Roubo de Identidade, Franquias de Cibercrime, e a Definição de Acesso Não-Autorizado

ARTIGOS ESPECIAIS

22/06 - 09:00

Roubo de Identidade, Franquias de Cibercrime, e a Definição de Acesso Não-Autorizado

São Paulo, 22 de junho de 2009 - Segundo um relatório recente do Centro de Recursos sobre Roubo de Identidade (em inglês, “Identity Theft Resource Center”, ITRC), uma organização não-governamental sem fins lucrativos baseada em San Diego, falsos empregados e hackers foram as fontes mais citadas de vazamento de dados reportadas no primeiro semestre de 2009. O ITRC descobriu que dos 250 casos de vazamento de dados publicamente reportados nos Estados Unidos entre 01/01/09 e 12/06/09 (totalizando mais de 12 milhões de registros expostos), as vítimas culpam na maior parcela de incidentes o roubo de informações realizado pelos empregados (18,4%) e hackers (18%). Juntos, os vazamentos atribuídos a esses dois tipos de ataques maliciosos cresceram a uma taxa de cerca de 10% sobre o mesmo período em 2008. A categoria de informações médicas ou de saúde foi responsável por cerca de 13,2% dos casos de vazamento, tendo contabilizado mais de 8,6 milhões de registros expostos.

Algo como 44 estados americanos e o Distrito de Columbia já dispõem de leis determinando que as entidades que experimentam um vazamento de dados revele publicamente o fato. Mesmo assim, poucas entidades vazadas reportam terem feito algo para salvaguardar as informações no caso delas serem roubadas ou perdidas. Curiosamente, o ITRC encontrou apenas um único caso de vazamento no primeiro semestre de 2009 em que a vítima reportou que os dados perdidos ou roubados estavam protegidos por tecnologia de cifragem ou encriptação.

A lista de vazamentos do ITRC é, na verdade, uma compilação de casos confirmados por diversas fontes de mídia e/ou listas de notificação de agências governamentais. Atualizações à lista acontecem semanalmente, e para fazer parte das estatísticas, o vazamento tem que incluir informação pessoal identificadora (em inglês, “personal identifying information”, abrev. PII) que poderiam levar a roubo de identidade. Há regras federais em vigor nos EUA que determinam quais combinações de informações pessoais que possam levar à identificação de um único indivíduo, e que tipo de exposição irá se constituir num vazamento de dados. Os relatórios estatísticos se baseiam na classificação dos eventos conforme o tipo de entidade envolvida: negócios, financeiro/crédito, educacional, governo/militar, e assistência à saúde. Há também a preocupação em classificar os casos conforme o método, muito embora em todos os métodos considerados a PII está num formato facilmente lido pelo ladrão de informações (i.e., não criptografado): (i) dados em movimento; (ii) exposição acidental; (iii) roubo interno; (iv) ação de terceirizados; (v) ação de hacker.

