0
0
O cibercrime apresenta uma série de desafios para as autoridades policiais em todo o mundo. Investigar e responder a esses incidentes requer experiência técnica, a capacidade de ver além das fronteiras e a disposição de prosseguir casos em que a atribuição pode ser incrivelmente difícil, apenas para citar alguns.
“Geralmente, [as agências de aplicação da lei] sabem quem são os criminosos tradicionais, mas têm dificuldade em provar o que estão fazendo. No ciber, isso é virado”, diz Erik van de Sandt, especialista operacional da Unidade Nacional de Crimes de Alta Tecnologia da Polícia Nacional holandesa. “Eles sabem que crimes são cometidos, mas não quem está por trás desses atos.”
Van de Sandt, que é ph.D. em ciência da computação e atua como pesquisador honorário no Grupo de Pesquisa em Segurança Cibernética da Universidade de Bristol, ambos perseguem cibercriminosos e os estudam. Ele conversou com o analista de inteligência de ameaças especializados da Recorded Future, Dmitry Smilyanets, recentemente sobre como os cibercriminosos evitam a detecção e as mudanças que os departamentos de polícia precisam fazer para persegui-los. A entrevista foi realizada por e-mail e foi levemente editada para maior clareza.
Dmitry Smilyanets: Como você classificaria a capacidade da polícia de capturar cibercriminosos?
Erik van de Sandt: Há, infelizmente, uma divisão digital entre as agências de aplicação da lei. As agências não têm as mesmas capacidades cibernéticas. Vamos nos concentrar naqueles que se destacam em seu trabalho. Na minha opinião, várias equipes, departamentos e agências — o FBI, o Serviço Secreto dos EUA, a Agência Nacional de Crimes do Reino Unido, o Escritório de Polícia Criminal Federal da Alemanha para citar alguns — realmente entendem seu papel dentro e agregam valor para a comunidade de cibersegurança mais ampla. Eles colaboram estreitamente com a comunidade de cibersegurança, ao mesmo tempo em que mostram a autoconfiança e a autoridade de que conduzir investigações que buscam a verdade para fins de acusação são de responsabilidade exclusiva dos governos.
Atribuição — quem fez o quê — é ciência e arte. Investigadores da polícia são especializados em fazer declarações sobre a realidade que vão além de uma dúvida razoável. Mas a atribuição não é uma prática fácil, e as agências de aplicação da lei (LEAs) estão cada vez mais dependendo da colaboração com a comunidade de cibersegurança. Isso é uma bênção: muitas empresas e instituições também querem enfrentar o crime. Geralmente, essas partes interessadas têm uma visão muito melhor das vítimas e da infraestrutura de ataque. Em última análise, os LEAs também têm que preencher o modelo Diamond — atores, capacidades, infraestrutura e vítimas — mas rigorosamente, sem cometer um único erro. Então, em última análise, os LEAs são sobre diligência, sobre verificar e re-verificar suposições, verificar e falsificar hipóteses, até que possamos fazer declarações factuais, enquanto a indústria de segurança privada é sobre eficiência. Isso pode ser um campo de tensão, mas já experimentei tantas situações em que as LEAs e as empresas de ameaças cibernéticas estavam colaborando ativamente, reconhecendo essas diferenças. O grande desafio é quando suspeitos identificados estão em uma jurisdição onde a extradição é difícil, e isso acontece regularmente. Portanto, as LEAs devem formular intervenções alternativas, como interromper a infraestrutura criminal, apreender bens, auxiliar as vítimas ou escrever análises de ameaças.
DS: Na sua opinião, é mais difícil pegar cibercriminosos do que outros tipos de criminosos? Se sim, quais fatores dificultam e como a polícia pode superá-los?
EvdS: Há uma relação causal entre, de um lado, a complexidade da segurança dos criminosos e, por outro lado, a duração e complexidade das investigações policiais. Embora haja atenção acadêmica, corporativa, midiática e política para ataques dos “bandidos” e segurança cibernética dos “mocinhos”, as práticas de segurança dos cibercriminosos são amplamente conhecidas desconhecidas. A menos que saibamos o que os cibercriminosos garantem, contra quem e até que ponto, formular contramedidas ofensivas eficazes — ou seja, investigações — é um desafio.
