Cyberlaw

Por Bruno do Amaral – PC Magazine

Se você está acostumado a ver filmes policiais de Hollywood, já viu e ouviu bastante sobre o Federal Bureau of Investigation, mais conhecido como FBI. Entretanto, diferentemente do que é retratado na película, muito do trabalho atual do órgão norte-americano diz respeito à tecnologia da informação e segurança de dados.

Quando morava nos Estados Unidos, o paulistano Leonardo Scudere (foto mais abaixo) não só conheceu a instituição como trabalhou para ela, investigando crimes ocorridos com ligações na América Latina, inclusive o Brasil, pós-atentado de 11 de setembro de 2001. Nos EUA, ele obteve acesso às tecnologias de ponta nos laboratórios da Costa Oeste, em Salt Lake City .

Sua época na América do Norte, compreendendo um período de 2001 a 2004, foi bastante movimentada. “Eu tinha que apagar o fogo, conter e investigar um ataque”, afirma ele. Era um pouco como os filmes sim, mas com grandes investigações por trás. Por conta de filiais de instituições financeiras norte-americanas instaladas aqui, a ajuda de Sucudere foi fundamental para a organização. E não foram poucos os casos de invasões e fraudes.

Hoje, Scudere é fundador e sócio da empresa paulistana de segurança CyberBricx, empresa especializada em gestão de riscos digitais e informática forense, mas não deixa de manter contato com seus ex-colegas de trabalho.

Ele também escreveu um livro (“Risco Digital”) e conta com mais dois livros engatilhados para futuro lançamento – todos sobre segurança na tecnologia. Segundo o executivo, “98% do dia é resolvendo fraude”. Isso poderia levar a crer que o paulista seria contra o principal meio de propagação de ameaças e onde estão grande parte dos perigos tecnológicos da nossa era – a internet. “Não sou contra”, afirma. “Mas ela tem riscos. Eu ajudo a empresa a utilizar a internet da melhor maneira possível”, completa.

Mudança legal

Apesar de a CyberBricx ser uma empresa relativamente nova – está no mercado desde junho de 2007 como consultoria e, desde janeiro de 2008, também com produtos -, ela já conta com um know-how privilegiado e já procura se adequar à nova Lei de Crimes Eletrônicos. Como a nova lei também trará mudanças na dinâmica das empresas e é preciso um parecer técnico e legal para uma análise, Gilberto Martins, sócio de Leonardo e advogado especializado em crimes digitais, faz a consultoria jurídica da empresa.

Incidentes como difamação, calúnia e o mal uso dos recursos de interação na Web 2.0 são alguns dos tópicos abordados pela consultoria, mas há o perigo também vindo do e-commerce. “Quanto mais envolvida com comércios eletrônicos, mais risco a empresa corre”, diz Scudere.

E, se caso a companhia estiver envolvida em uma fraude ou for alvo de mandato, uma das funções da CyberBrix é acompanhar e sugerir como ela deve se comportar, com o auxílio do diretor jurídico. Dessa forma, a empresa não sofrerá tanto revés por conta de um problema localizado em um funcionário ou falha ocasional.

Atacando por todos os lados

Como se trata de uma empresa extremamente ligada à tecnologia, a entidade possui parcerias diversas com companhias de softwares de segurança e gestão. O foco principal é na preservação de dados, na auditoria e na prevenção de fraudes.

Uma das parceiras é a Access Data, que analisa qualquer dispositivo de armazenamento físico de dados – de discos rígidos a celulares. Tudo que possuir memória, seja sólida ou não, passa pala análise, incluindo redes e flash. Dessa forma, documentos e dados sigilosos vazados ou conteúdo ilegal pode ser rastreado de forma eficaz.

Já a Netwitness conta com o NextGen, único produto Forense para análise de tráfego em redes e backbone. Desenvolvido em colaboração com a comunidade de inteligência americana, o produto tem a capacidade para modelagem rápida de massivas quantidade de dados e análise contextualizada. Ele procura o vazamento de informações, reconstruindo os pacotes de rede e restaura conteúdos. A Netwitness é de um “amigo pessoal” de Scudere e a empresa já trabalhou com o governo do presidente norte-americano George W. Bush.

A DRS Labs traz análise inteligente de imagens utilizando inteligência artificial (AI, na sigla em inglês) para o reconhecimento de imagens em câmeras. Criando perfis de cenas comuns – como o movimento diário de um hall de banco com caixas eletrônicos – e reporta qualquer mudança eventual na rotina. Por exemplo, se há alguma movimentação estranha e, por conseguinte, suspeita, o software de última geração da DRS manda a imagem capturada em questão por e-mail. Esse registro, de acordo com o empresário, pode servir como prova forense e tem aplicação em qualquer tipo de negócio, de instituições financeiras a estádios de futebol ou qualquer lugar com grande fluxo de pessoas. A maior vantagem é, além da rapidez, a praticidade de não precisar ficar procurando em horas de fitas de vídeo pelas atitudes suspeitas ou fora do comum.

Apesar do nome, o Kool Spam trata da criptografia entre comunicação móvel. Com taxa de 256 bits, a encriptação é suficiente para garantir a privacidade no monitoramento de voz, mas também adequada às regras da Polícia Federal em caso de necessidade. O serviço cobre qualquer comunicação wireless com foco em voz na rede GSM com operadoras.

