Terra Magazine

será que a gente deveria estar morrendo de medo deles,… ou não?

o FBI está alertando as autoridades locais que hackers do leste europeu podem estar tomando ciência de que o brasil passou a ser economicamente interessante –isso internacionalmente- do ponto de vista do crime virtual.

a oportunidade de negócios é óbvia, se você procurar e entender os sinais: a economia brasileira passa dos R$3 trilhões este ano, perto de 100% das empresas tem algum tipo de presença na rede, há um plano de banda larga que deve triplicar, na década, o número de casas na internet… e por aí vai.

por outro lado, o desempenho do governo em segurança da informação deixa muito a desejar, como mostra esta reportagem do convergência digital:

…Para o TCU, o problema é mais grave ainda, porque se constatou que de 2007 a 2010, a falta de uma política de Segurança da Informação não decorreu apenas da ausência de soluções técnicas desenvolvidas para a proteção dos sistemas que rodam na Administração Pública Federal.

A maior falha estaria na incompetência dos órgãos federais e empresas estatais de avaliarem quais os principais riscos a que as suas informações críticas estariam sujeitas e que tipo de tratamento deveriam ter dado para garantir a proteção desses dados…

quer dizer que, breve, haverá hackers de todos os tipos, inclusive aqueles do leste europeu, tomando conta dos sistemas de informação públicos?

não se sabe. tomara que o setor público se resolva. por outro lado, o setor privado não está imune ao problema. em 2009, o uso dos bancos pela internet cresceu 17.7% e já representa 20% do total de transações, perto de 9,33 bilhões de interações. pra ver onde isso vai dar, pense que, na década e se o PNBL der certo, haverá três vezes mais casas em rede. quem vai querer ir pra fila do banco?

o gráfico abaixo mostra que há entre 35 e 48 milhões de contas bancárias “na internet”, dependendo da estimativa em que você acredita. e o presidente do banco central acha que não haverá mais agências bancárias [físicas] em 2020. olhe que só são 10 anos daqui pra lá…

com tanta gente nos bancos pela web, as instituições do sistema financeiro investem dinheiro grande para melhorar sua [e esperamos, nossa] segurança de informação. a conta ronda os R$2B por ano, mas mesmo assim as fraudes online contra o sistema estão chegando a R$1B por ano. a conta é de mais ou menos um milhão de fraudes que causam prejuízo médio de mil reais cada, tudo em números redondos de marcelo câmara, diretor de prevenção a fraudes da federação brasileira de bancos [febraban].

podemos até acreditar nestes números mas… perguntei a opinião de várias pessoas do meio de segurança de informação e eles acham que o valor real [minha média das respostas] é tres vezes maior, pelo menos.

mas isso é só parte do problema. pegue brasília, por exemplo: lá, uma média de 19 pessoas é lesada na rede por dia, 5.600 pessoas de janeiro a agosto deste ano, 26% a mais do que no mesmo período do ano passado. os dados se referem a crimes virtuais de todos os tipos, de contas bancárias invadidas até quem aproveitou a “oferta do século” na rede e era só mais um golpe.

agora acompanhe esta aplicação da lei dos grandes números: considere brasília, uma das cidades mais ricas e conectadas do país, como se fosse o brasil do fim da década, depois do PNBL dar certo. arredonde a população da capital federal para dois milhões, a do brasil para duzentos, ajuste aqui e ali, assuma que o DF vai ter mais de dez mil e-lesados este ano e, dobrando a cada tres anos, uns cem mil no fim da década. se [grande se…] todas os outros fatores se mantiverem constantes [e desconsiderando a hipótese de uma explosão exponencial do crime virtual], podemos vir a ter dez milhões de brasileiros afetados por crimes virtuais em 2020. cinco por cento da população.

este número me parece em linha com a previsão do presidente do BC de que não teremos mais agências bancárias e que tudo será online ou diretamente realizado pelos correntistas.

