Você está na página 1de 14

misha glenny

Mercado sombrio
O cibercrime e voc
Traduo

Augusto Pacheco Calil Jorge Schlesinger Luiz A. de Arajo

Copyright 2011 by The Bodley Head Grafia atualizada segundo o Acordo Ortogrfico da Lngua Portuguesa de 1990, que entrou em vigor no Brasil em 2009. Ttulo original DarkMarket CyberThieves, CyberCops and you Capa Kiko Farkas e Adriano Guarnieri/ Mquina Estdio Preparao Beatriz Antunes Reviso tcnica Andr Conti ndice remissivo Luciano Marchiori Reviso Luciane Helena Gomide Jane Pessoa
Dados Internacionais de Catalogao na Publicao (cip) (Cmara Brasileira do Livro, sp, Brasil) Glenny, Misha Mercado sombrio : o cibercrime e voc / Misha Glenny ; traduo Augusto Pacheco Calil, Jorge Schlesinger, Luiz A. de Arajo So Paulo : Companhia das Letras, 2011. Ttulo original: DarkMarket CyberThieves, CyberCops and you Bibliografia isbn 978-85-359-1988-2 1. Crime organizado Poltica governamental 2. Crime por computador 3. Crime por computador Preveno i. Ttulo. 11-11821 ndice para catlogo sistemtico: 1. Cibercrime : Problemas sociais 364.168 cdd 364.168

[2011] Todos os direitos desta edio reservados editora schwarcz ltda. Rua Bandeira Paulista, 702, cj. 32 04532002 So Paulo sp Telefone (11) 37073500 Fax (11) 37073501 www.companhiadasletras.com.br www.blogdacompanhia.com.br

Sumrio

Prlogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Livro Um parte i 1. O telefonema de um investigador . . . . . . . . . . . . . . . . . . . . . . . 31 2. Miranda fala de um admirvel mundo novo . . . . . . . . . . . . . . 40 3. Mister Hyde de Lagos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 parte ii 4. Os arquivos de Odessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 5. CarderPlanet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 6. Um assunto de famlia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 7. Boa no aperto da jiboia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 8. Reescrevendo o Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

parte iii 9. Tigre, tigre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 10. Teoria dos jogos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 11. Impossvel voltar atrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 12. Uma passagem para a ndia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 13. Shadowlndia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 parte iv 14. O cometa Iceman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 15. O CardersMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 16. O DarkMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 17. O escritrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 18. Mentes desconfiadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 19. Donnie Brasco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 20. Um plano astucioso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 parte v 21. O legado de Dron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 22. Cara, voc j era . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 23. Matrix liquidado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 24. A conexo francesa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 25. O homem invisvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 interldio O pas do no sei qu e do no sei onde . . . . . . . . . . . . . . . . . . . . . 221 Livro Dois parte i 26. Um turco em Pittsburgh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 27. O sublime portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

parte ii 28. Ciao, Cha0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 29. Muito discretamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 parte iii 30. O mundo onrico de Mert Orta . . . . . . . . . . . . . . . . . . . . . . . . 290 31. Um servo de dois mestres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 32. Deleite turco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 33. O retorno ao Hades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 34. Investida turca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 35. A morte do DarkMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 parte iv 36. Duplo risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 37. Zorro desmascarado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 38. Quem voc? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 39. A caminho de lugar nenhum . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 40. O expresso do meiodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Eplogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Fontes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Agradecimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 ndice remissivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Prlogo

crime@sculo21.com
Na implacvel busca humana por convenincia e crescimento econmico, desenvolvemos em pouco tempo um nvel alarmante de dependncia em relao aos sistemas em rede. Em menos de duas dcadas, grande parte da chamada infraestrutura nacional crtica da maioria dos pases (cni, na lngua dos geeks) passou a ser controlada por sistemas computadorizados cada vez mais complexos. Os computadores dirigem importantes parcelas de nossa vi da: regulam nossa comunicao, nossos veculos, nossa interao com o comrcio e o Estado, nosso trabalho, nosso lazer nosso tudo. Num dos muitos julgamentos de crimes cibernticos que presenciei nos ltimos anos, um juiz britnico imps uma ordem restritiva a um hacker, que entraria em vigor assim que ele fosse libertado da priso. Ele seria posto sob a superviso de um policial, que deveria impedilo de acessar a internet por mais de uma hora por semana. Quando meu cliente terminar de cumprir sua
11