Os bandidos reconhecem a importância da segurança. O crime cibernético organizado e o crime tradicional colocam muitos recursos na proteção de seus membros e crimes. Há hoje uma economia subterrânea completa para produtos e serviços de segurança desviantes. As medidas de segurança tanto dos criminosos tradicionais quanto dos cibercriminosos são comparáveis. Ambos distribuem seus ativos sobre múltiplas jurisdições, aplicam enganos, usam mecanismos de confiança e desconfiança, etc. No entanto, a ênfase e a implementação podem diferir. Os cibercriminosos, por exemplo, obviamente dependem mais de medidas de segurança técnica ofensivas, como ataques DDoS para cobrir faixas digitais, RATs para espionar co-conspiradores, etc. Mas os criminosos tradicionais estão se recuperando, e espero que a distinção entre o crime organizado tradicional e o cibercrime organizado desfoque ainda mais nos próximos anos. Do ponto de vista investigativo, a grande diferença entre os criminosos tradicionais e cibernéticos é a sua manifestação no mundo físico. Geralmente, os LEAs sabem quem são os criminosos tradicionais, mas têm dificuldade em provar o que estão fazendo. No cyber, isso é virado. Os LEAs sabem que crimes são cometidos, mas não quem está por trás desses atos.
DS: Em que recursos (ferramentas, habilidades, etc.) as unidades policiais de crimes cibernéticos mais bem sucedidas investem?
EvdS: Resposta simples: agências bem sucedidas investem em ciência de dados. Lançamos um white paper com o primeiro quadro para investigações científicas de dados em março de 2021. O quadro é chamado CSAE (pronunciado como ‘see-say’, e uma abreviação de Collect, Store, Analyze e Engage). Enquanto a CSAE se concentra em LEAs, a estrutura também é útil para o setor acadêmico e corporativo. Nossa abordagem de ciência de dados está misturando a perspectiva social/comportamental dos investigadores tradicionais, perspectiva técnica dos investigadores digitais (forenses) com a perspectiva numérica dos policiais com formação matemática. Juntos, eles são capazes de coletar dados brutos, normalizar e converter dados em informações, analisar as informações e criar inteligência e, eventualmente, fazer declarações factuais sobre a realidade e executar uma série de intervenções. Essas intervenções vão além da acusação de suspeitos, e incluem interrupção de TTPs, assistência às vítimas e mitigação de danos. Explicamos em detalhes como a ciência de dados é usada em todas as quatro fases para criar visão (ou seja, retrospectiva, previsão, insight e supervisão) o que coletar, o que armazenar, o que analisar e quais intervenções são necessárias. Desenvolvemos, testamos e implementamos essa estrutura nos últimos cinco anos, e não só a aplicamos a crimes cibernéticos orientados financeiramente, mas também ao tráfico de drogas e às imagens de abuso infantil. Posso realmente dizer que a polícia holandesa agora considera “grandes evidências” como uma oportunidade, em vez de um desafio.
DS: Você trabalhou em muitos casos que cruzaram fronteiras internacionais. De fato, o crime cibernético é muitas vezes considerado um crime que não conhece fronteiras. Quais são alguns dos maiores obstáculos ao trabalhar além das fronteiras, e como você os supera?
EvdS: Políticos, políticos e legisladores têm feito muito para promover a harmonização legal e organizacional, como a assinatura de tratados internacionais e a promoção da colaboração operacional. Assim, na maioria dos casos, as LEAs podem compartilhar evidências com parceiros internacionais e sabem com quem precisam alinhar suas operações. Mas então surge um novo problema e todos que participaram das reuniões operacionais reconhecem o seguinte desafio. Geralmente, os formatos de saída de uma agência não podem ser uma entrada para outra agência porque todas as agências usam diferentes sistemas, softwares, formatos e esquemas de dados. Na prática, os colegas fazem exportações em planilhas porque esse é o único formato que sua contrapartida aceita. Então o que perdemos é harmonização técnica. Harmonização técnica é sobre ética e recursos compartilhados e estabelecer normas, critérios, métodos e princípios tecnicamente uniformes para processar evidências pelas agências de aplicação da lei. Tivemos alguns grandes avanços tecnológicos na Polícia Nacional Holandesa, como o muito avançado ETL-tooling [extração, transformação e carregamento]. Compartilhamos essas tecnologias-chave, incluindo esquemas de dados correspondentes, com outras agências de aplicação da lei em democracias liberais. É por isso que amamos padrões da indústria como MISP, Diamond, CRISP-DM e o Ciclo de Inteligência. A CSAE se baseia nessas normas para avançar no novo campo das investigações científicas de dados.
