McAfee Cybercrime Hactivism

White Paper
Cibercrime e hacktivismo
Por Franois Paget McAfee Labs
White Paper
Sumrio
Introduo Definies e histria Mfia e crime organizado Cibercrime e cibermfia Ativismo poltico e hacktivismo Economia e poltica Baixos salrios e a crise do desemprego Espionagem econmica e guerra ciberntica Proliferao de naes Adulteradores e hacktivistas Cultura Corrupo e impunidade Pirataria habitual de CDs O culto ao hacker Apostas on-line O submundo da computao A lei Falta de uma estrutura jurdica internacional Falta de condenaes Parasos fiscais e digitais Hospedagem prova de bala Problemas tcnicos Milhares de vulnerabilidades Ferramentas de comunicao Lavagem de dinheiro e intercmbio financeiro Carding Questes humanas Phishing Retorno do investimento Spam Crimeware Pague por instalao Ofertas de servios Concluso Sobre o autor Sobre o McAfee Labs Sobre a McAfee, Inc. 3 3 3 7 10 12 12 12 13 13 19 19 20 22 22 23 25 25 25 25 26 30 30 31 32 32 42 43 43 43 45 47 52 54 56 56 56
White Paper
Introduo A globalizao oferece muitas vantagens para consumidores e empresas. Infelizmente, tambm oferece inmeras oportunidades para o crime organizado. A globalizao promoveu e fortaleceu a economia das atividades ilegais; os transgressores tornaram-se empreendedores internacionais. A Internet, uma mdia intrinsecamente globalizada, proporciona dinheiro e informaes a todo tipo de consumidores e empresas. , reconhecidamente, o lar de mundos virtuais e suas respectivas economias, os quais atraram muitas pessoas, inclusive criminosos. A unio perversa entre a Internet e o crime gerou duas formas de cibercrime: ataques diretos a redes e ataques realizados a partir dessas redes. Em vez de trabalhar sozinhos, muitos criminosos da Internet entram em grupos ou criam novos grupos. No importa se as razes so econmicas, culturais ou tcnicas; as motivaes para entrar no universo do crime virtual so inmeras. No mundo todo, algumas pessoas e muitos grupos da mfia ou do crime organizado realizam atos ilegais na Rede, frequentemente na esperana de ficarem ricos. Lembremos, porm, que existem outros objetivos alm do lucro:
Jogando
o jogo: O cibercrime um desafio ou um empreendimento proibido. Muito frequentemente, essa motivao atrai meros hackers. informaes: A Internet uma plataforma ideal para espionagem industrial. Especialistas em inteligncia econmica ocasionalmente realizam atividades ilegais para alcanar seus objetivos. uma ideologia: Vtimas de manipulao ou agindo de boa f, patriotas esto cada vez mais realizando atividades criminosas contra instituies que eles consideram relacionadas ao inimigo. Essas aes costumam se originar das alcovas do poder. de maneira tola: Algumas pessoas fazem ms escolhas sem motivos claros.
Coletando
Promovendo
Comportando-se
O principal objetivo deste relatrio mostrar at que ponto vo os grupos organizados quando esto motivados pelo lucro ou ideologia poltica. Mais adiante neste relatrio, exploraremos tambm as motivaes que podem levar uma pessoa a incidir em atividades ilegais. Definies e histria Mfia e crime organizado Existem muitas definies de crime organizado, tanto em nvel nacional quanto internacional. Setentarmos sintetizar, encontraremos vrios elementos fundamentais que podem ser resumidos em quatro pontos: o envolvimento de vrias pessoas, a existncia de uma verdadeira estrutura dentro do grupo, a gravidade das infraes cometidas ou planejadas e a estabilidade da atividade criminosa ao longo do tempo. Em nvel internacional, as duas definies seguintes so teis:
Em
1998, o Conselho da Unio Europia definiu como organizao criminosa uma associao estruturada, estabelecida ao longo de um perodo de tempo, composta por mais de duas pessoas, atuando com o objetivo de cometer violaes passveis de pena de privao da liberdade ou ordem de deteno de pelo menos quatro anos ou de penas mais severas, sejam tais violaes um fim em si mesmo ou um meio de obter vantagens materiais e, conforme o caso, de influenciar indevidamente ofuncionamento das autoridades pblicas.1 A Conveno das Naes Unidas de 15 de novembro de 200, chamada Conveno de Palermo, define um grupo de crime organizado como um grupo estruturado de trs ou mais pessoas, existente por um perodo de tempo e atuando com o objetivo de cometer um ou mais crimes ou violaes graves estabelecidos de acordo com esta Conveno, para obter, direta ou indiretamente, vantagem financeira ou alguma outra vantagem material.2
1. Action commune relative lincrimination de la participation une organisation criminelle dans les tats membres de lUnion europenne (Ao conjunta que transforma em delito penal participar de uma organizao criminosa nos estados membros da Unio Europia), Conselhoda Unio Europia, 21 de dezembro de 1998: http://admi.net/eur/loi/leg_euro/fr_398E0733.html 2. Conveno de Palermo, conveno das Naes Unidas contra o crime organizado preparada em Nova York em 15 de novembro de 2000 e em vigor a partir de 29 de setembro de 2003: http://www.unodc.org/documents/treaties/UNTOC/Publications/TOC%20Convention/TOCebook-f.pdf
White Paper
Dentro do Conselho da Europa, um grupo de especialistas procurou definir uma abordagem abrangente para o crime organizado, com o objetivo de esclarecer suas caractersticas.3 possvel distinguir dois tipos de critrios: critrios obrigatrios e critrios opcionais. Um grupo suspeito precisa satisfazer pelo menos dois critrios opcionais e quatro critrios obrigatrios para ser classificado como organizao criminosa.
Critrios
obrigatrios: Colaborao de trs ou mais pessoas. Por um perodo de tempo prolongado ou indefinido. Suspeitos ou condenados por crimes graves. Com o objetivo de obter lucro e/ou poder. opcionais: Ter uma tarefa ou funo especfica para cada participante. Utilizar alguma forma de controle e disciplina interna. Usar de violncia ou outros meios apropriados para intimidao. Influncia sobre polticos, a mdia, a administrao pblica, rgos policiais, a administrao da justia ou a economia atravs de corrupo ou outros meios. Utilizao de estruturas semelhantes s comerciais ou empresariais. Envolvimento em lavagem de dinheiro. Atuao em nvel internacional.
Critrios
Embora algumas fontes indiquem que uma organizao criminosa pode ser considerada uma mfia se e somente se os 11 critrios anteriores forem verdadeiros, preferimos seguir o Cdigo Penal Italiano, que desde 1982 define o crime de associao mfia. A expresso italiana exata associazioni di stampo mafioso, o que significa, literalmente, associao semelhante mfia, para indicar que a Cosa Nostra no a nica associao do gnero. Qualificam-se tambm todas as suas contrapartes que tenham como base o mesmo modelo. Do ponto de vista jurdico, qualquer organizao criminosa pode ser considerada uma mfia quando satisfaz todos os objetivos seguintes.4 Ela existe:
Para
cometer crimes. Para obter controle ou gerenciamento de atividades econmicas, concesses, licenas, leiles ou outros servios pblicos. Para obter lucros ou vantagens para si ou para outros. Para limitar o direito ao voto. Para obter votos para si ou para outros em eleies. A vantagem dessa definio especfica (Artigo 416 bis do Cdigo Penal Italiano) vem do fato de que os tribunais italianos podem pedir o confisco de propriedades pertencentes a indivduos julgados como integrantes de uma mfia, inclusive quando a propriedade resultante de atividades comerciais legais edeclaradas. O termo mfia no deve ser empregado levianamente. Fora da Itlia e no considerando a mfia russa, existem duas outras organizaes criminosas que claramente se qualificam como mfias: as trades chinesas e as yakuzas japonesas. Em todos esses grupos, fcil identificar determinadas caractersticas:
A
construo de mitos para justificar o crdito dado imagem de crime honorvel. e cdigos. Uma duplicidade legal/ilegal em relao s atividades realizadas. Inegvel intimidade com as mais altas esferas do poder.
Rituais
A eficcia das maiores foras criminosas decorre principalmente de sua hierarquia. Elas geralmente preservam um modelo de cl ou de famlia patriarcal; a submisso o princpio e a hierarquia a estrutura. Trata-se de um sistema implacvel, onde no h lugar para personalidade entre os recrutas, os quais esto l apenas para executar suas ordens com profissionalismo e unicamente em benefcio da organizao.
3 Reunio de 20 de setembro de 2001 Questes jurdicas Comit Europeu sobre Questes do Crime (CDPC): https://wcd.coe.int/ViewDoc.jsp?id=219187 (segundo Enfopol 161/1994, Apndice C) 4. Livro Socits du crime Un tour du monde des mafias (Empresas do crime Uma viagem pelo mundo da mfia), Clotilde Champeyrache. CNRSEditions.
White Paper
Os recrutas no tm controle algum sobre o objetivo de suas aes, nem so consultados sobre elas. Aviolncia reduz a resistncia. Ela garante o silncio pelo medo da retaliao. Os grupos criminosos so mais facilmente formados em sociedades problemticas ou em perodos caticos. Em troca de obedincia, eles oferecem proteo individual. Os juramentos feitos por todos os membros das mfias tradicionais incluem uma obrigao de solidariedade e apoio famlia em caso de priso ou morte. Rssia e Europa Oriental Na Rssia czarista j existiam organizaes criminosas. Elas eram caracterizadas por sua grande adaptabilidade e estabilidade devido a seus rgidos requisitos na seleo de lderes, sua disciplina enorecrutamento dos membros mais jovens, mais fortes e mais motivados. Sejam criminosos tradicionais, criminosos de colarinho branco ou escroques, esses criminosos tm relaes com a administrao poltica russa, qual seu desenvolvimento est intrinsecamente vinculado. Nos anos 70, quando o trfico de drogas comeou a se desenvolver, o comrcio ilcito de obras de arte, antiguidades e bens de consumo j estava a todo vapor. Por aproximadamente quinze anos, gangues exploraram a economia do regime poltico sovitico, incluindo falta de artigos e planejamento. Com a perestroika (a grosso modo, reestruturao) no final dos anos 80, o setor cooperativo expandiu-se. As primeiras empresas e empreendimentos privados comearam a surgir. Com elas, dzias de grupos criminosos apareceram. Estes se apoderavam de territrios e exigiam que fornecedores, gerentes de cooperativas e empreendedores pagassem uma taxa em troca de proteo. O forte desequilbrio entre oferta e demanda de alguns produtos de consumo rendeu uma fortuna para os traficantes e para aqueles que podem comprar bens no atacado em pases vizinhos e revend-los na Rssia. O negcio de carros roubados foi bastante lucrativo. O ramo dos equipamentos de escritrio foi o primeiro passo para tornar ricos muitos empresrios russos. Eles compravam peas e equipamentos usados mundo afora e os revendiam a preos mais altos.5 Juntamente com a prostituio e a venda de drogas, dzias de cassinos e centenas de salas de jogo permitiram a lavagem de dinheiro e recompensaram bastante alguns dos envolvidos. O incio do processo de privatizao em 1993-1994 abriu possibilidades extraordinrias. Sem quaisquer regulamentos jurdicos claros, a nomenklatura (a classe dominante) e as organizaes criminosas compravam e controlavam vrias empresas por quase nada, incluindo aquelas sob proteo. Asatividades criminosas mais rentveis eram o trfico de drogas, o mercado imobilirio, o comrcio de metais, armas, vinho e bebidas alcolicas falsificados e a produo e venda de software, DVDs e CDs piratas, considerando-se a ineficiente proteo do copyright. Nesse ambiente, todos os especialistas denunciavam a criminalizao da vida poltica. No Oriente, os membros das mfias no se escondem. Em vez disso, eles buscam um lugar entre a elite. Suas carreiras geralmente comeam quando saem da priso por falta de provas. sia As trades chinesas esto entre as mais antigas estruturas mafiosas do mundo. Sua origem remonta pelo menos a 1644, quando a China foi invadida pelas tribos Manchu.6 A princpio, havia movimentos e sociedades secretas de monges que resistiam aos invasores. Esses esforos gradualmente migraram do submundo poltico para o submundo criminoso. Com base em uma hierarquia implacvel que se espalha pelo mundo, as trades esto envolvidas em trfico de drogas, trfico de imigrantes, pirataria de cassetes de udio e vdeo, prostituio e pornografia (com o consequente comrcio de vdeo), agiotagem, jogos ilegais e extorso. Mais prudentes desde a aprovao de uma lei em 1992, os sindicatos do crime japoneses, conhecidos como yakuzas, so uma antiga tradio ligada histria do pas. Vindos das irmandades de vendedores de rua, jogadores profissionais e, de maneira geral, dos marginalizados da sociedade japonesa, eles se desenvolveram significativamente durante a era Meiji (1868-1912).7 Nas quatro dcadas seguintes 2Guerra Mundial, eles tiveram um segundo perodo de prosperidade, marcado por sua proximidade
5. Iakov Kostioukovski Le crime organis en Russie: un tat des lieux Saint-Ptersbourg (Crime organizado na Rssia: A situao emSoPetersburgo): http://www.conflits.org/index557.html#ftn10 6. Comparative Study of Triad Societies and the Mafia: Past, Present and Future (Estudo comparativo entre as trades e a mfia: passado,presente e futuro): http://sunzi.lib.hku.hk/hkuto/view/B31975550/ft.pdf 7. Les puissances criminelles. Une authentique question internationale (Foras criminosas. Uma autntica questo internacional): http://www.ifri.org/files/RAMSES2001/cretin_01.pdf
White Paper
com o poder. Como grupos altamente estruturados vivendo em simbiose com a sociedade, os sindicatos do crime japoneses obtinham grandes lucros com o trfico de anfetaminas, agiotagem, extorso de clubes noturnos, jogatina e trfico de armas de mo. Nos anos 90, eles se envolveram em escndalos que sacudiram o mundo das finanas (bancos e financeiras). Itlia A Itlia tem o infeliz privilgio de ter cunhado o termo mfia. Essa palavra foi popularizada em 1863 por uma pea imensamente bem-sucedida escrita em siciliano, I Mafiusi della Vicaria (Os mafiosos da Vicria).8 Atualmente ela compreende quatro grupos, cada um dos quais entranhado em uma determinada regio: A Cosa Nostra na Siclia, a Camorra em Campnia, a Ndrangheta na Calbria e a Sacra Corona Unita na Aplia. Essas foras criminosas, organizadas em famlias e cls, obtm seus lucros com trfico de drogas, extorso, sequestro, contrabando de cigarros, venda de produtos piratas em leiles pblicos, falsificao de artigos de luxo, trfico de imigrantes e armas. Amrica do Norte Ao mesmo tempo semelhantes e diferentes de seus pares sicilianos, de 20% a 25% das famlias da Cosa Nostra consideram os Estados Unidos sua casa.9 De acordo com uma diviso territorial feita em 1931 sob a gide de Lucky Luciano, cada famlia opera em uma cidade diferente, com exceo de Nova York, onde se diz que cinco famlias esto concentradas. Existem tambm duas localizadas no Canad. Aps um sculo de inatividade, os Estados Unidos vm enfrentando vigorosamente o crime organizado desde os anos 70, especialmente em Nova York. No entanto, a vitalidade das famlias da mfia americana ainda forte. Eles obtm seus lucros com extorso, fraude financeira, agiotagem, controle da indstria de construo civil e mercados pblicos, jogos, prostituio e pornografia, para no mencionar a renda de investimentos na economia legal. Alm das famlias nativas do crime, os Estados Unidos sofrem com a presena de praticamente todas as outras organizaes criminosas do mundo, como as russas, japonesas, chinesas, italianas, colombianas e mexicanas. Amrica Latina Na Amrica Latina, dois pases destacam-se pelo poder do crime: Colmbia e Mxico. A atividade criminosa nesses dois pases est relacionada coca plantada no Peru e na Bolvia e cocana produzida na Colmbia. Essas drogas so transportadas atravs do Mxico para consumo principalmente nos Estados Unidos.10 A situao colombiana mudou desde o desaparecimento dos lderes do cartel de Medelln e desde que os lderes mais discretos do cartel de Cli morreram ou foram presos. Agora vemos empresas pequenas e mdias do ramo da cocana intimamente integradas economia do pas e usando como fachada empresas legais. Seus chefes, empresrios jovens e discretos, compreendem o impacto negativo que um estilo de vida ostentoso ou assassinatos em srie tm sobre suas atividades. Bons negcios pressupem tranquilidade. Na floresta, as Foras Armadas Revolucionrias da Colmbia (FARC) e o Exrcito de Libertao Nacional (ELN) operam laboratrios. Suas guerrilhas foram retreinadas para o trfico de drogas. Apesar das vrias prises, os cartis mexicanos esto prosperando. Eles no hesitam em se colocar contra o governo assassinando policiais e promotores que os perseguem. Eles continuam, particularmente, com suas atividades de imigrao clandestina, trfico de cocana e produo de maconha e drogas sintticas.
8. History of the Mafia (Histria da mfia): http://www.historyofthemafia.net/dispense%20mafia.pdf 9. La Mafia italo-amricaine est-elle morte? (A mfia talo-americana est morta?): http://weblet.cahiersdelasecurite.fr/users/1/Articles/CS7_Gayraud.pdf 10. Les puissances criminelles. Une authentique question internationale (Foras criminosas. Uma autntica questo internacional.): http://www.ifri.org/files/RAMSES2001/cretin_01.pdf
White Paper
Nigria e Costa do Marfim As organizaes criminosas nigerianas so responsveis por uma parcela significativa do trfico de drogas da frica para o resto do mundo. Juntamente com as da Costa do Marfim, elas tambm se destacam em alguns tipos de fraude internacional, incluindo a fraude de antecipao de pagamentos, identificada por seu nmero no Cdigo Penal Nigeriano: fraude 419. Cibercrime e cibermfia Durante vrios anos, vimos atividades da vida real migrarem para o ciberespao, um termo criado por William Gibson em seu livro Neuromancer. O termo ocasionalmente utilizado como sinnimo de virtual, uma vez que o mundo virtual separado do mundo real. Os criminosos migraram para esse mundo tambm, e aqueles que os perseguem inventaram o termo cibercrime. Ultrapassando fronteiras e assumindo mltiplas formas, o cibercrime apresenta novos desafios que ameaam cidados, nossa segurana coletiva e a economia de cada nao do planeta. Uma definio amplamente aceita na Europa foi proposta pela Comisso Europia Toward a General Policy on the Fight Against Cybercrime (Rumo a uma poltica geral no combate ao cibercrime).11 A definio qualifica o cibercrime como violaes criminais cometidas por meio de redes de comunicao eletrnica e sistemas de informaes ou contra tais redes e sistemas. Embora o termo mfia seja frequentemente mal empregado, o termo cibermfia tornou-se, no uso comum, sinnimo de grupo de cibercrime organizado. Rssia e Europa Oriental Na Rssia, o boom dos hackers ocorreu aps a crise financeira de 1998. Inmeras empresas pequenas e mdias fecharam, deixando programadores e desenvolvedores sem trabalho e com fome. Na Bulgria, um fenmeno semelhante ocorreu no incio dos anos 90, quando um exrcito de indivduos jovens e altamente qualificados no conseguia encontrar trabalho. Fbricas de vrus tornaram-se o grande assunto do momento. Alm dos muitos profissionais de computao desempregados, mas capacitados, a corrupo e o declnio econmico alimentaram o surgimento do cibercrime. Embora algumas organizaes criminosas tradicionais atrassem novos recrutas, outros indivduos empreendedores criaram seus prprios negcios. Foi o que aconteceu com Alexei Galaiko, Ivan Petrichenko e Sergei Popov, que criaram o HangUp Team em 1999.12 Aps distribuir programas maliciosos, eles foram presos em 2000, mas foram soltos rapidamente. Em 2003 e 2004, o grupo parecia mais prximo do crime organizado. Ele criou malware, como o Berbew (um cavalo de Tria), o Scob (um worm em JavaScript) e o Korgo, que podia desviar informaes bancrias dos PCs de suas vtimas. Verses comerciais desses programas esto disponveis para venda. Em 2006, o grupo ficou sob a influncia da Russian Business Network (RBN). O HangUp Team tambm desenvolveu a rede de robs (botnet) Gozi, capaz de ativar sessesSSL. Em maio de 2001, 150 criminosos da Europa Oriental realizaram uma reunio em um restaurante de Odessa, na Ucrnia. Eles compreenderam que a Internet criou novas oportunidades para lavagem de dinheiro e realizao de lucros, e ento, formaram a organizao criminosa CarderPlanet. A parte visvel da organizao um frum dedicado principalmente ao trfico de dados bancrios. Sejam dos Estados Unidos ou da Inglaterra, hackers chegam e vendem o que obtm com suas extorses. Esses dados so fornecidos a escritrios que criam cartes de crdito falsos no local. Os cartes podem, ento, trocar de mos, voltar ao Ocidente ou, mediante uma comisso, ser utilizados em todo tipo de fraude. A organizao estruturada como uma mfia. No topo da pirmide esto dignatrios de alto escalo, com Dmitry Golubov no papel de poderoso chefo.
11. http://europa.eu/scadplus/leg/fr/lvb/114560.htm 12. Hacker Hunters (Caadores de hackers): http://www.businessweek.com/magazine/content/05_22/b3935001_mz001.htm
White Paper
FAMLIA
ADMINISTRAO DO CARDER PLANET
EXAMINADORES OFICIAIS
CAP0 DI CAPI
CAP0
FORNECEDORES
Figura 1: Organizao do CarderPlanet, baseada no modelo da mfia. (Fonte: NICSA-FBI-SSA, Michael J. McKeown13)
Ao longo dos anos, o negcio tornou-se cada vez mais metdico. Empresas de cibercrime que foram criadas do nada agora so a diviso de TI da mfia russa. Chefiadas por graduados em escolas de administrao ou tecnologia oriundos de boas famlias, as empresas foram vistas como startups de TI, como quaisquer outras. Os veteranos membros da mfia, como no poderia deixar de ser, forneciam o capital. Inadaptados rea de gerenciamento e negcios, os hackers ficam longe das equipes de gerncia, sendo empregados simplesmente como mo-de-obra quando so necessrios. Muitas dessas empresas beneficiam-se da lenincia e at mesmo da proteo do Servio de Segurana Federal russo (FSB), especialmente contra a Interpol e extradies para os Estados Unidos e a Europa. Em troca, elas prometem nunca atacar infraestruturas governamentais de TI. Trata-se de um acordo no declarado que vem sendo respeitado h quase dez anos. Caso esses hackers sejam presos, os servios secretos podem oferecer aos cibercriminosos cargos no FSB como uma alternativa priso.14 Solntsevskaya e Dolgopruadnanskaya so as duas maiores organizaes da mfia que operam a partir da Rssia. Elasesto por trs de diversas atividades atuais do cibercrime.15 Ainda hoje, mais de 75% dos estudantes russos de cincia e tecnologia no encontram trabalho aps se graduarem nas universidades. Para sobreviver, eles ou seus tutores abrem shkola hackerov (escolas de hackers). Em suas casas, eles do aulas sobre hacking e, ento, direcionam seus estudantes para canais criminosos que os permitam ganhar de duas a trs vezes mais do que ganhariam se levassem vidas honestas. sia Com a ajuda de especialistas e com grande discrio, as trades chinesas tambm descobriram a pirataria de TI. Eles implementaram formas modernas de extorso por exemplo, ataques de negao de servio distribudo (DDoS) em troca de resgate contra sites comerciais. Enquanto isso, durante a ltima dcada, as autoridades chinesas passaram a compreender a crescente dependncia que os exrcitos modernos tm dos computadores. O Exrcito de Libertao do Povo decidiu, portanto, estabelecer os meios para uma futura ciberguerra. Em 1998, durante um discurso perante o Congresso, George J.
13. Cyber WorldIdentity Theft (Cyber World Roubo de identidade): http://www.nicsa.org/Archives/download/AC08_CantHappen.ppt 14. Ruth Alvey, Russian hackers for hire: the rise of the e-mercenary (Hackers russos de aluguel: a ascenso do e-mercenrio), Janes Intelligence Review, 1 de julho de 2001, p.2 15. IT Fraud, The Future & Where the Insurance Industry Fits In Insurance Institute (A fraude de TI, o futuro e onde a indstria de segurana seencaixa no Insurance Institute): http://www.insurance-institute.ie/training/downloads/2009/ColmMurphy.10.3.09.ppt
White Paper
Tenet, diretor da CIA, afirmou que a China estava buscando contornar a supremacia tecnolgica do Exrcito dos EUA utilizando tcnicas de guerra ciberntica como ttica.16 No Japo, as yakuzas se concentram na pornografia digital e em CDs, DVDs e videogames falsificados. Itlia O primeiro interesse da mfia italiana no cibercrime foi a pirataria de msica. Em 2000, de acordo com a Federao Internacional da Indstria Fonogrfica, trs quartos da produo fraudulenta eram controlados pelo crime organizado, principalmente pela Camorra. Em 20 de setembro de 2000, uma operao realizada pela polcia antimfia em Npoles apreendeu uma fbrica cheia de CD-Rs contendo quase 120gravadores, 15.000 encartes, 10.000 CDs e 10.000 caixas.17 Amrica do Norte Nos Estados Unidos, a mfia foi uma das primeiras entidades a explorar novas oportunidades on-line. Emfevereiro de 2005, vrios membros da famlia Gambino declararam-se culpados de vrios tipos de fraude relacionados a servios gratuitos falsos oferecidos de 1996 a 2002.18 Um desses ataques, que rendeu indubitavelmente mais de US$ 750 milhes em lucros criminosos, atingia usurios ingnuos da Internet aficionados por sites pornogrficos. Para provar que eram adultos, os usurios forneciam informaes sobre seus cartes de crdito, muito embora o acesso ao site fosse teoricamente gratuito. Somente mais tarde, ao examinar seus extratos, as vtimas perceberam que suas contas tinham sido debitadas indevidamente. Embora muitas das vtimas tenham hesitado em dar queixa, elas foram parte de um dos primeiros roubos de identidade digital em grande escala. As apostas on-line sempre atraem criminosos. O agenciamento de apostas est amplamente disseminado, particularmente em pases de lngua inglesa. Ele a origem de uma grande parcela de fraudes que pode facilmente se transferir para a Internet. Em maio de 2007, o sistema jurdico de Nova Jersey acusou as famlias Gambino e Lucchese de acobertar uma grande e sofisticada operao de jogatina ilegal offshore utilizando o site Topbetters.com. Atravs do site, era possvel, desde 2002, apostar em eventos esportivos eparticipar de jogos decassino a partir de qualquer lugar. Em maio de 2008, houve dez novas prises relacionadas ao caso.19 Em 18 de fevereiro de 2009, Nicholas Cimino, vulgo Nicky the Hat, de 49 anos, chefe de uma organizao de apostas ilegais e agiotagem, declarou-se culpado perante um tribunal da Pensilvnia. Com o apoio da famlia mafiosa da Pensilvnia, essas atividades criminosas geraram uma renda de aproximadamente US$ 1 milho por ms. A rede de jogos e apostas ilegais estendeu-se at a Califrnia e chegou at mesmo a um site offshore, cujo nome de domnio no foi divulgado.20 Notcias semelhantes mostram que, no sculo atual, a Cosa Nostra no se contenta mais em meramente vender drogas ou extorquir comerciantes. A mfia de hoje sabe como roubar milhes de dlares utilizando novas tecnologias. No Canad, a mfia obteve lucros de C$ 26 milhes em 18 meses (2005-2006) com o betwsc.com, um site ilegal de apostas em esportes.21 O servidor foi localizado em Belize e, posteriormente, na reserva indgena de Kahnawake, a oeste de Montreal, em Quebec. Diz-seque a principal pessoa por trs da fraude obteve um lucro pessoal de C$ 17 milhes. Redes internacionais e grupos mistos Juntamente com as mfias que se concentram em determinadas reas, muitos grupos se formam ao redor de oportunidades casuais. Alguns duram vrios anos, enquanto outros sobrevivem por apenas alguns meses. O caso TJX nos d alguns exemplos. Entre 2005 e 2007, os nmeros de cartes de crdito de 94 milhes de clientes norte-americanos e britnicos dessa empresa foram roubados.
16. Diretor da CIA, testemunho perante o Comit do Senado sobre Assuntos Governamentais, 24 de junho de 1998 17. Hacking and counterfeiting (Hacking e falsificao): http://www.droit-technologie.org/upload/dossier/doc/97-1.pdf 18. $650M Porn Scam: Gambino thugs plead guilty to X-rated ring (Fraude pornogrfica de US$ 650 milhes: Capangas de Gambinodeclaram-se culpados por formao de quadrilha porn): http://www.nydailynews.com/archives/news/2005/02/15/2005-02-15__650m_porn_scam__gambino_thu.html 19. 23 Reputed Crime Family Members and Associates Charged in Racketeering, Gambling, Extortion Indictment (23 famosos membros defamlias do crime e associados indiciados por extorso e jogo ilegal): http://www.usdoj.gov/usao/nj/press/press/files/pdffiles/mero0508%20rel.pdf 20. Mob-based bookmaking, gambling and loan sharking organization busted in Philadelphia (Organizao mafiosa de agenciamento de apostas, jogo e agiotagem desbaratada na Filadlfia): http://www.tipsterpicks.com/blog/mob-based-bookmaking-gambling-and-loan-sharking-organization-busted-in-philadelphia.html 21. Um site ilegal ainda on-line: http://www.radio-canada.ca/regions/Montreal/2006/11/24/008-site-web-mafia-ouvert.shtml
White Paper
Em agosto de 2008, onze pessoas foram presas, incluindo trs cidados americanos, um estoniano, dois chineses, um bielo-russo e trs ucranianos.22 Os meios de comunicao informaram que eles faziam parte de uma rede internacional de hackers. Entre eles estavam os hackers que invadiram a rede Wi-Fi e alguns intermedirios de alto escalo. Na verdade, eles postavam regularmente em fruns sobre carding criados utilizando o modelo CarderPlanet, com membros do mundo todo. Alm das inevitveis cpias de cartes e informaes completas, os fornecedores vendiam passaportes falsos, cheques de viagem e, ocasionalmente, at mesmo diplomas escolares falsificados. Entre os mais famosos podemos citar o Mazafaka (mais de 9.000 registrados), o Shadowcrew (mais de 4.000), o DarkMarket (mais de 2.000) e a International Association for the Advancement of Criminal Activity (Associao internacional pelo avano da atividade criminosa). Em 2009, outros 130 milhes de registros de dados foram roubados por indivduos envolvidos nos casos anteriores.23 Tais fraudes em grande escala tambm envolvem grupos de indivduos especializados no uso de cartes de crdito falsificados com dados roubados anteriormente. Esses grupos se formam e se desfazem muito rapidamente. Em maro de 2007, a polcia da Flrida investigou um grupo desse tipo e realizou vrias prises. Os indivduos interrogados limparam lojas de aparelhos eletrnicos e joalherias utilizando vales-presente comprados anteriormente com cartes falsificados fornecidos por um cmplice. Essatcnica de lavagem de dinheiro os permitiu fazer compras no valor de mais de US$ 225.000, conforme mostrado em um resumo no USA Today.24 Em junho, um segundo grupo de indivduos foi preso. Elestinham em seu poder mais de 200.000 cartes de crdito da TJX e da Polo Ralph Lauren.
O frenesi de cOmpras de escObar Irving Escobar supostamente comprou pelo menos US$ 225.000 em artigos eletrnicos e jias em lojas Sams Club da Flrida com cartes de presente. Oscartes foram comprados com nmeros de cartes de crdito roubados da rede de varejo TJXna maior violao de dados de computador dos EUA de que se tem notcia. Uma recapitulao do frenesi de compras de Escobar, que pode ter includo mais compras ainda:
Cartes de presente comprados no Wal-Mart com cartes de crdito falsificados
25/out 28/out 28/out 31/out 1/nov 1/nov 2/nov Jacksonville Beach Jacksonville Jacksonville Holly Hill Gainesville Gainesville Starke $ 35.252 $ 41.200 $ 34.000 $ 18.400 $ 18.000 $ 24.000 $ 32.800
10
Tallahassee Starke Gainesville
Jacksonville Jacksonville Beach
Mercadorias compradas no Sams Club comcartes de presente