Em meio a uma economia em recessão, alguns números recentes do cibercrime impressionam. Por exemplo, o último relatório de tendências em atividades de “phishing” disponibilizado pelo “Anti-Phishing Working Group” (APWG), uma organização comprometida com a exterminação da fraude na internet, revela que o número de portais espalhadores de software voltado para o crime eletrônico que têm infectado PC’s com programas que roubam senhas atingiu um recorde sem precedentes de 31.173 em Dezembro de 2008, um acréscimo de 827% em relação a Janeiro de 2008. A propósito, o APWG define “phishing” (uma forma adulterada de se escrever “fishing”, que significa “pescaria”) como mecanismo criminoso que emprega tanto a engenharia social (a arte de enganar) quanto subterfúgios técnicos para roubar dados de identidade pessoal e credenciais bancárias e/ou financeiras de consumidores. Esquemas de engenharia social usam mensagens eletrônicas enganadoras (de origem falsificada), supostamente de negócios e agências legítimos, para levar consumidores a portais falsificados e projetados para ludibriar o receptor da mensagem a divulgar dados financeiros tais como número de conta e senha. Esquemas de subterfúgio técnico depositam software criminoso em PC’s para roubar credenciais diretamente, frequentemente usando sistemas para interceptar os dados online dos consumidores – e corromper infraestruturas locais de navegação para desviar os consumidores para páginas falsificadas (ou páginas autênticas através de proxies controlados por um phisher – i.e., “pescador” – e usados para monitorar e interceptar a própria digitação de teclas do consumidor).
A sofisticação dessa atividade chegou ao ponto de fazer sentido econômico a noção de franquia de serviços de cibercrime. Em artigo recente no seu blog no Washington Post (“Web Fraud 2.0: Franchising Cyber Crime”, 06/19/2009), Brian Krebs escreve que, em sua grande maioria, as cibergangues que criam software malicioso e espalham mensagens de spam operam como organizações sombrias, exclusivas, que atuam em sigilo, normalmente na Europa Oriental. Mas apenas com uns poucos cliques, qualquer um pode se juntar ao negócio até mesmo com algumas das mais notórias dessas organizações realizando o equivalente a uma operação de franqueamento. Algumas dessas franquias mais ativas ajudam a distribuir software malicioso através dos chamados “programas pague-por-instalação”, que pagam comissões minúsculas aos operadores da franquia, os chamados “afiliados”, a cada vez que um programa fornecido é instalado no PC de uma vítima insuspeita. Tais programas instaladores vão seqüestrar os resultados de busca da vítima, ou roubar dados do computador infectado. Tipicamente, os afiliados irão agregar secretamente os instaladores a títulos de software populares pirateados que são disponibilizados para baixar em portais de compartilhamento de arquivos “peer-to-peer”. Em alguns casos, os instaladores são embutidos em portais Web legítimos hackeados, e sorrateiramente impingidos em PC’s quando as pessoas visitam páginas usando navegadores inseguros e/ou com software desatualizado. Especialistas dizem que uma das operações de pague-por-instalação mais antigas e bem-sucedidas é uma organização chamada “InstallsCash,” que paga aos distribuidores para espalhar uma variedade de programas invasivos. Após o usuário se inscrever para uma conta gratuita, o InstallsCash lhe fornece um arquivo instalador executável (.exe), e aí pagará entre US$5 e US$140 por 1.000 instalações (com valores maiores para instalações em países como os Estados Unidos, o Reino Unido, e a Itália).

O problema do roubo de identidade tem assumido tamanha importância que em Setembro de 2008 o Congresso americano aprovou emendas à lei americana do crime por computador (“Computer Fraud and Abuse Act”, abrev. CFAA), como parte de um projeto de lei maior concebido para lidar com o problema do roubo de identidade. Conforme Jennifer Granick, diretora de liberdades civis da Electronic Frontier Foundation, em recente comentário (“Amendments to Computer Crime Law Are a Dark Cloud with a Ray of Light”, 15/06/09), as emendas ampliam o alcance da lei, porém não esclarecem a questão mais delicada, a saber, a definição de ‘acesso não-autorizado’. Granick afirma que não foi dessa vez que o Congresso conseguiu resolver a questão de como distinguir atividade online legal de atividade ilegal. Quando é que um acesso é “não-autorizado” ou “ultrapassa autorização”? Um exemplo emblemático foi a investigação dos membros do comitê de campanha do então candidato ao governo da Califórnia, Phil Angelides, que obtiveram gravações não tão politicamente corretas do então governador e candidato à reeleição, Arnold Schwarznegger, que haviam sido disponibilizadas no portal do Governador. Nesse caso não houve violação de mecanismos de proteção, pois as gravações estavam disponibilizadas em pastas localizadas na área pública dos servidores, porém não havia apontadores públicos para os respectivos arquivos. No entanto, uma busca simples poderia revelar a sua disponibilidade. Dessa forma, o acesso pode ter sido não-autorizado, mas certamente não “ultrapassou” autorização. No texto do projeto de lei não parece ter havido a preocupação de contribuir para o esclarecimento desse aspecto específico. Nesse sentido, Granick afirma que as emendas ampliam o alcance da lei, mas a CFAA continua tão vaga quanto antes. O Congresso poderia fazer o que algumas assembléias estaduais o fizeram: determinar que acesso não autorizado ocorre quando alguém contorna medidas de segurança para obter acesso, ao invés de obter uso não desejado ou mesmo violação de termos de serviço, ambos, em princípio, inofensivos.

