Tecnologia

Como trabalham os detetives digitais

Um mergulho no dia a dia dos caçadores de vírus e investigadores de crimes digitais do laboratório russo Kaspersky Lab

Os analistas e as máquinas de rastrear ameças da Kaspersky bloqueiam um vírus a cada 2 segundos (Simon Stratford / SXC)

Os analistas e as máquinas de rastrear ameças da Kaspersky bloqueiam um vírus a cada 2 segundos (Simon Stratford / SXC)

DR

Da Redação

Publicado em 19 de setembro de 2011 às 11h45.

Moscou -- Instalado diante de seu computador de mesa no Kaspersky Lab, no quarto andar de um superprotegido edifício no noroeste da cidade, nas proximidades da estação de metrô Oktyabrskoye Pole, o analista Sergey Golovanov ajeita os óculos e coça o longo cavanhaque que lhe dá um ar de personagem de um conto do romancista Fiódor Dostoiévski.

Em um dia escaldante do verão russo, ele finaliza mais uma verificação da quarta geração do TDSS (também conhecido como TDL-4 ou Alureon), uma ameaça do tipo cavalo de troia introduzida em 2008 e que, desde então, volta modificada e cada vez mais danosa. Descoberta em agosto do ano passado, sua quarta variante silenciosamente se instala no MBR, o registro-mestre de inicialização do disco rígido, inclusive em sistemas operacionais de 64 bits, transformando a máquina em um escravo. A partir de bancos de dados MySQL instalados na Lituânia, Moldávia e nos Estados Unidos, o TDSS contaminou, apenas nos três primeiros meses deste ano, 4.524.488 máquinas. Algo como 135 mil delas estavam em território brasileiro. “Esta é a ameaça mais sofisticada inventada até hoje”, escreveu Golovanov num relatório que fez sobre a praga.

Segundos depois, suas conclusões chegavam à tela do notebook Sony Vaio de Yevgeny Kaspersky, que estava a caminho do GP da Europa de Fórmula 1, em Valência, na Espanha. Fundador e principal executivo da Kaspersky Lab, ele é um dos patrocinadores da escuderia Ferrari e estampa sua marca nos carros do espanhol Fernando Alonso e do brasileiro Felipe Massa. Kaspersky nem franziu a testa quando recebeu a notícia vinda de seu QG na Rússia. “Como sou paranoico, há duas décadas minha questão predileta no trabalho é saber quais são as más notícias do dia”, disse Kaspersky a INFO.

Ameaças mil

Notícias ruins não faltam na rotina de Yevgeny ou Eugene, como prefere ser chamado nesses tempos de internacionalização de sua empresa. Nas últimas semanas, Eugene e seu batalhão de analistas trombaram com o rootkit TDSS, desmontaram o vírus Stuxnet, descrito por um engenheiro da Kaspersky Lab como “assustadoramente complexo”; receberam a notícia da fusão de atividades do ZeuS e do SpyEye, dois programas ilegais, concebidos para surrupiar senhas bancárias; analisaram os ataques ousados de hackers a empresas como a Sony, a invasão a domínios bem protegidos, como os e-mails da NASA e da Adobe; e ainda acompanharam as ações do grupo LulzSec contra sites do governo brasileiro.

Qualquer incidente como esses muda a silenciosa rotina da companhia, na rua Volokolamskii. Desde 2006, é em quatro andares desse prédio, com ar de assepsia e decoração moderna, sofás revestidos de tecido verde-metálico, que funciona o centro nevrálgico da Kaspersky Lab. No quarto andar, permanentemente vigiado por 69 câmeras e onde um visitante só entra acompanhado, ficam as salas e as máquinas dos analistas. Para não perder a corrida em uma internet cada vez mais bombardeada, o laboratório de Moscou trabalha sete dias por semana, 24 horas por dia. Enquanto 54 analistas da equipe atuam diretamente na análise de malware, com a ajuda de especialistas espalhados por 29 escritórios no mundo, outros 42 cuidam do desenvolvimento de cenários frente às novas ameaças.


Pelo ritmo frenético das tecladas, os analistas ganharam o apelido de pica-pau. Eles tentam vigiar de perto qualquer evento extraordinário e para isso contam com a ajuda dos crowlers, uma rede de robôs que verifica servidores suspeitos, e também com um formidável servidor com um dos maiores bancos de dados do mundo sobre vírus, cavalos de troia, spyware, backdoors, keyloggers, rootkits, adware e todos os outros nomes para essas pragas digitais. “Temos de identificar o código do vírus, descobrir o estrago que ele faz e uma forma de neutralizá-lo para evitar que o dano se alastre”, diz Alexey Malanov, líder da equipe de antimalware da Kaspersky Lab.

