Monty Brinton
O americano Kevin Mitnick ficou conhecido na década de 90 como o primeiro e o mais famoso hacker da história. Ele entrou para a lista de procurados do FBI após uma impressionante trajetória de invasões a sites de empresas e do governo. Em 1995, apanhado em sua casa, foi condenado a cinco anos de prisão por ter causado prejuízos estimados em 80 milhões de dólares. Seu histórico é obviamente o de um transgressor. A diferença de Mitnick para os hackers que andam hoje soltos no ciberespaço é que o americano nunca colocou um centavo no bolso. Seus golpes eram praticados pela tentação do desafio.
Mitnick conseguiu liberdade condicional em 2000 e ficou três anos proibido de se aproximar de um computador ligado na rede. Também foi proibido de ganhar dinheiro escrevendo livros ou artigos sobre suas aventuras de hacker até fevereiro de 2007. Podia apenas escrever ficção e contar proezas alheias. Nesse período, o ex-hacker lançou dois livros, o best-sellerA Arte de Enganar, no qual descreve técnicas de invasão de redes com histórias fictícias, e A Arte de Invadir, com histórias reais de amigos e hackers conhecidos (os dois estão disponíveis no Brasil). Agora, finalmente, acaba de lançar sua autobiografia. Hoje, aos 43 anos, o ex-hacker é dono de uma consultoria de segurança de sistemas, a Mitnick Security Consulting, nos Estados Unidos. De Las Vegas, onde vive, ele deu a seguinte entrevista a VEJA:
Veja – O senhor foi considerado no passado o hacker mais perigoso do mundo. Hoje, tornou-se consultor de segurança. Como é estar do outro lado do jogo?
Kevin Mitnick – É uma satisfação muito grande poder ajudar consumidores, grandes companhias e agências ligadas ao governo americano a se proteger dos invasores e das fraudes. De certa forma, é uma maneira de compensar os prejuízos que causei no passado. Invadir sistemas é uma habilidade que pode ser utilizada tanto para fins criminosos, como legítimos. A vantagem, agora, é que utilizo essa habilidade para melhorar a vida das pessoas.
Veja – Como é o seu trabalho?
Mitnick – Muitas empresas me contratam para testar seu sistema e ver até onde um hacker pode chegar. Faço todos os testes, avalio a estrutura e a organização da empresa para levantar todas as falhas de segurança e, a partir dessa análise, ensino a elas como se proteger dos invasores.
Veja – Os hackers de hoje são mais perigosos que os do passado?
Mitnick – De certa maneira, sim. Não porque eles sejam mais competentes que no passado e sim porque o objetivo da invasão mudou. Nas décadas de 80 e 90, uma pessoa tornava-se hacker por hobby. Eram adolescentes em busca do desafio intelectual. Agora, com o advento do e-commerce e dos bancos on-line, o objetivo principal de se tornar hacker é tirar proveito financeiro da empresa invadida, ou derrubar uma companhia concorrente.
Veja – As estratégias utilizadas pelos hackers estão mais sofisticadas?
Mitnick – Os hackers de hoje estão mais eficientes em manter uma rede de comunicação entre si. Muitas vezes, eles unem seus conhecimentos e suas habilidades para descobrir a vulnerabilidade dos sistemas das grandes empresas. É mais rápido e fácil invadir um sistema em grupo do que sozinho.
Veja – Existe crime organizado na internet?
Mitnick – Sim, nos últimos anos as quadrilhas se multiplicaram na rede. Existem várias subdivisões dentro de uma mesma organização de hackers. Enquanto um grupo se concentra na invasão do sistema de computadores, outro se ocupa em obter mais informações dos funcionários da empresa e da organização. Uma terceira frente fica encarregada de vender os dados do cartão de crédito dos clientes dessa companhia no mercado negro, ou informações confidenciais das empresas para os concorrentes. Sempre há muito dinheiro envolvido.
Veja – Há hackers envolvidos com terrorismo?
Mitnick – Não tenho informações de grupos de hackers que utilizam computadores para executar ataques terroristas. O que sabemos que é eles usam muito esse meio para se comunicar entre si, em códigos ou e-mails criptografados, e para descobrir os planos e atividades dos agentes americanos que caçam os terroristas.
Veja – Hoje está mais fácil ou mais difícil invadir os sistemas, se comparado à fase em que o senhor era hacker?
