“Objetivo é realizar ainda mais operações contra malware”, diz chefe da Unidade de Crimes Digitais da Microsoft

Em conversa com INFO, o brasileiro Richard Boscovich falou da instalação de uma unidade de investigação no Brasil e dos objetivos da área como um todo

As redes de computadores “zumbis” (botnets) Zeus, Citadel e Rustock fizeram estrago enquanto permaneceram ativas. Mas as três – junto com mais outras nove – foram derrubadas entre 2008 e 2013 por um “inimigo” em comum: a Unidade de Crimes Digitais (DCU, na sigla em inglês), criada pela Microsoft há apenas sete anos e hoje dona da ambição de realizar ainda mais operações de grande porte contra o cibercrime.

É isso, ao menos, que afirma Richard Boscovich, brasileiro que mora nos EUA há cinquenta anos e chefia uma equipe de investigadores na unidade da empresa. O especialista esteve no país no final do ano passado para ajudar na implantação da iniciativa na América Latina e, mais especificamente, no Brasil. E ele garantiu: apesar de a meta ser aumentar o número de operações e a força do combate aos crimes virtuais, a tarefa não pode ser executada apenas pela empresa. “Para fazer isso, realmente precisamos de parceiros.”

Na entrevista que concedeu a INFO, Boscovich ainda contou um pouco da história da unidade, falou dos planos que a empresa tem para a área e ainda explicou de onde vêm os estranhos nomes das operações que realizam. Veja mais a seguir:

Primeiro, por que criar uma unidade dedicada à investigação de crimes digitais? E como o modus operandi dela se diferencia de equipes de pesquisa e de métodos tradicionais?

A Unidade de Crimes Digitais tem como objetivo unir os processos legais e técnicos de forma a atacar o malware de forma diferente do setor tradicional. Antes, as formas mais comuns de proteger computadores e clientes de ameaças eram antivírus, atualização, tudo que era “reativo”. Mas em 2008, começamos a criar uma estratégia baseada na ideia de sermos proativos. É o que chamamos de “defesa proativa” [ou “proactive defense”].

Em vez de esperarmos um ataque, a equipe precisa identificar a origem do malware e envolve o sistema legal e o técnico para atacá-la e destruir o sistema de comando e controle [ou “command & control”, na expressão original]. Decidimos, então, que o jeito mais eficiente de se fazer isso era atacando as botnets. Por quê? Porque elas são os meios que os cibercriminosos se aproveitam para alcançar o objetivo de atingir vários computadores ao mesmo tempo. Nossa meta, portanto, era tentar cortar a aplicação que os responsáveis pelas botnets estavam usando para controlar os computadores infectados – e para isso iniciamos os processos legais [as chamadas operações].

E qual foi o objetivo da Microsoft ao trazer uma “base” da iniciativa ao Brasil?

Uma vez que conseguimos cortar a comunicação, as máquinas infectadas mudam o tráfego para a Microsoft e começam a pedir instruções e vemos de onde eles são. Depois disso, trabalhamos com os Computer Emergency Response Teams (CERTs) de cada país para notificar as vítimas e também limpar os computadores. O DCU como equipe tem hoje 100 pessoas, que trabalham em todos os países em que a Microsoft tem uma subsidiária. E queremos, então, trazê-lo para dentro da América Latina e do Brasil, para procurar por parceiros e realmente entender quais os problemas de malware específicos daqui – e depois utilizar o mesmo tipo de tática para fazer nossas operações no país.

O surgimento da DCU teve a ver com a “ascensão” das ameaças persistentes avançadas (APTs) tão faladas hoje?

Sempre me perguntam sobre isso, mas o nosso trabalho não é dirigido a APTs. Mas claro, nosso trabalho ainda provoca um impacto indireto nessa área. Quando tiramos de operação uma botnet com 2 milhões de computadores, nós conseguimos “diminuir o barulho” na rede. E quando conseguimos, com isso, eliminar um malware, fazemos com que administradores de uma rede consigam voltar os olhos para ameaças muito mais específicas. Ou seja, nossas operações beneficiam indiretamente essa área de combate a APTs, mesmo que este não seja o foco delas.