Por outro lado, as emendas ajudam a esclarecer melhor o que constitui o elemento necessário de “dano”, mostrando que diversos casos nos quais a mera visualização de dados era suficiente para um processo sob a CFAA foram decididos erroneamente. Assim, as novas emendas podem vir a garantir a inovadores da internet, pesquisadores e palestrantes de conferências sobre segurança computacional argumentos que poderia dar abrigo legal a engenhos de busca, ao ato de reportar vulnerabilidades e a outros usos legítimos de computadores. Segundo Granick, um dos aspectos em destaque nas emendas é a remoção de certos termos que os acusados podem ter conseguido usar para argumentar que algumas partes da CFAA não se aplicam a ataques por computador puramente entre-estados. Além disso, foram incluídas provisões para tipificar como crime a conspiração para cometer crime por computador, assim como circunstâncias adicionais sob as quais as ameaças relacionadas a crime por computador são ilegais. Por fim, mas não menos importante, foi removido o requisito de que o governo deve mostrar que houve perdas de no mínimo US$5000, se puder mostrar que 10 ou mais computadores forem danificados dentro de um período de um ano. No texto da nova lei, “dano” é definido como “qualquer prejuízo à integridade ou disponibilidade de dados, programa, sistema, ou informação”, mas não há consenso com respeito ao que está incluído em “dano”. O significado no senso comum é que um sistema de computação deixa de operar apropriadamente porque o atacante realizou uma penetração, ou removeu, ou mesmo corrompeu dados. Porém, conforme Granick, algumas cortes adotaram uma visão mais expansiva do termo “dano”, no sentido de que qualquer que tenha sido o acesso “trouxe prejuízo à integridade” de dados, programa, sistema, ou informação, ou porque não mais merecia confiança, ou porque os dados não estavam mais inteiramente sob o controle do sistema do proprietário. As emendas recentes se distanciam dessa visão expansiva, possivelmente propiciando alguma orientação para cortes e litigantes que se defrontam com a questão dos “danos”. Após analisar a importância de uma definição precisa do elemento “dano”, e o quanto as emendas contribuíram nessa direção, Granick considera de que forma isso poderia se aplicar a engenhos de busca, pesquisadores em segurança, e outros que podem vir a usar informação disponível na internet mas sem a permissão explícita do dono do servidor. Enfim, sua conclusão é que a retenção e o esclarecimento do elemento “dano” pode ser uma maneira de evitar a difícil questão da “autorização” ao mesmo tempo em que limita a ação legal sob a CFAA a aqueles acessos por computador que verdadeiramente se constituem em fraude e abuso.

Deixar a porta de casa aberta certamente não dá direito a terceiros de entrar, mas no ciberespaço a conclusão não é tão óbvia: disponibilizar arquivos em pastas não protegidas por mecanismos de controle de acesso pode levar a dificuldades de resolução de um possível litígio entre o proprietário e os usuários que venham a obter tais arquivos sem o uso de qualquer ato de contorno de acesso não autorizado.

(Ruy José Guerra Barretto de Queiroz, Professor Associado, Centro de Informática da UFPE)

Investimentos e Notícias (São Paulo), 22/06/09, 09:00hs, http://investimentosenoticias.com.br/IN_News.aspx?Parms=2541959,408,100,2