Igualmente alerta está a equipe comandada por Darya Gudkova, encarregada de vigiar de perto os spams, e neutralizá-los. Dez pessoas se revezam na função, além das 15 que trabalham em casa. Tentam bloquear um volume estimado entre 25 e 50 milhões de spams por dia, com picos de 225 milhões, como aconteceu em julho de 2010. “Enquanto o pessoal que cuida dos vírus e cavalos de troia trabalha mais com algoritmos, nós cuidamos de filtrar nomes ou frases”, diz Darya. Palavras como Viagra, dinheiro e grátis, em vários idiomas, são quase sempre um sinal de spam. Quando não está viajando, Eugene Kaspersky trabalha a alguns passos dali, na sala número 4-16.

Considerado um dos mais hábeis caça-vírus da internet, esse ex-tenentecoronel da seção de criptografia do Exército soviético, hoje com 45 anos, começou a desenvolver seu acervo, composto por algoritmos matemáticos cada vez mais complicados, em 1989, antes mesmo da popularização da internet. “Era um tempo em que os malwares eram transmitidos por disquetes”, diz Karspersky. “Tudo muito diferente do que acontece hoje, quando um arquivo viaja e contamina em segundos milhares de computadores, tablets ou smartphones.”

Caçadores de vírus

As ameaças evoluíram. A Kaspersky Lab também. Antes nanica e desconhecida fora da Rússia, hoje é considerada uma das melhores e mais hábeis caçadoras de vírus de computadores do planeta. Com a providencial ajuda de sua milícia de analistas espalhados por quatro continentes, a Kaspersky tem se saído bem. Nos testes da publicação especializada Vírus Bulletin, realizados em março deste ano com 69 antivírus, o Kaspersky Pure, o principal produto que a empresa vende, conseguiu detectar e neutralizar 94,5% das ameaças, taxa considerada alta na comparação com a concorrência.

Os russos são ainda menores quando colocados lado a lado com as duas gigantes americanas desse mercado, a líder Symantec (dona do Norton) e a McAfee, segunda do ranking. Mas turbinada pela reputação, a companhia russa cresce. No ano passado, sua fatia no mercado mundial de software de segurança pulou de 4% para 7,5%. Estava na quarta colocação, a um passo de ultrapassar a TrendMicro. Em comparação com 2009, o faturamento da Kaspersky cresceu 38% e chegou a 538 milhões de dólares, com cerca de 300 milhões de clientes. “Tudo isso é muito bom, só que não podemos dormir no ponto”, disse a INFO o bem-humorado Kaspersky. “Em nenhum outro tempo as ameaças pela internet foram tão numerosas.”


De acordo com as estatísticas da Kaspersky Lab, descobre-se um novo programa malicioso a cada dois segundos. Há cinco anos, essa marca estava em um a cada cinco minutos. Algo como 7 milhões de ataques ocorrem a cada dia. No ano passado, em comparação com 2009, foram colocados na rede 87% mais malwares ladrões de senhas e 135% mais cavalos de troia, os vírus espiões que se instalam nos computadores para bisbilhotar e praticar ataques de negação de serviço.

Durante os dias que a INFO passou na Kaspersky Lab, em Moscou, exatos 47% dos vírus apanhados eram espiões. Também era grande a fatia de downloaders (17%), especializados em baixar arquivos indesejados, e de backdoors (8%), os vírus capazes de entrar no computador e permitir que criminosos manipulem as informações a distância. Agora a preocupação é com os smartphones e os tablets. “Pode apostar que ataques a esses aparelhos móveis serão dominantes nos próximos anos”, diz Yevgeny Buyakin, diretor de operações da Kaspersky Lab. “Por isso nossa estratégia é manter um sistema de vigilância cada vez mais forte e investir em pesquisa. A concorrência e os ciberpiratas não estão para brincadeiras.”

Em matéria de segurança de dados na internet, a última novidade da Kaspersky é o KLoud, sistema de proteção dos computadores baseado em cloud computing. Ele analisa informações como URL e aplicativos acessados de cada usuário. Quando detecta algo suspeito, o serviço manda uma ordem às outras máquinas para não baixarem o aplicativo. “A meta é reduzir o tempo de detecção de uma ameça grave para três minutos, em vez de três horas”, diz Kaspersky. Se identifica um arquivo esquisito, imediatamente o sistema passa a bloquear ameaças do mesmo tipo, impedindo que o contágio se alastre. É uma estratégia similar à que os concorrentes americanos estão usando. A Symantec lançou o Quorum, a McAfee tem o Global Threat Intelligence e a Trend Micro o Smart Protection Network. A briga vai ser boa.