sentena, destacou o advogado do ru durante a audincia, no haver quase nenhuma atividade humana que no seja mediada pela internet. Como possvel que ele leve uma vida normal sob tais circunstncias? Foi uma pergunta retrica. Mas, de todo modo, uma boa pergunta. Aqueles que j esqueceram o celular em casa por algumas horas com certeza expe rimentaram uma intensa sensao de perda e irritao, semelhan te aos sintomas de abstinncia sentidos por dependentes de drogas. Curiosamente, quando privados de seus telefones por trs dias, a corrosiva sensao de inquietude costuma ser substituda pela euforia da libertao, conforme a pessoa transportada de volta a um mundo, no to distante, no qual no tnhamos nem precisvamos de celulares e organizvamos nossa vida muito bem sem eles. Hoje em dia, no entanto, a maioria sente que no possvel viver sem esses pequenos computadores portteis. Talvez a mquina mais comparvel ao computador seja o car ro. A partir dos anos 1940, quando ele se tornou um artigo padro nas famlias, apenas uma minoria dos motoristas compreendia o que de fato ocorria sob o cap. Ainda assim, um bom nmero deles era capaz de consertar o prprio veculo em caso de pane, e um nmero ainda maior de proprietrios sabia dar um jeito no carburador para ao menos chegar em casa. A maioria conseguia, no mnimo, trocar um pneu furado. Hoje, se o problema for apenas um pneu furado, provvel que a pessoa chegue a seu destino. Mas um nmero cada vez maior de panes agora causado por um defeito no computador da caixa de controle o invlucro de plstico preto que costuma ficar atrs do motor. Se o problema for a, nem mesmo se o motorista for um experiente mecnico de tanques de guerra ele conseguir fazer o carro andar. Talvez um engenheiro da computao fosse capaz de resolver o problema, mas na maior parte dos casos, porm, preciso mesmo substituir a unidade.
12

Os sistemas de computadores so muito mais complexos e frgeis que os motores de combusto interna, de forma que, em caso de problemas, apenas um minsculo grupo de pessoas sabe o que fazer alm de se guiar pelo conhecido mantra: J tentou reiniciar o sistema?. Agora nos encontramos numa situao em que essa minscula elite (podemos chamlos de geeks, nerds, programadores, se curocratas ou pelo termo que preferirmos) detm um entendimento profundo de uma tecnologia que a cada dia comanda nossa vida de maneira mais intensa e extensa, enquanto a maioria de ns no entende nada do seu funcionamento. Comecei a reconhecer a dimenso do problema durante as pesquisas para o meu livro anterior sobre o crime organizado global, McMfia. Viajei ao Brasil para investigar os crimes cibernticos porque esse pas cativante , alm de suas muitas qualidades positivas, um grande centro de prticas nefastas na rede apesar de poucos saberem disso na poca. No Brasil conheci ladres cibernticos que tinham criado uma fraude de phishing muito bemsucedida. O phishing continua a ser um dos pilares mais infalveis da criminalidade na internet. H duas variaes simples. A vtima abre um email indesejado. O anexo pode conter um vrus, permitindo a outro computador em qualquer lugar do planeta monitorar toda a atividade na mquina infectada, como a digitao de senhas bancrias, por exemplo. O outro truque consiste em disparar um email que parea ter sido enviado por um banco ou outra instituio que possa solicitar login, senha e outros dados do usurio. Se o destinatrio cair no truque, o remetente tornase ento capaz de usar tais informaes para acessar suas contas na internet. Os hackers brasileiros demonstraram passo a passo como fizeram para transferir para si mesmos milhes de dlares de contas no Brasil, na Espanha, em Portugal, na GrBretanha e nos Estados Unidos.
13

Visitei ento os ciberpoliciais em Braslia que tinham apanhado quatro outros membros dessa quadrilha (apesar de um nmero ao menos duas vezes maior nunca ter sido rastreado pela polcia), e depois entrevistei o chefe da XForce, departamento de operaes secretas da empresa americana de segurana iss. No intervalo de mais ou menos uma semana, percebi que o crime organizado convencional, por mais matizes e variaes que tenha, traz muito mais riscos para seus perpetradores que o crime ciberntico. O crime organizado moda antiga, ligado tecnologia e aos meios de comunicao do sculo xx, lida com dois considerveis desafios para atingir o sucesso. A polcia representa o principal risco para seus negcios. A eficcia do policiamento varia com a geografia e o tempo. O crime organizado se adapta a essas diferentes condies e escolhe um, dentre uma srie de mtodos, para lidar com as foras da lei e da ordem. Pode tentar venclas pela fora ou corromplas; pode corromper os polticos que exercem autoridade sobre a polcia; ou pode dificultar as investigaes. Mas ento enfrenta um segundo problema: a ameaa da concorrncia, outros malfeitores que caam sua presa nas mesmas guas. Tambm nesse caso os grupos ligados ao crime organizado podem tentar se impor pela fora, sugerir uma aliana, ou ainda concordar em ser incorporados pelos rivais. Em nenhum desses casos, porm, a organizao criminosa pode optar por ignorar seu rival atitude que representaria o caminho da derrota, com resultados por vezes fatais. Para garantir a sobrevivncia e a prosperidade fundamental ter a capacidade de se comunicar com os colegas criminosos e a polcia, e, mais importante, de mandar a mensagem correta a ambos. No Brasil, aprendi rpido que o crime do sculo xxi diferente. O mais importante: muito difcil identificar quando as pes
14

