Detetives à moda antiga ajudam a desvendar quem são os hackers

Os ladrões de banco usam máscaras e escapam em peruas com placas roubadas. Os sequestradores escrevem cartas de resgate com letras recortadas de revistas para evitar os peritos em caligrafia. Os assaltantes visam casas com a janela do andar de cima aberta.

Os criminosos cibernéticos fazem mais ou menos a mesma coisa. Eles se escondem por trás de software que obscurece sua identidade e leva os investigadores a procurar em países distantes de seus verdadeiros esconderijos. Eles sequestram dados e os fazem reféns. E visam empresas e pessoas mais vulneráveis, cuja informação é mal protegida.

Os crimes cibernéticos, como o ataque global pedindo resgate que começou na sexta-feira (12) e afetou centenas de milhares de computadores em mais de 150 países, são de certa forma uma versão atualizada dos antigos métodos criminosos.

• Entenda o bitcoin
• Tire suas dúvidas sobre o grande ataque ransomware
• Ransomware: metade das empresas brasileiras já sofreu sequestro

Na busca global pelos criminosos que continuava no domingo, os investigadores seguiam basicamente o mesmo processo que os detetives do mundo físico usam há décadas: isolar a cena do crime, coletar provas forenses e tentar rastrear as pistas até o perpetrador.

Apesar de todas as semelhanças com os crimes tradicionais, porém, os ataques cibernéticos têm detalhes digitais que podem torná-los muito mais difíceis de serem solucionados e podem ampliar muito os danos causados.

O último ataque deixou pelo menos 200 mil vítimas em todo o mundo, segundo uma estimativa feita no domingo pela Europol, a agência policial europeia, e novas variações do "malware" estão surgindo, levando os especialistas em segurança a advertir que as consequências poderiam se espalhar quando as pessoas voltassem ao trabalho na segunda-feira (15).

Um crime tão grande, complexo e global significa que qualquer esperança de sucesso na investigação exigirá um trabalho de equipe estreito entre agências policiais internacionais --como FBI, Scotland Yard e autoridades de segurança na China e na Rússia--, que muitas vezes temem compartilhar informações entre si.

Com o crime cibernético, você pode atuar globalmente sem precisar sair de casa. Apanhar quem fez isso será muito difícil e exigirá um nível de cooperação policial internacional que não surge naturalmente

Brian Lord, ex-vice-diretor de inteligência e ciberoperações no quartel-general de comunicações do governo da Grã-Bretanha, o equivalente à agência de segurança nacional dos EUA. 

O único acordo institucional de cooperação internacional em crime cibernético é a chamada Convenção de Budapeste, cuja afiliação é de modo geral restrita às democracias ocidentais, segundo Nigel Inkster, um ex-chefe-assistente do serviço secreto de inteligência do Reino Unido, MI6.

Estados autoritários como Rússia e China se recusaram a assinar o acordo, porque ele permite o equivalente digital de uma perseguição: uma força policial que investiga um crime cibernético pode acessar redes em outras jurisdições sem pedir autorização.

"Qualquer investigação do recente ataque com pedido de resgate terá de ser feita por uma coalizão de voluntários", disse Inkster.

Há sinais de que uma coalizão está se formando, pelo menos em partes do sistema internacional. A Europol disse que sua equipe de especialistas em cibersegurança --formada por agentes de países como Alemanha, Reino Unido e EUA-- está investigando o ataque.

A Europa e a Ásia foram as regiões mais afetadas pelo crime, com hospitais, fábricas de automóveis e até o Ministério do Interior da Rússia sendo presa do malware, que domina um computador, tranca a máquina e só a libera depois que o proprietário pagar um resgate.

Horas depois que o ataque foi relatado pela primeira vez no Reino Unido, onde o sistema de computadores do Serviço Nacional de Saúde ficou paralisado, agências policiais de toda a Europa, Ásia e EUA começaram a procurar pistas que poderiam rastrear o ataque a pessoas ou organizações específicas.

Assim como em uma cena de crime física, o primeiro passo em qualquer ciberinvestigação é garantir que o criminoso não está mais escondido, prestes a atacar de novo.

Antes de pensar em quem fez isso, tentamos descobrir se os bandidos ainda têm acesso. Eles ainda estão escondidos? Vão tentar voltar amanhã? A porta por onde entraram continua aberta? Eles podem causar mais danos? Nesse caso, onde estão eles? Como os isolamos para evitar maiores danos?

