Todos os posts tagados swatting

Entrevista com… Brian Krebs

brian_krebs

Para que não conhece o Brian Krebs, é um jornalista americano que se dedica à investigação de temas relacionados com a segurança de informação. É o autor do blog – KrebsOnSecurity.com – onde publica esquemas fraudulentos que geram milhões e milhões de dolares aos utilizadores maliciosos.
Pessoalmente sigo o KrebsOnSecurity.com há alguns anos e penso que, o trabalho que ele publica no seu site diariamente, contribui para uma web mais segura e justa.
Tive o prazer de trocar algumas palavras com o Brian e questioná-lo sobre alguns temas.

És atualmente um dos jornalistas de segurança informática mais populares da web. Quais foram os motivos que te levaram a seguir essa carreira?

Puro fascinio sobre o assunto e uma percepção de que havia pouca compreensão de como funciona o underground. Tal como a razão do cibercrime ter tanto impacto em todos os utilizadores e organizações no planeta. Isto mantém-se o foco central das minhas reportagens: educar as empresas e os utilizadores sobre o papel dos mesmos no cibercrime. Para o bem ou para o mal, se não estão a trabalhar para fazer parte da solução, eles são parte do problema. Infelizmente, a maior parte das pessoas (e, por extensão as organizações) requerem uma catastrofe antes de chegarem a conclusão que devemos levar a cibersegurança seriamente e como fazendo parte das nossas vidas.

No teu blog, KrebsOnSecurity.com, divulgas esquemas fraudulentos que causam danos para milhões de utilizadores. Não tens receio que os utilizadores maliciosos virem a atenção para ti? Já foste vítima de Swatting. Não achas que pode voltar acontecer?

Desde o incidente de Swatting, tive a sorte de desenvolver uma relação próxima com as autoridades locais, por isso penso que a polícia não será novamente enganada noutra tentativa de swatting na minha residência. Mas de certeza que os criminosos têm outras maneiras de complicar a minha vida. Infelizmente, é algo que vem com este trabalho.

Como consegues manter e separar as diferentes identidades no teu dia-a-dia? (pergunta enviada por Jorge Moura)

Eu não uso multiplas identidades. Eu identifico-me sempre como jornalista e utilizo sempre o meu nome quando procuro comentários de pessoas. Eu penso que posso ser desculpado por não ter usado a minha verdadeira identidade quando estou a escolher usernames em foruns no cibercrime, onde basicamente sou pouco mais de um lurker [alguém que apenas visualiza os fóruns e não insere posts]. São diversas as vezes que tentei registar-me com o meu nome real, no entanto descubro sempre que o meu nome já está ocupado.

Tens alguma experiência de trabalho com portugueses da área de segurança?

Não tenho a certeza. Provavelmente, mas geralmente as pessoas não me informam quem são e donde são. Eu escrevi sobre um tipo, no inicio deste ano, que estava a correr um serviço intitulado de Indexeus – que estava desenhado para servir de motor de busca para leaks – que dizia que era de Portugal. Mas não tenho a certeza.

O Brian, lançou recentemente o livro Spam Nation. Esta obra fala da luta entre duas grandes organizações criminosas responsáveis pela maior percentagem do Spam mundial. Ele escreve na primeira pessoa a sua investigação ao longo do livro com conversas com os criminosos e as ligações politicas dos mesmos com governos e forças de segurança. O acesso exclusivo a leaks e a colaboração dos criminosos para divulgarem os seus negócios, deram a Brian uma visão nunca vista até hoje.
É um livro empolgante, em que o leitor fica sempre com curiosidade de saber o passo seguinte. Uma viagem ao mundo do crime online, onde as mentiras, o dinheiro e a corrupção reinam diariamente.
Gostava de destacar uma área do livro em particular – Pharma Wars – onde serviu de inspiração para a elaboração do meu artigo Pharma Hacks em Portugal.

Aproveitanto a oportunidade do lançamento do seu novo livro – Spam Nation, decidi fazer-lhe umas questões em relação à sua obra.

O que te levou a escrever o Spam Nation?

É o produto de um velho ditado, “Se existe um livro que ainda não foi escrito, e tu és o único que pode escrevê-lo, então tens de escrevê-lo”. Os líderes de duas enormes organizações do cibercrime decidiram “lutar” entre elas pagando a hackers para entrar nas operações e divulgar leaks gigantes de volumes de informação a entidades policiais e a mim – incluindo emails, chats, registos bancários, etc. Essa informação forneceu uma visibilidade incomparável das redes underground que fomentaram e perpeturam muito do cibercrime que temos visto na última década até aos dias de hoje. Armado com esse ponto de vantagem único, seria uma boa questão – “Porque não escrever este livro?”

