Ao longo de duas décadas de vida dupla, o agente do FBI Robert Hanssen vendeu milhares de documentos sigilosos à KGB, o serviço secreto da União Soviética.
A espionagem de Hanssen – o maior desastre da história dos serviços de inteligência dos EUA – chegou ao fim em 2001, quando ele foi preso num trabalho de contraespionagem do próprio FBI.
Um dos responsáveis pela operação que culminou com a detenção foi o então jovem agente Eric O’Neill – hoje um renomado consultor na área de crimes cibernéticos e segurança nacional.
Autor do recém lançado Spies, Lies, and Cybercrime: Cybersecurity Tactics to Outsmart Hackers and Disarm Scammers (compre aqui), O’Neill veio a São Paulo falar no Safra Artificial Intelligence Investment Day, na sexta-feira passada.
O evento do Safra reuniu grandes nomes internacionais e especialistas brasileiros para discutir o impacto, as oportunidades e os riscos dos sistemas de AI.
O’Neill falou com o Brazil Journal sobre as estratégias dos criminosos digitais para atacar pessoas, empresas e países – agora potencializadas pelas ferramentas de AI.
Para o especialista, nada mais enganoso do que imaginar os hackers como jovens solitários atuando isoladamente. Os criminosos cibernéticos são a nova encarnação dos antigos espiões, operando agora em grupos organizados com alcance global e atrás da principal moeda dos dias atuais: informação.
“Os criminosos cibernéticos são empreendedores. São dezenas de pessoas que administram negócios com diversas vertentes,” afirmou. “Os principais grupos, que eu chamo de sindicatos, têm departamentos de recrutamento e RH. Possuem estruturas de pagamentos que movimentam dinheiro rapidamente por meio de criptomoedas.”
Por que você diz que não existem ‘hackers’, e sim espiões?
Algum tempo atrás, comecei a trabalhar com diferentes empresas como estrategista de segurança cibernética. O que eu fazia era aplicar a ciência da contraespionagem à segurança cibernética.
Um dia, por acaso, ocorreu-me a ideia de que não existem hackers. Porque estava cansado de ouvir as pessoas falando de hackers como pessoas solitárias agindo clandestinamente em algum porão. Sabia que não era assim que os cibercriminosos operam.
Na verdade, os cibercriminosos são tão hábeis hoje em dia em lançar ataques porque aprenderam com a espionagem. Meu novo livro aborda não apenas a evolução da espionagem, mas principalmente a evolução do crime cibernético.
Meu primeiro livro se chama Gray Day. É um olhar sobre como capturei Hanssen, mas também apresenta uma evolução da espionagem desde os tempos de segredos e intrigas, pontos de encontro secretos, sinais e reuniões em estações de trem com neblina, até o que acontece hoje em dia.
Atualmente, a maior parte da espionagem é cibernética. Quase nada acontece pessoalmente. Não é preciso sair de Moscou, Pequim ou Teerã. Basta lançar o ataque.
Criminosos cibernéticos são empreendedores. São dezenas de pessoas que administram negócios com diversas vertentes.
Na dark web, os principais grupos, que eu chamo de sindicatos, têm departamentos de recrutamento e RH. Têm fóruns de discussão. Fazem doações para instituições de caridade.
E mais: possuem estruturas de pagamentos que movimentam dinheiro rapidamente por meio de criptomoedas. Têm programas de afiliados completos, com plataformas de e-learning para novos criminosos que desejam se juntar a eles.
Estão faturando uma fortuna, trilhões de dólares.
Por isso, quando digo para pensarem como um espião, quero dizer que vocês saibam qual é a ameaça que estão enfrentando. Não se trata de uma criança tentando invadir seu computador, mas sim de uma equipe inteira tentando acessar seus dados, enganando-o e usando as mesmas táticas antigas de espionagem.
Qual o principal erro de empresas ao lidar com essa ameaça?
Muitas pensam que é algo improvável de acontecer com elas. Dizem coisas como: “Eu não faço nada de especial, não estou construindo nada para o Governo, não estou fazendo nada que vá mudar o mundo. Sou apenas um hospital. Sou apenas um banco. Só fabrico sapatos.”
Mas os cibercriminosos não se importam com quem você é, quanto dinheiro você tem ou o que você faz. Eles só querem saber se você é vulnerável. Só isso. Porque sabem que os dados que você possui, sejam eles quais forem, são a coisa mais importante do mundo para você.