130/nov 730/nov 1015/nov 1727/nov 19/nov 130/dez 130/dez 35/dez 7/dez, 9/dez 7/dez 23/jan 221/jan 218/jan Miami Miramar Orlando Sunrise Miramar Miami Miami Miramar Miami Jacksonville Miramar Miami Miami $ 112.000 $ 20 $ 46.673 $ 10.500 $ 450 $ 17.539 $ 11.000 $ 4.600 $ 500 $ 3.790 $ 3.700 $ 1.000 $ 4.600
75
Holly Hill
Orlando
Florida
75
95
Sunrise Miramar Miami
Figura 2: Algumas aes de uma quadrilha de cartes TJX. (Fonte: Departamento de Polcia da Flrida/USA Today)
Ativismo poltico e hacktivismo Ativismo, neste relatrio, significa envolvimento poltico com nfase em ao direta que, em uma forma extrema, pode chegar a infringir a lei. Ativistas do Greenpeace que se lanam ao mar para obstruir expedies de caa a baleias ou os jovens que tentaram apagar a Tocha Olmpica durante sua volta ao mundo em 2008 so exemplos de ativismo. Alguns consideram as aes do ETA na Espanha ou das Brigadas Vermelhas na Itlia como ativismo, embora muitos os considerem terroristas. Embora o ganho financeiro continue sendo a principal motivao por trs do cibercrime, alguns grupos de hackers de computador tm outras motivaes. Eles so movidos por interesses econmicos, polticos ou religiosos que, geralmente, vo alm das fronteiras de seus pases. Suas aes so chamadas de hacktivismo,
22. Retail Hacking Ring Charged for Stealing and Distributing Credit and Debit Card Numbers from Major U.S. Retailers (Quadrilha de hackers de varejo indiciada por roubo e distribuio de nmeros de cartes de crdito e de dbito das principais lojas varejistas dos EUA): http://www.usdoj.gov/criminal/cybercrime/gonzalezIndict.pdf 23. TJX Hacker Charged With Heartland, Hannaford Breaches (Hacker do caso TJX indiciado por violaes em Heartland e Hannaford): http://www.wired.com/threatlevel/2009/08/tjx-hacker-charged-with-heartland/ 24. TJX data theft leads to money-laundering scam (Roubo de dados da TJX leva a fraude de lavagem de dinheiro): http://www.usatoday.com/money/2007-06-11-tjx-data-theft_N.htm
10
White Paper
uma mistura de hacker e ativismo. O termo foi criado em 1996 pelo Cult of the Dead Cow.25 Oshacktivistas invadem redes e colocam seu talento para trabalhar em prol de suas crenas organizando ataques de computador, o que inclui pirataria, sequestro de servidores e substituio de homepages por mensagens ideolgicas. Quando podem, esses militantes visam sites governamentais e administrativos na esperana de bloque-los e atrair a ateno da mdia. s vezes eles adulteram os sites de uma maneira anrquica. Sob o pretexto de veicular uma mensagem, alguns grupos minoritrios parecem interessados apenas nos nmeros. O vencedor aquele que adultera o maior nmero de sites no menor perodo de tempo. Embora o fenmeno j existisse h mais de quinze anos, o hacktivismo foi trazido ao conhecimento do mundo todo pelos ataques DDoS de 2007 contra a Estnia. Apesar das muitas negaes, as suspeitas rapidamente caram sobre nacionalistas russos apoiados pelo Kremlin. Em maro de 2009, um membro da Duma e Konstantin Goloskokov, um ativista de 22 anos, assumiram a responsabilidade pelos ataques.26 Segundo eles, a ao que iniciaram no foi ilegal, tendo sido realizada por iniciativa prpria. Goloskokov negou categoricamente qualquer apoio das autoridades russas. No entanto, sua associao com o Nashi, um grupo jovem antifascista, intrigante. Criado por iniciativa de Vladimir Putin quando este era o presidente russo em 2005, essa organizao, por vezes violenta, certamente muito prxima do governo russo.27 Os ataques contra a Estnia resultaram na deciso da OTAN de criar, em maio de 2008, um centro de defesa ciberntica na capital estoniana.28 Em 2008, a Litunia e a Gergia tambm pagaram por sua divergncia com a Rssia. Um outro ataque DDoS foi dirigido contra a Radio Free Europe, cujos programas so apoiados pelos Estados Unidos. A China tambm hospeda vrios grupos de jovens hackers que dominam a invaso de TI e alterao de sites. Eles so conhecidos como Red Hackers Alliance, China Eagle Union, Green Army e at Honker Union of China. Muitos sites oficiais americanos, taiwaneses e japoneses sofreram repetidos ataques originrios do sudoeste da sia. Tambm nesse caso, as ligaes com o governo so difceis de comprovar. A histria de Peng Yinan, porm, chamou nossa ateno. Em 2000 ele fundou o Javaphile com um outro hacker e assumiu a responsabilidade pelos ataques DoS contra o site da Casa Branca em maio de 2001. Peng nunca foi acusado formalmente e atualmente parece ser um consultor da Agncia de Segurana Pblica de Xangai.29 No sul da frica, o Zimbbue viu alguns conflitos polticos reproduzirem-se na forma on-line. Entre2005 e 2008, com o partido de Robert Mugabe no poder, os partidos de oposio eram rotineiramente silenciados. Durante esses quatro anos, os opositores do regime eram responsveis por muitos ataques DDoS e adulteraes de sites.30 Nacionalistas turcos esto empenhados na adulterao de sites. Eles esto envolvidos em toda a Web erespondem por muitos grupos.
Figura 3: Pginas da Web adulteradas por hacktivistas turcos.