Quais as maiores dificuldades para instalar uma DCU por aqui? É mais complicado lidar com o setor público brasileiro?

Eu acho que não. Já tivemos reuniões com o Ministério Público e fizemos contato com a Polícia Federal, então creio que há uma vontade do setor público de fazer parcerias, da mesma forma que fizemos com órgãos dos EUA, da Europa e da Austrália, por exemplo. O problema maior é que, como companhia, nós precisamos ter representantes por aqui para pode realmente avançar nesse discurso – e é justamente esse nosso objetivo aqui, trazer representantes para poder desenvolver esse relacionamento.

Entre 2013 e 2014, deu para notar que a Microsoft e a DCU participaram de seis operações contra botnets, um número bem maior do que o registrado nos cinco anos anteriores. Com a entrada em novas regiões, a tendência é que esse aumente, não?

Sim, nosso objetivo é aumentar a sequência e o número. E para fazer isso, realmente precisamos desses parceiros. Nós não podemos fazer isso sozinhos. Com mais apoio, poderemos acelerar o ritmo desse tipo de operações, como a que realizamos em parceria com a unidade criminal do Reino Unido há pouco. Isso é uma das coisas que gostaríamos de poder fazer na América Latina e no Brasil.

Como combater o cibercrime de forma eficiente, que não seja apenas aumentando o número de operações realizadas pelo mundo?

Se você reparar bem, vai notar que o cibercrime chegou num ponto em que é mais um negócio. Como, então, você ataca esse modelo de negócio de cibercriminoso? Aumentando o custo de operações. Antes de iniciarmos o programa do DCU, o custo de operação para o responsável pelas contaminações era baixo, já que o único ponto com que eles tinham que se preocupar era a infecção. O que nós fizemos, então, foi aumentar o custo associado ao manuseamento de uma botnet, de tal forma que eles tiveram que atuar de forma diferente e sofisticar o malware – o que fez crescer os gastos com manutenção, por exemplo. Com isso, começamos a eliminar acessos mais rústicos e diminuir o nível de “barulho” na internet e, consequentemente, a quantidade de crimes no mundo.

Com essas táticas de combate a malware, você acha possível eliminar, em médio ou longo prazo, ao menos as maiores botnets existentes hoje?

Isso é como perguntar a um policial se ele acha que o crime pode ser eliminado. Sempre existirá um criminoso, uma tática nova. Nossos objetivos são reduzir isso de tal forma que você pode controlar o aumento no número de vítimas, diminuindo também o número de botnets e a quantidade de trabalho dos administradores de rede – que precisarão lidar com menos “barulho”. Se conseguirmos isso, já será um grande avanço.

Uma curiosidade: as operações que vocês realizam levam “informalmente” os nomes das famílias de malware distribuídas pelas botnets, mas oficialmente são chamadas por sequências de letras e números, como Operação b71 no caso da ZeuS e b107 para o Rustock. Como são definidas essas nomenclaturas?

Olha, a verdade é que eu nunca fui fã de nomenclaturas como b71 e b107. Eu preferia poder chamar as operações sempre pelo nome do malware. Mas na época [em que criamos a DCU], tínhamos certa preocupação pelo seguinte: quando realizamos uma operação, muitas vezes trabalhamos com parceiros internacionais. Se sai a informação de que a Microsoft está investigando determinados domínio com a Symantec ou com a F-Secure, por exemplo, outra companhia pode pensar em fazer o mesmo. A intenção é boa, mas elas começam a visitar os domínios do cibercriminoso e isso o leva a pensar: “Mas por que tantas pessoas estão visitando esse endereço?”. É então que ele resolve mudar o domínio e todo o trabalho que nós fizemos, de identificar a infraestrutura, preparar contramedidas técnicas e o processo legal, vai por água abaixo. Por isso iniciamos esse processo de nomear operações como b79 e variantes. É uma combinação do nome do malware com letras que apontam para determinar aspectos da ameaça. Você junta tudo e acaba com o código.