Para que audiência é dirigido o livro Spam Nation?

É dirigido para qualquer um interessado em segurança informática e para todos os outros desde o chefe da empresa, até ao comum utilizador. Os leitores regulares têm que compreender – do ponto de vista do hacker – que eles são apenas uma fonte e um meio para atingir um fim. O cibercrime não é pessoal, é um produto de uma entidade ou de um particular que não está ciente do verdadeiro valor dos seus sistemas, porque o atacante certamente o sabe. Podemos passar o dia a pensar no assunto – se as companhias que produzem software vulnerável devem ou não ser responsabilizadas pelos produtos (vulneráveis) que oferecem e que os utilizadores devem fazer parte da solução para a resolução do problema (uma verdade inegável). No fundo é um tema complicado com cenários utópicos, onde na vida real as coisas (funcionam) são diferentes.

É bastante mau que o utilizador comum seja desarmado e derrotado contra as ameaças de hoje; mas este também desconhece completamente a sofisticação do ataque que enfrenta, além disso não tem esperança em manter os seus sistemas e dados seguros. Assim, a segurança começa com uma sensibilização da centralidade das nossas identidades na rede, computadores e dados desempenham em relação a tudo o que fazemos no mundo real.
Conhecimento é poder, e uma boa quantidade de conhecimento e interesse na sofisticação e motivação dos hackers que possam comprometer e usar essa informação para seu benefício é algo bastante poderoso, até digo que é uma ferramenta fundamental para consumidores e empresas para evitar serem as próximas vítimas.

Achas que hoje em dia os utilizadores preocupam-se com as mensagens de Spam ou chegou ao ponto em que o utilizador ignora e não faz nada? Não achas que os utilizadores têm um papel importante para combater estas mensagens não solicitadas?

Querendo ou não admiti-lo, ou reconhece-lo até, o Spam continua provavelmente o maior vetor para os ataques online maliciosos. É verdade que muitos ISPs e fornecedores de email têm vindo a controlar melhor o problema nestes úlitmos anos, mas o problema global do Spam continua a ser ditado geograficamente. Isto é, o tipo de Spam e perigo do mesmo depende do teu país. De qualquer forma, é inegável que, independentemente do que tu pensas sobre o Spam comercial ou email malicioso, continua a ser um grave perigo presentemente. Os utilizadores maliciosos estão cada vez melhores a elaborar esquemas cada vez mais convincentes. Então é importante lembrar que o termo Spam não se limita apenas ao email comercial não solicitado. O termo abrange um maior espaço de ameaças, incluindo phishing, malware, e ataques direcionados que combinam malware e phishing.

Na tua opinião que devem fazer os Governos para combater o Spam e fecharem o negócio ilegal descrito no Spam Nation?

A chave como noutra tentativa de parar e fechar atividades ilegais centra-se no foco da monetização da atividade ilegal. No caso do Spam comercial que eu descrevi no livro, focar a atenção nos bancos que assistem este tipo de redes criminais no processo de pagamento é suficiente para fazer uma mossa no problema.
Também existem plataformas para os titulares de marcas bancárias e outros gestores na equação do problema, tudo isto para que seja mais difícil para estas organizações criminosas processarem os pagamentos por serviços anunciados no Spam. Mas no final é necessários que os bancos trabalhem em conjunto para reportar estas atividades numa base consistente e implacável. Isto pode ser feito sem novas leis e sem dar poderes adicionais às forças de segurança, uma vez que faz parte de um dever civil. A Visa e Mastercard e outras empresas de cartões bancários podem derrubar este problema mas cabe às marcas (farmácias, produtores de Software, detentores de marcas, etc) unirem-se e apresentar queixas com as empresas de cartões para que possam formalizar contratos com bancos que prestem serviço a este tipo de atividades ilegais. Esses contratos exigem multas pesadas aos bancos que facilitem este tipo de atividades, mas sem essa pressão, haverá sempre instituições bancarias disposta a fazer este tipo de serviço a entidades fraudulentas.

Peço desculpa por eventuais erros na tradução da entrevista. No entanto deixo aqui o link para o Scribd com a entrevista original em inglês.

Gostaria de agradecer ao Brian Krebs pelo tempo disponibilizado e pela simpatia que demonstrou na pequena conversa. Agradeço também à editora SourceBooks por me ter fornecido uma cópia do livro e assim ter-me dado a oportunidade de ler o Spam Nation em primeira-mão.