Theresa Payton, ex-oficial chefe de informação na Casa Branca e fundadora da firma de cibersegurança Fortalice

Em vez de vasculhar os armários de uma propriedade que foi arrombada, os investigadores examinarão o servidor afetado, reservas e software online e e-mails para identificar se há algum malware que ainda não foi ativado.

No caso do ataque contra resgate lançado na sexta-feira e é conhecido como WannaCry, Wcry ou Wanna Decryptor, rapidamente se determinou que atualizar o software Windows com o último "patch" de segurança era suficiente para vacinar os computadores que ainda não tinham sido infectados.

Então começa o trabalho forense, com agentes procurando identificações digitais.

Por causa da natureza altamente técnica dessas investigações, equipes privadas de segurança de dados podem ajudar na busca. Isso inclui trabalhar diretamente com a polícia para descobrir pistas deixadas pelos atacantes, assim como rastrear o vírus e seus efeitos separadamente para proteger os clientes corporativos.

No caso do Wanna Cry, os e-mails de "phishing" enviados pelos criminosos com o link infectado eram uma peça chave de evidência. Patricia Lewis, diretora de pesquisa de segurança internacional na Chatham House, em Londres, comparou o texto do e-mail a uma carta física e seus metadados ao envelope em que ela chega:

Um envelope contém muita informação: o selo com a hora e o lugar de onde foi enviado, a caligrafia ou a impressão, o endereço do remetente, talvez uma impressão digital ou DNA da saliva no selo

Os criminosos sabem que seus e-mails contêm pistas reveladoras, e tentam cobrir suas pegadas. "As pessoas usam disfarces que escondem a identidade, fazendo a pessoa parecer outra, em outro lugar", disse ela.

Como rastrear as placas de um carro roubado até a pessoa errada, isso pode deixar os investigadores desnorteados. "Mas um bom detetive consegue rastreá-los", disse Lewis. "Eles sempre deixam migalhas de pão digitais que podem ser seguidas."

Os investigadores verificam se o endereço de e-mail de onde veio o malware está ligado a contas em redes sociais, a outros crimes cibernéticos ou outros locais na web. Eles estudam o nome do domínio ligado a ele e procuram padrões para tentar conectar um crime com outros.

O sucesso muitas vezes depende de a polícia conseguir ligar detalhes digitais, incluindo potenciais erros ou um certo estilo no código de programação, até chegar aos criminosos. O local onde o dinheiro do resgate é coletado também pode ajudar a ligar os pontos.

Às vezes os padrões que levam os investigadores até seu alvo podem ser surpreendentes. Uma invasão patrocinada pelo Estado foi localizada na Rússia porque os detetives perceberam que os responsáveis estavam online só das 9h às 17h no horário de Moscou, lembrou Lewis. Em outro caso, os hackers observavam os feriados chineses.

Quando a Sony foi invadida, as autoridades relacionaram o malware a um que já tinha sido usado na Coreia do Norte. "Foi uma grande pista", disse Lewis. "Mas é claro que poderia ter sido plantada deliberadamente."

Na recente invasão da campanha política do novo presidente da França, Emmanuel Macron, por exemplo, especialistas em segurança conseguiram ligar o registro de certos domínios de sites usados no ataque a hackers russos.

Os investigadores do último ataque estão procurando pistas nos bilhetes de resgate escritos em mais de 20 línguas. Alguns sugeriram que os atacantes podem ter conexões com a China, porque a versão em mandarim do texto estava melhor escrita que seu equivalente em inglês.

Quando estiverem equipados com dados identificadores suficientes para começar a afunilar os suspeitos, os investigadores irão sob disfarce participar de bate-papos em painéis de tecnologia onde os criminosos cibernéticos se reúnem às vezes.

É como usar um agente disfarçado que finge fazer parte de um bando criminoso, só que é online. A metade da web escura são ciberagentes hoje em dia, eles tropeçam uns nos outros

Nigel Inkster

Um dos novos avanços mais desafiadores para os investigadores é o uso da bitcoin, uma moeda digital que é pouco controlada. No último ataque, os criminosos pediram resgates entre US$ 300 e US$ 600, a ser pagos em bitcoins.

As contas nessa moeda, ou "wallets" [carteiras], são difíceis de rastrear. As agências de policiamento já resolveram casos rastreando transações em bitcoins, porém o processo é difícil e caro. Pode levar meses, ou anos, para que as agências policiais identifiquem com certeza os atacantes.

Em última instância, no mundo dos computadores, assim como no mundo físico, os investigadores esperam que os criminosos cometam um erro.

Como disse Adam Malone, um ex-ciberagente do FBI, "muitas vezes pegamos os bandidos porque eles ficam desleixados".