25. Hacktivism, From Here to There (Hacktivism, daqui at ali): http://www[.]cultdeadcow.com/cDc_files/cDc-0384.html [No recomendamos visitas a esse site, marcado como vermelho pelo McAfee SiteAdvisor]. 26. Kremlin-backed group behind Estonia cyber blitz (Grupo apoiado pelo Kremlin por trs de ciberblitz na Estnia): http://balticbusinessnews.com/Default2.aspx?ArticleID=b737410e-e519-4a36-885f-85b183cc3478 27. Putins fanatical youth brigade targets Britain (Brigada de jovens fanticos de Putin contra a Inglaterra): http://www.timesonline.co.uk/tol/news/world/europe/article2368176.ece 28. NATO opens new centre of excellence on cyber defence (OTAN abre novo centro de excelncia em ciberdefesa): http://www.nato.int/docu/update/2008/05-may/e0514a.html 29. Javaphile, Buddhism, andThe Public Security Bureau? (Javaphile, budismo e a Agncia de Segurana Pblica?): http://www.thedarkvisitor.com/tag/javaphile/ 30. The Glass Fortress: Zimbabwes Cyber-Guerrilla Warfare (A fortaleza de vidro: A guerra de ciberguerrilha do Zimbbue): http://concernedafricascholars.org/docs/acasbulletin80-4.pdf
11
White Paper
Em junho de 2008, durante o Campeonato Europeu de Futebol, eles trabalharam para alterar vrios sites de pases que jogaram contra a seleo turca, acrescentando a bandeira da Turquia e, ocasionalmente, slogans incoerentes. Em maio de 2009, os mesmos grupos conseguiram invadir alguns servidores Web pertencentes ao Departamento de Defesa dos EUA.31 Quando uma ao hacktivista tem possibilidades de despertar o medo, ns a chamamos de ciberterrorismo. Uma autoridade define ciberterrorismo como um ato deliberado de destruio, degradao ou modificao de dados, fluxo de informaes ou sistemas de computador, vitais para governos ou empresas essenciais para o funcionamento correto de um pas, com o objetivo de causar danos ou despertar medo, por motivos polticos, religiosos ou ideolgicos.32 Um ataque que corta a eletricidade por vrios dias ou destri dados do mercado de aes pode, sem dvida, ter tal efeito. Ainda no vimos esse tipo de evento. Economia e poltica Baixos salrios e a crise do desemprego Nos anos 90, quando vrios graduados lutavam para encontrar trabalho, alguns programadores desiludidos da Bulgria passaram a criar vrus. Embora a expresso fbricas de vrus fosse utilizada para descrever suas iniciativas, na ocasio eles no tinham empregadores e no recebiam remunerao. Frequentemente, os criadores de vrus so motivados unicamente por sua insatisfao. Atualmente, programas maliciosos de alta qualidade e servios relacionados podem render a um programador at US$ 1.000. Isso explica porque os baixos salrios das indstrias normais no atraem alguns especialistas em computadores. Em maro de 2001, o hacker russo Igor Kovalyev falou o seguinte em uma entrevista Wired Magazine: Aqui, ser hacker um bom trabalho, um dos poucos bons trabalhos que restam.33 O caminho do crime constitui uma sada e oportunidade para melhorar de vida. Desenvolvedores habilidosos no hesitam mais em se aproximar de organizaes mafiosas, as quais se tornam cada vez mais interessadas na Internet. Atualmente, os programadores concordam facilmente em trabalhar com amfia por umaremunerao. Espionagem econmica e guerra ciberntica Em alguns pases em desenvolvimento, parece ser comum as empresas atacarem seus concorrentes para reforar suas prprias posies. Falsificao e espionagem industrial so aceitveis quando incrementam a economia. China, ndia e Brasil so frequentemente citados por esse comportamento. Redes piratas tambm desempenham um papel nisso, desde que haja algum reconhecimento ou remunerao. Acultura hacker incentivada e os grupos que a praticam obtm imunidade para realizar outras atividades que podem ser menos teis aos pases que os protegem. No Oriente, a queda do Muro de Berlim em novembro de 1989 ps fim Guerra Fria e s suas tenses. As enormes infraestruturas dos servios de informaes tinham de encontrar novos objetivos para justificar sua existncia. A espionagem econmica tornou-se uma prioridade para essas agncias, com envolvimento varivel de um pas para outro. Eventualmente, alguns especialistas deixaram seus antigos empregadores e foram para o setor privado. A maior parte ingressou em grandes grupos industriais ou criou empresas prprias. Outros criaram estruturas ainda mais perigosas, oferecendo seus servios, quando decidiram flertar com atividades ilegais. Agora que o mundo entra em um novo perodo de tenso, muitos pases redirecionaram seus servios para uma estratgia de guerra ciberntica. Pases como China ou Rssia no hesitam em colocar em prtica sua experincia nessa rea.34 O trabalho sujo fica por conta de entidades intimamente relacionadas a mfias ou grupos patriticos que desejam servir a seus pases. Alm da remunerao, eles conseguem impunidade e importncia. Ao gerar inveja, eles fazem com que os outros queiram imit-los.
31. Anti-U.S. Hackers Infiltrate Army Servers (Hackers antiEUA infiltram servidores do exrcito): http://www.informationweek.com/news/government/federal/showArticle.jhtml?articleID=217700619 32. Cyber-terrorisme Patrick Chambet (Ciberterrorismo Patrick Chambet): http://www.chambet.com/publications/IHEDN-Cyberterrorisme.pdf 33. Inside Russias Hacking Culture (Por dentro da cultura hacker na Rssia): http://www.wired.com/culture/lifestyle/news/2001/03/42346 34. Kremlin-backed group behind Estonia cyber blitz (Grupo apoiado pelo Kremlin por trs de ciberblitz na Estnia): http://balticbusinessnews.com/Default2.aspx?ArticleID=b737410e-e519-4a36-885f-85b183cc3478
12
White Paper
Proliferao de naes O fim da Guerra Fria levou a um nmero maior de pases formados por secesses. Alguns destes so pequenas entidades que tm apenas um nome e que raramente dispem de muitos recursos e atributos. Esses pases tm dificuldades para controlar a segurana, proteger os cidados e impor a lei. As foras criminosas adoram essas reas cinzas onde podem estabelecer suas bases, criar razes e fazer crescer seus negcios sem interferncia do governo. As deficincias desses pases so oportunidades que os criminosos podem explorar. Adulteradores e hacktivistas Hackear um site e fazer uma alterao indesejada uma atividade praticada por muitos grupos que buscam veicular uma mensagem ou reivindicao. Eles costumam ser acompanhados por uma imagem ou smbolo referente morte (por exemplo, caveiras) ou ao pas (uma bandeira) para o qual oadulterador tem orgulho em trabalhar. Todo ms, o site Zone-H identifica mais de 2.500 ataques.35
Figura 4: Adulterao em 4 de junho de 2009. (Fonte: McAfee)
A maioria desses grupos simplesmente explora uma vulnerabilidade conhecida relacionada a umafalha com base na Web. O Grupo de Hackers de Kosovo tem o crdito por descobrir falhas no Joomla. Estasainda podem ser utilizadas para piratear muitos sites.36 O Team Evil marroquino especializado em ataques contra sites israelenses e americanos. Desde2004, ele espalha mensagens pr-Palestina. Em 2006, ele anexou regularmente s suas mensagens osendereos de e-mail de seis integrantes do grupo. Um deles disse a uma grande agncia de notcias
35. http://www.zone-h.org/news/id/4686 36. Joomla Component JooBlog 0.1.1 (PostID) SQL (Joomla Component JooBlog 0.1.1 (PostID), vulnerabilidade de injeo de SQL): http://www.derkeiler.com/pdf/Mailing-Lists/securityfocus/bugtraq/2008-11/msg00078.pdf
13
White Paper
de Israel: Somos um grupo de hackers marroquinos que ataca sites como um sinal de solidariedade com a guerra de resistncia contra Israel. Ns atacamos sites israelenses todo dia; o nosso dever. Hacking no crime. Parem de matar crianas e ns pararemos o hacking.37 Em 2 de janeiro de 2009, ele trabalhou com o grupo Jurm-Team para atacar osite Ynet, verso em ingls do jornal on-line israelense Yedioth Aharonoth.38 Existem muitos grupos pr-Palestina. Uma visita ao site arabic-m.com nos d uma amostra com suas vrias listas Top 10.
Figura 5: Uma lista de adulteradores de sites no mundo islmico.
No conflito palestino-israelense, os ataques no se limitam ao lado muulmano. Menos divulgado, mas igualmente ativo, o grupo israelense Team Good reagiu a alguns dos ataques do Team Evil em 2006. Eledanificou o servidor pertencente ao host marroquino Omihost.com (Multimedia Studios), causando aperda de todos os dados dos clientes do host. A adulterao apenas um aspecto do hacktivismo. Durante o conflito militar em Gaza que comeou em dezembro de 2008, um grupo de indivduos (The Patriot Team) organizou uma rede de bots voluntria. A iniciativa tinha como nome Help Israel Win (ajude Israel a vencer).
37. Guysen hacker victim (Vtima do hacker Guysen): http://www.guysen.com/articles.php?sid=4733 38. Israeli News Source, YNET, Hacked By Hamas (Israeli News Source, YNET, hackeado pelo Hamas): http://ibloga.blogspot.com/2009/01/israeli-news-source-ynet-hacked-by.html
14
White Paper
Figura 6: A iniciativa Help Israel Win do The Patriot Team.
Hoje, os antagonismos do mundo so refletidos on-line. O relacionamento tenso entre a ndia e o Paquisto outro exemplo. Durante vrios anos, o grupo Whackerz Pakistan atacou interesses indianos.39 No entanto, muitos movimentos utilizam a Internet para disseminar suas idias sem recorrer a atos reprovveis. Na Colmbia, Oscar Morales criou um grupo no Facebook chamado Um milho de vozes contra as FARC. O grupo encoraja os usurios da plataforma da comunidade a relatar e a denunciar atos de violncia e extremismo. At meados de junho de 2009, quase 445.000 tinham ingressado no grupo.40 Outros grupos se consideram militantes pela liberdade da informao. Na Alemanha, o Chaos Computer Club, fundado em 1981, reuniu hackers e entusiastas em computadores, redes e programao. Suas aes os posicionaram rapidamente entre grupos de indivduos mal-intencionados e perigosos. Em1984, o clube chamou a ateno da mdia ao conseguir transferir DM 135.000 de uma conta de poupana de Hamburgo para uma conta bancria prpria. Em 1998, o grupo demonstrou que o cdigo de identificao de carto GSM de um celular da Mannesmann, que criptografado com o algoritmo Comp128, podia ser clonado. Em 2004, eles publicaram vrias vulnerabilidades encontradas no sistema OBSOC da Deutsche Telecom. As vulnerabilidades s puderam ser resolvidas com esforos humanos e financeiros significativos. Em 2006, o grupo publicou um relatrio detalhado no qual demonstrou oquo fcil manipular os computadores Nedap que a Alemanha queria usar para votao eletrnica.41 Atualmente, o clube faz campanha por liberdade de informao e comunicao sem censura. Seuscolaboradores afirmam que a finalidade atual do grupo educar. Ele emite alertas, protege a privacidade e se comunica com autoridades. O clube distribui seus resultados atravs de uma variedadede canais de mdia e eventos pblicos. Diz-se que ele at tem alguma influncia poltica. Da mesma forma, os Estados Unidos tem o grupo de hackers Cult of the Dead Cow. Esse grupo lendrio de hackers foi fundado em 1984, em Lubbock, no Texas. Em 1995, eles obtiveram destaque aps uma declarao sobre sua posio em relao Igreja da Cientologia.42 Em 1998-1999, seus membros distriburam o Back Orifice, uma furtiva ferramenta de administrao remota que seria utilizada por muitos hackers e administradores de rede.
39. Project Grey Goose Phase II Report (Relatrio do Projeto Grey Goose, fase II): http://www.scribd.com/doc/13442963/Project-Grey-Goose-Phase-II-Report 40. Un Million de Voces Contra las FARC (Um milho de vozes contra as FARC): http://www.facebook.com/group.php?gid=6684734468 41. Qui est le Chaos Computer Club et que fait-il ? (O que o Chaos Computer Club e o que ele faz?): http://allemagne-et-plus.a18t.net/?p=25 42. A statement from CULT OF THE DEAD COW/cDc communications (Uma declarao das comunicaes do CULT OF THE DEAD COW/cDc): http://www[.]cultdeadcow.com/news/scientology.txt [Norecomendamos visitas a esse site, marcado como vermelho pelo McAfee SiteAdvisor].
15
White Paper
Como ativistas, em 2006, eles denunciaram a censura na China. Oferecendo regularmente novas ferramentas, em fevereiro de 2008 eles distriburam o GoolagScan, que verifica automaticamente vazamentos de informaes confidenciais ou vulnerabilidades conhecidas em sites. At junho de 2009, e apesar de administrar um dos maiores sites de compartilhamento de arquivos do mundo, o Pirate Bay foi considerado um grupo obscuro de ativistas de uma causa s. O partido desfrutou de um pico de popularidade aps a condenao de quatro de seus lderes em abril de 2009. Durante as eleies europias, eles receberam 7,1% dos votos na Sucia, o suficiente para dar uma cadeira ao partido.43 Eles querem usar sua posio para promover a desregulamentao do copyright eaabolio do sistema de patentes e para reduzir a vigilncia na Internet.
Figura 7: Um comcio do Pirate Bay durante a ltima eleio europia. (Fonte: homepageDAILY.com)
Na China, o hacktivismo envolve aes coordenadas que vo alm de simples adulteraes. Exortaes ao so feitas regularmente por grupos conhecidos e desconhecidos que se mobilizam por seu pas, declaram seu amor por ele e fazem resistncia a influncias antichinesas. Foi o caso durante os Jogos Olmpicos de abril de 2008, quando o grupo chins Revenge of the Flame decidiu atacar o site americano CNN.com, que o Revenge acreditava apoiar demais a causa tibetana. Como a ao era esperada para 19 de abril, s 20h, medidas de proteo foram tomadas e o ataque no teve grandes consequncias. Atravs de uma nota imprensa que demonstra o esprito que anima esses grupos, oRevenge decidiu adiar o ataque:
Em apenas trs breves dias, nossa organizao, Revenge of the Flame, tornou-se grande. Primeiro, eu gostaria de agradecer a todos por seu forte senso de responsabilidade nacionalista. No entanto, talvez tenhamos sido muito impetuosos. Ns amamos nosso pas! Resistiremos a todas as influncias antichinesas! Porm, precisamos escolher a maneira certa de sair em defesa de nosso pas, de nossas famlias e de ns prprios!!! Aps algumas discusses internas, decidimos cancelar temporariamente o plano de ataque do dia 19! A organizao Revenge of the Flame ainda existe! Depois poderemos ser uma organizao para discusso de computadores; vamos estudar juntos para o dia em que nosso pas precisar de ns! Todo o nosso governo e nossos militares se mobilizaro! Nessa hora, mostraremos s assim chamadas net-forces estrangeiras! Seja onde for, a China nunca perder para eles! Tambm temos nossas net-forces! Talvez, ento, nossa Revenge of the Flame seja a principal fora! Ns todos amamos nosso pas! Mas precisamos usar mtodos razoveis para defender nossa honra!
43 European elections 2009: Swedens Pirate Party wins a seat in parliament (Eleies europias de 2009: Partido Pirata da Sucia ganha uma cadeira no parlamento) http://www.telegraph.co.uk/news/worldnews/europe/eu/5472520/European-elections-2009-Swedens-Pirate-Party-wins-a-seat-in-parliamentpps.html
16
White Paper
ATENO: Nosso plano original para 19 de abril foi cancelado porque pessoas demais esto sabendo do mesmo e a situao catica. Lanaremos o ataque no futuro prximo, em uma data no especificada. Pedimos a todos que permaneam de prontido. Vou repetir mais uma vez. Lanaremos o ataque no futuro prximo, em uma data no especificada. Estamos cancelando o ataque apenas por enquanto. Podemos enviar um aviso no dia do ataque e realiz-lo em apenas um dia. O ataque no foi cancelado; ele ser realizado em um dia no especificado no futuro prximo. Acho que todos compreendem o que queremos dizer. Esperamos que ainda mais pessoas com o sangue da nao chinesa se juntem s nossas aes. S h fora na unio. No somos indivduos, somos uma coletividade e somos chineses.
Com aproximadamente 300 milhes de usurios de Internet atualmente, a China pode se gabar de ter uma verdadeira reserva de cibercombatentes. O recrutamento comeou em 1995-1997, quando surgiu o primeiro grupo de hackers e o site Voice of the Dragon tentou reuni-los. Desde 1998, vrios grupos se juntaram Aliana de Hackers Vermelhos, cujo objetivo unificar todos esses grupos, alguns dos quais contam com 20.000 a 80.000 colaboradores. Os primeiros ataques estruturados ocorreram contra sites do governo indonsio em resposta a levantes antichineses. Aps uma breve interrupo nas atividades em 2004, a aliana continuou a agir alguns meses depois.44 Em abril de 2008, foi anunciado que o grupo tinha 300.000 membros.45 Entre os principais grupos esto os trs maiores:
Green
Army. Fundado em 1997 por um hacker conhecido como Goodwell (nome verdadeiro: Gong Wei), o grupo tem, supostamente, mais de 3.000 membros (com base em dados de novembro de 2007). Diz-se que o Green Army j atacou incontveis sites estrangeiros.46 Ao longo dos anos, o grupo dividiu-se em duas faces. A primeira permaneceu fiel aos ideais de compartilhamento e hacking, enquanto a segunda voltou-se para atividades legais e lucrativas ao criar a empresa NSFOCUS.47 Sob a autoridade dessa empresa, seus fruns de discusso (www.isbase.com) agora tmmais de 56.000 assinantes. Union of China. Esse grupo surgiu oficialmente em 2000 sob a liderana de Lion (nome verdadeiro: Lin Yong). Sua meta declarada a proteo da soberania nacional e a manuteno da paz com justia. Desde 2001, ele conhecido por seus ataques regulares contra vrios sites americanos e ocidentais. Emmaio de 2008, o dissidente tibetano Tsering Woeser sofreu um ataque on-line realizado pelo grupo.48 Eagle Union. Fundado em 2004 por Wan Tao, o nome uma referncia msica favorita do fundador: Hotel California, da banda Eagles (guias). Em 2007, Wan declarou que a organizao se dedica principalmente promoo da segurana da informao na China. Os hackers chineses so relutantes em trabalhar com o governo porque este no oferece condies atrativas e porque eles no querem perder sua liberdade, escreveu Wan.49
Honker
China
Na dcada passada vimos tambm alguns grupos hacktivistas na Rssia. As duas organizaes, atualmente extintas, so o Chaos Hackers Crew e a Russian Antifascist Frontier. Desde ento, houve vrias aes altamente divulgadas em nome de grupos nacionalistas (Nashi, ESM). Muitos especialistas acreditam que esses eventos esto associados ao governo atual.
44 Chinas anti-hacking alliance regrouped (Aliana antihackers da China reagrupada): http://news.xinhuanet.com/english/2005-04/26/content_2879866.htm 45. CNN Faces Cyberattack Over Tibet Coverage (CNN enfrenta ciberataque sobre cobertura do Tibete): http://www.informationweek.com/news/security/cybercrime/showArticle.jhtml?articleID=207400699 46. Chinas most famous hacker playing World of Warcraft (Hacker mais famoso da China jogando World of Warcraft): http://www.thedarkvisitor.com/2007/11/chinas-most-famous-hacker-playing-world-of-warcraft/ 47. Evolution of the Chinese Hacker Green Army (Evoluo do Green Army de hackers chineses): http://www.thedarkvisitor.com/2007/11/evolution-of-the-chinese-hacker-green-army/ 48. High-profile Tibetan Writer & Blogger Woeser Under Attack (Renomado escritor e blogueiro tibetano Woeser sob ataque): http://blog.studentsforafreetibet.org/2008/05/27/high-profile-tibetan-dissident-writer-blogger-under-attack/ 49. De Chine, les hackers rouges ciblent les sites Internet de pays rivaux (Da China, hackers vermelhos visam sites de pases adversrios): http://www.spyworld-actu.com/spip.php?article5525
17
White Paper
Data Setembro de 2003
Destino Chechnia/Litunia
Descrio Um site separatista chechnio, hospedado na Litunia, foi atacado por um hacker de computador. Segundo o editor do site, o ataque, que tornou a publicao indisponvel por vrias horas, supostamente foi trabalho do FSB russo. Tcnicos do Centro Kavkaz anunciaram que o hacker realizou os ataques a partir da sede do FSB em Moscou.50 Foram lanados ataques aps a relocao de um monumento que representa um soldado russo na capital de Tallinn. Em maro de 2009, um representante de um movimento jovem antifascista (Nashi) assumiu a responsabilidade pelos ataques. A ESM (Unio Eurasiana da Juventude) protestou contra a possvel entrada da Ucrnia na OTAN. Eles organizaram ataques DDoS contra os sites do servio de segurana e presidenciais ucranianos.51 Um ataque DDoS ocorreu contra o jornal Kommersant, que tinha questionado ogrupo Nashi e o Kremlin.52 Um ataque foi realizado no aniversrio do acidente de Chernobyl. Nesse dia, ardio divulgou um protesto diretamente de Minsk. Atacantes fizeram um apelo ao contra alguns pases blticos devido as suas colocaes depreciativas em relao a smbolos soviticos e comunistas. O dia anterior entrada de tropas russas na Gergia marcou o incio de ataques cibernticos violentos claramente dirigidos contra sites do governo georgiano. O ataque foi coordenado atravs do frum Army em stopgeorgia.ru (um frum protegido por senha). Um cavalo de Tria infectou parte dos sistemas de computador do Pentgono, incluindo alguns computadores utilizados por tropas de combate no Iraque e no Afeganisto. A culpa pelo incidente seria da Rssia.53 Um pequeno pas de cinco milhes de habitantes, o Quirguisto recebeu mais do que o seu quinho em ataques digitais. De acordo com algumas fontes, ainteno dos atacantes pode ter sido silenciar a oposio ao atual presidente. Uma outra explicao seria a oposio do Kremlin a uma presena americana emuma base area do Quirguisto.54
Maro a maio de 2007
Estnia
Outubro de 2007
Ucrnia
Maro de 2008 Abril de 2008 Junho de 2008 Agosto de 2008
Rssia Radio Free Europe Letnia, Litunia eEstnia Gergia
Novembro de 2008
Estados Unidos
Janeiro de 2009
Quirguisto
Figura 8: Recentes ataques hacktivistas de destaque.
Tambm vemos a influncia do terrorismo on-line. Este tem seus prprios canais de comunicao e se beneficia da Web 2.0 para disseminar suas mensagens. A Internet tambm permite que os terroristas se misturem com criminosos com motivos puramente mercenrios. Em junho de 2007, trs simpatizantes da Al-Qaeda foram sentenciados priso por organizar um ataque de propaganda poltica online.55 Um deles, Tariq Al-Daour, visitava sites de carding (Shadowcrew, CarderPlanet) desde 2002. Comumcmplice, eles foram acusados de utilizar esses sites para roubar dinheiro com cartes de crdito roubados para ajudar a financiar potenciais operaes terroristas.
50. Access to Kavkaz Center website denied for F.S.B. (Acesso ao site Kavkaz Center negado para a F.S.B.): http://www.kavkazcenter.com/eng/content/2003/09/29/1714.shtml 51. Eurasian Secret Services Daily Review (Anlise diria dos servios secretos eurasianos): http://www.axisglobe.com/article.asp?article=1419 52. (ISN) Kommersant Accuses Nashi Hackers ((ISN) Kommersant acusa hackers do Nashi): http://archive.cert.uni-stuttgart.de/isn/2008/03/msg00062.html 53. Cyberattack on Defense Department computers raises concerns (Ciberataque contra computadores do Departamento de Defesa dos EUA causa preocupao): http://www.triprosec.net/pdf/military.pdf 54. Cyberattack in Kyrgyzstan (Ciberataque no Quirguisto): http://expluribusunum.blogspot.com/2009/02/cyber-attaque-au-kirghizistan.html 55. A world wide web of terror (Uma Web do terror): http://globaltechforum.eiu.com/index.asp?layout=rich_story&doc_id=11062&title=A+world+wide+web+of+terror
18
White Paper
Figura 9: A presena da Al-Qaeda na Internet. (Fonte: OSINT Team outubro de 200856)
Apenas uma parcela das adulteraes tem origem ideolgica. Outras parecem ser realizadas por insensatez ou para aproveitar uma oportunidade. Essa categoria inclui vrios ataques grandes no segundo semestre de 2008. A pgina da Web que contm as notas de divulgao imprensa da polcia municipal de Zurique, na Sua, foi vandalizada. O hacker deixou a assinatura Hacked by Burak. Houvetambm um desenho mostrando dois jovens amarrando uma outra pessoa.57 Hackers entraram em um servidor pertencente Organizao Europia para Pesquisa Nuclear (CERN), cujo site foi adulterado.58 Tambm aqui os hackers deixaram uma mensagem zombando dos tcnicos de computador do site de Genebra. Eles os chamaram de crianas de escola por permitirem tal violao de segurana. Cultura Corrupo e impunidade Quando um pas est atolado na corrupo, costuma haver alianas entre organizaes criminosas com fora poltica e instituies encarregadas de proteger a ordem pblica. Os baixos salrios do servio pblico so um fator desencadeador. As pessoas sofrem com a corrupo e sentem que os criminosos esto agindo com impunidade. Alguns indivduos podem ser tentados a cometer crimes, sabendo que provavelmente no sero punidos. Uma pesquisa realizada em 2007 na Rssia pela Fundao de Opinio Pblica mostrou que 28%dos entrevistados conheciam funcionrios que pediam ou esperavam receber propina. 27% dos entrevistados tinha oferecido suborno.59 s vezes imaginamos que os pases mais corruptos so os estados recm-independentes, como vrios da Europa Oriental. No entanto, em 2009, a Transparncia Internacional constatou os mais altos ndices de corrupo no Oriente Mdio e no norte da frica.60
56. Supplemental to the 304th Ml Bn Periodic NewsletterSample Overview (Suplemento do 304 boletim peridico Ml Bn Viso geral deexemplo: Discusses como as da Al-Qaeda em celulares e possveis usos criativos): http://www.fas.org/irp/eprint/mobile.pdf 57. Unbekannte hacken Internetseite der Stadtpolizei Zrich (Desconhecidos invadem o site da polcia de Zurique): http://www.bluewin.ch/de/index.php/25,77047/Unbekannte_hacken_Internetseite_der_Stadtpolizei_Zuerich/ 58. CERN: Hacker drangen in System der Urknall-Maschine ein (Hackers invadem rede de computadores da mquina doBigBang): http:// diepresse.com/home/techscience/wissenschaft/414065/index.do?from=rss 59. Russie: la corruption, un lment intrinsque de lEtat (Rssia: Corrupo, um elemento intrnseco do governo): http://www.armees.com/Russie-la-corruption-un-element-intrinseque-de-l-Etat,12835.html 60. Global Corruption Barometer 2009 (Barmetro Global de Corrupo 2009): http://www.transparency.org/publications/publications/gcb2009
19
White Paper
45 40 35 30 25 20 15 10 5 0
Oriente Mdio Estados frica e frica recmsubsaariana do Norte independentes Amrica Latina sia Pacco Unio Europia Blcs ocidentais e Turquia Amrica do Norte 10 10 5 4 2 28 26 40
Figura 10: Percentual dos entrevistados que afirmaram pagar propinas nos doze meses anteriores, por regio. (Fonte:Barmetro de Corrupo Global de 2009 da Transparncia Internacional)
Aproximadamente uma entre dez pessoas no mundo teve de pagar propina entre outubro de 2008 efevereiro de 2009, de acordo com a Transparncia Internacional. Durante esse tempo, os pases maisafetados pela corrupo foram Camares, Libria, Serra Leoa e Uganda.
% dos entrevistados que afirmou ter pago uma propina nos 12 meses anteriores Grupo 1: Mais de 50% Grupo 2: Entre 23% e 49% Grupo 3: Entre 13% e 22% Grupo 4: Entre 7% e 12% Grupo 5: 6% ou menos Pas/territrio Camares, Libria, Serra Leoa, Uganda Armnia, Azerbaijo, Bolvia, Camboja, Gana, Indonsia, Iraque, Qunia, Litunia, Moldvia, Monglia, Rssia, Senegal, Venezuela Belarus, Grcia, Hungria, Kosovo, Kuwait, Lbano, Nigria, Paquisto, Peru, Romnia, Srvia, Ucrnia Bsnia-Herzegovina, Chile, Colmbia, Repblica Tcheca, Hong Kong, ndia, Malsia, Filipinas, Tailndia Argentina, ustria, Brunei, Bulgria, Canad, Crocia, Dinamarca, Finlndia, Macednia, Gergia, Islndia, Israel, Japo, Luxemburgo, Holanda, Noruega, Panam, Polnia, Portugal, Cingapura, Coria do Sul, Espanha, Sua, Turquia, Reino Unido, Estados Unidos
Figura 11: Pases mais afetados pelo suborno. (Fonte: Transparncia Internacional)
A corrupo costuma estar associada a outros aspectos do crime. Onde h crime, outros tipos de fraude emergem. A fraude de antecipao de pagamentos origina-se principalmente da Nigria. A Romnia conhecida por seus esquemas de phishing e carding. Pirataria habitual de CDs A pirataria de CDs de msica uma atividade comum atualmente. O ato no considerado crime por alguns dos que o praticam. Sua frequncia encoraja ofertas fraudulentas de grupos criminosos com recursos tcnicos e financeiros. Em maio de 2008, o estudo anual da IDC sobre pirataria de software, realizado em nome da BSA,61 mostrou que a Armnia (com 93% de todas as vendas de CDs de software
61. Fifth Annual BSA IDC Global Software Piracy Study (Quinto estudo anual de pirataria global de software BSA IDC): http://global.bsa.org/idcglobalstudy2007/studies/2007_global_piracy_study.pdf
20
White Paper
envolvendo discos piratas) e Bangladesh e Azerbaijo (ambos com 92%) tiveram as mais altas taxas de pirataria. Contrastando com isso, os pases de melhor comportamento foram os Estados Unidos (20%), Luxemburgo (21%) e Nova Zelndia (22%). Apesar de ainda estar muito alto (73%), o ndice da Rssia caiu pelo quinto ano consecutivo.
sia Pacco Europa Central/ Oriental Amrica Latina Oriente Mdio/ frica Amrica do Norte Europa Ocidental Unio Europia 0% 20%
21% 22% 33% 34% 35% 36%
59% 55% 68% 68% 65% 66% 60% 60%
2007 2006
40%
60%
Figura 12: Taxa de pirataria de software por regio. (Fonte: Quinto Estudo Anual de Pirataria de Software Global BSA IDC)
Antes dos downloads P2P (peer to peer) tornarem-se lugar comum, algumas mfias se especializavam em gravao de CDs de software e de msica. Embora as polticas para prevenir o download ilegal estejam aumentando, muitos usurios de Internet continuam a procurar alternativas menos caras do que uma compra legtima. Plataformas de download pago s vezes ilegais esto disponveis. Asplataformas mais controversas oferecem preos de duas a trs vezes mais baratos que o normal. Seuaspecto profissional sugere que esto nas mos de organizaes poderosas e bem estruturadas.
Figura 13: Um site russo de download de msicas. Sua legalidade controversa.
21
White Paper
Sediado na Rssia e criado pela Mediaservices, o site AllofMP3 teve de fechar por presso dos distribuidores de msica. Um outro site com um nome quase idntico o substituiu imediatamente e at assumiu todas as contas de clientes do site original. De acordo com o TimesOnline de Londres, o site teria atrado 5,5 milhes de clientes e gerado receitas anuais de US$ 30 milhes.62 Cpias ilegais no se limitam a software comercial legtimo. Alguns programas maliciosos, incluindo MPack, Icepack e FirePack, foram copiados e at traduzidos para outros idiomas antes de serem vendidos por falsificadores. O culto ao hacker Nos Estados Unidos, lemos frequentemente que hackers ou criadores de malware podem encontrar empregos legtimos. Um exemplo recente ocorreu em abril de 2009. O autor do worm de Twitter (JS/Twettir) recebeu uma oferta de trabalho alguns dias aps ser identificado.63 Dessa forma, o hacker se torna um vencedor. Noentanto, o culto ao hacker perigoso. Ele confere a todos os seus participantes uma imagem positiva da delinquncia, muito embora seus atos sejam ilegais. Essa notoriedade pode levar seus colaboradores a realizar atos criminosos por motivos menos louvveis que apontar falhas de software. Traumatizada por crimes ultraviolentos, a sociedade russa propensa a ignorar a pirataria ciberntica, que no provoca derramamento de sangue nas ruas e dificilmente afeta a ordem pblica. Alguns sindicatos do crime ciberntico so considerados pelo pblico a nova fora intelectual da Rssia na era digital. Elestambm so vistos como Robin Hoods, podendo sustentar adequadamente suas famlias e compartilhar o esplio com a polcia extorquindo trocados do rico Ocidente. Na China, uma pesquisa realizada em 2005 pela Academia de Cincias Sociais de Xangai mostrou que hackers e estrelas do rock so considerados com exatamente a mesma estima no pas. 43% dos estudantes de escolas primrias dizem amar hackers. O gosto pelo proibido mais um fator de atrao. A ganncia pode continuar sendo a principal motivao para cibercriminosos, mas alguns tambm podem fazer isso pela adrenalina. Jogos e tolices em geral tambm podem estar por trs de atos repreensveis. Nesse caso, alguns percebem a Internet e a Web como lugares divertidos, onde tudo possvel. Estamos s nos divertindo; no h nada de mais, eles pensam. Outros acreditam que so intocveis ou invisveis enquanto esto on-line. Mesmo quando so descobertos, eles podem acreditar que atos criminosos cometidos em um ambiente virtual no tero consequncias para eles no mundo real. Eles no esto cientes de que o que ilegal off-line tambm ilegal on-line. Nos Estados Unidos, a maioria das empresas e servios pblicos obrigada a notificar incidentes que envolvam a perda ou o roubo de dados pessoais. O cdigo de silncio entre os setores financeiro e bancrio da Europa e do Canad, onde as empresas preferem no comentar perdas com o reembolso das vtimas, limita a conscientizao do pblico. Apostas on-line O mercado global de apostas on-line est se expandindo e as perspectivas desse crescimento so impressionantes. Ele foi estimado em US$ 12 bilhes em 2005, com os Estados Unidos representando quase metade do mercado. Aproximadamente 2.000 empresas esto envolvidas nele.64 As mais conhecidas so britnicas, austracas e suecas. Em 2005, os analistas financeiros da Christiansen Capital Advisors previram que a receita das apostas on-line passaria de US$15 bilhes em 2006 para US$ 24bilhes em 2010. Mais otimistas ainda, os analistas da Merrill Lynch previram um total de US$150bilhes gerados em receita bruta em 2015, simplesmente com apostas on-line em esportes.65 Em 2006, a organizao francesa de segurana CERT-LEXSI enumerou os sites de apostas on-line.66 Atravs de uma anlise semntica de 70 milhes de sites ativos da Internet, o grupo contabilizou quase 300.000 referentes a esse tipo de atividade. A maioria eram apenas listas ou sites oferecendo anlises sobre o assunto. Um estudo detalhado isolou 14.823 sites de apostas on-line ativos. Em comparao
62. Russia shuts down Allofmp3.com (Rssia fecha o Allofmp3.com): http://www.timesonline.co.uk/tol/news/world/europe/article2016297.ece 63. Twitter worm author gets a job at exqSoft Solutions (Autor de worm de Twitter consegue emprego na exqSoft Solutions): http://blogs.zdnet.com/security/?p=3170 64. Senate (the upper house of the French Parliament)Informational report on behalf of the nations Finance, Budgetary Control andEconomic Accounts Committee regarding the evolution of gambling and money (Senado (a casa maior do Parlamento Francs) Relatrio informativo em nome do Comit de Finanas, Controle Oramentrio eContasda Frana sobre a evoluo das apostas e do dinheiro): http://www.senat.fr/rap/r06-058/r06-0581.pdf 65. Le Monde, 17 de dezembro de 2005 66. Cybercriminality of Online Gambling (A Cibercriminalidade das apostas on-line): http://www.lexsi.com/telecharger/gambling_cybercrime_2006.pdf
22
White Paper
com os 1.858 sites de apostas on-line que operavam com licena, essa atividade clandestina representa praticamente 90% das apostas na Internet.67 A cifra impressionante. Por trs de todos esses sites escondem-se vrias empresas fictcias de apostas, cujos donos tentam enriquecer e ocultar suas atividades criminosas. Suas atividades incluem lavagem de dinheiro, phishing e outros tipos de fraude financeira. Esses sites so todos registrados anonimamente. As transaes financeiras ocorrem atravs de contas bancrias offshore annimas ou de um sistema de dinheiro virtual, como PayPal, eGold, NetTeller ou WebMoney. Fraudadores individuais frequentemente no pagam aos ganhadores. Com bastante sutileza, as organizaes criminosas preferem manipular a mesa de jogo ou aproporo de pagamento das mquinas caa-nqueis. A maioria dos principais grupos cibercriminosos russos que conhecemos (por exemplo, Russian Business Network e Yambo Financial) iniciaram suas atividades criminosas atravs de pornografia infantil e cassinos on-line. O interesse pblico tambm atrai novos jogadores. O nicho lucrativo e til para a lavagem de dinheiro. Os jogos on-line tambm so populares entre o pblico. As apostas on-line so mais uma maneira de atrair criminosos. No entanto, o perfil do fraudador, neste caso, diferente porque afeta principalmente organizaes mafiosas tradicionais que procuram lavar dinheiro sujo e simular perdas financeiras, evitando chamar a ateno das autoridades tarifrias. Para o jogador que se torna vtima, o no pagamento dos ganhos e a manipulao dos resultados e colocaes continuam sendo os principais riscos. O submundo da computao Desde o aparecimento do primeiro malware at trs ou quatro anos atrs, muitos grupos se dedicaram ao desenvolvimento de vrus de computador. Seus membros no vendiam suas criaes e alegavam estar apenas fazendo pesquisa. Frequentemente considerados irresponsveis, eles eram motivados pelo desafio de explorar as fraquezas dos produtos de segurana tentando descobrir novas tcnicas deocultao e propagao. Grupos de hackers sem motivao clara (seja financeira ou poltica) so mais raros atualmente do que no passado. Na Rssia, vrios hackers se aglomeram no site da revista xakep.ru. Nos Estados Unidos, a 2600 Magazine (fundada em 1984) oferece a seus leitores reunies mensais em diversos pases. Na China, as revistas e seus sites tambm so pontos de encontro. As maiores so a HackerXfiles eaHackerDefenseOnline. Surgido em 1995, um grupo lder ficou conhecido como 29A (666 em hexadecimal). Seus membros naEuropa Oriental, Europa Ocidental e Amrica do Sul so a origem de muitos cdigos maliciosos (WM/Cap, W32/Donut, W2K/Stream, W64/Rugrat, SymbOS/Cabir). O grupo anunciou o fim de suas atividades em fevereiro de2008. O C. Rufus Security Team composto de quinze membros. Essa equipe , supostamente, a origem do cavalo de Tria utilizado na rede de espionagem Ghostnet descrita no relatrio publicado pelo Centro Munk para Estudos Internacionais, na Universidade de Toronto.68 Um outro exemplo o site sueco SweRAT; um membro atende pelo pseudnimo shapeless offers Poison Ivy. Hoje, alguns grupos de hackers esto bem-estabelecidos. O Metalab, fundado em Viena em 2006, possui atualmente aproximadamente uma centena de membros. Eles pagam taxas mensais de 40 para cobrir despesas tcnicas e de aluguel. Seu chefe Christian Benke, um especialista em computador de 28 anos, eleito por seus colegas por um ano. Suas principais atribuies so responsabilidades jurdicas econtbeis. A maioria dos membros faz o que quer. O Le Monde escreveu sobre o Metalab em julho:69
Um alto edifcio cinza em uma rua tranquila no centro de Viena, perto da prefeitura. As janelas do mezanino esto sempre acesas porque o Metalab, principal espao hacker da capital austraca, est aberto dia e noite. O tom dado logo ao entrar nesse clube de especialistas de computador libertrios. Acabine telefnica parece bastante comum, mas pode ser usada para ligar para qualquer lugar do mundo gratuitamente porque est conectada a um servidor de computador que transmite as comunicaes atravs da Internet.
67. Online Gaming Jurisdictions (Jurisdies dos jogos on-line): http://online.casinocity.com/jurisdictions/index.cfm?sorttab=n/a&sortlist=sites&filterlist=&numperpage=25&searchall=1 68. Tracking GhostNet (Rastreando a GhostNet): http://www.scribd.com/doc/13731776/Tracking-GhostNet-Investigating-a-Cyber-Espionage-Network 69. The Nets New Tribes (As novas tribos da rede): http://www.lemonde.fr/technologies/article/2009/07/08/les-nouvelles-tribus-du-net_1216676_651865.html
23
White Paper
A sala principal, decorada com fileiras de luzes controladas pela Internet, serve como sala de trabalho do grupo e sala de conferncias quando um especialista de fora faz uma apresentao. Nessa noite, umingls que vive em Fontainebleau e que veio da Frana de bicicleta est explicando um grande projeto para unificar e proteger todas as redes sociais da Internet. Em um canto, Mika, consultor em segurana de computadores, veio ajudar um jovem hacker a desbloquear um iPhone para nele instalar um software que no foi aprovado pela Apple, incluindo servio telefnico gratuito pela Internet para dispensar a operadora GSM e criptografia da conversao para evitar interceptao. No final do corredor h dois outros estudantes bastante barulhentos na pequena biblioteca, desenvolvendo um jogo de guerra para celulares. O Metalab tambm tem um estdio de msica eletrnica e um fliperama. Oconsole foi totalmente construdo l e todos os jogos foram baixados gratuitamente. Uma outra sala grande abriga a oficina, repleta de bancadas, caixas de ferramentas, pilhas de peas avulsas e computadores desmontados. Os hackers vm aqui para construir suas prprias mquinas. Astera, reconhecvel distncia por seu cabelo multicolorido, seus piercings e suas nove tatuagens, comeou hospedando um servidor de msicas controlado por voz dentro de um modelo de celulide. Mais distante, Marius, produzido e vestido de preto, est montando uma impressora 3D, um dispositivo usado para produzir objetos a partir de fibras de plstico derretido. Marius segue o movimento RepRap (prototipagem rpida por replicao), que teve incio na Inglaterra e em Nova York. Nossa meta definitiva projetar uma mquina que possa reproduzir completamente a si mesma, diz ele. No curto prazo, os RepRaps querem dar ao pblico em geral uma maneira de produzir todos os tipos de itens plsticos utilizando mtodos tradicionais, quebrando, com isso, o monoplio das grandes empresas. Alm de seus projetos ultramodernos, os jovens hackers mantm a grande tradio estabelecida por aqueles que vieram antes deles. Eles pesquisam incansavelmente vulnerabilidades de segurana em software e servidores de Internet e publicam suas descobertas para motivar os fabricantes a corrigi-las. Alm disso, elesajudam a criar sistemas para que se possa utilizar a Internet permanecendo annimo ou invisvel. Seu objetivo preservar a liberdade de expresso e proteger os usurios dos trapaceiros da Internet e tambm de empresas de marketing e alguns servios de policiamento que monitoram a rede e garimpam grandes montantes de dados pessoais. Eles permanecem leais filosofia bsica do movimento trabalhar em equipes, compartilhar conhecimento, software gratuito e de cdigo aberto, etc. Muitos deles levam uma vida dupla; especialistas em computadores corporativos durante o dia e hackers ativistas noite e nos fins de semana. Alguns at j criaram suas prprias startups. Para eles, ser um empreendedor privado no entra em conflito com ser um hacker ativista, desde que isso os torne independentes. O Metalab tambm se tornou um ponto de apoio para vrios grupos tecno-polticos que no dispem de sede prpria. Este o local de encontro semanal para os ativistas da associao FunkFeuer (tag), quecomeou a construir uma megarede Wi-Fi criptografada e autogerenciada no centro de Viena. Lugares como o Metalab esto despontando em todos os continentes. At o incio dos anos 2000, oshackers eram lobos solitrios que se comunicavam pela Internet e se encontravam de tempos em tempos em conferncias e festivais. Clubes com sede prpria eram raros, encontrados principalmente em algumas cidades universitrias dos Estados Unidos e da Alemanha, como o famoso Chaos Computer Club. Noentanto, a nova gerao, mais amistosa, redescobriu o prazer de viver como uma tribo e trabalhar emconjunto ao redor de uma mesa. Os fundadores do Metalab criaram um site, chamado Hackerspaces.org, que se tornou um ponto de encontro virtual para o movimento global. Segundo Astera, que ajuda a administrar o site, existem quase 200 espaos ativos para hackers em aproximadamente 50 pases e cerca de 170 sendo planejados ou criados. Alguns hackers se tornaram nmades. Eles viajam muito e longe para visitar espaos hackers estrangeiros e desenvolver projetos conjuntos. Paul Bhm, de 26 anos, carismtico fundador do Metalab de Viena, foi visto em So Francisco (EUA) por alguns meses. L, ele frequenta o espao hacker local Noisebridge, que lembra bastante o Metalab. Astera, que acabou de largar seu emprego aps doze anos em uma agncia de publicidade de Viena, j estava envolvida com dezesseis eventos desde o incio do ano, tanto na Europa quanto nos Estados Unidos. No incio do vero (do hemisfrio norte), ela estava em Paris para participar do Hacker Festival, organizado pelo tmp/lab (temporary lab).
Enquanto o BlackHat estava a todo vapor em julho de 2009, o grupo hacker Zero for 0wned lanou aquinquagsima edio de sua revista. Para chamar ateno para o evento, eles invadiram os sites deDanKaminsky e KevinMitnick.
24
White Paper
Figura 14: Um trecho da revista do Zero for 0wned.
A lei Falta de uma estrutura jurdica internacional O mundo do crime tira proveito da falta de territorialidade da Internet, de suas vrias jurisdies e da falta de leis contra os crimes de computador em alguns pases. O crime transnacional e a cooperao jurdica internacional muito difcil de se conseguir e manter. Embora alguns pases queiram que o Grupo dos 8 lidere a criao de uma fora-tarefa internacional, outros preferem simplificar e harmonizar as estruturas existentes. A Interpol tem seus limites e a Conveno do Conselho da Europa sobre Cibercrime no resolve tudo. No total, quarenta e cinco pases a assinaram, mas, sete anos aps sua criao, apenas metade chegou a ratific-la. Na Amrica Latina, existem esforos por cumprir com as clusulas da Conveno sobre Cibercrime, mas a ausncia de uma lei processual traz muitos problemas.70 A maioria dos pases aborda ataques em nvel de sistema e pornografia infantil, mas ainda no determinou se as redes de bots so ilegais. Costa Rica e Mxico foram convidados a integrar a Conveno sobre Cibercrime e leis semelhantes j esto em vigor na Argentina e na Repblica Dominicana. O Brasil est no processo de adotar uma legislao sobre cibercrime que tema de intensos debates. O sentimento que prevalece que, com exceo dos pedfilos, os cibercriminosos no temem aaplicao da lei. Na verdade, esta at encoraja o desenvolvimento do crime organizado. Falta de condenaes Em alguns pases, a polcia tem outras prioridades, ou pior, s vezes so pouco cooperativos ou at fazem vista grossa. Dentro do G-8, a China e a Rssia costumam ser exemplos desse tipo de comportamento. L, como em qualquer lugar, muitos provedores de acesso prova de tudo ignoram as determinaes que recebem. fato notrio que uma carreira na cibermfia da Rssia-Cucaso ou na China traz nveis de remunerao e impunidade bem maiores que nos Estados Unidos ou na Europa. Parasos fiscais e digitais O ouro dos ditadores, o dinheiro do crime e a evaso fiscal encontram refgio nos parasos fiscais. A Organizao para Cooperao Econmica e Desenvolvimento tem quatro critrios para definir umparaso fiscal:
Impostos Falta
nominais ou inexistentes. de transparncia relativa ao sistema tributrio. Falta de intercmbio de informaes com outros governos no que se refere finalidade dos impostos. Captao por empresas de fachada com atividades comerciais fictcias.
70. McAfee Virtual Criminology Report (Relatrio de Criminologia Virtual da McAfee): http://resources.mcafee.com/content/NAMcAfeeCriminologyReport
25
White Paper
Aps a deciso do G-20 por sanes a governos sem cooperao fiscal, trs listas de parasos fiscais foram publicadas em seu site.71 A primeira, uma lista negra, identifica pases que no implementaram substancialmente o padro fiscal acordado internacionalmente. Em 31 de julho de 2009, a lista estava vazia. (Os quatro pases citados na lista de abril Costa Rica, o territrio malasiano de Labuan, asFilipinas e o Uruguai passaram para a lista cinza.) As duas outras categorias so centros financeirosque prometeram cumprir com as novas regras sem realmente aplic-las (lista cinza) e aqueles que cumprem substancialmente com as regras (lista branca). A lista cinza, com trinta e um pases (dados de setembro de 2009), inclui a Sua e Liechtenstein, que prometeram mais transparncia perante acpula do G-20. A ausncia de pases na lista negra no significa que os parasos fiscais esto extintos. Alm das listas de organizaes oficiais (que costumam ser muito tolerantes), existem outras em circulao. Um exemplo a lista Attac. (Veja a figura 15.)72
Nvel de corrupo em 2008 Parasos fiscais Bandeiras de convenincia Ambos 1 2,5 4 6,5 9,3
Nmeros menores indicam corrupo maior
Sem informaes
Figura 15: Parasos fiscais no faltam, e os cibercriminosos sabem como tirar proveito deles. (Fonte: Attac)
Alm dos parasos fiscais propriamente ditos, existem tambm parasos financeiros (caracterizados por seu forte sigilo bancrio) e parasos jurdicos (que no seguem leis, particularmente leis penais, amplamente aceitas na maioria dos outros pases). A presena de parasos fiscais ajuda tanto os cibercriminosos quanto os criminosos tradicionais. Observe que, como os parasos aqui descritos, existem tambm parasos digitais, nos quais os malfeitores podem hospedar seus servidores e contedos ilegais com impunidade. Os americanos expandiram o conceito de territorialidade geogrfica para territorialidade digital, mas eles sabem que promulgar leis em um territrio nacional bastante ineficaz no mundo on-line. Hospedagem prova de bala At o final de 2008, a RBN era frequentemente citada como uma das organizaes criminosas mais ativas. Ela comeou como um provedor de servios de Internet que oferecia a seus clientes uma hospedagem prova de bala por aproximadamente US$ 600 por ms. Essa expresso descreve empresas de hospedagem que exigem apenas algumas condies de uso no que se refere ao contedo e atividades hospedados em seus servidores. prova de bala tambm significa que os servios hospedados no sero suspensos, apesar de possveis reclamaes de indivduos ou organizaes com pouco ou nenhum poder jurdico. Para ter xito em tal empreendimento, a RBN assumiu controle total ou parcial de muitos estabelecimentos relacionados. Essa uma das razes que levaram a comunidade internacional a considerla uma multinacional do crime. Muitos acreditam que a maioria das entidades por ela hospedadas eram parte da prpria organizao, enquanto outras eram apenas um determinado grupo de clientes.
71. http://www.oecd.org/dataoecd/38/14/42497950.pdf 72. http://www.attac.org/en
26
White Paper
Houve muitos estudos envolvendo a RBN e no vamos discuti-los aqui. Os rumores remontam a 1996,73 embora somente em 2005 a comunidade da computao realmente comeou a se interessar por esse provedor de servios de So Petersburgo, suspeitando que eles trabalhavam intimamente com vrios canais do cibercrime. No ltimo trimestre de 2007, uma anlise realizada por David Bizeul mostrou que o bloco de endereos IP pertencente RBN inclua 406 endereos ativos, os quais hospedavam 2.090nomes de domnio, a maioria dos quais suspeitos.74
15 681 47 Pornograa Pornograa infantil Controladores de redes de bots/malware 565 Malware via JavaScript Warez Software ruim Fraude nanceira Roubo de identidade 1 1 1 1 1 Aliados Mulas Teste/vazio Desconhecido Estacionamento Erro Restrito
1
120 82 914 2
Figura 16: Uma viso geral das atividades da RBN. (Fonte: D. Bizeul)
No final de 2007, a presso da mdia foi tanta que a RBN como organizao preferiu sair de cena. Tendo se preparado para essa retirada, seus clientes encontraram outras empresas de hospedagem sem qualquer problema (como a Abdallah Internet Hizmetleri, na Turquia). Atravs de estudos publicados e discusses privadas entre pesquisadores, muitos nomes esto circulando. Alguns supostos lderes tiveram problemas com a justia (distribuio de spam, lavagem de dinheiro, carding, etc.) no diretamente relacionados RBN, mas a maioria deles puderam retomar as atividades maliciosas que os sustentavam. Algumas subsidirias da RBN reaparecem de tempos em tempos, provando que eles encontraram maneiras de continuar ativos.75 Em 2008, outras empresas de hospedagem despertaram suspeitas. Embora algumas tenham sido cooperativas, outras se desconectaram sem aviso da rede global. maio de 2008, Brian Krebs (anteriormente do blog SecurityFix do The Washington Post) revelou que o CEO do registrador Dynamic Dolphin Scott Richter, um notrio remetente de spam.76 Depoisdos processos que recebeu da justia, Richter pode se sentir obrigado a ser mais discreto. Em agosto, Krebs77 e Jart Armin (HostExploit)78 denunciaram as atividades da Atrivo/Intercage. Em21de setembro, os provedores de servios de Internet upstream da prpria Atrivo recusaram-se a rotear seu trfego de rede e a conexo da empresa de hospedagem com a Internet foi cortada. AAtrivo tentou contornar esse problema unindo-se UnitedLayer e, posteriormente, Cernel (.Net), mas acabou isolada da rede.
Em 73. The Russian Business Network: Rise and Fall of a Criminal ISP (A Russian Business Network: Ascenso e queda de um provedor criminoso): http://blog.wired.com/defense/files/iDefense_RBNUpdated_20080303.doc 74. Russian Business Network studyDavid Bizeul (Estudo sobre a Russian Business Network David Bizeul): http://www.bizeul.org/files/RBN_study.pdf 75. RBNReal Host, Latvia and Zeus Botnet (RBN Real Host, Letnia e a rede de bots Zeus): http://rbnexploit.blogspot.com/2009/08/rbn-real-host-latvia-and-zeus-botnet.html 76. Most Spam Sites Tied to a Handful of Registrars (Maioria dos sites de spam vinculada a um punhado de registradores de domnios) http://voices.washingtonpost.com/securityfix/2008/05/most_spam_sites_tied_to_a_hand_1.html 77. Report Slams U.S. Host as Major Source of Badware (Relatrio derruba tese de host dos EUA como principal fonte de malware): http://voices.washingtonpost.com/securityfix/2008/08/report_slams_us_host_as_major.html 78. http://hostexploit.com/index.php?option=com_content&view=article&id=12&Itemid=15
27
White Paper
Intercage AS27595 Inhoster AS27595/36445