Espero que a distinção entre o crime organizado tradicional e o cibercrime organizado se desfoque ainda mais nos próximos anos.”
DS: Ter algo como a UE torna mais fácil ir atrás de cibercriminosos dentro de suas fronteiras?
EvdS: Sim, com certeza. A UE e a Europol são exemplos de harmonização jurídica e organizacional. É bom se reunir sob um único teto e conhecer colegas internacionais que compartilham a mesma paixão que você. Fico sempre feliz quando detectamos um servidor malicioso ou identificamos um suspeito dentro da UE porque você tem certeza de que uma preservação ou uma prisão será um fato. A desvantagem é, mais uma vez, a falta de uma linguagem compartilhada para investigações (científicas de dados). Imagine ficar sentado por dias na mesma sala com colegas de 27 Estados-membros que tentam explicar seu processo de negócios… Se você fizesse um filme dessa parte do nosso trabalho, o filme seria categorizado como “comédia” em vez de “thriller”. CSAE foi realmente inspirado para resolver esse problema e empurrar para a harmonização técnica.
DS: Parece que os governos concentram suas acusações em grupos APT patrocinados pelo Estado, enquanto operadores de ransomware e outros criminosos são uma prioridade menor. Você concorda? Se assim for, você acha que o cidadão comum tem mais medo de atores estatais ou grupos criminosos?
EvdS: Concordo, mas temos que contextualizar essa observação. O cibercrime explodiu nos últimos anos, e o COVID acelerou ainda mais os eventos. Embora os governos tenham investido em unidades de crimes cibernéticos, o crescimento é bastante linear em comparação com o crescimento exponencial dos crimes cibernéticos. Leva tempo para contratar, treinar e construir novas equipes de investigação. Há um lado positivo na história — procure, por exemplo, os Países Baixos. No passado, minha própria equipe — a National High Tech Crime Unit (NHTCU) – tinha que fazer todos os tipos de investigações de crimes cibernéticos, desde lojas virtuais falsas até ataques DDoS. Também investigamos com sucesso o ransomware e criamos o Projeto No More Ransomware. Mas tais projetos são muito intensivos em mão-de-obra e, com prazer, a Europol adotou o projeto. Atualmente, todas as unidades policiais regionais dos Países Baixos têm equipes em pleno funcionamento. Em nível nacional, a equipe cibernética regional do ‘Oost-Brabant’ criou uma Força-Tarefa de Ransomware Holandês e é responsável por investigações de ransomware. Isso realmente ajuda a NHTCU a se concentrar em APTs orientados financeiramente e grandes provedores de crimes cibernéticos como um serviço, como a Emotet. Assim, enquanto a NHTCU se concentra em danos a grandes empresas e infraestrutura vital, as unidades regionais se concentram mais nos danos aos cidadãos e às pequenas e médias empresas. O Ransomware, infelizmente, prejudica a sociedade como um todo e, portanto, a NHTCU colabora de perto com a unidade regional do ‘Oost-Brabant’. A propósito, essa região é uma potência econômica que detém um número muito alto de empresas inovadoras (classificada em 15º lugar no mundo com base no número de patentes). Isso cria uma gama de oportunidades para a unidade policial regional. Então, estou convencido de que as unidades regionais não são unidades nacionais menores. Se devidamente equipados, eles criarão seu próprio nicho, especialização e rede.
DS: A criptomoeda tornou os ataques de ransomware especialmente difíceis de rastrear, e houve relativamente poucas prisões nesta área em comparação com o tamanho dos danos. Qual é a solução?
EvdS: O que eu acho fascinante é o conceito de tempo. As criptomoedas têm apenas uma década, mas revolucionaram a comissão e a proteção do crime. Nesse contexto, legisladores, políticos e políticos têm que apresentar uma série de intervenções para regular este novo setor. O próximo passo é a aplicação dessas regulamentações. As instituições de fiscalização e compliance têm que descobrir como funciona um novo setor, quem são as maçãs podres e se o setor é capaz de aplicar auto-governança. Em seguida, há o ultimum remedium de investigações criminais, e os LEAs devem de fato se concentrar mais em trilhas financeiras. As boas unidades técnicas de LE tendem a ser pobres em investigações financeiras e vice-versa. Mas eu vi os primeiros exemplos de equipes multidisciplinares de LE bem sucedidas, então eu acho que o número de investigações contra esquemas de lavagem de dinheiro cripto aumentará lentamente. Ao mesmo tempo, há partes do mundo onde não há regulamentação ou aplicação. Como consequência, essas jurisdições se tornam “paraísos seguros para criptomoedas”.
