A internet nos colocou em uma nova era de hiperconexão e digitalização. Por outro lado, condutas lesivas ou ilícitas também podem ser praticadas por intermédio dela.

Também conhecido como crime informático ou crime virtual, o cibercrime pode corresponder a diversas atividades criminosas realizadas online.

Alguns exemplos comuns são o furto de informações sigilosas e espionagem, uso de identidade indevida (falsidade ideológica através de perfis falsos), distribuição de vírus e aplicativos maliciosos visando prejudicar outros usuários moral ou financeiramente e a invasão de dispositivos.

Historicamente, a internet possibilitou a globalização e a evolução da sociedade digital. Entretanto, as vantagens que a levaram a uma explosão de usuários e volume de circulação de informação foram as mesmas que facilitaram a penumbra de condutas lesivas.

Isto ocorre porque o ambiente online, é de fato sem fronteiras, contudo, a ausência destas fronteiras fomentada com esforços para democratização da rede implicou na falta de uma legislação cabível direcionada para esse tipo de ambiente no passado.

Qual é a definição de cibercrime?

O termo cibercrime surgiu no fim da década de 1990 na França, após uma reunião de um subgrupo do G8 que discutiu crimes promovidos através de aparelhos eletrônicos ou via disseminação de informação pela internet.

Neste período, a internet já representava um papel fundamental no crescente processo da globalização e se expandia pelos países norte-americanos.

Este subgrupo ficou nomeado Grupo de Lyon, porque a reunião em questão foi realizada na cidade de francesa de Lyon.

A história do cibercrime e sua regulamentação

Em paralelo à intervenção do Grupo de Lyon, o Conselho Europeu iniciou um esboço da Convenção Sobre o Cibercrime, que veio ao público pela primeira vez em 2000.

A convenção incorporou um novo conjunto de técnicas de vigilância consideradas necessárias para a luta contra a ameaça emergente. Sua versão final só foi apresentada em novembro de 2001, apresentando as seguintes áreas sujeitas ao grupo do cibercrime:

• Crimes contra a confidencialidade, integridade e disponibilidade de dados de computador e sistemas;
• Crimes relacionados a computadores: falsificação e fraude;
• Crimes relacionados ao conteúdo: pornografia;
• Crimes relacionados a infração da propriedade intelectual e direitos conexos;
• Responsabilidade subsidiária e sanções: esforço e auxílio ou responsabilização corporativa.

No início, houve uma grande confusão. O cibercrime se aplicava a novos tipos de criminalidade, tais como a pornografia na Internet ou a distribuição de fotos com imagens pornográficas que violavam a legislação de determinados países (porém não de todos), no que diz respeito ao material que explora a pornografia ou que a apresenta de forma inaceitável.

Como a Internet não tem fronteiras, foi ficando cada vez mais fácil para os indivíduos distribuírem materiais para além de seus países, às vezes sem mesmo deixar rastros de origem.

Quebrar sistemas de computador ou exercer atividades de hacker também era considerado um novo crime, o que muitos países ainda não tinham assumido como um delito criminoso.

Um dos objetivos desse Tratado sobre o Cibercrime foi estabelecer regras e um acordo para o seu cumprimento, regras estas deveriam ser seguidas pelos aderentes, a fim de se lutar contra a nova atividade criminosa de forma bem coordenada.

Privacidade de dados: a história da criptografia no cibercrime

A criptografia é a prática de codificar e decodificar dados. Quando aplicada, um algoritmo codifica os dados em questão de forma que eles não tenham mais o formato original e, portanto, não possam ser lidos. Esta técnica protege informações confidenciais de diversos tipos de ameaças.

Ao longo dos anos 90, ativistas da Internet, técnicos especialistas e organizações privadas, lutaram contra a imposição de controles sobre a criptografia. Esquemas com caução de chave, nos quais o governo teria uma cópia de todas as chaves criptográficas para poder mais facilmente investigar atividades criminais e procurar provas, foram inclusos nesta luta.

Um exemplo popular foi o Clipper chip. O esquema americano não propunha apenas que o governo mantivesse as chaves para a criptografia, mas também um algoritmo fechado, que nenhum especialista estava autorizado a ter acesso e testar.

Assim, a única medida de segurança em que os especialistas confiam são os sistemas expostos ao ataque e que sobreviveram ao teste. Originalmente, a criptografia era o domínio de especialistas de segurança nacional e de militares.

Phil Zimmermann foi um dos primeiros especialistas em criptografia e pioneiro no tema. Phil se tornou um heroi na comunidade da Internet no início dos anos 90 ao disponibilizar na Usenet (um dos primeiros fóruns online) um programa de criptografia chamado Pretty Good Privacy, o PGP.

