Aos 47 anos, o russo Yevgeny Kaspersky é um dos maiores especialistas do mundo em ameaças virtuais propagadas pela internet, em particular malwares, vírus dedicado a furtar dados de usuários de computadores e smartphones. Mais conhecido como Eugene, nome mais “amigável” no Ocidente, ele fundou e comanda a Kaspersky Lab, empresa que mais mais cresce no segmento de softwares de segurança: segundo a imprensa americana, a companhia fatura 600 milhões de dólares por ano com a venda de programas, instalados em cerca de 300 milhões de computadores em todo o planeta. Tanto sucesso rendeu a Kaspersky uma fortuna pessoal estimada de 700 milhões de dólares, o que o coloca em 137º lugar entre os homens mais ricos da Rússia. Em sua ascensão, ele adotou a imagem de um bon vivants: promoveu festas “históricas”, comprou uma das cotas de patrocínio da equipe de Fórmula 1 da Ferrari, e tornou-se conhecido o bastante nos países asiáticos a ponto de ser escalado para participar de uma propaganda de televisão ao lado do ator Jackie Chan. Em 2011, esse perfil atraiu a atenção de sequestradores, que mantiveram seu filho em cativeiro por diversos dias – até que o serviço secreto russo conseguiu localizá-los e capturá-los.
Libertar vítimas de sequestro não é trabalho da polícia secreta. Mas não é errado dizer que, nesse caso, eles ajudavam um dos seus. Kaspersky tinha 16 anos quando ingressou, no início da década de 1980, no Instituto de Criptografia, Telecomunicações e Ciência da Computação, instituição bancada pelo Ministério da Defesa da União Soviética e pela KGB. Formado, ingressou no Exército, onde permaneceu até o final da década de 90, quando obteve uma licença especial de desligamento para se dedicar ao tema que o havia cativado anos antes, quando um programa chamado Cascade travou as funções de seu computador: a análise dos vírus digitais. Como empresário, Kaspersky logo se reaproximou do governo. Isso não é surpresa. Assim como as grandes empresas americanas do setor, como a Symantec, têm no governo dos Estados Unidos um dos seus principais clientes, a Kaspersky é uma importante colaboradora dos serviços de segurança russos. Infelizmente, seu dono parece ser algo mais que um prestador de serviços. Em diversas entrevistas, Kaspersky já deixou transparecer que a internet lhe parece “livre demais” em sua capacidade de propagar ideias causadoras de agitação política – um ponto de vista compartilhado pelo regime linha-dura de Vladimir Putin.
Ideologia à parte, é certo que poucas pessoas no mundo são melhor equipadas que Kaspersky para compreender o potencial – e a dimensão política – do uso dos vírus de computador. Em maio deste ano, seu laboratório foi o responsável por quebrar o código do vírus Flame – programa que, segundo o jornal americano The Washington Post, foi desenvolvido pelos Estados Unidos como uma ferramenta para danificar sistemas de TI do Irã. (A tarefa de analisar o Flame não foi encomendada a Kaspersky pela Rússia, mas pela União Internacional de Telecomunicações, organismo das Nações Unidas dedicado a fomentar o desenvolvimento da internet). “Os governos já estão nesse jogo”, diz Kaspersky. “Com organização e dinheiro para gastar, não se pode excluir que grupos terroristas bem estruturados possam estar a um passo de ter acesso a tecnologias para invadir e interferir em redes de computadores para furtar dados ou paralisar infraestruturas nacionais.” Leia a seguir a primeira parte da entrevista que o especialista russo concedeu ao site de VEJA em seu escritório em Moscou. Na segunda parte, a ser publicada no domingo, Kaspersky fala sobre como os usuários de computadores e smartphones podem se defender de ameaças virtuais.
Em agosto, um supervírus de computador invadiu contas bancárias no Líbano. No ano passado, outro havia interrompido o funcionamento de centrais nucleares no Irã. Começou a ciberguerra?
