1. Home >
  2. Notícias >
  3. Notícias >
  4. Roger Grimes: as coisas só... >

Roger Grimes: as coisas só mudarão quando tivermos uma catástrofe digital

Um dos mais respeitados conhecedores de segurança digital fala sobre o problema de operar apenas sob a lógica da cura, e nunca sob a da prevenção

Author Photo
7:28 pm - 29 de março de 2021

Enquanto nos distraímos com as flores, Roger Grimes se volta para as raízes. Um dos maiores especialistas em segurança digital do mundo falou por quase uma hora ao IT Forum, e explicou o perigo de tolerarmos crimes on-line – “aceitamos que roubos digitais aconteçam como aceitamos que ladrões roubem bancos”, disse.

Dono de mais de 40 certificações de computação e autor de 12 livros sobre cibersegurança, o americano não cansa de repetir o quão preocupante é operar sob a lógica da defesa, nunca da prevenção.

Leia também: Gigantes de tecnologia estão em crise de legitimidade, diz Paul Hilder

Para ele, o baixo investimento de pessoas e empresas em proteção digital só deve mudar diante de um evento “catastrófico”; algo na magnitude do evento ocorrido em Nova York, em 11 de setembro.

Segundo Grimes, foi essa tragédia que fez com que viajantes passassem a aceitar tirar os sapatos, passar por raios-X e terem seus corpos apalpados por seguranças antes de embarcar em um voo. Da mesma forma, de acordo com o especialista, essa boa vontade para “apertar o cerco” só deve chegar depois de um “apocalipse digital”, que pode derrubar toda a internet.

Acompanhe a seguir a entrevista completa.

IT Forum – Roger, notícias sobre ataques hackers não são nenhuma novidade, mas você acha que todos eles têm a mesma motivação?

Roger Grimes – Os ataques ransomware, em particular, têm motivação financeira. Há exceções, claro, como quando a Sony Pictures teve seus arquivos violados por agentes da Coréia do Norte, alguns anos atrás. Nesse caso, o objetivo dos hackers era penalizar a companhia por promover um filme que tirava onda de seu país e seu líder, Kim Jong-un. Ainda assim, eu diria que ransomware é uma estratégia que busca algum tipo de compensação econômica. Existem provavelmente 20 ou 30 grupos diferentes trabalhando com esse ataque; visando o lucro.

IT Forum – Então você está dizendo que esses grupos que orquestram ataques em ransomware não são “perigosos”?

R.G – Eles não querem machucar ninguém, querem apenas dinheiro. É uma extorsão, claro, então eu jamais diria que sua motivação é legítima ou inocente.

Mas você não acha que, ao ceder à pressão desses grupos, é um convite para prolongar a extorsão? Quando uma empresa aceita negociar com um hacker, muitas vezes ele pode continuar com a manipulação… A maioria das empresas prefere pagar o “resgate”, porque o ransomware mudou muito. Antes, ransomware encriptavam dados, mas desde novembro ou dezembro de 2019, eles passaram a roubá-los.

IT Forum – Poderia explicar melhor essa mudança?

R.G – Claro! O que acontecia era que programadores e grupos organizados passavam meses investigando uma companhia, lendo seus emails e vasculhando seus dados. Assim, eles conseguiam informação suficiente para descobrir o calcanhar de Aquiles do alvo em questão, sabe? Descobriam os segredos da empresa, dos clientes… aí eles se lançavam numa missão de negociar esses dados. Essa tática quase nunca era bem sucedida, porque os executivos falavam “não vamos pagá-los, porque você encriptou nossos dados, mas talvez tenhamos bons backups”. Agora a coisa mudou porque os hackers roubam os dados e ameaçam levá-los a público. E aqui estamos falando de contratos, plano de negócio e até emails embaraçosos. Quem não se lembra das mensagens envolvendo George Clooney, Angelina Jolie e outros grandes nomes no escândalo da Sony Pictures? Pois essa pequena mudança, de simplesmente encriptar para roubar e divulgar informações, mudou toda a regra do setor. Uns dois anos atrás eu diria que cerca de 40% das empresas cediam à pressão, hoje eu acho que é a regra.