O programa foi levado para países aos quais os Estados Unidos recusassem exportar uma forte criptografia. O Pretty Good Privacy ajudou dissidentes políticos de países como a Letônia a criptografar sua comunicação, impedindo a vigilância do Estado.

Trazendo o tema para um contexto atual, é possível traçar um paralelo entre o Pretty Good Privacy e a criptografia de ponta a ponta do WhatsApp, por exemplo.

Em 2014, a Open Whisper Systems, até então, o aplicativo mais seguro de mensagens, fechou uma parceria com o WhatsApp para permitir que os usuários enviem mensagens criptografadas de ponta a ponta.

Isso significa que apenas usuários envolvidos nas conversas terão acesso às mensagens, uma vez que para descriptografá-las é necessário ter uma chave particular. É uma forma de proteção contra cibercriminosos.

Contudo, a criptografia pode ser utilizada para se defender, por exemplo, contra investigações policiais. Assim como no Pretty Good Privacy, o WhatsApp recorre à criptografia para se defender contra ordens judiciais, ao alegar que não tem acesso às informações trocadas através do app.

Após a disponibilização do PGP, o estudo da criptografia evoluiu no campo civil devido a visibilidade do tema e foi aplicado aos interesses de organizações privadas. Até hoje, é umas das principais medidas de privacidade aplicadas no mundo.

O escândalo de Edward Snowden, em 2013, também contribuiu para a aceleração da utilização de criptografia nas empresas. Na época, o Google chegou a ser acusado de apoiar o governo americano na espionagem aos seus cidadãos.

Com esta ferramenta, as empresas podem justificar, a qualquer governo, que não têm como acessar a informação solicitada.

Assim, quando prezamos pela segurança dos dados pessoais ou corporativos online, o ideal seria que toda comunicação virtual fosse criptografada.  Esta tecnologia existe justamente para impedir a espionagem e evitar que os dados sejam roubados.

Percurso do Cibercrime no Brasil

Ocupando o terceiro lugar na lista de maiores alvos de ataques a objetos conectados, o Brasil é um dos principais ameaçados pelo cibercrime. O relatório publicado em 2019 pela Symantec, revela que o país fica atrás apenas da China e dos Estados Unidos.

O estudo considera todos os dispositivos conectados à Internet, refletindo nas vulnerabilidades da Internet das Coisas. Em inglês, Internet of Things ou IoT, como é abreviado, trata-se da interconexão digital de objetos cotidianos que agem de modo inteligente.

Apesar de representar um avanço tecnológico, a internet das coisas está na mira dos cibercriminosos. Os ataques acontecem, na maioria das vezes, em câmeras com microfone e repassam dados que podem ser acessados de forma remota.

Além disso, apesar do crescimento do acesso aos dispositivos conectados, o brasileiro ainda se mostra no geral, pouco adepto às boas práticas de segurança. Iniciativas simples, como a alteração da senha padrão do fabricante, ainda são impopulares.

Esta rebeldia cultural às diretrizes de segurança se estende ao contexto corporativo. Programas de conscientização de segurança da informação e privacidade de dados são, muitas vezes, o primeiro contato que muitos têm com políticas de senha acordos de confidencialidade.

O resultado disto é a posição “privilegiada” do país entre os maiores centros de atividades digitais ilícitas.

Em 2018, um levantamento realizado pela McAfee revelou números preocupantes. As perdas das empresas brasileiras com crimes virtuais são de 10 bilhões de dólares por ano. No mundo, as perdas anuais são estimadas em 608 bilhões de dólares.

Para instituições financeiras, por exemplo, os ataques podem ser realizados através de sites falsos e clonagem de cartões mediante apropriação indevida de dados.

Portanto, todos estes fatores apontam uma necessidade que será, em parte, sanada através da criação de regulamentações como a Lei Geral de Proteção de Dados. A implementação da LGPD no Brasil representará um primeiro passo para a criação de uma cultura de segurança da informação nas empresas.

Por outro lado, os cidadãos devem ser conscientizados em relação ao risco inerente em suas próprias casas. Investigações em curso na Polícia Federal em abril de 2020 apontam para um crescente número de invasões em dispositivos de segurança domiciliares, incluindo babás eletrônicas.

Através de seus meios de comunicação oficiais, a Polícia Federal publicou uma nota alertando às famílias e apontando medidas de prevenção e orientações de segurança. Medidas como esta, por exemplo, devem se tornar frequentes e ganhar espaço na mídia para prezar pela segurança e privacidade de todos os brasileiros.

Contudo, apesar da maturidade relativamente baixa do país em relação ao cibercrime, já existem delegacias especializadas no combate ao cibercrime em alguns estados do Brasil. Clique aqui e confira a lista completa.