E se eles conseguirem chegar a um acordo para um resgate, você pagará.
Hoje em dia, os dados estão armazenados na nuvem. As empresas devem presumir que suas informações estão sendo tratadas corretamente pelas grandes fornecedoras desse serviço?
Existem empresas de diferentes tamanhos. Portanto, quando presto serviços de consultoria, começamos analisando o tamanho e a complexidade da empresa.
Não existe uma solução única para a cibersegurança. Tudo depende do tamanho e da complexidade da sua empresa, do estágio em que se encontra na sua jornada de proteção contra ataques, e de qual é a ameaça específica que enfrenta.
Se você tem uma pequena ou média empresa, migrar seus dados para a nuvem pode ser muito vantajoso. Você deve optar por grandes serviços de nuvem que ofereçam diversos recursos de segurança.
Essas empresas possuem criptografia de ponta a ponta, o que significa que seus dados são criptografados no caminho para a nuvem e no caminho de volta. São também criptografados na própria nuvem. Assim, nem mesmo o prestador do serviço consegue vê-los.
Se o serviço de nuvem for invadido e todas essas informações forem roubadas, o invasor não conseguirá acessá-las. Será inútil.
Os serviços de nuvem de primeira linha dificilmente são invadidos. Mas podem cometer erros, como vimos o que aconteceu com a Amazon algumas semanas atrás
Houve uma falha técnica e tudo caiu. A primeira coisa que todos pensaram foi: “Meu Deus, será que foi um ataque cibernético?”
Era um erro de configuração. Os dados permaneceram seguros.
Outra vantagem da nuvem é a capacidade de realizar análises de big data em ambientes virtuais. E é para aí que a cibersegurança está evoluindo agora, implantando ferramentas de AI.
Esse é o futuro da proteção contra ataques cibernéticos.
Mas os criminosos também podem usar a AI, como já estão fazendo.
Certamente, existe um lado bom e um lado ruim da AI. Existe a AI que pertence a criminosos na dark web.
Mas aí as empresas de cibersegurança desenvolvem os seus próprios sistemas de AI, construídos para neutralizar ataques.
O que temos agora, enquanto conversamos, enquanto vivemos nosso dia a dia, é um mundo onde há uma guerra constante pelos nossos dados, uma guerra cibernética incessante por eles. E o novo campo de batalha é a AI, com a AI do bem lutando contra a AI do mal.
O que os países deveriam fazer para tentar combater essa situação, uma vez que muitas nações incentivam os ataques cibernéticos?
Todo mundo espiona todo mundo. Os EUA espionam, e eu fico feliz com isso. Mas existe uma certa elegância na espionagem. Costumávamos chamar isso de o grande jogo. Você espiona um Governo, busca informações sobre as políticas.
A diferença entre muitos países e os quatro grandes da espionagem e do crime cibernético – China, Rússia, Irã e Coreia do Norte, nessa ordem – é que eles jogam sujo.
Eles usam a espionagem para espionar empresas e roubar informações que beneficiem sua economia. Mas também deram carta branca aos seus cibercriminosos para atuarem contra países do Ocidente.
Eles jogam sujo. Nós também precisamos jogar um pouco sujo. Houve muitas tentativas de sanção, muitas tentativas de negociação.
De vez em quando, ocorre um ataque tão grave que eles são obrigados, envergonhados, a prender seus cibercriminosos. Mas outros voltam a atacar logo em seguida.
O que me preocupa aqui não é o roubo em si, e sim os ataques à infraestrutura crítica, que representam a próxima evolução dos ataques.
O que você classifica como infraestrutura crítica e quais os riscos envolvidos?
Infraestrutura crítica são, basicamente, os sistemas de água e saneamento, energia, telecomunicações e finanças – essenciais para termos vidas seguras, felizes e protegidas.
Se você der descarga e nada acontecer, isso é um grande problema.
Energia elétrica, água e esgoto são os três maiores vetores de infraestrutura crítica que são atacados nesse ambiente dinâmico, podendo causar desastres imediatos.
Os setores de saúde e finanças também estão entre os mais afetados. Hospitais ficam fora do ar com frequência. Criminosos cibernéticos adoram atacar hospitais. Eles costumam pagar rapidamente porque não podem ficar inoperantes.