Eugene Kaspersky– Sim. Nos últimos meses, temos visto uma onda de ataques, com ações cada vez mais complexas. Primeiro veio o Stuxnet, malware que descobrimos em maio de 2010. Depois vieram outros: o DuQu, em setembro do ano passado, o Flame, no começo de 2012, e o Gauss e o Shamoon, em agosto deste ano. Antes da chegada do Stuxnet, já prevíamos que malwares seriam usados para danificar a infraestrutura de alguns países, mas não imaginávamos que isso chegaria ao nível de complexidade atual. Cada um a seu tempo, esses malwares paralisaram as centrífugas nucleares irananas, segundo soubemos pela imprensa, roubaram dados bancários no Líbano e invadiram computadores de uma das maiores companhias de petróleo da Arábia Saudita, a Aramco.
Qual o grau de complexidade desses vírus?
E.K. – Muito grande. O Stuxnet, que já era um bocado complicado, era formado por um conjunto de módulos que ocupavam cerca de meio megabite de tamanho. Ele levou sete meses para ser completamente analisado e dissecado por um time de especialistas do Kaspersky Lab. O Flame tem 6 megabites: ou seja, é doze vezes maior e muito mais complexo. Tem uma dezena de módulos, cada um deles com uma função diferente: roubar dados, habilitar bluetooth para a transmissão de dados etc. Uma dezena de nossos analistas está estudando detalhadamente seu código e eles ainda não terminaram o serviço.
Como são desenvolvidas ameaças com tamanho grau de complexidade?
E.K. – Às custas de muito dinheiro, pago a engenheiros de computação bastante talentosos. Nenhum desses ataques foi obra de iniciantes. Forjar um certificado digital de autenticidade como o exibido, por exemplo, para o Flame, exige gastos em torno de 200.000 dólares. Segundo nossos analistas, seu código, complicadíssimo, foi escrito por vários programadores divididos em equipes e certamente levou meses para ser completado. O mesmo vale para o DuQu e para o Gauss. No caso do Stuxnet, por exemplo, li que se tratava de um projeto desenvolvido por engenheiros de computação americanos e israelenses. Sim, até mesmo governos estão entrando nesse jogo. Antes os malwares serviam apenas para viabilizar crimes financeiros; agora, há outros interesses por trás da sua criação.
Na sua opinião, terroristas poderão entrar logo nessa onda também?
E.K. – Tudo indica que sim. Com organização e dinheiro para gastar, não se pode excluir que grupos terroristas bem estruturados possam estar a um passo de ter acesso a tecnologias para invadir e interferir em redes de computadores para furtar dados ou paralisar infraestruturas nacionais. Talvez eles ainda não tenham encontrado os criminosos certos para ajudá-los.
Grandes cidades poderiam ter serviços essenciais paralisados pela ação de um vírus de computador?
E.K. – É possível. Acho até que já pode ter acontecido coisa do gênero. Em agosto de 2003, houve um corte de eletricidade em áreas dos Estados Unidos. Na época, pouca gente levantou a hipótese de um ataque de vírus de computadores, mas pode ter sido o caso. Como os computadores estão por trás do funcionamento de infraestruturas, é possível no futuro que ataques comandados por cibercriminosos atinjam o objetivo de paralisar linhas de produção, usinas de energia, aeroportos.
Aquele estereótipo de hackers movidos pelo exibicionismo, pelo desejo de mostrar que podiam furar barreiras de segurança, é coisa do passado?
E.K. – É uma página virada na história da computação, definitivamente. O cibercrime se transformou em uma atividade milionária e extremamente profissional. Quem imaginar que eles ainda são jovens exibicionistas, interessados em invadir sites por mera vontade de aparecer, encontrará um retrato muito diferente na vida real. A realidade são vírus, spywares ou programas maliciosos concebidos para fisgar e roubar senhas ou informações confidenciais de empresas, desviar dinheiro, fazer espionagem industrial, atacar a propriedade intelectual. São esquemas semelhantes aos de bandos do crime organizado.
Como esses esquemas funcionam?
E.K. – Normalmente, as quadrilhas que atuam na internet têm funções divididas, como os departamentos de uma corporação profissional e muito bem estruturada. Elas contratam engenheiros formados em computação e matemáticos talentosos. Muitos deles são formados por universidades chinesas ou russas.