DS: Você publicou um trabalho muito abrangente, The Technical Computer Security Practices of Cyber Criminals— como você resumiria as medidas de segurança que os atores de ameaçaimplementam para evitar processos?
EvdS: Embora as práticas protetoras dos cibercriminosos não sejam necessariamente consideradas criminosas por lei, políticas de segurança e mecanismos de cibercriminosos frequentemente se desviam das normas de segurança cibernética prescritas. Como tal, meu estudo é o primeiro a apresentar um quadro completo sobre essas práticas de segurança desviantes, com base no acesso exclusivo a fontes confidenciais relacionadas a alguns dos cibercriminosos mais sérios e organizados do mundo. Além de descrever a proteção do crime e do criminoso, as práticas observadas são explicadas pela economia da segurança desviante: uma combinação de princípios técnicos de segurança computacional e teoria microeconômica. O novo paradigma de segurança nos permite perceber que os cibercriminosos têm muitas contramedidas à sua disposição nas fases de preparação, pré-atividade, atividade e pós-atividade de suas táticas, técnicas e procedimentos (TTPs). Seus controles não são apenas impulsionados por inovações técnicas, mas também por dimensões culturais, econômicas, jurídicas e políticas. A segurança desviante é muito democratizada, e de fato uma das principais causas da crise de eficiência e eficácia de hoje nas investigações policiais. No entanto, todo modus operandi vem com todos os tipos de fraquezas menores, maiores e até mesmo inevitáveis, e, portanto, são feitas sugestões de como as investigações policiais podem explorar essas vulnerabilidades, enquanto servem e protegem os cidadãos.
DS: Quais são os erros mais comuns que os cibercriminosos cometem? Qual foi o mais épico, em sua experiência?
EvdS: Tenho tantos exemplos… Mas geralmente, eu gosto do “Eu-não-posso-dizer-minha-namorada-sobre-o-que-eu-faço-para-viver-mas-no entanto-eu-vim-com-um-conjunto de regras-que-ela-não-obedeceu-como-não-usar-meu-computador-para-coisas pessoais”. O que eu também gosto são esquemas de segurança realmente complicados que, em teoria, são brilhantes, mas são mal executados na prática. Eu posso realmente imaginar alguém apaixonadamente dizendo a um co-conspirador como proteger um TTP, apenas para imaginar a frustração quando descobre que seu parceiro não tem o mesmo entusiasmo… Em última análise, os seres humanos, incluindo criminosos e eu, somos imperfeitos e propensos a erros.
Tenho tantos exemplos… Mas, geralmente, eu gosto do ‘Eu-não-dizer-minha-namorada-sobre-o-que-eu-faço-para-viver-mas-no entanto-eu-vim-com-um-conjunto de regras-que-ela-não-obedeceu-como-não-usar-meu-computador-para-coisas pessoais’.
DS: Como você vê o cenário de ameaças mudando nos próximos 5 a 10 anos?
EvdS: Bem, o futuro é hoje, e descrevi várias tendências no meu novo livro The Deviant Security of Cyber Crime. Mais centralização para, e colaboração entre alguns grandes atores-chave de cibercriminosos. Mais profissionalização, especialização e jogadores de nicho. Ações mais disruptivas sem qualquer consideração pelos custos humanos. Mais aceitação do crime cibernético como um trabalho legítimo em algumas partes do mundo. Mais envolvimento do Estado à medida que o crime cibernético se torna uma ferramenta política em um mundo multipolar cada vez maior. E tudo isso em um contexto de um número cada vez maior de cibercriminosos e cada vez mais complexos — portanto vulneráveis — redes e sistemas.
DS: Qual é a sua opinião sobre ransomware? Qual é o método mais eficaz para combater o ransomware?