Mitnick – Em algumas situações, está muito mais fácil. Nos últimos anos, a tecnologia contribuiu para melhorar a segurança dos sistemas. O problema é que a maioria das empresas ainda não está preparada para se proteger contra o que eu chamo de engenharia social, ou seja, as estratégias utilizadas pelos hackers para persuadir pessoas e obter dados confidenciais das empresas. Uma companhia pode gastar milhares de dólares em tecnologia de segurança, firewalls e criptografia, mas se o hacker conseguir enganar um funcionário dentro da empresa, e fizer com que ele lhe passe dados como senhas de acesso e arquivos internos, todo o dinheiro gasto com a segurança de sistemas será em vão. E, na maioria das vezes, esse funcionário nem perceberá que ajudou o hacker a organizar um ataque. Atualmente, a mão-de-obra de uma empresa é a parte mais vulnerável ao ataque dos hackers.
Veja – Quem são os principais alvos dos hackers numa corporação?
Mitnick – Antigamente eram os CEOs, porque eles detinham as informações privilegiadas. Mas hoje, com os avanços da tecnologia e a democratização das informações, até os funcionários numa escala bem mais baixa guardam dados confidenciais numa pasta do computador. São esses trabalhadores que os hackers visam. Eles têm acesso a uma grande quantidade de informação sobre a empresa, como a situação financeira da companhia, sua lista de clientes e planos de marketing, mas não têm o conhecimento detalhado do que pode ser uma ameaça à segurança. Assim, caem nos golpes aplicados pelos hackers mais facilmente.
Veja – Que estratégias os invasores utilizam para enganar esses funcionários?
Mitnick – É comum eles ligarem fingindo ser chefe de um departamento e pedir alguma informação sigilosa, dizendo que é urgente. Para convencer o funcionário de que estão falando a verdade, fingem que conhecem algumas pessoas importantes na empresa e utilizam argumentos que fazem sentido no dia-a-dia da companhia, como citar algum evento importante que realmente está para acontecer, ou relatar alguma falha no sistema que ocorre freqüentemente no cotidiano.
Veja – O que as empresas devem fazer para se proteger desse golpe?
Mitnick – Primeiro, é preciso estender a política de segurança a toda a empresa, independentemente da posição. É preciso treinar os funcionários para não se deixar enganar pelos hackers que se passam por gerentes ou prestadores de serviço, orientando a nunca fornecer informações confidenciais por telefone ou e-mail, como dados de acesso ao computador ou a política organizacional da empresa e, após receber esse tipo de mensagem ou ligação, sempre avisar seus superiores.
Veja – Quais são os principais erros que as empresas cometem no sistema de segurança de rede?
Mitnick – Um dos maiores erros é subestimar a capacidade dos hackers de invadir seu sistema. Por não acreditarem que serão alvos de hackers, ou que os invasores não serão tão eficientes a ponto de causar estragos, muitas empresas mantém um sistema de segurança básico, com vários pontos vulneráveis. Entre as principais falhas, estão o fato de não ter um sistema de back-up no banco de dados, não manter o sistema operacional atualizado constantemente, demorar para resolver um problema apontado pelo computador e utilizar senhas de acesso previsíveis.
Veja – Que conselhos o senhor daria para as pessoas protegerem seus computadores?
Mitnick – Manter o firewall ativado evita 80% das invasões. Os ataques mais sofisticados exploram a vulnerabilidade do navegador dos usuários. Para deixar o browser mais seguro, é fundamental manter o antivírus atualizado e instalar no computador um detector de spyware, o programa que se instala no micro sem o consentimento do usuário e passa a monitorá-lo.
Veja – O computador mais seguro é o que está desligado?
Mitnick – Essa idéia é falsa. O hacker consegue convencer o usuário a entrar no escritório e ligar aquele computador. Uma única informação pode ser utilizada de várias maneiras e levar a outras. A arte da fraude consiste em ter paciência e ser persistente. O hacker sabe que pode conseguir o que almeja. Tudo é questão de tempo.
Veja – Quais são os principais crimes cometidos na internet?
Mitnick – Os casos de extorsão, em que os hackers ameaçam tirar do ar o site de uma corporação por um determinado período caso a companhia não pague uma quantia em dinheiro, estão se tornando muito comuns. Um golpe que já existe há alguns anos e continua crescendo é o phishing, ou seja, o envio de mensagens falsas para capturar informações dos clientes, como números de contas bancárias, cartões de créditos e as respectivas senhas. Hoje existe phishing até em sites de relacionamentos e de mensagens instantâneas.
Veja – É seguro utilizar o internet banking em casa?
Mitnick – O serviço de internet banking, por si só, é seguro. O perigo é a existência de brechas dentro do computador do usuário. Um hacker consegue roubar dados do usuário a partir da vulnerabilidade de seu micro e não do serviço de internet banking. Por isso, é fundamental manter todas as ferramentas de segurança do computador pessoal ativadas e atualizadas, como o antivírus e o firewall.
Veja – O senhor utiliza os serviços de internet banking?