Como esses criminosos se encontram?
E.K. – Na internet, em fóruns ou chats. As gangues sabem que, na rede, o que não falta é gente com formação e competência para exercer papéis diversos no mundo do crime. Há quem roube e venda listas com números de cartões de crédito, forje documentos ou credenciais, desenvolva programas para infectar e monitorar máquinas, capture contas bancárias ou dados pessoais e de empresas, lave dinheiro etc. As pessoas nem podem imaginar o tamanho do mercado negro que movimenta milhares de números de cartões de crédito, nomes de usuários e senhas.
Há muitos engenheiros de computação brasileiros trabalhando para o cibercrime?
E.K. – Sim. Já estive algumas vezes no Brasil, e mantemos um escritório e um especialista baseados em São Paulo: portanto, conheço a realidade do país. Sei que os hackers brasileiros são especialmente habilidosos para conceber vírus para ataques a bancos. Ameaças com códigos escritos em português estão no topo do ranking de malwares.
O senhor contrata hackers?
E.K. – Não. Há doze anos procuro bons especialistas em malware. O primeiro que recrutei, o romeno Costin Raiu, em 2000, trabalha na Kaspersky Lab até hoje e é um dos melhores analistas de ameaças que conheço. Eu o encontrei em um tour por países do Leste Europeu para estabelecer relações com profissionais. Depois vieram outros, como Sergey Golovanov e Aleks Gostev, russos, muito bons. Descobri Dmitri Bestuzhev, também russo, que tinha emigrado para o Equador e hoje é um dos responsáveis pela coordenação na área da América Latina. Recrutei ainda especialistas de primeira como o brasileiro Fabio Assolini e o argentino Jorge Mieres. Desde o começo, preferi prestar mais atenção ao lado técnico do que ao marketing.
A função de caçar malwares ainda é executada por esses talentos?
E.K. – Hoje, a maioria das ameaças a computadores é bloqueada por servidores, capazes de vasculhar milhões de dados por dia. Cerca de 97% dos malwares são bloqueados por eles. O resto, formado por malwares mais complexos ou novos, é estidadp por nossos 800 analistas aqui na Rússia e por especialistas que trabalham para nossa companhia espalhados pelos quatro cantos do mundo, em São Paulo inclusive. Não dormimos nunca.
***
Vírus eletrônicos prosperam com ajuda de erros primários de usuários de computadores e celulares
“Não acredito em nada 100% seguro neste mundo.” Ouvir tal afirmação da boca de Eugene Kaspersky, uma das maiores autoridades do planeta quando o assunto é combate a ameaças virtuais, soa como uma condenação a conviver com as pragas eletrônicas. Afinal, à frente da empresa Kaspersky Lab, o especialista russo de 47 anos fez fortuna a partir da confiança de milhões de usuários de computadores, tablets e smartphones na sua capacidade de debelar pragas. Ninguém deve se desesperar. Kaspersky garante que boas práticas podem reduzir significativamente os riscos de ataques virtuais. O problema, acrescente o russo, é que muita gente se descuida, cometendo falhas primárias que permitem o avanço dos ataques. Na entrevista a seguir, a segunda parte de uma conversa ocorrida em Moscou, Kaspersky conta quais práticas ele mesmo adota no dia a dia para evitar a contaminação por vírus eletrônicos. Fala também sobre sua contreversa ideia de criar algum tipo de controle na internet, apresentado como forma de combater ameaças maliciosas. “Eu sugiro que a partir de determinado nível de interação com um serviço, o usuário tenha de ter uma carteira de identificação para navegar em alguns sites”, diz. Tal ponto de vista não surpreende. Em diversas entrevistas, Kaspersky já deixou transparecer que a internet lhe parece “livre demais” em sua capacidade de propagar ideias causadoras de agitação política – um ponto de vista compartilhado pelo regime linha-dura de Vladimir Putin. Confira os melhores momentos da entrevista a seguir.