Na opinião de Kaspersky, a detecção na nuvem ajudará a tirar os amadores da jogada, mas ainda haverá gente com capacidade intelectual e dinheiro para bolar formas de furar essa proteção e descobrir meios de desviar dinheiro pela internet. “Esses hackers são perigosos e profissionais como as grandes quadrilhas que assaltam bancos à mão armada”, afirma o russo Dmitry Bestuzhev, funcionário da Kaspersky baseado no Equador, especialista em fraudes online e segurança corporativa. “Há dez anos, essas pessoas queriam popularidade. Hoje, formaram uma rede para roubar dados que os faz ganhar dinheiro.”

Senhas bancárias

Recentemente, conta Bestuzhev, foi divulgada a venda do código básico do ZeuS, uma das mais conhecidas ferramentas ilegais para surrupiar senhas bancárias. Segundo o FBI, esse cavalo de troia teria aberto as portas para o desvio de 70 milhões de dólares em 400 bancos americanos. Seu autor, um hacker russo que se apresenta em fóruns da internet como Slavik ou Monster, transferiu o conhecimento para outro nome célebre na cibercriminalidade: o Gribodemon, às vezes Harderman, o homem que concebeu o SpyEye. “Basta ter um cavalo de tróia bancário e vontade de roubar que um hacker surrupia milhares de dólares, sem contato com as vítimas”, diz Aleks Gostev, analista-chefe da Kaspersky.


De uma atividade exibicionista de fundo de quintal, no início dos anos 1990, a cibercriminalidade passou a ser um negócio globalizado, com quadrilhas organizadas e funções divididas. Uns se encarregam de desenvolver vírus, outros de encontrar formas de entrar nos computadores ou surrupiar dados e senhas, arranjar mulas ou esquemas para lavar dinheiro. Em junho, um anúncio de emprego circulou na internet. Escrito em russo, oferecia um salário inicial de 2 mil dólares por mês para especialistas em criptografia dispostos a entrar na jogada.

“A chegada de gente qualificada ao esquema ilegal explica a disparada na produção de programas maliciosos”, diz Bestuzhev. “De 3,8 milhões em 2007, devem chegar a 20 milhões este ano.” Nesse submundo da internet existem lojas online que vendem nomes de correntistas, com a senha para entrar na conta. Tudo fechado com pagamento virtual, usando Liberty Reserve ou Web Money. “Basta investir o equivalente a 200 dólares e o acesso a potenciais 2 mil vítimas fica escancarado”, afirma Bestuzhev.

Quer outra má notícia? Antes praticamente restritos às máquinas com Windows, os vírus já começam a mirar computadorescom o sistema Mac OS X, da Apple. Muitos desses novos vírus são detectados pelo cão de guarda automatizado e pelos analistas da Kaspersky que trabalham em regime de 24 horas. Quando a coisa fica mais feia, como no caso do TDSS ou do Stuxnet, entra em ação a tropa de elite, formada pelo romeno Costin Raiu, o russo Alexey Polyakov, diretor da equipe de resposta de emergência global, além dos times comandados por Gostev, e os mais jovens, como Bestuzhev. Na equipe estão ainda o russo Denis Maslennikov, um cabeludo com jeitão de roqueiro e fera em ameaças a redes sociais e celulares, e o holandês Roel Schouwenberg, craque na arte de montar defesas contra vírus e que hoje trabalha no escritório americano da Kaspersky. A missão deles?

A partir da identificação do intruso, tentar ver qual é o mecanismo de ataque e neutralizá-lo a tempo de disparar milhões de atualizações do antivírus para os usuários. Tentam ainda descobrir os danos causados pelo intruso e qual seu padrão, para então criar um antídoto. “A qualquer momento, grandes encrencas podem estourar”, diz Costin Raiu, a pele pálida de quem passa horas diante do computador, no escritório de Bucareste, na Romênia.

“Cada país é diferente em hacking e distribuição de malware e isso exige especialistas locais”, afirma Fábio Assolini, analista da Kaspersky baseado em São Paulo. O Brasil é considerado um ativo território de produção de cavalos de troia para surrupiar senhas bancárias (com 95% do volume de malware produzido). Instalado no bairro do Morumbi, na zona sul de São Paulo, Assolini está ligado ao QG em Moscou com duas máquinas permanentemente conectadas e também tem contato direto com as outros dois analistas da companhia, Bestuzhev, no Equador, e Jorge Mieres, em Buenos Aires. Sua função é ficar na linha de frente contra os ataques do lado de cá do globo.