ah, sim: dez milhões de roubados e média de mil reais por roubo, hoje, [mais a inflação e aumento da produtividade do crime virtual, na década] deve levar a algo perto de R$20B levados pelo crime virtual, no país, daqui a uma década. isso se mantidas todas as coisas nos patamares atuais, sem os tais hackers do leste europeu. se o PIB, em 2020, chegar a R$4T, estamos falando de 0,5% do PIB nas mãos do crime virtual.

mas… isso faz sentido no contexto global? o internet crime complaint center [IC3] reporta que o crime virtual levou a uma perda de mais ou menos R$1B nos EUA em 2009, 100% maior que em 2008. considerando que o PIB americano é mais de oito vezes maior que o nosso, o IC3 diz que as perdas totais deles [em números absolutos] são mais ou menos iguais às declaradas pelo nosso setor bancário online. sei não, parece ter muita coisa passando pela peneira do FBI ou então o brasil, inteiro, é uma peneira. e a gente nem precisa dos hackers do leste europeu.

mas veja isso: uma única operação suspeita do tal “leste europeu”, a IMU [innovative marketing ukraine] foi fechada por pressão do governo americano em 2009, e fontes bem informadas estimam que ela faturava US$180M por ano, transformando “máquinas invadidas em dinheiro” via scareware, como aquele software cujo anúncio você clicou… que ia testar seu PC e instalar um antivírus, mas que na verdade contaminava sua máquina.

em parte do leste europeu hacking é big business, organizado, e atrai muitos dos melhores programadores e engenheiros de software da região, que os tem aos montes.

sim… você já leu até aqui e está querendo saber: afinal!… os caras vão vir tentar pegar meu PC ou não? ninguém sabe, nem o FBI, nem a PF. mas leve em conta que o comitê de segurança do CGI.br registrou 359.000 incidentes de segurança em 2009.

como é que você se torna, do lado que perde, um incidente de segurança? olha isso: alguém compra uma lista “comprovada” de 150.000 endereços de emeio só da cidade de belo horizonte [por R$40] e manda um scam pra este povo. em quatro horas [eu disse quatro horas] tres mil inocentes clicam num link malicioso contido no emeio e suas máquinas, dominadas, passam a fazer parte de um botnet, uma rede de máquinas “do mal”. clique na figura e veja como o processo se desenrola.

sim, e aí? aí que o software instalado na sua máquina pode estar sendo usado para capturar informação sobre suas próprias ações [muitas contas e senhas em bancos e jogos são roubadas assim], ou para roubar senhas de jogos em servidores comunitários e negociar, depois armas virtuais e coisas do tipo. uma das funções dos botnets é fraudar anunciantes online [como se pode ver neste link]. o mercado americano de anúncios na web foi de US$14.2B em 2009 e a taxa de fraude esteve perto de 19%. parece que precisamos corrigir os números do FBI.

veja o mapa abaixo [clique para ver os detalhes] e note que o nível de ameça no e representado pelo brasil já é comparável aos níveis do leste europeu… talvez só nos falte veia empreendedora, investimento e uma dose extra de inovação para competir internacionalmente neste domínio…

as “oportunidades” e possibilidades são tantas que gastaria todo o tempo e tinta do blog para descrever uma pequena parte deste “mercado”. só pra você imaginar e ir dormir preocupado… sabia que há quem viva [e bem] do “aluguel” de botnets?… ninguém fala nomes, claro, mas nem todo mundo reside em borsod-abaúj-zemplén ou kohtla-järve. lembra seu sobrinho nerd que passa o tempo todo na net?…