A existência destas delegacias é de extrema importância, dado que a polícia tradicional nem sempre estará capacitada para lidar com este tipo de infração legal, seus desdobramentos e complexidades.

Segurança da informação e o cibercrime no contexto corporativo

Qualquer organização possui uma riqueza de dados corporativos e informações gerenciais, gerados através do próprio exercício de sua atividade. As empresas, no geral, ainda tardam em dar a devida importância à gestão destas informações.

Servidores de arquivos tendem a se tornar buracos negros de informação, sem qualquer gestão ou visibilidade sobre quem acessa o quê. A falta de preocupação com a segurança da informação pode ficar segregada, pois poucos executivos são capazes de enxergar as ameaças financeiras deste tipo de comportamento.

O vazamento de informações corporativas pode aniquilar sua vantagem competitiva frente ao concorrente, uma vez que informações gerenciais podem revelar toda a sua estratégia a longo e curto prazo.

Além disso, muitos escândalos já ocorreram no que diz respeito ao vazamento de informação e dados, como foi o caso Playstation. Com prejuízo de mais de US$ 24 bilhões para a Sony, 77 milhões de usuários da Playstation foram atingidos por hackers em 2011, que roubaram informações de cartões de crédito e senhas. Tudo isso gerou intenso impacto negativo à gigante dos games.

Ameaças avançadas mudaram o mundo da segurança corporativa e como as empresas são atacadas.

Estas ameaças, e os cibercriminosos responsáveis por elas, são especialistas em permanecer escondidos da segurança tradicional enquanto exibem uma inteligência e resiliência jamais antes vista.

A proteção contra estas ameaças requer um conjunto de disciplinas de segurança trabalhando juntas em um mesmo contexto. Apesar de não haver uma solução única que resolverá o problema destas ameaças por si só, a evolução da cibersegurança fornece visibilidade e controle para prevenção de riscos.

Aos poucos, a cibersegurança se estabelece como um campo que exige atenção de todas as empresas. Seja para prevenir os riscos que uma invasão pode representar, seja para cumprir com legislações recentes como a Lei Geral de Proteção de Dados, o tema deve ser fomentado.

A segurança da informação também é vista como valor agregado a ser oferecido aos clientes de determinadas organizações. Hoje, empresas que tomam esta consciência poderão usufruir de um certo pioneirismo, dado que o tema, infelizmente, ainda é menos abordado do que deveria ser.

As legislações, entretanto, apontam para um futuro de regulamentação cada vez mais rigorosa. Portanto, quanto antes estes passos forem dados, melhor.

Como posso proteger minha empresa contra o cibercrime?

Independente do porte ou área de atuação das empresas, os grandes destaques do mercado operam seus principais sistemas através de dispositivos com grande dependência da conectividade.

Por isso, nas últimas décadas, houve um aumento significativo na quantidade de informações sensíveis que circulam através das organizações. A tendência da mobilidade corporativa trouxe a proliferação do uso dos dispositivos móveis e serviços de cloud nas empresas, que impulsionam o investimento em ambientes de TI mais seguros.

A elaboração de políticas objetivas, que detalhem a procedimentos e diretrizes no trato com dados sensíveis é primordial em qualquer negócio. Desta forma, o gerenciamento de riscos pode acontecer através de controles bem definidos, que ainda fornecem referências para auditorias e ações corretivas.

Para entender os pressupostos desta política, é preciso saber o que exatamente significa segurança da informação.

De acordo com a definição da norma ISO 27001, que estabelece as diretrizes gerais para a gestão da informação de uma empresa, a segurança da informação é o ato de proteger os dados da empresa contra diversos tipos de ameaças e riscos — espionagens, sabotagens, incidentes com vírus ou códigos maliciosos e até acidentes físicos, como incêndio e inundação.

A segurança da informação é, portanto, obtida através da implantação de controles que incluem procedimentos de rotina (como as verificações de antivírus), infraestrutura de soluções (como a gestão de dispositivos móveis), além da criação de uma política documentada.

Chegamos, assim, à política de segurança da informação, definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma organização. Lembrando que uma política de segurança não é um documento imutável. Muito pelo contrário, requer atualização constante e participação não só da diretoria da empresa, mas também dos colaboradores e da equipe de tecnologia.

Quais devem ser os pressupostos da política de segurança da informação?

Alguns princípios básicos garantem que cada variável receba devida atenção na elaboração do documento. Cada um deles denota uma postura diferente dentro da empresa, e exige ações pontuais para manutenção de sua presença:

• Confidencialidade: garantir que determinada informação seja acessível somente às pessoas previamente autorizadas. A ruptura deste sigilo pode ocasionar danos inestimáveis;
• Integridade: preservar a originalidade e confiabilidade dos dados, mantendo-os intocados. É preciso adotar todas as precauções cabíveis para que a informação não seja modificada ou eliminada sem autorização, prezando por sua relação direta com a realidade;
• Disponibilidade: garantir aos colaboradores o acesso aos dados sempre que necessário. O negócio pode depender da disponibilidade de dados para fechar contratos, vendas e atender os clientes. É preciso que o acesso seja fluido, seguro e eficiente.