Ladrão de códigos

Há poucas semanas, topou com um rootkit capaz de roubar dados bancários disfarçado em um arquivo inserido em um site brasileiro bem acessado, mas cujo nome ele não revela. “Essa rede de colaboradores ajuda a entender como a ameaça se instala, a partir de cada país, o que pode destruir e como reparar os estragos no menor tempo possível”, afirma o russo Nikolay Grebennikov, diretor de tecnologia da Kaspersky.


Na companhia desde 2003, Grebennikov abandonou a paixão pelo xadrez (aos 16 anos, era um dos melhores de Moscou) para mergulhar no mundo dos algoritmos. Ph.D. em ciência da computação, é um gênio da programação. Foi ele quem coordenou o desenvolvimento da mais recente versão do antivírus da Kaspersky. “Eu e meu time começamos a fazer o novo antivírus seguindo o que diziam os manuais. Aí decidimos seguir uma linha própria, nos aproximando do pessoal de pesquisa e desenvolvimento”, diz. No ano passado, 920 funcionários atuavam em pesquisa, quatro vezes mais do que em 2007. O resultado? Antes, um lançamento demorava um ano para ser incorporado. Agora, em um ano, são cinco.

Apesar da astúcia, nem mesmo a Kaspersky está livre dos hackers. Em fevereiro de 2009, um deles, de origem romena, entrou no setor de suporte ao cliente do site americano da empresa. “Não expôs informação relevante, mas o fato desencadeou procedimentos ainda mais rigorosos para conter invasões”, disse a INFO um analista da companhia. Para nunca mais serem pegos de surpresa, a solução foi apertar a obsessão pela segurança, que já era grande. “A estratégia é ter parte do time sempre em alerta para reagir a uma nova ameaça”, afirma Alexey Polyakov

No caso de Eugene Kaspersky, o conhecimento para decifrar problemas que envolvem criptografia começou ainda nos tempos de garoto, quando morava em Novorossyisk, a 1.200 quilômetros de Moscou. Ótimo aluno de matemática, seu passatempo era decifrar equações complexas. Aos 22 anos, graduouse em criptografia e entrou para o Exército soviético. Chegou a tenentecoronel. “Guardo até hoje a farda no escritório”, diz Kaspersky.

O acaso tratou de colocar um vírus em sua máquina. Era o Cascade, hoje apanhado pelo mais tolerante dos antivírus. Paciente como um cirurgião, Kaspersky identificou sua sequência, decifrou os estragos e restaurou as funções do computador. Daí começou a colecionar programas maliciosos. Criou um banco de dados que hoje reúne 4 milhões de registros. Em 1991, ganhando 100 dólares por mês, Kaspersky resolveu abandonar a farda. Começou na Kami, uma empresa russa de software. “Sempre achei que computação era algo que podia me dar futuro”, diz.

Sua competência para identificar ameaças e corrigilas foi o melhor cartão de visita para atrair talentos para sua empresa recém criada. “Decidi vir no ano 2000 para trabalhar com o melhor analista de vírus de computadores que conheci, o Yevgeny Kaspersky”, diz Costin Raiu. “Enquanto um analista experiente como eu realiza uma sequência, ele faz vinte vezes mais.” Como o mercado russo não era grande o suficiente, Kaspersky partiu para a internacionalização. Passou também a investir em marketing.

Garoto-propaganda

Hoje Kaspersky é o maior garoto-propaganda de sua empresa, a ponto de participar de comerciais para TV ao lado do astro chinês Jackie Chan. Acaba de arranjar um sócio americano, o fundo de investimentos General Atlantic, que em janeiro pagou 200 milhões de dólares pelas ações da exmulher Natalya Kaspersky. “Teremos mais dinheiro para investir”, diz Kaspersky. No momento em que a internet anda mais ameaçada do que nunca, será um trunfo e tanto para o russo Kaspersky crescer ainda mais.

Acompanhe tudo sobre:Antivíruscrimes-digitaisseguranca-digital

Mais de Tecnologia

Influencers mirins: crianças vendem cursos em ambiente de pouca vigilância nas redes sociais

10 frases de Steve Jobs para inspirar sua carreira e negócios

Adeus, iPhone de botão? WhatsApp vai parar de funcionar em alguns smartphones; veja lista

Galaxy S23 FE: quanto vale a pena na Black Friday?