Gestão de riscos

A Archer Tech disponibiliza softwares para gestão de riscos e consultoria para uma política online. Ela oferece soluções de governança, gestão de riscos e compliance (termo que se refere ao conjunto de disciplinas para fazer cumprir políticas e diretrizes estabelecidas pelo negócio, além de evitar, detectar e tratar qualquer irregularidade que possa ocorrer de acordo com as normas legais e regulamentares) na aderência e gap online de controles, na automação dos processos de negócios, no desenvolvimento rápido de aplicações e na gestão dos ativos de TI e políticas.

Já a Cenzic trata de uma preocupação bastante comum de aplicações seguras na internet – a vulnerabilidade do programa de segurança, como um de autenticação de um site ser realmente da instituição que diz ser, como um banco, por exemplo. Ele realiza testes, atacando a página e mostrando as brechas. Evidentemente, ele também oferece as soluções aplicáveis. “Ocorrem muitos incidentes com grandes empresas e acabamos vendo que a falha está na aplicação”, explica Scudere.

A Mandiant, fundada por Kevin Mandia (autor de livros de sucesso como Hackers – Resposta e Contra-Ataque, da Ed. Campus, e tendo atuado na Foundstone, FTI e Forças Aéreas dos EUA como Agente Especial), é focada em resposta de incidentes. Ela tem cursos especiais que treinam profissionais para capacitá-los na segurança da tecnologia de empresas e grandes bancos, além de agentes de unidades do FBI e Serviço Secreto. A CyberBricx conta com acordo exclusivo com a Mandiant, o que permitirá também o desenvolvimento de projetos de consultoria de alto nível em outras áreas, como análise forense e segurança de aplicações e redes.

De acordo com Scudere, a idéia é “agregar novas parcerias, desde que haja a demanda de clientes”. Claro que o período na polícia federal norte-americana o ajudou para consolidar tantas parcerias, mas a escolha sempre é baseada na “inovação e frente tecnológica com base instalada e conhecida”.

Perigo nos celulares

Para o empresário, novas tecnologias significam também novos desafios. A criptografia das redes irá atuar tanto na rede coorporativa quanto na rede de celular – o que já vem sendo feito, com grupos de usuários selecionados para a privacidade. Mas a rede 3G (e até a futura 4G) trará um novo modelo, “com convergência entre PC e celular. O próprio iPhone 3G já chegou e, em um ou dois anos, vai ser a ferramenta de trabalho”, prevê.

O problema do avanço das tecnologias móveis é saber se o funcionário da sua empresa está trafegando dados sigilosos. Daí o monitoramento inteligente. “Se e-mails estão indo para o meu concorrente, qual o motivo?”, pergunta de forma retórica. A análise inteligente do tráfego permite monitorar apenas os logs relevantes, sem a necessidade de armazenar toda a informação inútil para o processo.

Os clientes da CyberBricx preferem sigilo, mas são basicamente três grandes categorias: instituições financeiras (bancos, operadoras de crédito), governo (através de licitações) e telecomunicações (operadoras de telefonia fixa e móvel). E, trabalhando para eles, Scudere acaba se deparando com situações incômodas. Os fraudadores nem sempre se limitam a causar danos somente à empresa. “É quase certo que vou encontrar situações paralelas”, comenta, com certo ar de decepção. “Uma situação mais revoltante é estar investigando um executivo por fraude e descobrir coisas como pedofilia”, explica.

O expert em cybercrimes acredita que a fraude é um “fator mental”. O acusado acaba por “começar a ter personalidade dupla: vive no submundo quando está conectado”. Pela necessidade de praticar o crime, acaba utilizando computadores públicos – ou seja, da empresa, da biblioteca ou até mesmo na escola.

Apesar desses entreveros nas investigações, o negócio está prosperando. Hoje a CyberBricx tem como meta de faturamento R$ 2 milhões para 2008 e, até 2012, espera chegar aos R$ 12 milhões anuais. “Tudo com capital nacional”, comemora Scudere. É o preço – e o lucro – da quantidade de ameaças de uma sociedade moderna.

Proteja sua empresa

Uma empresa pequena que lida com internet não pode se dar ao luxo de se manter desprotegida. O problema é a autoconfiança de alguns executivos ao lidar com a segurança de seus dados. Geralmente, se há algum técnico em informática na companhia, ele lida apenas com a manutenção de aparelhos, mas provavelmente os deixa vulneráveis a ataques.

De acordo com José Matias, gerente de Suporte Técnico da McAfee para a América Latina, empresas desse porte acreditam não serem atrativas aos hackers e, por isso, investem menos. “Isso não é verdade”, afirma. Justamente por serem desprotegidas, elas se tornam alvos mais fáceis e até preferem isso. “Hoje, quem cria as ameaças são quadrilhas, roubando informações financeiras importantes. Não importa como, para eles é interessante pegar dados”, declara.

O trânsito de dados sem proteção é algo preocupante. “Na delegacia do aeroporto de Congonhas (em São Paulo), uma média de 15 notebooks são roubados por dia”, afirma. Mas engana-se quem pensa que o prejuízo se dá pela simples perda do computador. “Não importa o valor do hardware, o importante é o que tem dentro dele”, ressalta.

Fonte: PC Magazine