Assistimos à ascensão dos dispositivos móveis, cada vez mais numerosos. Isso nos torna mais ou menos vulneráveis às ameaças virtuais?
E.K. – A chegada de smartphones, tablets e outros dispositivos que tornaram a internet ainda mais móvel e vulnerável. Muitos smartphones estão vinculados diretamente a uma conta bancária, o que multiplica o risco de golpes. Entre maio e agosto deste ano, identificamos 14.923 malwares concebidos para atacar dispositivos móveis. É catorze vezes mais do que o registrado há um ano. Os ataques comuns incluem o envio de SMS para beliscar um pouco do dinheiro alheio cada vez que uma mensagem é aberta, invadindo os smartphones para fazer ligações às custas dos outros, além de capturar listas de contatos ou dados bancários. Potencialmente, há muito mais memória e informações instaladas em um aparelho móvel atual do que havia em um desktop do final da década de 1990. Só que as pessoas não estão nem aí na hora de clicar em um link suspeito, tampouco reforçam suas senhas, que em geral são óbvias demais.
Como o senhor se defende de tais ameaças?
E.K. – Para começar, não navego em um dispositivo, seja computador, tablet ou smartphone, sem um software de segurança instalado. Acredito na proteção dos softwares fabricados pela minha empresa (risos). Também tomo providências adicionais. Não clico em qualquer link que recebo, não confio em qualquer um na internet, mesmo que jure que é meu amigo, não faço transações bancárias a partir do meu smarphone ou quando não tenho conexão segura. Também não uso programas de envio de arquivos digitais, não instalo arquivos que chegam por e-mail ou Facebook, não deixo para depois atualizações solicitadas por programas instalados nas minhas máquinas e mantenho ao menos dois back-ups, HDs com minhas informações mais relevantes e fotografias. Quando possível, uso um cartão de crédito virtual para pagar uma única transação bancária. Por fim, mas não menos importante: mesmo sendo um ativo usuário do Facebook e do Twitter, não baixo a guarda em redes sociais.
Essas práticas garantem navegação 100% segura?
E.K. – Minimizam os riscos de ataques. Ainda assim, qualquer um está sujeito a ser vítima de um ataque a seu notebook, smartphone ou tablet. As únicas medidas que poderiam evitar a contaminação a computadores é banir máquinas ou usuários. Claro que ambas alternativas são completamente despropositadas. O melhor, portanto, é reduzir brechas que facilitem ações de cibercriminosos.
Como gerenciar senhas?
Acho recomendável ter várias, uma para cada finalidade: uma senha para Facebook, outra para Twitter, uma terceira para e-mails, uma nova sequência para contas bancárias e assim por diante. Aconselho os usuários ainda a alterá-las constantemente: eu as renovo a cada três meses. O ideal é que os usuários criem senhas que possuam ao menos oito dígitos – combinando letras, números e caracteres maiúsculos e minúsculos – e evitem palavras ou nomes que podem ser encontrados em um dicionário.
O senhor disse que não baixa a guarda em redes sociais. Por que desconfia tanto desses serviços?
E.K. – As pessoas acham que as redes sociais são ambientes frequentados apenas por amigos e que podem abrir qualquer arquivo ou link. Não é nada disso. E essa confiança abre espaço para vulnerabilidades, que poderão ser exploradas por ataques. Eu costumo brincar que o maior problema das redes sociais relativo a segurança é o fato de elas serem… sociais.
Diante de tantas ameaças e ataques propriamente, o senhor acha que a regulamentação internacional de combate aos crimes virtuais é vunerável?
E.K. – Eu diria que é bastante vulnerável. Enquanto os cibercriminosos falam entre si de várias partes do planeta e armam golpes em poucos segundos, as polícias de diferentes países perdem um tempo enorme para colocar as mãos neles. Existe a Interpol, mas ela não foi desenhada para investigar delitos na internet. Para combater o crime na internet seria preciso muito mais agilidade por parte dos países, além de leis de alcance internacional para facilitar as investigações.
O senhor defende a controversa criação de controles na internet para combater os crimes. Como seria esse controle?