soas tm ms intenes na rede. As leis que regem a internet variam muito de pas para pas. E esse um dado significativo, porque, muitas vezes, no ambiente virtual um crime cometido a partir de um endereo ip (sigla em ingls para protocolo da internet) localizado num determinado pas contra um indivduo ou corporao de outro pas, antes de ser concludo (ou transformado em lucro) num terceiro. Um policial na Colmbia, por exemplo, pode identificar que o endereo ip responsvel por coordenar um ataque a um banco colombiano vem do Cazaquisto. Em seguida descobre que essa ao no considerada crime naquele pas, e por isso seus equivalentes cazaques em Astana no tero motivos para investigar o crime. Muitos criminosos cibernticos so inteligentes o bastante pa ra pesquisar e explorar discrepncias como esta. Nunca uso cartes de crdito ou de dbito americanos, disseme um dos mais bemsucedidos carders (especializado em fraudar cartes) da Su cia. Isso me colocaria sob a jurisdio legal dos Estados Unidos, onde quer que eu estivesse. Por isso uso apenas cartes europeus e canadenses, o que me deixa ao mesmo tempo feliz e seguro eles nunca vo me apanhar. A diferena que separa os Estados Unidos da Europa e do Canad de grande importncia, pois essas so as regies que apresentam a maior concentrao de vtimas de crimes cibernticos. Os dois ltimos contam com leis muito mais robustas para proteger as liberdades e os direitos individuais na rede. Seguidos governos americanos conferiram ao aparato policial poderes maiores do que a maioria dos governos europeus estaria disposta a considerar, permitindo aos policiais um acesso mais fcil aos dados de empresas privadas em nome da luta contra o crime e o terrorismo. Poderamos argumentar, por exemplo, que a onipresena mul tiplataforma e multitarefa do Google viola os princpios da legis15

lao antitruste americana e que a aglomerao de todos aqueles dados pessoais consiste ao mesmo tempo em uma oportunidade para os criminosos e uma ameaa s liberdades civis. Mas o Google poderia perfeitamente responder que a prpria essncia de sua genialidade e de seu sucesso est na onipresena multiplataforma e multitarefa do site, e que isso em si promove a segurana e os interesses comerciais americanos. Se desejar, o governo americano pode, em questo de horas, acessar os dados do Google recorrendo a procedimentos legais e, como o Google rene dados de todo o mundo, isso confere a Washington uma imensa vantagem estratgica. Outros governos desejariam ter a mesma sorte. Diferentemente de seus equivalentes chineses, russos e mdioorientais, o governo americano no precisa invadir os sistemas do Google para explorar seus segredos. Em vez disso, pode obter facilmente uma ordem judicial. Quem abriria mo desse poder em nome da legislao antitruste? A internet uma teoria da grande bolha resolvemos um problema que a afeta, mas outro, aparentemente intratvel, vem tona em outra parte. E, para quem a policia, o maior de todos os problemas o anonimato. Por enquanto, continua sendo possvel para qualquer pessoa com acesso internet e dotada de conhecimentos especficos mascarar a localizao fsica de um computador. H duas maneiras principais de se fazer isso: a primeira muralha ciberntica a vpn, ou rede virtual privada, que faz com que um nmero de computadores partilhe o mesmo endereo ip. Normalmente um endereo ip atribudo a uma nica mquina, mas, com uma vpn, vrios computadores localizados em partes diferentes do mundo podem aparentar estar situados em Botsua na, por exemplo. Para aqueles que no se satisfazem com a proteo oferecida pela vpn, existe tambm a possibilidade de erguer uma segun16