Servidores e hosts fontes de malware, exploraes e crimeware
Exemplo associado
StarHub AS4657
EstHost AS27595
Registro de domnios e servios annimos para hackers e cibercriminosos
Cernal AS36445 Hotfresh AS27595 Bandcon AS26769 Broadwing AS6395
Atrivo AS27595
EstDomains AS27595
PrivacyProtect (Directi)
LogicBoxes (Directi)
Patrocnio
PDR (Directi)
Servidores contratados
Nvel 3
ICANN
The Planet Internet Services
Inuncia da Internet
Mapeamento da Atrivo Malware, ilegais e falsicados, crimeware, spam
HostExploit.com 2008
Figura 17: Mapeamento da Atrivo/Intercage. (Fonte: HostExploit)
Em
setembro, KnujOn e HostExploit trouxeram tona a hospedagem suspeita na Directi.79 A empresa cooperou e um grande nmero de sites ilegais e parafarmacuticos falsos foram tirados do ar. Seismeses depois, 75% deles ainda estavam off-line.
Non-US 8% Other US 8% eNom (US) 9%
75% ainda off-line
Figura 18: Resultados seis meses depois da faxina na hospedagem da Directi. (Fonte: KnujOn)
79. Joint statement from Directi, HostExploit and KnujOn (Declarao conjunta de Directi, HostExploit e KnujOn): http://www.knujon.com/news2008.html#09072008
28
White Paper
Em
outubro, a Internet Corporation for Assigned Names and Numbers investigou a EstDomains.80 Tendo j questionado as hospedagens suspeitas da EstDomains e suas conexes com a Atrivo, aautoridade regulatria decidiu encerrar o credenciamento da empresa estoniana como registradora de nomes de DNS.81 O motivo foi a condenao, em um tribunal estoniano, do lder da empresa, Vladimir Tastsin, por fraude bancria. Em 10 de novembro de 2008, o provedor de servios McColo desapareceu da Internet aps ser fechado. Essa empresa dos EUA, conhecida por ser um host bastante tolerante, foi investigada por Mark Kreb e pela HostExploit, que relataram, entre outras coisas, que a empresa abrigava mquinas que controlavam redes de bots dedicadas a spam ou DDoS ou que continham cdigos maliciosos que podiam ser implantados atravs de exploraes e sites-armadilha.82 Aps o fechamento do McColo, vrias fontes, incluindo a SpamCop, constataram uma queda de 35% a 50% na quantidade de spam em circulao pela Internet. Em agosto de 2009, um outro relatrio da HostExploit denunciou as atividades criminosas da Real HostLtd.83 A empresa, que tinha alugado uma grande faixa de endereos de Internet de um provedor de servios de Riga, na Letnia, agora est desconectada da rede. Alguns servidores hospedados pela Real Host foram utilizados para controlar computadores pessoais que formavam parte da rede de robs Zeus. Alguns tentaram infectar visitantes atravs de vulnerabilidades no corrigidas no Adobe Flash, enquanto outros venderam dados bancrios roubados e recrutaram mulas para transferir dinheiro entre contas.
Estatsticas da SpamCop
70
60 50
Mensagens por segundo
40
30
20
10
Sb
Dom
Seg
Relatrios enviados
Ter
Qua
Qui
Sex
Spam enviado
Mdia de spam: 18,6 mensagens por segundo Mx. de spam: 48,3 mensagens por segundo Total de spam (semana passada): 11.258.011 mensagens Sbado, 15 de novembro, 06h30m29 (hora padro do leste dos EUA), 2008
Figura 19: Decrscimo no spam aps o fechamento do provedor McColo. (Fonte: SpamCop)
80. EstDomains: A Sordid History and a Storied CEO (EstDomains: Uma histria srdida e um CEO clebre): http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html 81. EstDomains Update: Notice of Termination Stayed (Atualizao sobre o EstDomains: Permanece o aviso de encerramento): http://www.icann.org/en/announcements/announcement-2-29oct08-en.htm 82. McColo Cyber Crime USA (McColo Cibercrime nos EUA): http://hostexploit.com/downloads/Hostexploit%20Cyber%20Crime%20USA%20v%202.0%201108.pdf 83. Real Host, Latvia--RBN Resurgence or Clone (Real Host, Letnia -- Ressurgimento da RBN ou um clone): http://hostexploit.com/index.php?option=com_content&view=article&id=134:real-host-latvia-rbn-resurgence-or-clone
29
White Paper
Recentemente, o governo dos EUA pediu Pricewert que encerrasse suas atividades. Tambm conhecido como 3FN, APS Telecom e APS Communications, esse provedor de m reputao, sediado em Belize e cujos donos supostamente residem na Europa Oriental, foi acusado de permitir toda sorte de atividade criminosa atravs de seus servidores estabelecidos na Califrnia (EUA). Contudo, as aes jurdicas so poucas e esparsas. As autoridades precisam promover os casos e, excetuando as aes contra a EstDomains e a Pricewert, outros suspeitos no parecem muito preocupados. Quando um provedor desconectado, ele pode, sem dvida, refazer seus negcios em um clima mais tranquilo. Esses exemplos mostram que campanhas lideradas por pesquisadores e jornalistas so limitadas em sua eficcia. Outras empresas de hospedagem ainda esto sendo responsabilizadas por sua cumplicidade ou falta de superviso. Durante a ltima Conferncia sobre Spam do MIT, Garth e Robert Bruen, da KnujOn, apresentaram uma lista dessas empresas.84
Os 10 piores registradores de domnios Xin Net eNom Network Solutions Register.com Planet Online Regtime - 1 registrador russo a entrar na lista OnlineNIC Spot Domain/Domainsite Wild West Domain HiChina Web Solutions
Figura 20: Lista dos 10 piores registradores. (Fonte: KnujOn)
Problemas tcnicos Milhares de vulnerabilidades Todo ano, milhares de vulnerabilidades so descobertas. Muitas so anunciadas publicamente, incluindo evidncias de amostras. Portanto, fcil identificar muitas vulnerabilidades que expem as estaes de trabalho a ataques, por exemplo, realizados por meio de sites comprometidos. Os cibercriminosos encontram novas oportunidades de lucro explorando diretamente essas falhas ou vendendo aplicativos desenvolvidos por eles. Em 2008, vimos uma profuso de ataques voltados contra usurios da Internet. Muitos desses ataques foram baseados em vulnerabilidades de programas de software de terceiros (como QuickTime, Acrobat Reader, Real Media e Flash) que comprometeram os sistemas que navegam pela Internet. Almdisso, os usurios da Internet so mais frequentemente atacados quando visitam sites seguros que tenham sido comprometidos ou que propagam ataques sem saber. Durante os dois primeiros trimestres de 2008, ondas de ataques de injeo de SQL permitiram aos hackers colocar discretamente cdigo malicioso em milhares de sites no prazo de poucas horas. Esses sites infectaram os computadores de seus visitantes.
Aplicativos 1. Mozilla Firefox 2. Adobe Flash, Acrobat Verses afetadas 3.x, 2.x Flash: 10.x antes de 10.0.12.36 e 9.x antes de 9.0.151.0 Acrobat 8.1.2, 8.1.1 3. EMC VMware Player, Workstation e outros produtos 4. Sun Java Runtime Environment (JRE) Player 2.0.x, 1.0.x Workstation 5.5.x ACE 2.0.x e 1.0.x ESXi 3.5 ou anterior 6 Update 6 Nmero CVE85 10 5 9 10 10
84. ICANN Policy Enforcement (Imposio de polticas da ICANN): http://projects.csail.mit.edu/spamconf/SC2009/Robert_Bruen/bruen-icann-mit-09.ppt 85. Common Vulnerabilities and Exposures (Vulnerabilidades e exposies comuns): http://www.cve.mitre.org
30
White Paper
Aplicativos 5. Apple QuickTime, Safari, iTunes
Verses afetadas QuickTime: 7.5.5 Safari: 6.0.5.20 iTunes: 3.2, 3.1.2
Nmero CVE85 9 3 1 1 4 4 3 1 1 1
6. Produtos Symantec Norton (todas as verses de 2006 a 2008) 7. Trend Micro OfficeScan 8. Citrix Deterministic Network Enhancer, AccessGateway, Presentation Server 9. Aurigma Image Uploader, Lycos FileUploader 10. Skype 11. Yahoo! Assistant 12. Microsoft Windows Live Messenger (MSN)
2.7.0.1 8.0 SP1 antes da compilao 2439 e8.0SP1 Patch 1 antes da compilao 3087 DNE 2.21.7.233 a 3.21.7.17464, AG4.5.7, PS 4.5 4.5.126.0, 4.5.70.0, 4.6.17.0 3.6.0.248 3.6 4.7, 5.1
Figura 21: Aplicativos populares que sofreram vulnerabilidades crticas em 2008. (Fonte: bit9.com86)
Ferramentas de comunicao Em 2005, de acordo com o FBI, as ferramentas seguintes foram as favoritas entre os criminosos:87
Aplicativo Mensagens instantneas Chat Ferramenta de criptografia Sistema de pagamentos VPN (rede privada virtual) Frum Produto ICQ, AIM mIRC Trillian Money Transfer, e-Gold OpenVPN YaBB Fabricante America Online Freeware Cerulean Studios Western Union, e-Gold Ltd. Freeware Freeware
Pouco mudou em quatro anos. Sites e fruns especializados continuam a apoiar servios e ofertas de crimeware. Os mais fceis de acessar contm nada mais que informaes incuas para estabelecer um contato inicial. As muitas infiltraes realizadas por rgos policiais deixaram os cibercriminosos precavidos. Eles esperam evitar repetidas inspees do FBI, como aquelas contra o Shadowcrew e o DarkMarket.88
86. The Most Vulnerable Applications2008 Report (Os aplicativos mais vulnerveis Relatrio de 2008): http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf 87. Origem: Queixa-crime contra membros do Shadowcrew na Corte Distrital de Newark, N.J., EUA; Watchfire. 88. Q&A: FBI agent looks back on time posing as a cybercriminal (Perguntas e respostas: Agente do FBI relembra quando se fez passarporcibercriminoso): http://news.cnet.com/8301-1009_3-10234872-83.html
31
White Paper
Figura 22: FBI fecha o site Shadowcrew. (Fonte: web.archive.org)
Aps alguns intercmbios sem compromisso, um criminoso em potencial pode ser direcionado a um site seguro que requer patrocnio. Tanto no oriente quanto no ocidente, o mtodo de contato preferido o ICQ. Uma exceo a China, cujos cibercriminosos preferem sistemas de mensagens (BBS) com base na Web, particularmente o Baidu Post Bar (post.baidu.com), ou mensagens instantneas QQ. Lavagem de dinheiro e intercmbio financeiro Sem a lavagem de dinheiro, os criminosos no poderiam usar seus rendimentos ilegais em grande volume. Para essa finalidade, eles usam um esquema em trs etapas:
Depositar Criar
fundos ilegais em instituies financeiras atravs de ordens de pagamento ou outros meios. camadas, ou seja, distanciar os procedimentos das atividades criminosas de suas origens utilizando uma srie de transaes financeiras complexas. Integrar, o que significa realizar uma transao aparentemente legtima para disfarar os ativos criminosos. O Fundo Monetrio Internacional estima que o valor da lavagem de dinheiro global esteja entre 2%e5% do produto interno bruto global, o qual estimado entre US$ 500 bilhes a US$ 1,5 trilho. Dessemontante, mais de US$ 30 bilhes so, supostamente, lavados todo ano atravs da Internet, em67pases do mundo todo.89 Carding Todos os dias, milhares de elementos de informao relacionados a cartes de crdito roubados, apropriados indevidamente ou at mesmo falsos so vendidos por cibercriminosos. Trs pacotes costumam ser oferecidos:
CC
dump. So as informaes disponveis na tarja magntica do carto de crdito. Comprados em grande quantidade, cada dump custa em torno de US$0,10.
89. http://www.nticweb.com/cybercriminalite-plus-30-milliards-de-dollars-blanchis-annuellement-via-internet-dans-le-monde.html
32
White Paper
CC
full info. Contm todos os dados sobre um carto bancrio e seu proprietrio. A natureza exata dos dados varia conforme o fornecedor. Dependendo da qualidade e dos pases, o custo varia de US$2 a US$ 30.
Figura 23: Definio de uma oferta de CC full em um site de carding. (Fonte: McAfee)
COBs
(carto de crdito com alterao de cobrana). Mais poderosa que a CC full, essa oferta permite assumir controle total sobre a conta pirateada. As informaes fornecidas permitem que ocomprador altere o endereo da vtima para obter uma segurana melhor para futuras transaes fraudulentas (entrega, extratos bancrios pelo correio e ponto de contato). Os preos variam de US$80a US$ 300, dependendo do fornecimento e dos limites autorizados de gastos edetransferncia.
33
White Paper
Figura 24: Ajuda para utilizao de um COB em um site de carding. (Fonte: McAfee)
Servio CC dump com valor de verificao do carto
Descrio Formato: NOME COMPLETO | EMPRESA | ENDEREO | ENDEREO 2 | CIDADE | CEP | TELEFONE | PAS | TIPO DE CC | NOME NO CARTO | NMERO DO CC | DATA DE VALIDADE | CVC
Preos encontrados (todos os valores em US$) Estados unidos $2 Canad $4 Reino Unido $4 Austrlia $7 Europa $8 sia $8 Estados unidos $15 Canad $35 Reino Unido $25 Austrlia $30 Frana US$ 25 Alemanha US$ 30 Itlia US$ 30 US$ 1.000 adiantados US$ 4.000 quando o projeto estiver pronto
CC full info
Formato: IP | LOGIN DO PAYPAL | SENHA DO PAYPAL | TIPO DE CC | NMERO DO CC | DATA DE VALIDADE | CVC | NOME NO CARTO | NOME DO BANCO | NOME | SOBRENOME | ENDEREO | ENDEREO 2 | CIDADE | ESTADO | CEP | TELEFONE | DATA DE NASCIMENTO | MMN | N SEGURIDADE SOCIAL Cartes de crdito, informaes completas ou logins bancrios de qualquer banco ou instituio com as informaes solicitadas pelo cliente Cartes de crdito da Unio Europia 100 Dumps Classic 100 Dumps Classic 100 Dumps Gold/Platinum 100 Dumps Gold/Platinum Cartes de crdito dos Estados Unidos 1.000 Dumps Classic 1.000 Dumps Gold/Platinum
Projetos personalizados
Em grandes volumes
US$ 5.500 (por um carto com chip) US$ 6.500 (por um carto com tarjamagntica) US$ 7.500 (carto com chip) US$ 8.500 (carto com tarja magntica)
$5.000 $10.000
Figura 25: Alguns preos de carding. (Fonte: McAfee)
34
White Paper
Para criar cartes e piratear caixas eletrnicos, necessrio equipamento. Se voc deseja comear um negcio, todas as ferramentas que um falsificador de cartes precisa podem ser adquiridas no mercado negro.
Um
leitor de tarja magntica (ou skimmer). Conectado a um caixa eletrnico, esse dispositivo eletrnico coleta as informaes (ou dump) contidas nas tarjas magnticas. Tal equipamento custa entre US$ 1.500 e US$ 14.000. Um pin pad (teclado de PIN) falso (ou uma cmera miniatura) para coletar os pressionamentos de teclas. Um sistema opcional de transmisso remota. Cartes em branco ou pr-impressos (chamados de plstico) com a imagem do banco cujos dumps o criminosos coletou ou adquiriu. Um gravador de tarja magntica.
Diagrama funcional do sistema:
Sinal GSM SMS - enviada