IT Forum – No final do ano passado houve um episódio bem conhecido onde hackers invadiram as redes sociais de personalidades da internet para promover links relacionados a bitcoins, lembra? Qual teria sido a estratégia, porque não me parece muito inteligente…

R.G – Foi pura molecagem. Duas das três pessoas que foram presas por conta desse ataque eram menores de idade; tinham menos que 18 anos. Claro que por trás da estratégia tinha o lucro fácil e, convenhamos, se você tem menos de 18 (anos) e consegue ganhar US$ 130 mil fazendo um truque aqui e ali, um dinheiro muito fácil. Apesar da cifra, eu diria que a motivação desses jovens é muito mais poder que grana.

roger grimes interna

Roger Grimes

IT Forum – E por falar em redes sociais, os barões da social media estiveram há meses diante do Congresso americano, onde foram questionados “vocês acreditam que a China está roubando a tecnologia ou a propriedade intelectual americana?”. Queria saber qual seria a sua resposta para essa mesma questão…

R.G – Com certeza absoluta. Eu conheço muito bem a China e a forma como as coisas funcionam por lá, porque trabalhei em território chinês. E digo mais: isso não vem de agora. A China tem certamente um passado de uns 20 ou 25 anos de roubo de propriedade intelectual de outros países. É impossível negar que isso esteja acontecendo. Há casos de ataques orquestrados pelo próprio governo, mas muita propriedade intelectual foi roubada por funcionários chineses contratados por multinacionais.

IT Forum – Mas seria essa prática uma exclusividade da China?

R.G – Eu acho que todos os países meio que violam uns aos outros. Acho que talvez os Estados Unidos não tenham como foco o roubo de propriedade intelectual, como vem acontecendo na China. Estou agora mesmo trabalhando em um texto em que coloco para discussão a possibilidade de as nações chegarem a um acordo sobre casos como esse, sobre cibersegurança, porque já estamos vivendo uma guerra cibernética. O problema é que as leis digitais entre nações não são claras e crimes assim quase nunca resultam em punição.

IT Forum – Você acompanha essa narrativa hacker há anos, como diria que essa indústria evoluiu?

R.G – Sim, eu participo e escrevo sobre as práticas hackers há mais de 30 anos e o que eu percebo é que, antigamente, na maioria dos ataques, as pessoas querem apenas provar do que são capazes. Era como uma grande piada. Claro que havia malwares cruéis, como o vírus Michelangelo, que formatava hard drives e esse tipo de coisa. A “evolução” desse segmento aconteceu porque os hackers entenderam que eles poderiam ganhar dinheiro com as suas práticas; que dominar programação é também uma forma de poder. Foi aí que o crime digital “acordou”. Se você é um ladrão de banco, você provavelmente vai conseguir algumas centenas de dólares e muito possivelmente vai acabar na cadeia. Agora, se você é um ladrão online, vai roubar milhões de dólares e talvez consiga se safar, se fizer tudo direito.

IT Forum – Quando você diria que essa profissionalização dos crimes digitais começou?

R.G – Começou lá pelos anos 2000. Diria que entre 2000 e 2005. E isso ganhou força sobretudo em países com menos oportunidades financeiras. Quem sabe mexer com programação e sistema entendeu que é muito mais fácil hackear alguém ou uma empresa e roubar seu dinheiro. Outra mudança importante que aconteceu depois de 2005 foi o bitcoin, que levou ao ransomware e à possibilidade de roubar sem nunca ser rastreado.

IT Forum – Voltando a abordar a China, vimos que muitos países bloquearam o 5G oferecido por companhias chinesas sob o argumento de espionagem. O que você acha dessa argumentação?

R.G – Não acredito completamente nessas acusações, porque há pouca evidência que comprove que a China esteja manipulando certas tecnologias para usar como ferramenta de espionagem. O roubo de propriedade intelectual que falamos antes acontece de maneiras, digamos, “tradicionais”, não tem nada de modificar hardware ou outra barbaridade tecnológica. Acho graça de quem acredita que a China está adulterando placas-mães, chips e outros componentes, e dizem que vão parar de comprar a tecnologia vinda daquele país. Boa sorte para essas pessoas, porque há chips chineses em 70% ou 90% de tudo o que compramos.

IT Forum – Quais são as três formas mais comuns de hackear alguém?

R.G – Engenharia social é, de longe, a forma mais comum. Diria que quase 90% de todos os ataques acontecem assim, enganando uma pessoa para lhe dar senhas ou instalando um cavalo de tróia em seu sistema. Essa foi a estratégia por trás do ataque ao Twitter, que falamos no começo da nossa conversa. A segunda forma mais comum de ataque é explorando falhas em softwares. Combinadas, essas duas práticas respondem por 99% dos ataques. O outro 1% eu diria que é um ataque interno, provenientes de permissões indevidas. Tipo acontece, às vezes, na Amazon Cloud, quando alguém não tem as definições de segurança configuradas da forma correta e expõem informações sensíveis a usuários ou pessoas mal intencionadas.