Será que eu preciso de um Pentest? Entenda como os testes de intrusão podem proteger sua empresa do cibercrime

Embora associemos a palavra hacker a criminosos virtuais, esta definição não é correta. Qualquer pessoa que se dedique, intensamente, a alguma área específica da computação a ponto de desenvolver técnicas e descobrir utilidades além das previstas originalmente pode ser considerado um hacker.

Além disso, o Ethical Hacking é uma área de atuação para os hackers que desejam realizar testes de intrusão com o objetivo de avaliar a maturidade e segurança de um determinado sistema, agindo a favor das corporações e sugerindo planos de ação perante as vulnerabilidades identificadas.

Os testes realizados por estes especialistas são os Pentests, um conjunto de atividades e ferramentas utilizadas para identificar falhas de segurança em sistemas e redes corporativas. As técnicas simulam um ataque hacker, mas ocorrem de forma completamente transparente e ética.

Muitas vezes a equipe responsável pela criação ou manutenção de um sistema não consegue enxergar falhas em sua arquitetura. É como quando escrevemos um texto que precisa de revisão: muitas coisas escapam aos nossos olhos quando revisamos nosso próprio material, mas uma segunda verificação diminui a possibilidade de erros. Por isso, existe o pressuposto de que nenhum sistema é completamente seguro.

Uma das medidas adotadas em testes de segurança é o escaneamento de portas, através dele, é possível identificar vulnerabilidades e falhas na rede, dessa forma o responsável pelo projeto de segurança tem como corrigir essas falhas.

O profissional especialista nesta atividade é chamado de pentester. É comum que este ethical hacker possua certificações que comprovem sua atuação dentro dos princípios éticos.

Contudo, assim como se desdobra qualquer atividade empresarial, é preciso analisar a complexidade da necessidade para aplicar a solução mais adequada. Por isso, existem alguns tipos diferentes de pentest.

A responsabilidade de determinar o tipo de teste a ser realizado é do próprio pentester. De acordo com o cenário e as necessidades de identificação de vulnerabilidade, o profissional identificará qual invasão será realizada.

Algumas variáveis são consideradas na determinação das diferentes modalidades de teste de intrusão. A principal delas, contudo, é a quantidade de informação que o autor do ataque receberá por parte de seu cliente, a empresa que solicitou o teste.

Esta variável é a principal forma de diferenciar os três tipos mais recorrentes de pentest. Entenda, abaixo, quais são eles e quais informações são repassadas ao ethical hacker em cada uma das possibilidades:

• Pentest Whitebox: nesta modalidade, todas as informações do cliente sobre a rede, servidores, banco de dados e sistemas que estão inclusos no escopo do teste de invasão, além da concessão das informações de acesso. Os pentests whitebox mais conhecidos são aqueles realizados para analisar aplicações disponíveis na web, onde a configuração do servidor e o código fonte são analisados abertamente em busca de falhas de segurança;
• Pentest Blackbox: este teste é o tipo de análise que melhor se assemelha a um ataque externo. Isto acontece porque nenhuma informação vinda do cliente é fornecida para a realização do teste. Sendo assim, todo e qualquer tipo de informação para a realização de um teste Black Box é adquirida através de técnicas específicas de hacking sobre os serviços disponíveis do alvo, identificando assim as vulnerabilidades e os possíveis danos causados por um ataque mal intencionado.
• Pentest Greybox: esta modalidade pode ser considerada uma mistura das duas anteriores. Nela, o pentester recebe algumas informações do cliente, como dados da infraestrutura de rede ou o acesso a determinado serviço web. Um pentest greybox é direcionado para analisar possíveis falhas de segurança em uma aplicação vinda através de um usuário credenciado, como níveis de permissões de acesso e alterações não autorizadas.

Além disso, outras variáveis diferenciam os principais tipos de pentest e suas ramificações. O tempo de execução, autonomia do analista, profundidade do teste e relação entre eficiência e custo são alterados de acordo com cada uma das modalidades.

Por fim, vale destacar que a realização de testes de intrusão pode ser potencializada quando associada a iniciativas de engenharia social.

Continue lendo e entenda como manter sua empresa segura:

• Antivírus para celular: é mesmo necessário?
• Segurança da Informação: onde mora o perigo?
• Vazamento de informações: existe ameaça?
• LGPD: o que é e como funciona?
• Bloqueio de aplicativos: conheça as diferenças no ambiente corporativo e para uso pessoal