~25m baseEXP-16
koro-16
Sinal Bluetooth
SMS aceita
Teclado de PIN
Figura 26: Uma oferta de um skimmer de carto miniatura. O kit skimmer koro-16, receptor baseEXP-16 e pin pad custa US$ 5.000. O preo unitrio do kit cai com a compra de vrias unidades. (Fonte: McAfee)
O negcio de dados bancrios roubados rende bastante para aqueles que fornecem os dados. Os que os utilizam correm um risco a mais, mas tambm podem obter grandes lucros. Existem dois mtodos para utilizao dos cartes: fazer compras on-line em sites que no exigem o endereo de cobrana ou de entrega ou utilizar os cartes falsos em pases que ainda usam a tarja magntica. O dinheiro gerado com a utilizao de identidades eletrnicas falsificadas ou roubadas situa-se em torno de US$ 7 bilhes, segundo a IDC.90 Fruns especializados colocam os falsificadores de cartes e os compradores em contato uns com os outros. Um criminoso primeiro compra uma unidade para experimentar, testa e, se satisfeito, faz uma compra maior (entre 10 e 100 unidades). Por quinze anos, grupos especializados em fraude de carto de crdito utilizaram vrias plataformas que, em sua maioria, foram muito rapidamente infiltradas pela polcia de vrios pases. As autoridades realizam periodicamente operaes em grande escala nesses ambientes.
90. Eric Domage (IDC Europa) Revue Dfense Nationale et Scurit Collective Maio de 2008
35
White Paper
Mazafaka The Grifters DarkPoints BoaFactory CarderPlanet CounterfeitLibrary ShadowCrew Scandinavian Carding DarkMarket CardersMarket IAACA Fakacarda/CardingEmpire Carder.su
2002
2003
2004
2005
2006
2007
2008
2009
Figura 27: Principais sites de carding. (Fontes: McAfee, web.archive.org)
So vrios os grandes sites de carding. Os mais famosos esto listados na Figura 27. As datas de incio e de trmino so apenas estimativas.
Boafactory.com:
Esse site de carding foi criado por Roman Vega (tambm conhecido como RomeoStepanenko e Boa), com base em um de seus pseudnimos.
Figura 28: Uma imagem da homepage do Boa Factory.
Alm dos inevitveis dumps e dos cartes de crdito falsos, o site oferece senhas e cheques de viagem falsos. Vega, um ucraniano de 39 anos preso no Chipre em junho de 2004, mais conhecido como um dos administradores do CarderPlanet. Em junho de 2009, ele foi extraditado para os Estados Unidos eentregue corte federal. Ele foi acusado de apropriao indbita de mais de US$ 2,5 milhes.
CCpowerForums:
Esse site oferece a seus membros muitos fruns, incluindo sees sobre hacking, exploraes, proxies, cavalos de Tria / keyloggers / bots, cartes de crdito e um hall da vergonha. Emnovembro de 2006, a Operao Cardkeeper resultou na priso de vinte pessoas nos Estados Unidos ena Polnia. Quinze mandatos de priso tambm foram expedidos para romenos e outros americanos.91 Esse frum parece ter ficado ativo at outubro de 2008. Embora a entrada no frum s acontea por convite, existem mais de 2.000 usurios registrados. Ele frequentemente trabalha em conjunto com CCpowerForums, International Association for the Advancement of Criminal Activity/ TheTheft Services e Mazafaka.
DarkMarket.ws:
Figura 29: Um trecho da homepage do Dark Market.
91. http://blog.washingtonpost.com/securityfix/lyonshalearrest.pdf
36
White Paper
Em agosto de 2006, Iceman, administrador do CardersMarket, invadiu o site. Ele copiou o diretrio de membros e o contedo do frum para integr-los em seu prprio. Ele descobriu que havia agentes do FBI entre os administradores do site e tentou informar seus membros. O rumor no foi levado a srio. O frum no foi fechado seno em outubro de 2008. Com a ajuda de outras organizaes policiais, oFBI deteve mais de quinze pessoas nos Estados Unidos, Reino Unido, Turquia e Alemanha. Um dos infiltrados foi identificado como J. Keith Mularski da National Cyber Forensics Training Alliance, de Pittsburgh, na Pensilvnia. Seu pseudnimo Master Splynter tambm aparecia na lista negra do SpamHaus, onde era associado ao nome Pavel Kaminski. Esses perfis desapareceram algumas horas aps a divulgao do fechamento do DarkMarket. Um dos administradores do site, Cagatay Evyapan, vive na Turquia. Ele conhecido pelo pseudnimo Chao. Ele oferece skimmers e teclados de caixas eletrnicos de alta qualidade. Na primavera (no hemisfrio norte) de 2007, ele supostamente raptou etorturou um de seus associados, que ele achava ser muito tagarela.92
International
Association for the Advancement of Criminal Activity. Tambm conhecida como The Theft Services, uma provvel sucessora do Shadowcrew. Um dos administradores do site atende pelo pseudnimo Zo0mer. Segundo um artigo que apareceu pela primeira vez no International Herald Tribune, ele pode ser um estudante de So Petersburgo chamado Sergei Kozerev.93 Shadowcrew: Operacional de agosto de 2002 a outubro de 2004, esse frum oferecia a seus membros um lugar onde encontrar informaes e, principalmente, comprar e vender toda sorte de dados bancrios e pessoais em formato digital (nmeros de seguridade social, dumps, valores de verificao de carto, etc.) e documentos falsificados. O site, criado originalmente por membros dissidentes do CounterfeitLibrary.com, hospedado nos Estados Unidos.
Figura 30: Uma parte da homepage do Shadowcrew.
Em dezembro de 2003, os fruns incluam aproximadamente 4.000 membros que obtinham privilgios atravs de sua participao ativa em discusses e de sua contribuio com tutoriais. No comando da organizao estavam os administradores do site. Eles determinavam quais candidatos admitir como membros, seu nvel de responsabilidade e possveis penalidades no caso de m conduta. Eles tambm eram responsveis pela manuteno e administrao dos servidores. Vrios moderadores eram responsveis por um ou mais fruns de discusso. Eles eram escolhidos com base em seus nveis de conhecimento e suas localizaes geogrficas. Examinadores testavam os produtos e servios ilegais oferecidos pelos fornecedores. Os examinadores davam um veredicto sobre a qualidade de cada oferta antes de aprov-la ou rejeit-la. Os servios eram disponibilizados on-line pelos fornecedores e podiam ser comprados pelos membros. Os fruns ofereciam contedo em ingls e russo e apoiavam, sem distino, membros dos Estados Unidos e da Europa Oriental. A diversidade beneficiava os criminosos. Os Estados Unidos se especializavam em hacking, enquanto a Rssia e a Romnia tornavam-se experts na produo de cartes falsos. No comando da organizao estava um grupo de americanos e moscovitas como administradores do site. Quando um artigo foi publicado em junho de 2008 no pcianswers.com,94 um lder que atendia pelo pseudnimo de Uncle Bob (que se acredita ser David Thomas; veja a pgina 36) trabalhava para corrigir a lista de administradores. Isso foi contestado imediatamente. A discusso no site continua at hoje.
92. Hacker Reportedly Kidnaps and Tortures Informant, Posts Picture as a Warning to Others (Hacker supostamente sequestra e tortura informante e divulga foto como aviso para outros): http://blog.wired.com/27bstroke6/2008/08/hacker-reported.html#previouspost 93. Countless Dens of Uncatchable Thieves (Incontveis covis de ladres incapturveis): http://www.nytimes.com/2006/04/03/business/03link.html 94. Where does all the data go? - Hacker Underground (Para onde vo todos os dados? - Submundo dos hackers): http://pcianswers.com/2008/06/29/where-does-all-the-data-go-hacker-underground/
37
White Paper
Figura 31: Uma lista, embora questionvel, de administradores do Shadowcrew. (Fonte: pcianswers.com)
Com o Shadowcrew h tanto tempo infiltrado pelo FBI (em sua Operao Firewall), alguns dos membros do grupo finalmente acreditaram nos rumores que estavam circulando sobre o assunto. Emoutubro de 2004, a situao ficou insustentvel. O frum foi fechado e muitas prises se seguiram. Em outubro de 2004, 28 pessoas foram presas em vrios estados dos EUA e no exterior (Canad, Inglaterra,95 Belarus, Polnia, Sucia, Holanda, Ucrnia). As prises incluram no apenas usurios do Shadowcrew, mas tambm do CarderPlanet e do Darkprofits. Nos Estados Unidos, 19 pessoas estavam sob investigao em outubro de 2004. Vrias delas se declararam culpadas em novembro de 2005 e foram sentenciadas em junho de 2006.96 Para ter uma idia melhor do tamanho do grupo, aqui est uma galeria de malfeitores, com alguns dos indivduos mais notveis: Richard Stiles. Conhecido pelo apelido de Kidd, ele listado como principal administrador do site. Kim Marvin Taylor (Macgyver ou Scott Cannell). Sucedeu Kidd e foi interceptado em novembro de 2002 com seu cmplice, David Thomas, ao recuperar bens comandando mulas para o traficante russo Big Buyer.97 Ele deixou o Shadowcrew para se juntar ao CarderPlanet e, imediatamente, suspeitou que Thomas trabalhava para o FBI. Taylor foi preso em junho de 2003 e passou 11meses na priso (at maio de 2004). Ele foi preso novamente em outubro de 2004. Ele se declarou culpado e foi sentenciado a 30 meses de cadeia e trs anos de condicional. Em janeiro de 2007, umartigo de Kim Zetter na Wired News afirmou que ele concluiria sua sentena em maro de 2007.98 Desdeento, rumores tm se alastrado. Vrios de seus antigos associados disseram que ele morreu na priso, enquanto outros afirmam o contrrio. David Renshaw Thomas (El Mariachi). Sua histria foi em grande parte revelada por Kim Zetter em uma srie de artigos publicados em 2007 na Wired News.99 Conhecido pela polcia desde os 14 anos, elefoi preso com Kim Taylor em novembro de 2002. Ele tinha 44 anos na ocasio. Em abril de 2003, aps trs meses de priso, ele decidiu cooperar com o FBI. Foi o incio da Operao Firewall. Thomas atuou como um dos espies do FBI no Shadowcrew at que os agentes federais saram e fecharam o site.
95. http://www.usdoj.gov/usao/nj/press/files/pdffiles/firewallindct1028.pdf#search=%22firewallindct1028.pdf%22 96. Shadowcrew Identity Theft Ringleader Gets 32 Months in Prison (Lder da quadrilha de roubo de identidade Shadowcrew pega32mesesde priso): http://www.usdoj.gov/usao/nj/press/files/mant0629_r.htm 97. This may be Artur Lyashenko, a Ukrainian linked to Dmitriy Golubov and CarderPlanet (Este pode ser Artur Lyashenko, um ucraniano ligadoa Dmitriy Golubov e ao CarderPlanet) 98. I Was a Cybercrook for the FBI (Eu era um cibervigarista para o FBI): http://www.wired.com/politics/onlinerights/news/2007/01/72515%3FcurrentPage%3D4 99. Ibid.
38
White Paper
Brett Shannon Johnson. Sob o pseudnimo Gollumfun, Johnson sucedeu Kim Taylor como administrador do Shadowcrew. Ele no teve nenhum problema com a justia quando o site foi fechado, mas foi preso em fevereiro de 2005 por comprar cheques bancrios falsificados em nome do Bank of America. Como muitas outras pessoas de seu ramo, sua sentena foi reduzida e ele se tornou um informante do FBI infiltrando o ScandinavianCarding e o CardersMarket.100 Albert Gonzalez (CumbaJohnny, CJ, Segvec ou SoupNazi). Ele tambm atuou como informante do FBI. Preso em meados de 2003, ele foi membro do Shadowcrew e parte de sua equipe de administrao. Ele aprovou a instalao de uma VPN controlada pelos agentes federais. Mais tarde, oFBI soube que ele desempenhou um papel duplo ao trabalhar tambm na equipe de administrao do CardPlanet. Ele foi preso em agosto de 2008 por participar do roubo dos dados da TJX. Nicolas Jacobsen (Ethics). Ele interceptou e-mails do FBI que quase exps tudo. Isso obrigou a Operao Firewall a terminar rapidamente. Os administradores do Shadowcrew reuniram seus membros para uma reunio virtual obrigatria. Enquanto eles estavam diante de seus computadores, a polcia entrou (outubro de 2004) e fez vrias prises. Posteriormente, o prprio Ethics foi preso. Omar Dhanani (Voleur, Jaeden ou Patryn). Ele foi uma das 19 pessoas investigadas em outubro de 2004. Como corretor oficial do frum, com uma comisso de 10%, em mdia, ele ofereceu seus servios utilizando o e-gold como uma plataforma de lavagem de dinheiro. Ele se declarou culpado em 2005, foi sentenciado e, ento, libertado em maio de 2007. Rumores sugerem que Dhanani est atualmente envolvido com sites suspeitos de troca de moeda virtual.101 Kenneth J. Flury. Conhecido pelo pseudnimo OTF e preso em outubro de 2004 aos 41 anos. Flury foi acusado de criar cartes falsos de caixa eletrnico utilizando dados roubados de clientes do Citibank (em abril e maio de 2004). Com esses cartes, ele roubou aproximadamente US$ 380.000. Ele usou a Western Union para enviar parte do dinheiro para pessoas da Europa e da sia que tinham fornecido as informaes. Sentenciado em outubro de 2005, ele recuperou sua liberdade em agosto de 2008.102
Stealthdivision:
Hospedado na Malsia, esse frum teria sido criado por Beau Anthony Franks (Scarface) para substituir o CarderPlanet. Com aproximadamente 1.340 membros em agosto de 2004 (e apenas 500 em setembro e 700 em outubro), ele teve uma vida muito curta. Franks foi uma das 28 pessoas presas em outubro de 2004. Carder.su: Esse site ainda est ativo. Ele supostamente parte do RU-Center, que oferece um servio whois annimo desde fevereiro de 2009. Essa opo protege a identidade do dono do nome de domnio. O site hospedado atravs do 2x4.ru em Moscou. Essa empresa, liderada por Pavel Ivanov, hospeda muitos sites suspeitos.103 CarderPlanet (International Carders Alliance): Criado do nada em maio de 2001 por mais de uma centena de criminosos na Europa Oriental, esse frum foi dedicado ao carding e venda on-line dedados bancrios. Operando inicialmente em russo, o frum acrescentou mais tarde o ingls para atrair mais clientes.
Figura 32: Uma olhada na homepage do CarderPlanet.
Os membros do CarderPlanet trabalhavam para expandir sua influncia e dominar novos mercados. Emjunho de 2004, ele tinha 6.900 usurios registrados.
100. Secret Service Operative Moonlights as Identity Thief (Agente de servio secreto faz jogo duplo como ladro de identidade): http://www.wired.com/politics/law/news/2007/06/secret_service?currentPage=all 101. http://www.m-goldsucks.com/ 102. Cleveland, Ohio Man Sentenced to Prison for Bank Fraud and Conspiracy (Homem de Cleveland, em Ohio, sentenciado a priso porfraudebancria e conspirao): http://www.usdoj.gov/criminal/cybercrime/flurySent.htm 103. Carders do battle through spam - carder.su (Falsificadores de cartes lutam atravs do spam - carder.su): http://garwarner.blogspot.com/2009/03/carders-do-battle-through-spam-cardersu.html
39
White Paper
Sofrendo os efeitos da Operao Firewall (contra seu concorrente Shadowcrew) e a priso de vrios gerentes de alto escalo, seus lderes decidiram ser duplamente cautelosos, fechando o site em agosto de 2004. So estes os lderes associados ao site: Dmitry Ivanovich Golubov (Script). Considerado o primeiro poderoso chefo da organizao. Remetente de spam e falsificador de cartes, Golubov ficou impressionado com a facilidade com que usurios de Internet ingnuos concordavam em divulgar suas informaes bancrias. Ele administrou o site at maro de 2004104 e tambm era membro do Shadowcrew. Golubov foi preso em 2005 em Odessa e libertado aps passar cinco meses na cadeia. Diversas fontes afirmam que polticos ucranianos contataram um juiz para apontar a falta de provas contra ele, enquanto o prprio Golubov alegava ter sido vtima de um roubo de identidade. Atualmente, ele o lder do partido poltico Partido Internet da Ucrnia,105 o qual realizou seu primeiro congresso em maro de 2009.106 Pavel Chistov. Parece ter sido o homem n 2 do site. Com 28 anos de idade, ele se especializou em produzir cartes de crdito falsos. Aps estabelecer uma operao de carding, ele desenvolveu o site e o colocou on-line em agosto de 2002.107 Mikhail Mulyar. Esse indivduo de 30 anos mais um membro influente do grupo. Ele era conhecido pela polcia desde os anos 90 pela criao de uma empresa falsa e por tomar vrios emprstimos e depois desaparecer. Ele comprou materiais para confeco de cartes falsos. Ele tambm administrou a entrega dos artigos. Mulyar foi preso com alguns de seus entregadores em junho de 2003. Nesse dia, a polcia apreendeu mais de 8.000 cartes falsificados. Artur Lyashenko. Preso com vrios cmplices, Lyashenko foi sentenciado em junho de 2006 a seis anos de priso e multa de US$ 370 (10.000 rublos) por produzir e vender mais de 5.000 cartes falsos. Seus cmplices Gerasim Selivanov e Aleksej Stroganov receberam 5 anos e seis anos de priso, respectivamente. Trs outros Valentina Antipova, Alexei Ignatov e Nikolai Steshenko tiveram suas sentenas suspensas.108 Roman Vega (Romeo Stepanenko e Boa). Outro administrador do CarderPlanet. Por alguns meses no final de 2002, ele administrou seu prprio site (Boafactory.com) paralelamente. Ele foi preso no Chipre e extraditado para os Estados Unidos em junho de 2004. Ele se declarou culpado em 2006 perante os tribunais da Califrnia. Em 2007, quando ele estava para ser solto, os tribunais de Nova York tambm o sentenciaram. Douglas Cade Havard. Com 24 anos em 2005, Havard foi um examinador no CarderPlanet, conhecido pelo pseudnimo Fargo. Ele fez cartes de crdito falsos utilizando dados fornecidos por correspondentes russos (incluindo King Arthur) atravs do CarderPlanet e do Shadowcrew. 60% do dinheiro roubado foi para a Rssia e o restante foi retido como compensao.109 Ele foi preso na Inglaterra em junho de 2004. Cidado americano, ele deixou seu pas em 2002 aps seu envolvimento com trfico de drogas. Seu cmplice ingls, Lee Elwood, de 25 anos, tambm foi preso em junho de 2004. Ambos foram sentenciados na Inglaterra em junho de 2005. Eles supostamente roubaram quase US$ 11,4 milhes em 18 meses. Os Estados Unidos solicitaram a extradio de Havard para que ele fosse julgado por assalto a mo armada e falsificao.
O
Mazafaka.ru foi criado em 2001. Durante vrios anos, ele serviu como ponto de encontro para hackers falantes de russo. Em junho de 2004, uma ramificao do site separou-se do resto e vrios sites dedicados a crimes financeiros on-line surgiram.
Figura 33: Uma parte da homepage Mazafaka.ru.