EvdS: A sociedade como um todo ainda não leva a segurança da informação a sério. Aparentemente, as corporações economizam imediatamente na segurança da informação durante crises econômicas, enquanto mais indivíduos são atraídos para o crime durante tais momentos de dificuldades. Dmitry, eu bato de vez em quando na porta do Futuro Gravado para um bate-papo. Discutimos ransomware no passado, e sua análise é pontual quando você disse que esta é uma das maiores ameaças. O acesso não autorizado às redes é hoje totalmente monetizado por criminosos, com ransomware como a cereja do bolo. As empresas acabarão com todos os seus dados roubados, pagando um alto preço pelo resgate, enquanto seus clientes são vítimas por causa de bancos de dados de clientes comprometidos. Portanto, uma posição proativa sobre a segurança da informação é fundamental, incluindo a inteligência de ameaça cibernética para um grupo maior do que apenas aqueles que podem pagar. Quando um incidente ocorre, a colaboração é vital e isso está indo na direção certa. Mas também vejo um número crescente de empresas legítimas que ganham a vida com ataques de ransomware, como companhias de seguros, equipes de resposta a emergências e até mesmo startups que se concentram em negociações de ransomware. O tempo dirá se essas novas crianças no bloco irão colaborar com a comunidade de cibersegurança mais ampla, ou não.
DS: Com que indústria você mais se preocupa? Quem você acha menos preparado para ataques cibernéticos?
EvdS: Existem algumas empresas no mundo com grandes receitas e um baixo número de funcionários que ninguém conhece. Essas empresas parecem ser alvos interessantes porque realmente se concentram em lucrar e tentam evitar despesas gerais, incluindo segurança. Apenas uma anedota pessoal: nos Países Baixos, temos muitas empresas da indústria agrícola que se encaixam nesse perfil. Uma vez, tive que ligar para essa empresa numa sexta à noite porque recebemos informações de que o sistema de e-mail deles estava comprometido. Por causa da fraude do CEO, 200.000 eurosforam transferidos para a China. Um assistente me deu o número do celular do CEO Peter. Sua empresa teve um faturamento de mais de um bilhão de euros por ano, enquanto empregava apenas 20 pessoas em seu QG. Quando lhe disse o quanto estava perdido, Pedro ficou aliviado: apenas €200.000! Mas ele também me disse francamente que sua empresa estava colocando todos os seus esforços em aquisições de empresas em todo o mundo, e este incidente foi apenas o lado negativo dessa estratégia.
DS: Muitas vezes tem havido temores expressos sobre a colaboração entre grupos mais tradicionais do crime organizado e grupos de cibercriminosos. Você já viu casos de cooperação entre os dois?
EvdS: Em 2013, a NHTCU investigou um caso em que traficantes holandeses implantaram um hacker para acessar a rede do porto de Antuérpia. Desde então, tivemos uma série de casos em que criminosos tradicionais dependiam de cibercriminosos, a maioria hackers de aluguel. Mas isso vai mudar — criminosos tradicionais, como traficantes de drogas, precisam de conexões à internet à prova de balas, servidores, comunicações, pagamentos, etc. CyberBunker é um bom exemplo desse padrão. Também estou curioso para saber como a indústria de cibersegurança responderá a essa tendência.
DS: Diga-me um segredo, qual foi o caso mais excitante que você investigou?
EvdS: Em outubro de 2021, vou comemorar meus 12 anos e meio no serviço ‘cyber’, um marco! Geralmente, nosso trabalho garante que você terá muitas histórias emocionantes que você não pode compartilhar. Embora eu tenha experimentado casos que envolviam espionagem, centenas de milhões de dólares roubados, e operações secretas maciças, uma investigação contra um hospedeiro à prova de balas foi emocionalmente mais satisfatória. Geralmente me concentro na inteligência e na fase investigativa preparatória, e esqueci que esses suspeitos também estavam envolvidos na distribuição comercial de imagens de abuso sexual infantil. Meus sentimentos iniciais de culpa foram substituídos por orgulho absoluto quando meus colegas extremamente talentosos investigaram com sucesso todos os crimes cometidos, incluindo aqueles contra crianças. Embora tenha sido o sucesso deles, você se sente parte de uma equipe com uma missão, e é isso que me motiva a trabalhar na Unidade Nacional de Crimes de Alta Tecnologia Holandesa.
FONTE: THE RECORD