PS: tá sabendo do que estão chamando por aí do "bug do twitter", de hoje? não é um "bug". tal como acabamos de falar aqui, twitter foi invadido e alguém trocou o código da página principal, levando qualquer usuário legítimo que entrou no sistema a enviar [automaticamente] tweets, completamente fora de seu controle. simples assim. da mesma forma, o "novo software" que foi instalado por invasores na página do twitter poderia ter ficado esperando por suas contas e senhas e, de posse delas, tê-las enviado aos "interessados"…

a infra-estrutura brasileira de eleições, informatizada e universal, é um feito da engenharia e políticas nacionais. não resta a menor dúvida de que a urna eletrônica e o sistema de apuração por trás dela funcionaram -e funcionam- muito melhor do que o sistema baseado em cédulas, mapas e tinta que tínhamos antes. prova disso é que famílias e coronéis, brasil a dentro, perderam o controle quase secular que tinham de algumas cidades [em certos casos, regiões] porque não aprenderam a fraudar o sistema eleitoral informatizado na velocidade de sua evolução.

mas, desde sua chegada, a urna eletrônica é cercada de polêmica. uns, mais radicais [e usando argumentos, digamos, convincentes] dizem que o sistema é furado, pura e simplesmente. outros, mais condescendentes, apontam as melhoras que poderiam ser introduzidas para tornar o sistema bem mais confiável do que é.

acontece que o crime organizado está querendo organizar muita coisa e as eleições são parte importante do que [parece] que pode ser "organizado". de um lado, tem gente cobrando eleitor tirando foto de voto na urna pra mostrar pra cabo [?] eleitoral, sob pena de danos muito significativos à sua existência terrena. estes são, poderíamos dizer, os brucutus, a turma da força bruta. de outro, está a galera da inteligência do crime, vendendo eleições, por milhões. ou pelo menos dizendo que vende -e entrega- resultados.

e acontece que estamos no brasil, e a oferta de "eleger quem fosse, por um preço" acabou vazando… por todo canto, como anúncio viral em rede social. e o ministro ayres britto [na foto], presidente do tribunal superior eleitoral, teve que reagir, na sua moeda. segundo declaração do ministro, "o sistema é absolutamente inviolável". acontece que este blog, além de cético, escreve software há 35 anos e não acredita em sistemas "absolutamente invioláveis"… até porque há resultados fundamentais [da teoria da computação...] que nos levam à conclusão exatamente oposta. tudo indica que, num sistema linguístico qualquer, temos que escolher entre consistência e completude. se o sistema for consistente [ou seja, não dá pra pra provar que 0=1], há verdades, no sistema, que não podem ser provadas. por outro lado, se pudermos demonstrar tudo o que é verdade, o sistema é inconsistente, ou seja, também podemos provar um 0=1 aqui, outro ali, enfim, em todo lugar. ou eleger qualquer um, mesmo sem voto…

mas uma discussão do sistema eleitoral nestes termos [teóricos] não é razoável, porque prática é a vida e as eleições. mesmo sabendo que o ministro está teoricamente [pois não existem sistemas -do tipo do sistema eleitoral- invioláveis] errado, resolvemos consultar um dos maiores especialistas brasileiros em segurança de informação sobre o assunto e a sua resposta a nosso emeio está abaixo. sabendo das implicações de suas declarações, nosso personagem se escondeu por trás do codinome frodo [baggins, o filho adotivo de bilbo, do senhor dos anéis], o hobbit que tomou pra si a responsabilidade de detonar orodruin, a montanha do mal da terra do meio, da trilogia fantástica de j. r. r. tolkien. coisas de gente de segurança.

sim: mas o que disse frodo? a conversa é longa. leia e entenda porque o ministro ayres britto está errado mas, mesmo assim, nosso sistema eleitoral informatizado pode continuar sendo melhor do que qualquer outro, de papel, desde que tomemos os devidos [muitos] cuidados…

blog: as urnas brasileiras sao invioláveis? até que ponto? por que? se alguém quiser violar uma urna, quais são as opções?

Um dos maiores erros cometidos por quem não trabalha diretamente na área de segurança de sistemas é afirmar que existe sistema inviolável. Não existe 100% de segurança. Sistemas mais críticos devem possuir mecanismos que permitam identificar que houve uma falha ou violação de segurança e, a partir disso, tornar possível a tomada de decisões sobre a falha. Não se pode afirmar que tal sistema seja inviolável, ou que qualquer sistema seja inviolável.