104. Crime Boards Come Crashing Down (Bancas do crime chegam quebrando): http://www.wired.com/science/discoveries/news/2007/02/72585 105. Internet Party of the Ukraine (Partido Internet da Ucrnia): http://www.ipu.com.ua/ 106. Internet party of Ukraine first congress (Primeiro congresso do Partido Internet da Ucrnia): http://photo.unian.net/eng/themes/11736 107. Special services expose the largest credit card fraud in Russias history (Servios secretos expem a maior fraude de cartes de crdito dahistria da Rssia): http://english.pravda.ru/accidents/21/96/383/14751_cards.html 108. Moscow court gives lengthy jail terms to credit card fraud gang (Tribunal de Moscou sentencia penas longas para quadrilha fraudadora decartes de crdito): http://en.rian.ru/russia/20060616/49635773-print.html 109. Computer geeks funded champagne lifestyle with 6.5m fraud (Nerds de computador custearam estilo de vida regado a champanhe comfraude de 6,5 milhes): http://www.timesonline.co.uk/tol/news/uk/article540156.ece
40
White Paper
Entre eles, o mazafaka.info foi o mais popular, com 9.200 usurios registrados em fevereiro de 2007 e uma seo em ingls.110 Os usurios registravam-se no site atravs de um duplo patrocnio, a um custo mdio de US$ 50. Algumas das pessoas envolvidas: Maksym Yastremskiy. Em julho de 2007, Yastremskiy, conhecido pelo pseudnimo Maksik, foipreso na Turquia. Ele era um dos falsificadores de cartes mais influentes da poca. Ucraniano, eleera membro do Shadowcrew, do Mazafaka e do CarderPlanet e utilizava frequentemente o e-gold para suas transaes financeiras. Envolvido no caso TJX, ele vendeu centenas de cartes de crdito e de dbito falsos. No Mazafaka, ele tambm estava associado a um outro ucraniano, Segvec (AlbertGonzalez do Shadowcrew). Trabalhando com Christopher Scott, Yastermskiy invadiu sistemas de computadores da TJX e esteve envolvido em outros atos criminosos (BJs Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 e DSW). Lord Kaisersose. Um dos melhores clientes de Maksik. De nacionalidade francesa, ele foi preso em junho de 2007 durante a Operao Lord Kaisersose. THEEEEL. Esse francs foi preso em Marselha, no mesmo dia que Kaisersose. THEEEEL tambm era suspeito de carding (Operao Hard Drive). Nicholas Joehle. Durante a Operao Hard Drive, o canadense Joehle (Dron) de Calgary, emAlberta, foi preso em maio de 2007 por vender leitores de cartes de crdito (skimmers). Em meados de 2009, um novo frum de carding com esse nome reapareceu on-line.
Cardercrew:
Esse site de carding era supostamente administrado por uma jovem conhecida como Decepgal. Ela tambm era administradora do muzzfuzz.com e, durante algum tempo, do Shadowcrew. Decepgal estava envolvida com trfico na Europa Oriental, fazia cartes de crdito falsos, utilizava-os e enviava uma parte do dinheiro para seus patrocinadores. Embora o nome Diane Dansereau Avery tenha circulado on-line por muito tempo, o indivduo por trs desse nome pode ter sido um jovem chins que agora ensina hacking.111 Isso pode explicar porque, ao procurar jovens meninas com menos de 16 anos no Google, seu antigo site apontado. CardersMarket: Fundado em junho de 2005 por Max Ray Butler (Iceman, Max Vision, Aphex e Digits), o site serviu como plataforma para intercmbio de dados pessoais e financeiros. Elefoi hospedado no Ir e tinha quase 1.600 membros em agosto de 2006. Seja como administrador ou como fornecedor, Iceman era conhecido pela polcia desde 1998. Na primavera desse ano (nohemisfrio norte), ele foi preso por invadir os computadores do Departamento de Defesa dos EUA.112 Aps um breve perodo na priso, ele foi informante do FBI por algum tempo. Ele tambm era um profissional de segurana, criador do banco de dados de vulnerabilidades arachNIDS, como MaxVision. Especializado em comunicao sem fio, ele queria eliminar seus concorrentes. Em agosto de 2006, ele capturou dados dos fruns DarkMarket, TalkCash, ScandinavianCarding e TheVouched e tornou-os inacessveis. Ele incluiu 4.500 contas de seus concorrentes em seu prprio banco de dados de membros. Ele descobriu que o DarkMarket fora infiltrado pelo FBI (seu administrador Master Splinter efetuava logon a partir do NCFTA) e advertiu a comunidade de falsificadores de cartes. Considerada como rivalidade entre gangues, a informao no foi levada a srio. Butler foi preso novamente em setembro de 2007.113 Um de seus associados, ChristopherJ.Aragon (de 47 anos), foi preso alguns meses depois. TheGrifters: Esse frum privado foi criado por David Thomas enquanto este era informante do FBI. Eleoperou de dezembro de 2003 a setembro de 2004. Foi reaberto um ano ou mais e serviu como umsite anti-carding, onde os visitantes podiam encontrar vrias informaes sobre o assunto.
110. http://docs.justia.com/cases/federal/district-courts/district-of-columbia/dcdce/1:2007cv01346/126695/1/1.pdf 111. http://www.hackbase.com/news/2009-05-09/25851.html 112. White Hat Hacker in Court (Hacker do bem no tribunal): http://www.securityfocus.com/news/18 113. Max Vision charged with hackingagain (Max Vision acusado de hacking de novo): http://www.securityfocus.com/news/11487/1
41
White Paper
Figura 34: Uma imagem da homepage do TheGrifters.
Steven Lance Roberts (John Dillinger) estava familiarizado com o papel de Thomas e participou de outras aventuras. Roberts um ex-ladro de bancos que migrou para pirataria bancria e fraude on-line. Como frequentava vrios fruns especializados (por exemplo, Counterfeit Library, Shadowcrew e CarderPlanet), ele costumava receber dados de patrocinadores romenos ou russos que o permitiam produzir cartes de crdito falsos, os quais ele utilizava em caixas eletrnicos. O dinheiro, ento, retornava Rssia via e-gold ou Western Union. Como comisso, Roberts ficava com 20% a 30% do dinheiro roubado.114 Seus contatos na Rssia incluam King Arthur, um dos primeiros a dominar o phishing. Em junho de 2006, Roberts, de 45 anos foi preso em San Diego, na Califrnia, como parte da Operao Cardkeeper.
CounterfeitLibrary:
Esse um dos fruns mais antigos a oferecer documentos falsificados e dados pessoais roubados venda. Em junho de 2002, lderes da Universidade de Illinois chamaram a ateno para esse frum porque ele oferecia diplomas falsos.115 Ao mesmo tempo, vrios de seus membros decidiram formar o Shadowcrew, que era voltado para o trfico de dados financeiros sem realmente tentar esconder o que estava fazendo.
Questes humanas Os riscos no impedem o desenvolvimento dos negcios e das operaes bancrias on-line. Ocrescimento dessas atividades na Web costuma ser citado como a principal causa do cibercrime. Uma outra causa a ingenuidade de muitos usurios da Internet que no hesitam em divulgar informaes e cdigos que deveriam ser confidenciais. Frequentemente so os usurios que, por falta de conscientizao ou por serem ludibriados, criam brechas no sistema. Embora seja difcil medir a credulidade dos usurios de Internet, os cibercriminosos sabem que podem encontrar um nmero significativo de vtimas entre os indivduos abordados. Isso, certamente, s incentiva seus ataques. Uma investida realizada em maio de 2008 demonstra o tamanho do fenmeno. Atravs de uma mensagem instantnea maliciosa, usurios do MSN foram informados de que suas contas tinham sido removidas. Juntamente com essa informao, cujo propsito seria informar os usurios quem tinha sido responsvel pela remoo, havia um link para um site-armadilha hospedado em Hong Kong. Todos os que seguiram o link ativaram um cdigo malicioso que permitia que a mensagem fosse retransmitida para todos os seus contatos. Em um dos sites piratas, um jornalista do site de notcias francs Zataz descobriu uma pgina de estatsticas.116 Isso tristemente esclarecedor. Em seis dias, 1.146.904 usurios de Internet caram nessa armadilha. Em maio de 2008, as visitas chegaram a 24.000 por hora. A dificuldade de se educar os usurios da Internet incentiva a expanso do crime virtual. Um fator agravante que os rgos de polcia podem no estar preparados para a natureza tcnica das ciberameaas. Alm disso, os promotores e juzes costumam no ter o treinamento necessrio.
114. Confessions of a Cybermule (Confisses de uma cibermula): http://www.wired.com/politics/onlinerights/news/2006/07/71479?currentPage=all 115. State of Illinois, Board of Higher EducationProposed Legislation to Prohibit the use of Fake Degrees (Estado de Illinois (EUA), Conselho de Educao Superior Proposta de lei para proibir o uso de diplomas falsos): http://www.ibhe.state.il.us/Board/agendas/2002/April/Item%207.pdf 116. More than a million MSN enthusiasts tricked over several days (Mais de um milho de entusiastas do MSN enganados por vrios dias): http://www.zataz.com/alerte-virus/17115/Plus-de-un-million-d-amateurs-de-MSN-pieges-en-quelques-jours.html
42
White Paper
Phishing Desde 2004, Rock Phish era uma das organizaes de phishing mais ativas. Embora h muito tempo ligada extinta RBN, muitos especialistas situam seus principais lderes na Romnia. Em 2006, estimouse que a Rock Phish conseguira roubar aproximadamente US$ 150 milhes de contas bancrias que tinha infiltrado. Em outubro de 2006, 50% de todo phishing era atribudo organizao. Desde 2008, a Rock Phish continuou a aprimorar suas tcnicas combinando phishing e crimeware. Atualmente, se as vtimas no forem cuidadosas, elas no apenas tero seus dados enviados para um site de coleta, como tambm podero ter seu e-mail infectado por vrios cavalos de Tria, incluindo o infame Zeus (tambm conhecido como ZBOT e WSNPOEM), associado ao kit de infeco Neosploit e rede de bots Asprox.117 Retorno do investimento Spam Um estudo realizado em 2008 pela Universidade da Califrnia, em Berkeley, mostra que o spam uma atividade economicamente vivel mesmo com uma taxa de resposta incrivelmente baixa.118 Uma taxa de apenas 0,000001% (1 em 100 milhes) parece suficiente para que uma campanha seja lucrativa. Porm, de acordo com os pesquisadores, parece que os remetentes de spam conseguem uma taxa de resposta bem maior. Chegou-se a essa concluso com o rastreamento de trs campanhas de spam, envolvendo quase 470 milhes de e-mails no solicitados. A campanha mais comum tinha relao com produtos farmacuticos. Ela inclua 347,6 milhes de mensagens de e-mail, enviadas principalmente pela rede de bots Storm. Mais de 10.000 pessoas sucumbiram tentao de clicar e, com isso, visitar os sites fornecedores. Trata-se de uma taxa de sucesso de 0,00303% (3 em 100.000). Dessa pequena parcela, 28 acabaram comprando um produto, resultando em uma taxa de sucesso de quase 1 em 12,5 milhes (0,000008%). um nmero ridiculamente pequeno, mas quando consideramos que 120 bilhes de mensagens de spam so enviadas todo dia, uma taxa de sucesso de 1 em 12,5 milhes significa que praticamente 1.000pessoas por dia, ou mais de 360.000 pessoas por ano, caem no spam. Essa campanha nem foi uma particularmente bem-sucedida; uma outra, realizada no 1 de abril, teve o dobro de resultados.
A
Endereos-alvo
crawler
conversor
E-mail no entregue
Bloqueado por ltro de spam
Ignorado pelo usurio
O usurio sai do site
ESTGIO A Alvos do spam B Entrega no servidor de e-mail (est.) C Entrega na caixa de entrada D Visitas de usurios a um site E Converses de usurios
FARMCIA 347.590.389 82.700.000 10,522 28 100% 23,8% 0,00303% 0,0000081%
CARTES POSTAIS 83.655.479 21.100.000 3.827 316 100% 25,2% 0,00457% 0,000378%
1 DE ABRIL 40.135.487 10.100.000 2,721 225 100% 25,2% 0,00680% 0,000561%
Figura 35: A sequncia de converso do spam, mostrando a filtragem, em cada estgio, para as campanhas de farmacuticos, cartes postas e de 1 de abril. Os percentuais referem-se taxa de converso relativa ao Estgio A e no incluem os nmeros dos crawlers automatizados. (Fonte: Spamalytics)
117. Whats Going on Between Asprox and Rock Phish? (O que est havendo entre Asprox e Rock Phish?) http://www.rsa.com/blog/blog_entry.aspx?id=1338 118. Spamalytics: An Empirical Analysis of Spam Marketing Conversion (Spamanlise: Uma anlise emprica da converso de marketing do spam): http://www.icsi.berkeley.edu/pubs/networking/2008-ccs-spamalytics.pdf
43
White Paper
Embora o estudo confirme que vrios milhes de dlares so gerados todo ano, ele derruba a idia de que algumas pessoas podem ganhar vrios milhes de dlares por dia. A universidade informou US$3,5 milhes por ano para uma campanha de spam farmacutico. Ainda assim, esse valor apenas uma extrapolao sobre 365 dias para a campanha que eles estudaram. Ela durou apenas um ms, aproximadamente, com receitas mdias de US$ 9.500 por dia (ou US$ 247.000 em 26 dias, durao exata do estudo). Esse prprio valor dirio uma extrapolao a partir do gasto mdio de US$140identificado pelos pesquisadores. Para reduzir os custos, os remetentes de spam podem at ser fornecedores e donos de redes de bots. Como os lucros so limitados, o nmero de participantes pode ser pequeno. Nesse caso, poderia haver menos pessoas envolvidas, mas elas seriam mais organizadas. A eliminao da concorrncia seria uma prioridade e, nesse caso, seus gastos poderiam se limitar a dois ou trs bons programadores. Segundo o site Spamhaus, aproximadamente 100 organizaes pequenas, com um a cinco membros cada, (um total de 300 a 400 remetentes de spam) so responsveis por 80% de todas as mensagens no solicitadas nas caixas de entrada europias e norte-americanas. Os nomes dessas pequenas gangues e outras informaes podem ser encontrados no banco de dados do Spamhaus.119 Entre as principais famlias de spam, existe um nmero enorme de ofertas de venda de produtos farmacuticos perigosos. As empresas por trs dessas ofertas fazem um jogo duplo. A parte visvel costuma consistir em sites de afiliao que tentam atrair afiliados inocentes ou antiticos prometendo ganhos considerveis. Depois de escolhidos os afiliados, eles so dirigidos a sites mais privados, operados pelos mesmos grupos. Nesses sites, o aspecto ilegal do negcio claramente visvel: Essas instalaes oferecem servidores proxy ou redes de bots para ajudar o afiliado a aumentar os lucros, beneficiando aempresa remetente de spam.
Figura 36: Uma oferta de afiliao para venda de produtos farmacuticos suspeitos.
Os mais conhecidos so:

GlavMed/Spamit.
Originrio da Rssia e antes associado RBN, essa organizao, que parece ter usado a rede de bots Storm, h muito desperta suspeitas.120 A GlavMed a fachada pblica do grupo Spamit, o qual a face oculta. Juntamente com outros, a GlavMed desenvolveu a My Canadian Pharmacy (Minha farmcia canadense) e a cita orgulhosamente entre seus patrocinadores.
119. ROKSO: Register Of Known Spam Operations (ROKSO: Registro de operaes de spam conhecidas): http://www.spamhaus.org/rokso/index.lasso 120. Canadian Pharmacy and Glavmed: An Open Letter To Law Enforcement, The FTC And The FDA (Canadian Pharmacy e Glavmed: Uma carta aberta para as autoridades, a FTC e a FDA): http://www.spamzy.com/2009/02/02/canadian-pharmacy-and-glavmed-an-open-letter-to-law-enforcement-the-ftc-and-the-fda/
44
White Paper
Figura 37: Imagem tirada da seo de perguntas frequentes da GlavMed. (Fonte: GlavMed)
SanCash/GenBucks.
Essa parceria pblico-privada sofreu um srio revs em outubro de 2008. Aps um esforo conjunto da Comisso Federal de Comrcio dos EUA e tribunais da Nova Zelndia, seus lderes determinaram o pagamento de uma multa de NZD 200.000 (US$ 124.000) pela realizao de uma campanha de spam no final de 2007.121 Utilizando uma rede de bots que controlava 35.000 mquinas, eles puderam enviar 10 bilhes de mensagens de spam por dia. Bulker. Criada no final de 2006, essa empresa sucedeu a specialham.com. Como diz o portal, sua meta unir tanto profissionais quanto iniciantes no ramo do spam para compartilhar experincias na rea de envio de mensagens em massa, para compra e venda de diversos servios e para discusso de vrios tpicos relacionados a spam. A empresa ainda est ativa, mas parece ter se mudado novamente em abril de 2009 para apagar seus rastros. Existem vrias listas de lderes ou afiliados em circulao on-line.122 Yambo Financials. Esse grupo tambm conhecido como a gangue de um ucraniano cujo principal pseudnimo Alex Polyalov. Por trs de ofertas como My Canadian Pharmacy, ele pode estar frente de vrios dos grupos j citados, incluindo SanCash e Bulker. As supostas atividades fraudulentas do grupo esbarram em muitas outras reas, desde pedofilia a pirataria de software. Muito embora o grupo tenha sofrido um revs jurdico nos Estados Unidos em 2005, ele ainda est na lista dos 10principais do Spamhaus.123 Existem dzias de outros sites, a maioria dos quais bilngue (ingls e russo), o que reflete a supremacia dos pases da Europa Oriental nessa rea. Crimeware Em 2007, o malware foi muitas vezes criado com ferramentas prontas para uso. Em 2009, porm, os aplicativos para desenvolvimento de malware tornaram-se mais sofisticados. Eles exigem de seus usurios um certo know-how e um profundo conhecimento de redes. Atualmente vemos ferramentas simples e baratas, lado a lado com produtos avanados e caros.
121. Three New Zealand Spammers Nabbed (Trs remetentes de spam da Nova Zelndia pegos em flagrante): http://www.spamfighter.com/News-11148-Three-New-Zealand-Spammers-Nabbed.htm 122. Marion Lynns Continuing Rat-Out (A delao contnua de Marion Lynn): http://ikillspammers.blogspot.com/2007/11/marion-lynns-continuing-rat-out.html 123. EarthLink Announces Four Lawsuits in Its Ongoing Fight Against Spam (EarthLink anuncia quatro aes judiciais em sua luta constante contra o spam): http://files.shareholder.com/downloads/ELNK/0x0x112776/d5850a2a-d3a3-4ba1-9d06-08c77ef8eafa/ELNK_News_2005_2_9_Financial_Releases.pdf
45
White Paper
Figura 38: Uma oferta para o cavalo de Tria Zeus e seu pacote de explorao.
Crimeware (vendedor ou autor) FirePack (Diel) Zeus & Zeus Sploit-Pack
Descrio
Faixa de preo (todos os valores em US$, salvo meno em contrrio) $3.000 (fevereiro de 2008); $300(abrilde2007) $3.000 pelo Zeus (janeiro de 2009); $450 a $700 pelo Zeus, seu painel deadministrao, um kit de explorao ehospedagem (setembro de 2009)
Kit de malware para explorao da Web. Tambm em verso chinesa. O cavalo de Tria Zeus pode injetar cdigo nas pginas Web de login de organizaes financeiras para requisitar dados pessoais. Enviaas informaes para uma localizao remota. Captura pressionamentos de teclas dentro de formulrios de navegador, captura telas, controla remotamente a mquina da vtima, monitora e acrescenta pginas a sites, rouba senhas armazenadas por programas populares. Kit universal para criao de ferramentas para captura de dados bancrios especficos. Pode interceptar e retransmitir transaes autnticas em tempo real entre o banco e seu cliente. Kit de malware para explorao da Web, mecanismo estatstico, capacidade avanada de configurao, pacote de explorao, suporte aprimorado e frum on-line para clientes. Pacote de explorao de PDF e com base na Web para lanar e monitorar ataques. Ferramenta de acesso remoto feita na Turquia.
Adrenaline, uma atualizao do Nuclear Grabber (Corpse) PolySploit, uma atualizao do NeoSploit (Grabarz) El fiesta Turkojan RAT (AlienSoftware) Sploit25
$3,000
100
$850 (dezembro de 2008) $99 pela edio Bronze (julho de 2008) $179 pela edio Silver $249 pela edio Gold $2.500 (em WebMoney) pela verso Pro (novembro de 2008) $1.500 (WebMoney) pela verso Lite
Kit para teste de vulnerabilidade de navegadores com exploraes para IE6, IE7 e PDF.
Figura 39: Ferramentas de desenvolvimento de malware comuns. (Fonte: McAfee)
Na China, uma meia dzia de grupos parece estar por trs da indstria do crimeware. As informaes que obtemos so, s vezes, contraditrias e pode ser difcil conseguir uma traduo de seus nomes. Umdos grupos, que o TheDarkVisitor chama de Grupo Caranguejo, supostamente a fonte de infeces espetaculares, incluindo algumas que teriam afetado mais de 30 milhes de mquinas. Citando um relatrio antivrus da Kingsoft, Scott Henderson afirma que nos crculos de hackers, a maior parte do dinheiro obtida com o estabelecimento de cadeias de disseminao viral. Enquanto um autor de vrus pode ganhar um salrio de um milho de yuans por ano (aproximadamente US$ 150.000), um grupo de disseminao de vrus pode ganhar dez milhes de yuans (US$ 1,5 milhes) anualmente.124
124. The Crab Group virus dissemination family (A famlia de disseminao de vrus do Crab Group): http://www.thedarkvisitor.com/2009/02/the-crab-group-virus-dissemination-family/
46
White Paper
Figura 40: Nomes de alguns grupos chineses de malware. (Fonte: itzhe.cn125)
Outros grupos, incluindo aqueles listados na figura 40, agora parecem estar limitando suas aes a seu prprio territrio. Esses grupos podem ser grosseiramente traduzidos como a seguir:
Grupo Grupo
de Pornografia Mayday Wang Xiaofeng Grupo Li Bao-yu Grupo Caranguejo Grupo Jackie Chan Grupo CCTV-Just Na Europa Oriental, desde 2003, o ProdexTeam a fachada on-line do pseudnimo Corpse, conhecido por ter desenvolvido e vendido cavalos de Tria, incluindo o Haxdoor e o Nuclear Grabber. Globalmente, o Haxdoor foi o primeiro malware associado a rootkits e capaz de interceptar dados financeiros. Em2006, o banco sueco Nordea perdeu US$ 1,1 milho devido a uma dessas variantes. Embora Corpse tenha alegado, em outubro de 2006, que tinha interrompido suas atividades, diz-se que ele ainda est envolvido em cibercrime e carding. Para conseguir uma fatia do mercado no campo do cibercrime, os escritrios do crime se multiplicaram. Alguns so conhecidos por um nome de grupo; outros pelo pseudnimo de algum. Aqui esto vrios deles, listados com seus principais produtos:
Gray
Pigeons, com o cavalo de Tria Binghe (China, de 2003 a 2007) Team, com Berbew, Korgo e Gozi (Rssia) IDT Group, com o IcePack (Rssia 2007) DreamCoders Team, com o MPack (Rssia, de 2006 a 2007) Diel, com o FirePack (2007, 2008) Shine, com o Adrenalin (2008) WebAttacker, com o inet-lux (Rssia, de 2006 a 2008) NeoSploit Team (2007 a 2008) Grabarz, oferecendo o PolySploit (2008) Magicz, distribuidor do Zeus e seus plug-ins (de 2007 at hoje) Illuminati, vippro123, etc. HuGos, com o ZeuEsta 6.0 (2009) H1t3m (webmaster do ROOt y0u), com o ZeuEsta 7.0 (2009)
HangUp
Pague por instalao Na Internet, uma variedade de ofertas convida os webmasters a ganhar dinheiro preparando seus sites com cdigo oculto ou janelas enganosas que permitam a instalao de software malicioso ou indesejado ou que redirecionem automaticamente os visitantes para um site patrocinado. Por trs de todos esses sites esto grupos mais ou menos estruturados, com ofertas suspeitas ou claramente maliciosas. Qualquer incerteza sobre a legitimidade dessas ofertas aumenta quando os sites patrocinados so claramente pornogrficos ou quando o afiliado livre para escolher o mtodo mais apropriado para redirecionar os visitantes.
125. http://www.itzhe.cn/news/20090414/376170.html
47
White Paper
Iframe Nesse tipo de oferta, o afiliado recebe um cdigo para ocultar na pgina da Web. Quando os visitantes clicam naquele lugar, so secretamente redirecionados para um site-armadilha associado a uma ferramenta de ataque (tipo MPack) que inicia o download de software malicioso. Esse programa costuma ser um cliente de rede de bots que o afiliador pode vender juntamente com outros.
Figura 41: Cdigo oferecido a um afiliado pelo InstallsCash.
Adware (e empresas potencialmente indesejadas) At o incio de 2009, Zango era um dos distribuidores mais famosos de programas indesejados para gerao de anncios no solicitados. Geralmente instalados sem consentimento nas mquinas das vtimas, esses programas coletavam dados de navegao para proporcionar ofertas contextualizadas. Aps perder vrias aes na justia, a empresa despediu 68 de seus funcionrios em junho de 2008.126 Ela fechou as portas definitivamente em abril de 2009.127
Figura 42: Oferta da Zango.
126. Zango, Inc. Settles FTC Charges (Zango, Inc. faz acordo sobre acusaes da FTC): http://www.ftc.gov/opa/2006/11/zango.shtm 127. Notorious adware vendor Zango shuts its doors (Notrio fornecedor de adware Zango fecha as portas): http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131858&intsrc=news_ts_head
48
White Paper
Hoje, outras empresas assumiram o lugar da Zango. Embora no possamos colocar essas empresas de adware no mesmo rol das organizaes criminosas, podemos consider-las empresas potencialmente indesejadas.
Figura 43: Uma oferta de afiliao relacionada distribuio de adware.
Codecs e software antivrus falsos A figura 44 mostra uma oferta que se distancia da rea cinza do adware e se aproxima dos produtos claramente maliciosos.
Figura 44: Uma oferta de afiliao de falsos produtos de segurana.
Bem posicionada no mercado de produtos de segurana falsos, a empresa russa BakaSoftware (conhecida em 2003 como Pandora Software128) era bastante atraente. Em 2008, o site da empresa buscava pessoas para integrar uma rede de distribuio de antivrus. Os candidatos tinham de saber ler em russo e ser patrocinados por um membro atual da rede. O site explicava que cada afiliado seria pago com base no nmero de cpias do software antivrus que conseguisse vender. A taxa de remunerao de 58% a 90% de cada venda dependeria do volume vendido. Em julho, Kraba falou sobre essa oferta de afiliao em vrios sites em idioma russo.
128. Re: Pandora Software Advertising (Re: Anncios da Pandora Software): http://www.derkeiler.com/Newsgroups/microsoft.public.security/2003-09/1680.html
49
White Paper
Figura 45: Anncio da oferta da BakaSoftware feito por Kraba.
Um afiliado conseguiu ganhar aproximadamente US$ 146.000 vendendo quase 3.000 cpias do software em dez dias. (Cada cpia foi vendida por US$ 50 e 2% das 150.000 vtimas concordaram em comprar o software aps acreditarem que foram infectados).
Figura 46: Outro anncio da oferta da BakaSoftware.
Essas cifras so certamente questionveis. Os maiores vendedores esto, sem dvida, ligados aos gerentes do site e ganham comisses de aproximadamente 90%. Alm disso, para conseguir esse retorno, podemos imaginar que vale tudo: injeo atravs de redes de bots, atravs de sites-armadilha, etc. Contudo, a oferta tentadora para algum que no hesitaria em utilizar mtodos ilegais.
50
White Paper
Um vendedor ambicioso poderia ter a expectativa de ganhar quase US$ 5 milhes por ano utilizando, por exemplo, uma rede de bots para instalar o produto em 10.000 a 20.000 mquinas por dia.129 Essa plataforma de afiliao oferece ganhos significativos, como foi revelado pelo russo NeoN, que invadiu o site. As figuras 47 e 48 detalham as dezenas de milhares de dlares em royalties que alguns afiliados ganharam. Uma anlise de Joe Stewart, da SecureWorks, ajudou a refinar a lista dos principais afiliados.
Afiliado 4928 56 2 4748 5016 3684 3750 5050 3886 4048 Nome de usurio do afiliado nenastniy krab rstwm newforis slyers ultra cosma2k dp322 iamthevip dp32 Saldo da conta (US$) $158.568,86 $105.955,76 $95.021,16 $93.260,64 $85.220,22 $82.174,54 $78.824,88 $75.631,26 $61.552,63 $58.160,20
Figura 47: Receita de alguns dos afiliados da BakaSoftware. (Fonte: SecureWorks)
Nenastniy realizou uma campanha de spam em outubro de 2007 para o candidato presidencial norte-americano Ron Paul. Essa campanha utilizou a rede de bots Srizbi e a Reactor Mailor, uma ferramenta de envio de spam que apareceu em 2004. A Reactor foi vendida na ocasio pela empresa ucraniana Elphisoft. A BakaSoftware no a nica. Outras empresas do mundo todo utilizam o mesmo tipo de fraude. Apedido da Comisso Federal de Comrcio dos EUA, os tribunais norte-americanos determinaram, em outubro de 2008, a suspenso das atividades de duas empresas americanas Innovative Marketing Inc. eByteHosting Internet Services LLC que estavam distribuindo o mesmo tipo de software antivrus falso.130 Agora, a distribuio de codecs falsos um negcio prspero. Em muitos casos, o codec falso, que permitiria s vtimas visualizar um vdeo desejado, apenas malware, como um programa para roubo de senhas ou cliente de bot. Na figura 48 podemos ver que essas instalaes aparentemente no podem ocorrer na Rssia ou em outros pases da Europa Oriental.
Figura 48: Oferta de afiliao relacionada distribuio de codecs. (Fonte: McAfee)