E.K. – Eu sugiro que a partir de determinado nível de interação com um serviço, o usuário tenha de ter uma carteira de identificação para navegar em alguns sites. Quem defende a internet do jeito que ela está hoje, sem nenhum controle, provavelmente acredita que seria possível controlar o trânsito em um mundo no qual automóveis circulariam sem placas de identificação.
Não é uma solução invasiva demais?
E.K. – Não acho. Em um aeroporto, você tem de mostrar passaporte ou cartão de embarque e também passar pelo crivo de aparelhos de raio-X se quiser entrar na sala de embarque. O mesmo procedimento deveria valer para proteger informações que fossem valiosas na rede mundial de computadores.
Que tipo de acesso teria controle mais rígido?
E.K. – Ficariam mais restritos os acessos aos bancos, a troca de informações entre duas empresas ou transmissão de dados com um número de cartão de crédito, por exemplo. Claro que quem quisesse fazer uma consulta a um site de informação, bater papo com os amigos em um chat ou checar se choverá ou fará sol amanhã estaria fora deste controle.
Como seria feita a identificação do usuário?
E.K. – O sistema de identificação eficiente poderia usar tecnologias de coleta de dados biométricos: pupila dos olhos ou impressões digitais, captados por meio de um scanner mais uma combinação criptografada. Uma máquina dessas custa hoje cerca de 100 euros, mas daria uma garantia adicional de que o usuário que está acessando o computador ou o smartphone é de fato ele mesmo.
Se esse passaporte eletrônico entrasse em vigor acabariam os ataques a computadores, tablets ou smartphones?
E.K. – Sou paranoico e não acredito em nada 100% seguro neste mundo. Então, acho que ainda haveria cibrecriminosos atuando na rede. Mas essas medidas afastariam os amadores desse jogo. Claro que é possível falsificar passaportes, mas o fato de eles existirem deixa a vida de criminosos mais difícil. Haveria duas áreas na internet: uma mais segura, voltada a todos que precisam proteger seus dados; outra sem controle nenhum, como é a internet dos dias de hoje.
O que o senhor acha de organizações como o Anonymous, que vem promovendo vazamento de dados de usuários sob pretexto de expor falhas de segurança de serviços?
E.K. – Muita gente os define como criminosos. Não sei se são. Mas a maior parte desses grupos não entendeu a definição de liberdade de informação. Há dados que devem ser confidenciais para não molestar pessoas e empresas. Uma organização como o Anonymous pode até trazer informações interessantes à tona, mas não tem direito de espalhar qualquer coisa por aí.
Recentemente o senhor declarou que a Apple está dez anos atrasada em relação à Microsoft quando se trata de prevenção a ataques. Por quê?
E.K. – O que eu disse é que enquanto a Microsoft aproximou-se das empresas de segurança para desenvolver sistemas de segurança mais robustos, a Apple não fez isso. No ano de 2000, quando máquinas com o sistema operacional da Microsoft foram atacadas por um malware chamado Blaster, os dirigentes da companhia chamaram empresas de segurança para discutir o problema e investiram recursos para fazer atualizações que fossem necessárias cada vez que fossem identificadas vulnerabilidades. Já a Apple tinha uma fama, despropositada na minha opinião, de que o seu sistema era invulnerável, mas está cada vez mais sendo atacado.
A ideia de que máquinas da Apple são menos vulneráveis é um mito?
E.K. – Cibercriminosos seguem a mesma lógica de qualquer bandido: atacam primeiro onde há um volume de dinheiro maior para roubar. Como a proporção de PCs no mercado é muito mais alta do que a de Macs, durante anos o desenvolvimento de malwares se concentrou nesse tipo de dispositivo. O mesmo vale para smartphones com plataforma Android (do Google), mais numerosos do que iPhones. Há que se reconhecer que há mais requerimentos para desenhar aplicativos para a Apple do que para o Android. Mas também é indiscutível que sobra espaço para criadores de malware infectarem qualquer sistema operacional.
***
[Fernando Valeika de Barros, da Veja, em Moscou]