UOL – The New York Times – Seção: Mídia Global
27/10/2003
Tony Smith
De São Paulo
Com um sorriso “eu te disse”, Marcos Flávio Assunção lê quatro dígitos -uma senha de banco pela Internet- que ele interceptou enquanto o repórter se comunicava pelo laptop com um site supostamente seguro de banco.
“Não faria diferença se você estivesse do outro lado do mundo, na Malásia”, disse Assunção, um jovem confiante de 22 anos. “Eu ainda assim roubaria sua senha.”
Apesar de impressionantes, os talentos de hacking de Assunção não são únicos no Brasil, onde abunda o crime organizado, e leis para prevenir o crime digital são poucas e geralmente ineficientes. O país está se tornando um laboratório para o cibercrime, com os hackers -capazes de colaborar com relativa impunidade- se especializando em roubo de dados e identidade, fraudes com cartão de crédito e pirataria, assim como em vandalismo online.
“A maioria de nós é hacker, não cracker; pessoas boas que só fazem isto pelo desafio, não criminosas”, disse Assunção. Ele insistiu que nunca empregou seus talentos para fins criminosos, apesar de ter reconhecido que aos 14 anos ele derrubou o serviço de um provedor de Internet por um fim de semana após ter discutido com seu dono.
Por todo o globo, os hackers gostam de se identificar como “white hats” (chapéus brancos, os mocinhos) ou “black hats” (chapéus pretos, os bandidos), disse um especialista brasileiro, Alessio Fon Melozo, diretor editorial da Digerati, que publica uma revista hacker, “H4ck3r: A Revista do Submundo Digital”. “Mas aqui no Brasil há apenas tons cinzentos”, disse Melozo. Assunção criou um software de segurança para sua empregadora, a Defnet, uma pequena consultoria de Internet em São Paulo.
O software usa um sistema “honey pot” (pote de mel, armadilha) que atrai e monitora intrusos em tempo real. Ele também usa técnicas para frustrar impostores, que tentam disfarçar seus computadores como sendo de bancos ou outros sites seguros. Até o momento, Assunção não tem conseguido marcar entrevistas com seus clientes-alvo: executivos de segurança dos grandes bancos.
“Eles dizem que têm sua própria segurança e preferem ignorar”, disse ele. “Mas os hackers brasileiros são conhecidos pela criatividade. Se as coisas continuarem assim, não haverá mais assaltos à mão armada em bancos. Todos os roubos serão feitos pela Internet.”
Pelo menos nos últimos dois anos, o Brasil tem sido a base mais ativa de irresponsáveis da Internet, segundo a mi2g Intelligence Unit, uma firma de consultoria de risco digital em Londres. No ano passado, os dez grupos mais ativos do mundo de vândalos e criminosos de Internet eram brasileiros, segundo a mi2g, e incluía grupos com nomes como Breaking Your Security, Virtual Hell e Rooting Your Admin. Até o momento neste ano, cerca de 96 mil ataques abertos pela Internet -aqueles que são relatados, validados e testemunhados- foram rastreados até o Brasil. Isso representa mais de seis vezes o número de ataques atribuídos ao segundo colocado, a Turquia, informou a mi2g no mês passado.
Já sobrecarregados na sua luta para conter o crime violento em cidades como São Paulo, Rio de Janeiro e Brasília, a polícia está encontrando dificuldade para acompanhar o passo dos grupos de hackers.
Os 20 policiais que trabalham na divisão de crimes eletrônicos da polícia de São Paulo pegam cerca de 40 suspeitos de cibercrime por mês. Mas tais crimes representam apenas uma fração do número “notório e crescente” de cibercrimes em São Paulo, a capital econômica do Brasil, disse Ronaldo Tossunian, o delegado-assistente da divisão.
O esforço da polícia de São Paulo não é auxiliado pela legislação vaga que data de 1988, muito antes da maioria dos brasileiros ter ouvido falar de Internet. Segundo a lei, a polícia não pode prender um hacker apenas por invadir um site, ou mesmo distribuir um vírus, a menos que possa provar que a ação resultou no cometimento de um crime.
Assim, mesmo após os investigadores da polícia terem identificado um hacker de 18 anos no Rio de Janeiro, eles tiveram que monitorá-lo por sete meses e encontrar evidências de que ele de fato tinha roubado dinheiro de várias empresas de cartão de crédito antes de prendê-lo.
“Nós não temos a legislação específica para estes crimes como existe nos Estados Unidos e na Europa”, disse Tossunian. “Apenas invadir não é suficiente para efetuar uma prisão, o que significa que não há dissuasão.”
Além disso, os analistas dizem que muitas empresas, incluindo bancos, têm sido lentas em perceber, ou até mesmo se recusam a reconhecer, a seriedade do problema. O Banco Itaú, um dos maiores bancos privados do Brasil e a instituição de cujo site Assunção roubou a senha durante sua demonstração, se recusou a fornecer alguém para comentários.
Fabrício Martins, o diretor-chefe de segurança do Nexxy Capital Group, um importante provedor de sites para empresas de comércio eletrônico, disse: “A maioria das empresas daqui não toma precauções até que algo ruim aconteça e as obrigue a agir”.
Martins, por exemplo, reforçou o software de segurança da Nexxy depois que endereços de e-mail de clientes online foram roubados dois anos atrás. Agora, o programa dele é um dos 20 softwares para compensação de cartão de crédito aprovados pela Visa International no Brasil.
Por que os hackers do Brasil são tão fortes e engenhosos? Porque eles têm pouco a temer legalmente, disse Assunção, acrescentando que os hackers daqui são sociáveis e compartilham mais informação do que os hackers dos países desenvolvidos. “É uma coisa cultural”, disse ele. “Eu não vejo hackers americanos tão dispostos a compartilhar informação entre eles.”
Apesar do custo de um computador ser proibitivo para a maioria das pessoas neste país, onde o média salarial é de menos de US$ 300 por mês, obter informação sobre hacking é simples. A revista H4ck3r, disponível em bancas de jornais de todo o país, vende cerca de 20 mil exemplares por mês.
Melozo, o diretor editorial, rejeitou qualquer sugestão de que a H4ck3r ensina os brasileiros a cometer cibercrimes.
“É uma linha muito tênue, eu sei”, disse ele. “Mas o que nos guia é o princípio da informação, da educação de nossos leitores de forma responsável.”
Tradução: George El Khouri Andolfato