Um ponto de falho da segurança das nossas urnas é que elas são construídas sobre de sistemas operacionais tidos como inseguras como DOS, que é utilizado nas primeiras urnas e, mais recentemente, Windows CE. Estes dois sistemas permitem técnicas de debugging que facilitam a realização de engenharia reversa sobre a plataforma da urna. Quem tem mais de 30 anos lembra do DEBUG do DOS e o utilizou no seu dia a dia para depurar problemas de execução. Este mesmo procedimento pode ser utilizado nas nossas urnas e não é nada muito complicado de ser feito. Há rumores, não confirmados, de que grupos de especialistas em segurança tiveram acesso a urnas e utilizaram desta técnica para realizar alterações no funcionamento normal dos programas do sistema.

Ainda sobre esta pergunta, vale salientar e refletir sobre as palavras de Josef Stalin: “Quem vota e como vota não conta nada; quem conta os votos é que realmente importa.” O que nos leva a sair da urna e tentar entender o que acontece com os "votos" depois que eles "saem" das urnas. Quem garante que não há falhas nos sistemas de recepção e processamento dos dados? Outro ponto importante, nesta análise, é que alguns dos softwares utilizados no sistema eleitoral possuem falhas de segurança não divulgadas. O artigo The Vulnerability Economy ilustra o tamanho do mercado de segurança de falhas não divulgadas. Este problema não afeta apenas as urnas eleitorais mas qualquer sub-sistema que faz parte do sistema eleitoral. E é sabido que partes do sistema eleitoral possuem falhas não divulgadas.

blog: se alguém quisesse violar o sistema eleitoral, a fragilidade estaria só na urna?

Como dito anteriormente, existe um sistema de retaguarda que realiza a contagem dos votos e, no meu entender, os componentes deste sistema seriam o ponto ideal para fraudar o processo eleitoral. Stalin, entre outros, já via tal alternativa. Outro ponto importante e bastante negligenciado é que todos os envolvidos no processo eleitoral, do lado dos tribunais regionais e do TSE,afirmam que a urna é inviolável e que, em caso de violação (!), há mecanismos para identificar tais atos. Particularmente, eu  posso acreditar nisso. No entanto, a pergunta que fica no ar é: o que se faz quando tais violações ocorrem?

Vamos a um exemplo: ligar uma urna eletrônica antes do horário previsto não é permitido, e a urna acusa tal ação. Neste caso, a pergunta complicada é “porque, mesmo com o sistema acusando a falha no processo definido, a urna com problema não é considerada inapta?” Não houve violação (tecnológica) de segurança, mas de processo. E não parece haver um controle ou auditoria para vetar ou validar tais falhas. Assim, como dar credibilidade a um processo eleitoral que não consegue tratar nem casos simples como este?

blog: existe algum indício de que o sistema já foi violado em eleições anteriores?

O site www.votoseguro.org descreve várias situações, em eleições anteriores, que podem ser consideradas violações do sistema eleitoral. Há, também, relatórios de análises feitas por pesquisadores brasileiros e estrangeiros que têm conclusões bastante diferentes das do Ministro sobre a inviolabilidade do sistema eleitoral.

Como consultor, recebi uma análise feita em algumas urnas de um certo estado, que acusavam que os HASHs [nota do blog: um tipo de assinatura digital] dos programas utilizados nas urnas diferiam daqueles que o TSE indicava para muitas das urnas. Teria sido um erro no TSE ou, neste caso,  houve mesmo violação? Nunca ficamos sabendo, porque o TRE do estado e o TSE não investigaram o problema. Utilizando um debugger, como dito anteriormente, se identificaria desvios no fluxo de execução do programa. Mas, até onde eu sei, o TSE preferiu não investigar a fundo o ocorrido, daclarando que houve um erro lá mesmo no TSE. Bom… esta opção é a mais fácil e minimiza o problema. Só que, em segurança de sistemas, esta postura é ótima para qualquer hacker. Como se diz, no meu tipo de negócio, neste caso “La seguridad soy jo”.

blog: das últimas [supostas] evidências de violação até o momento, o que foi feito para que o sistema não seja violado [novamente]? se isso não é suficiente, o que deveria ser feito?