129. Rogue Antivirus DissectedPart 2 (Antivrus ilegal dissecado Parte 2): http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2 130. Court Halts Bogus Computer Scans (Tribunal determina suspenso de falsas varreduras de computador): http://www.ftc.gov/opa/2008/12/winsoftware.shtm
51
White Paper
Ofertas de servios Alm de produtos, os cibercriminosos podem comprar servios personalizados. Esses vigaristas trabalham juntos e at terceirizam algumas atividades para colegas especializados em uma determinada rea: hospedagem prova de bala, aluguel de redes de bots, transferncia de dinheiro atravs de dinheiro virtual, ataques DDoS sob encomenda, etc.
Servio Aluguel de proxy Injeo de Web Descrio Redes de bots com planos por uso (mensal) ou de tarifas dirias. Cdigos para injeo de HTML desenvolvidos para roubar informaes de clientes de dzias de instituies financeiras do mundo todo. Cada injeo de HTML adaptada especificamente ao design especfico do site de cada banco. Ferramentas de envio de spam, listas de endereos, etc. Recursos de comando e controle HTTP para omalware Zeus. Paralisao completa de um concorrente por flooding de: telefone fixo ou celular site Live Box (roteador Wi-Fi) Se voc tem o malware, eles tm as vtimas! Instalam malware em sistemas vulnerveis. Preos (todos os valores em US$) Tarifa diria, 50 por dia, 1.500 por ms: $95 Tarifa por uso: 1.000 por ms: $69,95 Entre $10 e $30 cada
Recursos para spam Gerenciamento de redes de bots Flooding/DDoS
5.000 a 7.000 e-mails por minuto, mais de 1milho de e-mails por dia: $2.000 por ms $50 por ms $80 por 24 horas, $20 por uma hora, $100por um dia. $200 para projetosgrandes $20 por Live Box Para 1.000 computadores: sia: $12 Europa: $40 EUA: $140 Reino Unido: $220 Itlia: $150 Alemanha: $170 Polnia: $150 Brasil: $150 Canad: $200 Outros: ~$250 $650 por ms
Computadores vulnerveis
Hospedagem prova de bala
Garantido de permanecer on-line, no importando o tipo (ou a quantidade) de reclamaes que o provedor receba.
Figura 49: Uma lista tpica de servios atualizada. (Fonte: McAfee)
DDoS Para incomodar um concorrente ou preparar o terreno para extorso, indivduos com redes de bots oferecem seus servios a todos os que chegam.
Figura 50: Oferta de servios de DDoS.
Vemos ofertas semelhantes no campo da telefonia. Por algumas dezenas de dlares, os atacantes podem enviar uma enxurrada de ligaes ou mensagens de texto para um nmero que queiram tornar indisponvel. 52
White Paper
Figura 51: Oferta de flooding.
Rede de bots Em 2007, o 76service, grupo de desenvolvedores prximo RBN, alugou servios da rede de bots Gozi.131 Embora o 76service aparentemente tenha desaparecido, um rival, loads.cc, vem operando h muitos anos. Ele oferece aos clientes grupos de 1.000 mquinas, formando uma rede de bots personalizada no pas de escolha do cliente.
Figura 52: Aluguel de redes de bots.
Para a loads.cc, como para qualquer empresa que faz negcios on-line, a maior preocupao poder resistir a ataques DoS de seus concorrentes. Alguns desses fornecedores oferecem um servio ainda mais aprimorado: Eles se oferecem para instalar o malware do cliente nas mquinas.
131. RBN76 Service Team, Loads cc, and their location (RBN 76 Service Team, Loads cc e sua localizao): http://rbnexploit.blogspot.com/2007/11/rbn-76-service-team-loads-cc-and-their.html
53
White Paper
Figura 53: Banner de homepage para um site que oferece servios de instalao remota de malware.
Vimos o banner de anncio do 5Socks.net em muitos fruns.
Seu negcio aluguel de proxy durou mais de cinco anos. Existem, sem dvida, partes de redes de botscujas mquinas comprometidas oferecem a capacidade de abrir os protocolos de proxy SOCKS v4/v5 (RFC1928), permitindo que os locatrios enviem grandes quantidades de spam. Vrios estudos sobre os atuais e antigos pontos de contato no ICQ frequentemente levam a pases do sudoeste da sia. Essesresultados sugerem que o grupo pode no ser totalmente russo, como se pensava originalmente. Concluso Todo ano, h mais de cinco anos, anunciamos o crescente profissionalismo dos ataques cibernticos, o rpido aumento na quantidade de malware e os objetivos financeiros ilcitos cada vez maiores. Aexplorao de longas listas de domnios relacionados a operaes bancrias, como os descobertos emjunho de 2003 em W32/Bugbear@MM, no surpreende mais ningum. Alm dessas descobertas regulares, esperamos ver outras tendncias emergirem nos prximos anos. Primeiramente, o cibercrime ficar mais parecido com o crime convencional, a ponto de ambos se tornarem a mesma coisa. O nmero de transaes financeiras realizadas pela Internet continua a aumentar. Alm de nossos cofres fsicos, os cofres virtuais e carteiras eletrnicas contm dinheiro virtual que troca de mos em novos centros financeiros. Hoje, a prostituio, o trfico de drogas e o jogo tambm ocorrem atravs da Internet. Portanto, para no perder poder e participao no mercado, osgrupos criminosos tradicionais perceberam que precisam se adaptar. Suspeitamos que novas guerras entre gangues so iminentes. No final, todos os grupos criminosos atuais tero suas ramificaes virtuais e a Internet ser uma crescente fonte de renda para eles. Assim como o cibercrime e o crime convencional convergiram, o cibercrime e o crime de colarinho branco tambm se aproximaro. Uma vez desviado, o dinheiro do cibercrime precisa ser integrado na economia legal. Mulas e lavagem de dinheiro local no so mais suficientes para limpar o dinheiro sujo. Os cibercriminosos que inicialmente buscarem criar estruturas prprias de lavagem de dinheiro sero mais frequentemente associados ao crime de colarinho branco. O alcance global da Internet, avelocidade das transaes, as dificuldades na identificao dos clientes e a complexidade dos sistemas jurdicos baseados em territorialidade e soberania tornaro o trabalho do criminoso mais fcil.
54
White Paper
Essas mudanas andam de braos dados com uma escalada de violncia contra aqueles que ficam no caminho do cibercrime. Cagatay Evyapan, um cibercriminoso especializado em invadir contas bancrias, foi preso em setembro de 2008. Alguns meses antes, ele postou uma foto de um de seus antigos cmplices (Mert Ortac, conhecido como Kier, preso 2 meses depois132), a quem ele tinha torturado aps descobrir que o mesmo estava trabalhando para a polcia.
Figura 54: Foto em circulao na Internet. Esse hacker raptado foi desmascarado por seu cmplice sob suspeita de colaborar com a polcia.
Continuaremos a ver o crescimento de centros offshore que hospedam cassinos virtuais e servios bancrios on-line, quase ilegais ou claramente criminosos. Apesar dos esforos das agncias policiais internacionais, os cibercriminosos sero mais sofisticados na explorao das vulnerabilidades dos padres internacionais. Novas oportunidades permitiro que os envolvidos em lavagem de dinheiro e crime financeiro internacional on-line prosperem. Finalmente, haver a unio entre cibercrime, pases hostis e entidades transnacionais independentes. Rumores de ataques cibernticos liderados ou encorajados por regimes nacionalistas, corruptos ou autoritrios esto ficando cada vez mais precisos. Embora a ciberguerra no seja mais mera fico cientfica, provvel que regimes instveis, pases antiocidente e terroristas ou radicais (eco-terroristas) se voltem para o crime digital. At agora, tais pases sempre negaram seu envolvimento nesse tipo de ataque. Pode no demorar para vermos provas irrefutveis de sua participao. Como impossvel isolar esses lugares caticos para impedi-los de implementar tais aes, alguns pases democrticos podem ser tentados a justificar suas aes ao utilizar os mesmos mtodos. As consequncias de tais aes, a pretexto de proteger nossas democracias, poderiam se mostrar catastrficas.
132. Kidnapped Hacker Found in Turkey, Arrested (Hacker sequestrado encontrado na Turquia e preso): http://www.wired.com/threatlevel/2008/11/kidnapped-hacke/
55
White Paper
Sobre o autor Franois Paget engenheiro snior de pesquisa de malware no McAfee Labs, na Frana. Eletrabalha com pesquisa de malware desde 1990, tendo sido um dos primeiros membros do McAfee Labs, o qual foi fundado em 1995. Paget palestrante regular em eventos franceses e internacionais sobre segurana, autor de um livro e de diversos artigos e secretrio-geral do Clube Francs de Segurana da Informao (CLUSIF). Sobre o McAfee Labs McAfee Labs o grupo de pesquisa global da McAfee, Inc. Com a nica organizao de pesquisa dedicada a todos os vetores de ataque malware, Web, e-mail, redes e vulnerabilidades o McAfee Labs rene informaes de seus milhes de sensores e de suas tecnologias de reputao com base em cloud computing, como Artemis e TrustedSource. Os 350 pesquisadores multidisciplinares do McAfee Labs em 30 pases acompanham toda a gama de ameaas em tempo real, identificando vulnerabilidades em aplicativos, analisando e correlacionando riscos e permitindo uma remediao instantnea para proteger as empresas e o pblico. Sobre a McAfee, Inc. A McAfee, Inc., sediada em Santa Clara, Califrnia, a maior empresa do mundo dedicada tecnologia de segurana. Totalmente comprometida em combater os rigorosos desafios de segurana globais, aMcAfee prov solues proativas e com qualidade comprovada e servios que ajudam a manter sistemas e redes protegidos mundialmente, permitindo aos usurios conectarem-se Internet, navegarem e realizarem compras pela Web com segurana. Apoiada por uma equipe de pesquisas premiada, aMcAfee desenvolve produtos inovadores que capacitam os usurios domsticos, as empresas dos setores pblico e privado e os provedores de servios, permitindo-lhes manter a conformidade com as regulamentaes de mercado, proteger dados, prevenir interrupes, identificar vulnerabilidades e monitorar continuamente, alm de incrementar a segurana em TI. http://www.mcafee.com.br.
McAfee do Brasil Comrcio de Software Ltda. Av. das Naes Unidas, 8.501 - 16 andar CEP 05425-070 - So Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.mcafee.com.br
As informaes deste documento so fornecidas somente para fins educacionais e para convenincia dos clientes da McAfee. As informaes aqui contidas esto sujeitas a alteraes sem notificao, sendo fornecidas no estado, sem garantia de qualquer espcie quanto preciso eaplicabilidade das informaes a qualquer circunstncia ou situao especfica. McAfee, o logotipo McAfee, McAfee Labs e TrustedSource so marcas registradas ou marcas comerciais da McAfee, Inc. e/ou de suas subsidirias nos Estados Unidos e em outros pases. Outras marcas podem ser reivindicadas como propriedade de outros. 2010 McAfee, Inc. Todos os direitos reservados. 7976wp_labs_cybercrime_1209_fnl_ETMG

McAfee Cybercrime Hactivism

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

McAfee Cybercrime Hactivism

Caricato da

Copyright:

Formati disponibili

White Paper

11. http://europa.eu/scadplus/leg/fr/lvb/114560.htm 12. Hacker Hunters (Caadores de hackers): http://www.businessweek.com/magazine/content/05_22/b3935001_mz001.htm

ADMINISTRAO DO CARDER PLANET

Tallahassee Starke Gainesville

Jacksonville Jacksonville Beach

Mercadorias compradas no Sams Club comcartes de presente

Sunrise Miramar Miami

Figura 3: Pginas da Web adulteradas por hacktivistas turcos.

Figura 4: Adulterao em 4 de junho de 2009. (Fonte: McAfee)

Figura 5: Uma lista de adulteradores de sites no mundo islmico.

Figura 6: A iniciativa Help Israel Win do The Patriot Team.

Data Setembro de 2003

Maro a maio de 2007

Maro de 2008 Abril de 2008 Junho de 2008 Agosto de 2008

Rssia Radio Free Europe Letnia, Litunia eEstnia Gergia

Figura 8: Recentes ataques hacktivistas de destaque.

Figura 9: A presena da Al-Qaeda na Internet. (Fonte: OSINT Team outubro de 200856)

59% 55% 68% 68% 65% 66% 60% 60%

Figura 13: Um site russo de download de msicas. Sua legalidade controversa.

Figura 14: Um trecho da revista do Zero for 0wned.

Intercage AS27595 Inhoster AS27595/36445

Cernal AS36445 Hotfresh AS27595 Bandcon AS26769 Broadwing AS6395

The Planet Internet Services

Mapeamento da Atrivo Malware, ilegais e falsicados, crimeware, spam

Figura 17: Mapeamento da Atrivo/Intercage. (Fonte: HostExploit)

Non-US 8% Other US 8% eNom (US) 9%

75% ainda off-line

Mensagens por segundo

Figura 20: Lista dos 10 piores registradores. (Fonte: KnujOn)

Aplicativos 5. Apple QuickTime, Safari, iTunes

Verses afetadas QuickTime: 7.5.5 Safari: 6.0.5.20 iTunes: 3.2, 3.1.2

Figura 22: FBI fecha o site Shadowcrew. (Fonte: web.archive.org)

Servio CC dump com valor de verificao do carto

Figura 25: Alguns preos de carding. (Fonte: McAfee)

Diagrama funcional do sistema:

Sinal GSM SMS - enviada

Figura 27: Principais sites de carding. (Fontes: McAfee, web.archive.org)

Figura 28: Uma imagem da homepage do Boa Factory.

Figura 29: Um trecho da homepage do Dark Market.

Figura 30: Uma parte da homepage do Shadowcrew.

Figura 32: Uma olhada na homepage do CarderPlanet.

Figura 33: Uma parte da homepage Mazafaka.ru.

Figura 34: Uma imagem da homepage do TheGrifters.

Bloqueado por ltro de spam

Ignorado pelo usurio

O usurio sai do site

FARMCIA 347.590.389 82.700.000 10,522 28 100% 23,8% 0,00303% 0,0000081%

1 DE ABRIL 40.135.487 10.100.000 2,721 225 100% 25,2% 0,00680% 0,000561%

Os mais conhecidos so:

Crimeware (vendedor ou autor) FirePack (Diel) Zeus & Zeus Sploit-Pack

Figura 39: Ferramentas de desenvolvimento de malware comuns. (Fonte: McAfee)

Figura 40: Nomes de alguns grupos chineses de malware. (Fonte: itzhe.cn125)

Figura 41: Cdigo oferecido a um afiliado pelo InstallsCash.

Figura 42: Oferta da Zango.

Figura 43: Uma oferta de afiliao relacionada distribuio de adware.

Figura 44: Uma oferta de afiliao de falsos produtos de segurana.

Figura 45: Anncio da oferta da BakaSoftware feito por Kraba.

Figura 46: Outro anncio da oferta da BakaSoftware.

Figura 47: Receita de alguns dos afiliados da BakaSoftware. (Fonte: SecureWorks)

Figura 48: Oferta de afiliao relacionada distribuio de codecs. (Fonte: McAfee)

Recursos para spam Gerenciamento de redes de bots Flooding/DDoS

Hospedagem prova de bala

Figura 49: Uma lista tpica de servios atualizada. (Fonte: McAfee)