IT Forum – Ou seja, não há antivírus ou senha que nos salve…

R.G – Nem essas bobagens de sistema de autenticação de duas etapas ou coisa assim. Eu trabalhei no Twitter, eu sei como as coisas funcionam. As senhas são só perfumaria, em muitos casos, porque a engenharia social – a arte de enganar as pessoas – ultrapassa tudo isso. Como você vai proteger alguém que entregou, de mãos beijadas, as credenciais de acesso a um sistema? O grande aprendizado, como usuário, é saber o tipo de informação que você disponibiliza online. Esse é o segredo da segurança digital, basicamente.

IT Forum – Foram 12 livros escritos ao longo de toda a sua carreira. Acha que, finalmente, as pessoas estão prestando a devida atenção à segurança digital?

R.G – Eu clamo por atenção há 25 anos e sempre que lanço um livro dou entrevistas. Invariavelmente, nessa conversa, o repórter me pergunta: “você acha que as coisas estarão melhores ou piores no ano que vem?”, e toda vez eu respondo que vai piorar. Não é que eu seja um pessimista, mas é que eu sou testemunha de que tudo só piorou nas últimas 3 décadas. Veja o que falamos anteriormente sobre os ransomwares e como eles mudaram de estratégia. Eles já hackearam a polícia, os hospitais, grandes corporações e entidades políticas. Achei que isso seria o fundo do poço, mas há sempre como descer mais – e eu toda vez acho que a próxima novidade vai ser o chacoalhão da sociedade. O problema é que ainda não tivemos nosso evento digital ’11 de setembro’.

IT Forum – Como assim?

R.G – Quando 11 de setembro (9/11, no calendário padronizado no sistema americano) aconteceu, o que descobrimos é que uma série de falhas permitiu aos terroristas concluir sua missão. As máquinas de raio X deveriam ter identificado as facas, e não o fizeram. Por isso hoje é absolutamente aceitável pedir para que todos os passageiros tirem seus sapatos, joguem foram líquidos e sejam apalpados por policiais antes de embarcar em uma aeronave. Acho que se esse protocolo existisse antes de 11 de setembro, haveria muita controvérsia, mas depois da tragédia é aceitável, entende? Bem, isso não aconteceu com a internet ainda. Minha previsão é que, em algum momento, teremos um 9/11 online, em que ficaremos sem internet por um ou dois dias ou um ataque à bolsa, não sei direito, mas será algo realmente significativo. Acho que só assim para as pessoas sentarem e chegarem a um consenso de como navegar na era digital de maneira realmente segura e organizada.

IT Forum – Mas não acha que a proteção tem sido sofisticada a tal ponto de evitar uma tragédia tipo 9/11 online e, por isso, ela talvez nunca aconteça?

R.G – É muito difícil que as pessoas concordem em estabelecer protocolos de segurança antes de algum ataque. Em geral somos mais enfáticos ao remediar a dor do que trabalhar na prevenção, e isso vale para a tecnologia também. É mais fácil vender geradores e baterias em temporadas de furacões, sabe? No meu livro “Hacking the Hacker” eu dedico as primeiras páginas para explicar como as pessoas que travam batalhas contra os invasores são mais inteligentes que os hackers, e que esses atacantes não são muito criativos. O problema é que muitas empresas não investem na prevenção até que algo grave aconteça. E é comum vermos que, quando isso acontece, e uma companhia coloca dinheiro para evitar um ataque hacker, muita gente acredita que tenha sido um desperdício porque “nada aconteceu”, entende?

IT Forum – Ou seja, eles aprendem pela dor…

R.G – Na verdade, nem isso. É de se esperar que gigantes do calibre de Twitter, Target ou TikTok levem sua segurança de dados a sérios depois de tudo o que já vimos acontecer, né? Mas a verdade é que eles não os fazem, porque não foram financeiramente afetados. Claro, a repercussão é negativa e é um evento vexaminoso do ponto de vista social, mas passados três meses ninguém mais se lembra do ocorrido. Assim eles não perdem clientes, usuários ou membros e continuam agindo da mesma forma. De certa forma, todos nós aceitamos com passividade que exista crimes digitais, assim como aceitamos que exista ladrões de bancos, e os bancos permitem que pessoas se aproximem dos caixas e interajam com ele. Se essas instituições financeiras quisessem mesmo se livrar de todos os assaltos, eles colocariam em prática uma série de protocolos que tornaria esse tipo de crime virtualmente impossível. Tudo isso para dizer que nós, como sociedade, toleramos um certo nível de criminalidade e estamos reproduzindo isso na internet também. Pessoalmente, acho que nossa permissividade é exacerbada. Acho que estou me exaltando…

IT Forum – Não, eu entendo…

R.G – É que eu fico pensando em coisas como cartão de crédito. Imagino que em algumas ocasiões você tenha tido seu cartão comprometido pelo menos uma vez, né?