Os EUA e países do Ocidente, em geral, têm sido atacados impiedosamente pela China e pelos outros três grandes. No momento, não se trata de desligar tudo, mas de vasculhar, de perceber o que eles podem fazer, quão fundo podem chegar e por quanto tempo podem permanecer no sistema antes de os apanharmos.
Estamos constantemente expulsando-os e eles voltam logo em seguida, porque estão se preparando para uma futura guerra. Não que a futura guerra vá acontecer, mas se acontecer, esse será o campo de batalha.
Portanto, precisamos garantir que eles entendam que, assim como acontece com as armas nucleares, para as quais temos submarinos em todo o mundo, podemos criar um sistema de dissuasão.
Se vocês nos atacarem com um ataque cibernético, revidaremos com dez vezes mais intensidade.
A única maneira real de fazer isso é demonstrando. Considero que o meu país perdeu uma grande oportunidade quando bombardeamos o Irã.
Passei a primeira parte da minha carreira profissional na área de contraespionagem e contraterrorismo. Considerando que o Irã é o maior propagador e apoiador do terrorismo no mundo, adoraria ter visto um ataque cibernético maciço contra infraestruturas críticas – mostrando a eles que podemos desconectá-los.
Teria sido uma bomba muito mais eficaz do que as bombas comuns. Você consegue imaginar se todas as luzes do Irã se apagassem? Poderíamos ter feito isso e dado essa demonstração ao mundo.
Armas assimétricas para combater uma guerra assimétrica?
Sim, absolutamente. Porque é exatamente disso que precisamos: dissuasão. Se quisermos impedir um ataque a uma infraestrutura crítica, usamos a mesma filosofia que se usaria na era nuclear.
Se vocês cortarem nossa energia, temos a capacidade de fazer o mesmo com vocês. Acho que essa é a única maneira de parar com isso.
Por que você diz que as pessoas, em especial as crianças, deveriam ficar longe do TikTok? É uma rede mais perigosa e nociva do que as outras mídias sociais?
Todas são ruins, certo? Porque o problema com as crianças é o seguinte: nos EUA, damos um celular para uma criança muito cedo.
Como pai ou mãe, você não consegue monitorar efetivamente o que seu filho está fazendo no celular se ele tiver um navegador da internet. Ponto final.
As crianças não têm capacidade de distinguir muito bem a realidade da ficção. Isso pode causar-lhes danos. Além disso, a internet não é um lugar seguro. É um campo de batalha.
Especialmente para as crianças, há uma quantidade imensa de cyberbullying. Há exploração.
Digo a todos os pais: vocês precisam comprar meu livro, sentar com seus filhos, e ler os capítulos 10 e 11 sobre exploração e abuso.
Neles eu falo dos diferentes tipos de abuso através dos relatos de crianças. Algumas cometem suicídio porque foram exploradas a ponto de sentirem que não tinham uma saída.
Como pai ou mãe, você precisa saber o que seu filho está fazendo online, o que significa que você precisa estar presente. Você precisa monitorar. Você precisa estar atento.
Você não pode simplesmente entregar um celular para seu filho, que é a coisa mais destrutiva que você pode fazer, e deixá-lo ir por aí livremente. Porque os criminosos vão encontrar um jeito de chegar até seu filho. Quem age de maneira maliciosa pode estar disfarçado, usando uma identidade impecável.
Houve casos de ataques em que crianças de sete anos diziam para a pessoa: “Aqui é onde eu moro. Aqui está uma foto da minha casa.”
Crianças pegavam os cartões de crédito dos pais e liam as informações em voz alta.
As redes sociais são um verdadeiro esgoto. Basta ver o tipo de conteúdo que recebemos todos os dias para imaginar o que os algoritmos estão enviando para nossos filhos.
E a razão pela qual digo ‘não’ ao TikTok é que o algoritmo dele foi projetado pelos chineses para tornar nossas crianças mais burras, deprimidas e infelizes.
Se houver uma guerra futura contra a China e todas as nossas crianças estiverem deprimidas e com baixo desempenho intelectual, quem vai lutar?
As crianças chinesas no TikTok só veem matemática, ciências e natureza, é como assistir ao Discovery Channel. É só isso que elas recebem.
É um Cavalo de Troia digital?
É o que chamamos no FBI de psyop – uma operação psicológica.
Estou chateado com o Governo americano porque o Congresso aprovou uma lei que obriga o TikTok a se desfazer da propriedade chinesa, e isso ainda não aconteceu.
