com os hackers e a comunidade de investigação de segurança a encontrarem, constantemente, novas formas de quebrar qualquer tipo de software que chega à internet é fácil perdermo-nos no interminável ciclo de invasões-correções-invasões.
No entanto, uma equipa de colaboradores da Google (NASDAQ: GOOG) e de investigadores universitários afastou-se desse ciclo para ter uma visão mais abrangente do turbilhão de golpes, fraudes e furtos online existentes. O resultado é um retrato do submundo digital que vai além da tradicional ideia de segurança corporativa e que esboça a cadeia de abastecimento do crime online – desde as contas de hacking até ao levantamento do dinheiro – incidindo nos pontos onde essa corrente pode ser enfraquecida ou desmoronada.
Um artigo de investigação publicado quinta-feira (no blogue da Google sobre segurança) resulta da união de esforços por parte de investigadores do grupo de fraude e abuso da Google e de seis universidades para a elaboração de uma espécie de meta-estudo sobre a anatomia do cibercrime do submundo. O mesmo foca-se em sub-indústrias ilícitas como o spam, a fraude por clique, o scareware, o ransomware e o furto de cartões de crédito.
Os dados apresentados no estudo não são novos. Em vez disso foram revistos anos de pesquisa relativamente a crime cibernético para procurar padrões e métodos para interromper esses esquemas ilícitos. A conclusão dos investigadores – talvez surpreendente para uma empresa tão focada em segurança técnica e engenharia como a Google – é que a segurança tecnológica de porcas e parafusos não é suficiente para uma empresa que procura proteger os seus utilizadores. Colocar um travão à economia do cibercrime exige a utilização de estratégias legais e económicas para atacar diretamente os pontos mais fracos da sua infraestrutura: tudo, desde o desmontar de botnets até ao processamento de pagamentos.
A segurança tecnológica de porcas e parafusos não é suficiente para uma empresa que procura proteger os seus utilizadores.
“A nossa maior conclusão é que embora muitos destes problemas pareçam intratáveis de um ponto de vista técnico se você os considerar a partir da cadeia de abastecimento e à luz da economia tornam-se solucionáveis.” – Avançou Kurt Thomas, um dos autores do estudo por parte da Google. “Quisemos colaborar com investigadores externos para perceber exatamente como é que os criminosos fazem dinheiro com o mercado negro e identificar a sua frágil instraestrutura, que é sensível ao custo. Se você aumentar esses custos irá interromper a fraude com cartões de crédito, o spam ou outras formas de abuso.”
Conversámos com Thomas, com Elie Bursztein – o seu parceiro de investigação também por parte da Google – e com os coautores da Universidade de Nova Iorque e da Universidade da Califórnia em San Diego e Santa Barbara. Pediu-lhes que partilhassem algumas lições do seu abrangente estudo sobre o lado negro da internet. Seguem-se as suas recomendações.
1. Recorra ao mercado negro
Em vez de reforçarem interminavelmente a segurança contra ameaças imaginárias os investigadores recomendam que as empresas se infiltrem nos mercados negros online habitados pelos criminosos que exploram os seus sistemas. Lá poderão ver os seus próprios dados (furtados) e contas (sequestradas ou operadas por bots) a serem vendidos, podendo até mesmo rastrear os preços dessas commodities. Thomas e Burzstein dizem seguir o preço das contas Google controladas por bot e utilizadas para tudo – para o YouTube e spam de lojas virtuais no Chrome, para comentários falsos a aplicações Android e até para a hospedagem de sites de phishing no Google Drive. (Recusaram, no entanto, citar os atuais mercados de crime cibernético que monitorizam).
Utilizamos os mercados negros como um oráculo para sabermos o quão bem se estão a portar as nossas defesas. Kurt Thomas
“Utilizamos os mercados negros como um oráculo para sabermos o quão bem se estão a portar as nossas defesas.” – Afirmou Thomas. “Os nossos sistemas estão diretamente refletidos no preço dessas contas. Se os preços estiverem a aumentar sabemos que estamos a fazer algo bem. Se o preço descer, há algum problema.”
No final de 2013, por exemplo, a Google descobriu que o preço de uma conta Google controlada por bot tinha caído de cerca de 170 dólares por mil contas para apenas 60 dólares por mil contas. Ao analisar os registos conseguiram perceber que cerca de um quarto das contas bot tinham entrado utilizando números de telefone VoIP – uma forma barata de contornar o método da Google de limitar contas a utilizadores humanos, ligando-as a números de telefone. Então a Google bloqueou certos serviços VoIP comummente alvo de abuso e ao fazê-lo elevou o preço das contas zombie entre cerca de 30% a 40%. “Quando tomámos medidas em relação aos VoIP e os criminosos tiveram que voltar a utilizar cartões SIM cortámos significativamente as suas margens de lucro.” – Afirmou Thomas. “Ao apontarmos para esse ponto específico podemos melhorar as coisas em toda a empresa.”