Mitnick – Sim, porque se eu for vítima de fraude, o banco terá de me reembolsar. Os riscos, nesse caso, são maiores para o banco e para as operadoras de cartão de crédito que para o próprio cliente.
Veja – Fazer compras em lojas virtuais é arriscado?
Mitnick – Hoje os riscos são os mesmos que os das lojas do mundo real. Um hacker raramente vai se concentrar em invadir um computador para tentar roubar o número de um único cartão de crédito. Isso porque todas as informações enviadas para um site seguro saem criptografadas do computador do usuário. Daria um trabalho imenso e levaria muito tempo para decodificá-las. É claro que é preciso escolher bem a loja on-line que se vai fazer compras, mas isso também vale para as lojas do mundo real. As grandes lojas, como Amazon e eBay, costumam ser mais confiáveis, pois mantém um sistema de segurança eficiente para armazenar os dados financeiros dos clientes.
Veja – Utilizar internet pelo telefone celular é seguro?
Mitnick – Os celulares são o mais novo alvo dos hackers. Para se ter uma idéia, hoje há spywares para celular. A boa notícia é que a tecnologia para esses aparelhos está se aperfeiçoando cada vez mais. Até pouco tempo atrás, utilizar internet pelo celular era arriscadíssimo, mas os fabricantes estão se conscientizando de que implantar um sistema de segurança eficiente também é fundamental para esses equipamentos. Hoje, os riscos de se utilizar internet pelo celular são praticamente os mesmos que os do PC.
Veja – É verdade que utilizar internet pelo celular ou laptop próximo aos aeroportos é perigoso, porque os hackers conseguem roubar dados do sistema com mais facilidade?
Mitnick – Os aeroportos hoje são ambientes propícios para o roubo de dados do computador. Existem quadrilhas que agem nesses locais apenas com esse propósito. Eles se aproveitam das brechas no sistema de um notebook que um sujeito está utilizando no lounge do aeroporto e, utilizando outro laptop, invadem seu sistema. Nesses locais, o risco é muito grande.
Veja – As pessoas ainda reconhecem o senhor na rua?
Mitnick – Algumas vezes. Costumo ser bastante reconhecido quando utilizo meu notebook em público, num café, por exemplo. Não sei se é porque as pessoas associam o computador a mim.
Veja – O senhor se arrepende de ter sido hacker e de ter roubado informações no passado?
Mitnick – Sim, eu era muito imaturo naquele tempo e reconheço que cometi erros estúpidos. Me considero uma pessoa de sorte, pois tenho agora uma nova chance de utilizar minhas habilidades com outros objetivos. Existem hoje muitas formas de aprender sobre as técnicas dos hackers sem precisar invadir o sistema alheio. Há cursos de segurança de sistemas nas universidades e escolas especializadas a preços muito mais acessíveis do que na época em que eu iniciei minhas atividades de hacker.
Veja – Depois que saiu da prisão, o senhor chegou a conversar com Tsutomu Shimomura, o especialista em segurança eletrônica que o desmascarou?
Mitnick – Eu nunca falei com ele em toda a minha vida, nem antes nem depois da prisão. É um sujeito muito arrogante, que se acha mais esperto do que todo mundo. Não tenho o menor interesse em manter qualquer tipo de relação com ele.
Veja – O que o senhor dirá em sua autobiografia?
Mitnick – Contarei em detalhes todas as aventuras que eu vivi quando ainda era hacker, o que eu realmente fiz, por que eu fiz, como foi lidar com os agentes federais americanos, a fuga e a perseguição no ciberespaço. Muito do que foi dito sobre mim até hoje, principalmente sobre como foram as invasões, está incorreto. No livro, vou esclarecer tudo isso.
Veja – Por que o senhor se tornou um hacker?
Mitnick – Virei um hacker não para roubar dinheiro ou tirar vantagem sobre alguma empresa. Era mais pelo prazer de invadir o site de uma grande companhia ou do governo americano e não ser pego. Cada vez que eu era bem-sucedido, aumentava o desafio e os riscos. Era como participar de um jogo on-line em que, ao ganhar, passa-se para outra fase mais difícil.
Veja – Qual foi a invasão mais desafiadora que o senhor praticou quando era hacker?
Mitnick – Uma das mais desafiadoras foi invadir o sistema da Motorola, em 1994. Era um dos mais seguros daquele tempo e ninguém conseguia invadi-lo. Tive de enfrentar vários níveis de segurança até conseguir entrar, de fato.
Veja – É verdade que os hackers brasileiros são os mais habilidosos do mundo?
Mitnick – Eu não conheço nenhum pessoalmente, mas sei que os hackers brasileiros têm essa fama. Alguns grupos no Brasil ficaram conhecidos por modificar a página principal de grandes companhias em todo o mundo.