IT Forum – Com certeza

R.G – Então, isso costumava ser um escândalo, porque impactava no seu histórico de crédito e você era obrigado a passar meses limpando essa bagunça. Agora, é muito provável que as empresas dos cartões de crédito te liguem com antecedência para avisar que seu cartão está comprometido e que receberá um novo em alguns dias. Tudo parece ótimo e eu tenho certeza que essas empresas acham que resolveram o problema com esse sistema. A questão é que as companhias estão investindo mais tempo tentando garantir a segurança para que você não tenha que ficar dias ou semanas sem usar o seu cartão.

Leia também: Tudo o que você precisa saber sobre o megavazamento de dados

IT Forum – Essas mesmas práticas acontecem no Brasil, que é um país que não tem por hábito focar na prevenção também…

R.G – Isso não é exclusividade desse ou daquele país. Muitas empresas mundo afora sequer têm executivos na posição de Chief Security Officer (CSO). Como eu viajei muito a trabalho, tive a oportunidade de conhecer diferentes realidades e, das minhas andanças, pude constatar que há nações muito “piores” do que os EUA em relação a esse tipo de atenção e mão de obra.

IT Forum – Você acha que o fato de o Brasil falar português pode, do ponto de vista de segurança, nos ser benéfico?

R.G – Eu realmente não sei. Uma coisa que sei, porém, é que alguns dos ataques mais sofisticados que tive ciência aconteceram no Brasil. Minha inspiração para o livro “Hacking the Hacker” passa também pelo seu país, porque eu fico inspirado com os avanços feitos ali e testemunhar a briga “de gente grande” que hackers e programadores travam uma disputa.

IT Forum – E por falar em disputa, você comentou momentos atrás que estamos perto de uma guerra digital. Como imagina que seja esse cenário?

R.G – Primeiro que, daqui pra frente, acho que toda e qualquer guerra terá um fator digital. Agora, como tudo isso vai se desenrolar exatamente, eu ainda não sei. A gente sabe que a Rússia interferiu nas eleições americanas, caberia então uma resposta à altura? Se o ataque é digital, o contra-ataque tem que ser na mesma moeda? Acho que temos muitos pontos para estudar, aprender e discutir.

IT Forum – Sr. Grimes, qual é a sua maior preocupação atual quando o assunto é hacking?

R.G – A vulnerabilidade da infraestrutura crítica da internet. Sei que esse universo online começou quase como uma brincadeira, mas hoje todo o sistema financeiro, sistema de saúde e outros sistemas cruciais para a manutenção da sociedade estão conectados. Assim, meu maior medo é do avanço das atividades hackers que tenham como alvo partes sensíveis da sociedade e do mundo.

IT Forum – A ideia de estar 100% seguro no mundo digital é uma utopia, independentemente se você for uma companhia ou uma pessoa?

R.G – Acho que sim. Pelo menos agora, qualquer empresa ou pessoa pode ser hackeada, com certeza. Por mais de 20 anos eu fui contratado como um hacker de teste. Minha missão era hackear meus clientes e analisar seu sistema de segurança. Eu consegui invadir todas as empresas que me contrataram. Com exceção de um caso, que pediu três horas de atenção, eu consegui invadir as demais em uma hora ou menos. E olha que, na escala hacker, de 1 a 10, eu sou um 5. De verdade, eu não sou o melhor do mundo nisso, então se alguém realmente bom quiser tê-lo como alvo, então se prepare, porque você vai ser hackeado.

 

Tags:
hacker
privacidade
ransomware
segurança

Notícias relacionadas

Notícias
Phi-3 Mini: Microsoft introduz o menor modelo de IA até o momento
Notícias
Falta uma semana para o IT Forum Trancoso 2024
Notícias
Blanca Treviño, CEO da Softtek: “O Brasil foi como um mestrado para mim”
Notícias
Google demite mais funcionários após protestos contra acordo com Israel
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.