2. Ataque infraestruturas criminosas caras e frágeis
Tal como no exemplo com o VoIP os investigadores da Google recomendam que encontre o ponto, no processo de cibercrime, onde uma simples intervenção possa causar a maior interrupção do negócio ou o aumento de preços. Mas esse ponto não se encontra sempre no software próprio da empresa. Em muitos casos, os investigadores sugerem ir além da defesa do produto para atacar a infraestrutura criminosa e até mesmo os próprios criminosos. “Queremos levar as pessoas de uma estratégia whac-a-mole (jogo de arcada em que se atinge uma toupeira de cada vez – e onde a mesma pode voltar a surgir) ou seja, de encontrar um buraco e corrigi-lo, para uma estratégia em que se atinge todos os jogadores-chave no mercado para tornar o abuso fundamentalmente menos rentável.” – Afirmou Thomas.
É uma abordagem inesperada por parte da Google, que é mais conhecida pela implementação de segurança tradicional, focada nas vulnerabilidades. A empresa já pagou algumas das maiores recompensas a hackers que revelaram vulnerabilidades no seu código – e emprega um grupo de hackers altamente qualificados, conhecidos como Project Zero, para encontrarem essas vulnerabilidades no seu próprio código e no de outras empresas.
Em alguns casos esta nova abordagem significa trabalhar com a aplicação da lei, para atingir criminosos específicos, e com parcerias em investigações que conduzam à sua detenção. Mas os investigadores admitem que os criminosos a título individual conseguem ser surpreendentemente esquivos – relembram os ainda não reclamados 250.000 dólares da Microsoft como prémio pelos autores do infame Conficker ou ainda o prémio de 3 milhões de dólares do FBI pelo responsável pelo desenvolvimento do trojan Zeus, Evgeniy Mikhailovich Bogachev. Além disso, os cibercriminosos que são presos são imediatamente substituídos pelos seus concorrentes. Também sugerem o desmontar de botnets através de apreensões de domínios – mas note que essa tática pode conduzir a danos colaterais, como a controversa purga No-IP da Microsoft no ano passado.
Sugerem que a infraestrutura sobre a qual o ataque poderá ser mais eficaz poderá ser o sistema de pagamentos: pressionar os bancos e processadores de pagamentos a largarem clientes obscuros poderá cortar totalmente a capacidade dos mesmos em termos de spam, fraude ou campanhas de fraude de clique para realmente gerarem lucro, forçando-os a procurar outro processador entre os poucos que toleram crime – ou a mudar para um mecanismo de pagamento mais limitado, como o bitcoin. “Configurar este tipo de relações é algo que leva meses.” – Afirmou Giovanni Vigna, professor de ciência da computação na UCSB e que colaborou no estudo. “Bater esse relacionamento através de meios legais inflige a máxima quantidade de dor.”
3. Colabore com universitários
Olhar para toda a economia de crime para encontrar o ponto ideal para atacar geralmente significa falar com pessoas fora da sua própria empresa. Isso significa colaborar com a concorrência, com a aplicação da lei e – segundo a Google, o ponto mais importante – com investigadores universitários. Isso também significa lisonjear a academia com bolsas e programas de estágio. “Gostamos das universidades pois são terreno neutro, são muito úteis e ajudam o máximo de empresas que conseguem.” – Afirmou Burzstein. “Combater o mercado negro não é algo que você consiga fazer sozinho.”
“Combater o mercado negro não é algo que você consiga fazer sozinho.” – Elie Burzstein
Não é coincidência que a dica venha de um estudo para o qual a Google se associou a meia dúzia de universidades. Thomas enfatiza, ainda, que os investigadores universitários normalmente não têm um produto ou agenda a impingir – como a maioria de empresas de tecnologia ou fornecedores de serviços de segurança. O cientista de computação da Universidade da Califórnia em San Diego, Stefan Savage, assinala que os académicos têm relações públicas e jurídicas mais livres para mergulhar nos cantos mais escuros do mercado negro, permitindo-lhes que se aventurem em práticas questionáveis – como a compra de produtos ilícitos para rastrear criminosos.
“Nós temos um reinado mais livre.” – Afirmou Savage, outro dos coautores do estudo. Ao contrário da Google: “Não há risco de impacto sobre a marca para nós quando compramos medicamentos falsificados e mapeamos o fluxo de dinheiro para bancos no Azerbaijão ou Europa de Leste.”
Mas mais importante ainda, segundo Savage, é que os universitários podem dar às empresas a perspetiva que lhes falta quando uma equipa de segurança ou fraude se encontra embrulhada no combate ao fogo do dia a dia.
“Praticamente qualquer pessoa envolvida numa empresa, num grupo de abuso, está a trabalhar em constante modo de crise.” – Acrescentou Savage. “Muito poucos têm o luxo de poder dar um passo atrás para estudar um problema durante um ano. Nós podemos fazer isso.”