Não há evidência de evolução significativa na segurança do sistema eleitoral, por parte do TSE, pelo menos não com respostas concretas e comprováveis a problemas apontados em diversos relatórios sobre eleições passadas.

Para um processo considerado critico ter credibilidade, é necessário que seja regulado de forma clara e por uma entidade que não seja parte interessada nele. Um erro clássico, que ocorre neste caso do sistema eleitoral, é que o TSE desenvolve o sistema, define os procedimentos, regula sua aplicação e audita os resultados. Em tal tipo de contexto, qual o interesse do TSE em assumir que houve alguma falha grave no processo eleitoral, capaz de invalidar uma eleição? Quem garante que não se sabe de falhas (graves, talvez) mas elas não são divulgadas?

Acredito que um primeiro passo para melhorar a confiabilidade e transparência do processo eleitoral seria a criação de um sistema regulatório, a cargo de uma entidade isenta  e que, em caso de falha no processo, tenha condições de analisar o problema do ponto de vista de uma regulação previamente acordada. Não há um CNJ para a Justiça? Talvez fosse o caso de um CNE para as eleições, para supervisionar o sistema eleitoral.

Este seria o primeiro passo. Outra abordagem, que eu confesso não saber se foi feita, mas que algumas entidades  reclamam não ter tido a possibilidade de chegar a tal ponto, é fazer com que especialistas em segurança auditem a urna e tentem descobrir se ela é ou não violável. Eu, particularmente, me interessaria muito por tal trabalho. Esforços semelhantes sobre urnas semelhantes à nossa apontam muitas falhas na urna. Por fim, e neste caso eu não consegui verificar a autenticidade dos vídeos, há registros de violação da segurança de urnas emprestadas para votações no Paraguai. Se estas imagens (1, 2, 3, 4, veja nesta ordem) forem verdadeiras, acho que temos que ficar muito preocupados.

resumo da ópera? especialistas em segurança de informação, como frodo, não têm tanta confiança no nosso sistema de eleições eletrônicas quanto o presidente do TSE. não que o sistema seja furado e esteja sendo manipulado em todas as eleições. mas há indícios de que pode ter sido o caso e parece que, mantido o estado de coisas, pode acontecer de novo [ou de vera]. o sistema bem que poderia estar sujeito a uma auditoria pública, aberta, transparente, para aumentar a confiança do processo. por que não? não resta dúvidas de que nosso sistema eleitoral é um dos melhores do mundo. se pudermos fazê-lo ainda melhor e tão inviolável quanto possível, a um custo aceitável para a democracia brasileira, que razão nos levaria a não tentar?…

aconteceu em san francisco: engenheiro de suporte e segurança de sistemas da prefeitura se desentendeu com seus empregadores, que tentaram demiti-lo. o resultado foi o sequestro do sistema de informação da cidade. como? o quase-demitido cancelou o acesso de todos os outros empregados que lidam com o sistema e manteve apenas o seu.

resultado? apesar da cidade continuar "no ar", se alguma coisa "cair" somente o engenheiro brigado com a prefeitura pode [em tese] botar a coisa de volta "no ar". mas o carinha está preso, se recusa a dar sua senha para a polícia ou seus antigos empregadores… o departamento de tecnologia ainda está tentanto entrar no sistema por seus próprios meios, sem sinal de sucesso até a hora deste post.

a discussão do assunto, no slashdot.org, é preciosa pra quem quer entender as implicações de quase tudo, na sociedade, depender de informática e de informática, em si, depender de gente. gente como nós, que tem todas as nossas vantagens, problemas e… surtos. em san francisco, ao invés da informática dominando a vida das pessoas, estamos vendo uma pessoa dominando a informática da cidade inteira. vale a pena ler o debate la na slashdot.org.