da barreira ciberntica por meio dos chamados servidores proxy. Um computador nas Ilhas Seychelles pode estar usando um proxy na China ou na Guatemala. O proxy no revela que o ip original est transmitindo a partir das Seychelles mas seja como for o computador faz parte de uma vpn centrada na Groenlndia. Configurar tudo isso exige habilidades avanadas de computao, e por isso tais tcnicas tendem a ser usadas pelos dois nicos grupos envolvidos no crime ciberntico: hackers de verdade e criminosos de verdade. Mas essa elite de operadores, que representa um novo tipo de crime organizado srio, apenas uma pequena parte dos que se envolvem nos crimes computadorizados. Os demais so participantes menores, que agem individual mente, roubam somas no muito expressivas, so ladres de galinha que mal valem o esforo de calos, levandose em consi derao os recursos escassos disposio das foras policiais. Ape sar de esses personagens no se darem ao trabalho de configurar vpns, proxies e toda uma srie de outras tcnicas de ocultamento, eles ainda podem dificultar muito a vida dos policiais ao criptografar suas comunicaes. Programas que garantem a criptografia da comunicao escrita (e at falada ou filmada) esto disponveis farta na rede, mas dentre todos o que mais se destaca o pgp, o simptico e coloquial Pretty Good Privacy (Privacidade Bem Decente). A criptografia uma poderosa ferramenta, que desempenha um papel importante na segurana ciberntica. Tratase de uma maneira de embaralhar a linguagem usando chaves matemticas geradas digitalmente, cuja permutao to complexa que s pode ser revelada queles que possuem a senha correta. No momento, os documentos criptografados so seguros, apesar de a Agncia de Segurana Nacional de Washington (nsa), a mais poderosa agncia de espionagem digital do mundo, estar sempre buscando formas de decifrlos. No submundo dos criminosos
17

cibernticos, j circulam rumores segundo os quais a nsa e seus parceiros de espionagem no Canad, GrBretanha, Austrlia e Nova Zelndia j possuiriam a capacidade de quebrar esses sistemas pblicos de criptografia com o uso do seu orwelliano sistema Echelon. De acordo com o que se diz, o Echelon seria capaz de acessar comunicaes via telefone, satlite e email em qualquer ponto do planeta. As implicaes polticas da criptografia digital so to amplas que o governo americano comeou a classificar os softwares criptogrficos como munies na dcada de 1990, enquanto na Rssia, se a polcia ou a kgb um dia encontrarem um nico arquivo criptografado no computador de um usurio, a pessoa poder ser detida e passar vrios anos na cadeia, mesmo que o documento contenha apenas uma lista semanal de compras. Conforme governos e corporaes renem cada vez mais informaes pessoais sobre seus cidados ou clientes, a criptografia se torna uma das ltimas linhas de defesa ao alcance dos indivduos para garantir a prpria privacidade. tambm um instrumento de valor incalculvel para quem atua em atividades criminosas na rede. Assim como os criminosos tradicionais precisam desenvolver maneiras de falar uns com os outros e diferenciar amigos, adversrios, policiais e rivais, os ciberviles enfrentam o desafio permanente de tentar estabelecer as credenciais fidedignas de quem quer que esteja conversando com eles na rede. Parte deste livro dedicada a contar como eles desenvolveram mtodos para identificar uns aos outros, e como as foras policiais de todo o mundo tentaram ludibriar a capacidade dos hackers de identificar agentes e informantes confidenciais (cis) infiltrados na internet. Ao longo dos anos 1990, a maneira mais simples de evitar que convidados indesejados bisbilhotassem atividades crimino sas estava na introduo de um rigoroso sistema de sabatinas e concesso de acesso aos sites dedicados ao debate de prticas inde18

vidas na rede. Apesar dessa medida de segurana, no demorou mais que alguns meses para que foras da lei o Servio Secreto americano e agncias de espionagem como o fsb (sucessor da kgb) estivessem rastejando por todos esses sites, aps fingirem pacientemente ser criminosos para obter acesso, ou ter persuadido informantes a trabalhar para eles. A interpretao de certos agentes foi to convincente que algumas agncias da lei chegaram at a dedicar seus recursos perseguio desses policiais infiltrados, filiados a organizaes irms, tomandoos por criminosos de verdade. Como resultado de suas iniciativas, as foras policiais e os espies conseguiram, ao longo da ltima dcada, compilar um grande banco de dados de hackers criminosos: seus apelidos, sua localizao real ou presumida, o tipo de atividade em que se envolvem e com quem costumam se comunicar com regularidade. O escalo mais baixo dos criminosos cibernticos teve seus dados devassados. Mas, apesar de todo esse volume de informao, continua sendo extremamente difcil processar um criminoso ciberntico. a que a prpria natureza da rede em particular sua interconectividade traz uma imensa dor de cabea para as foras da lei: ningum pode ter certeza absoluta da identidade daqueles com quem est se comunicando. Estaramos lidando com um hacker criminoso comum? Ou algum que conta com amigos no poder? Ser mesmo um criminoso do outro lado? Ou um agente infiltrado? Ou um pesquisador militar avaliando as possibilidades das tcnicas criminosas de invaso de sistemas? Somos ns que observamos nosso interlocutor ou ele quem nos observa? Ser que ele est tentando obter lucro para si mesmo? Ou para a Al-Qaeda? como uma partida de xadrez heptadimensional, comentou o futurologista Bruno Guissani, no qual nunca podemos ter certeza de quem o nosso oponente.
19