Você está na página 1de 14

misha glenny

Mercado sombrio
O cibercrime e voc

Traduo

Augusto Pacheco Calil


Jorge Schlesinger
Luiz A. de Arajo

Copyright 2011 by The Bodley Head


Grafia atualizada segundo o Acordo Ortogrfico da Lngua Portuguesa
de 1990, que entrou em vigor no Brasil em 2009.
Ttulo original
DarkMarket CyberThieves, CyberCops and you
Capa
Kiko Farkas e Adriano Guarnieri/ Mquina Estdio
Preparao
Beatriz Antunes
Reviso tcnica
Andr Conti
ndice remissivo
Luciano Marchiori
Reviso
Luciane Helena Gomide
Jane Pessoa
Dados Internacionais de Catalogao na Publicao (cip)
(Cmara Brasileira do Livro, sp, Brasil)
Glenny, Misha
Mercado sombrio : o cibercrime e voc / Misha Glenny ; traduo Augusto Pacheco Calil, Jorge Schlesinger, Luiz A. de Arajo
So Paulo : Companhia das Letras, 2011.
Ttulo original: DarkMarket CyberThieves, CyberCops
and you
Bibliografia
isbn 978-85-359-1988-2
1. Crime organizado Poltica governamental 2. Crime por
computador 3. Crime por computador Preveno i. Ttulo.
11-11821
ndice para catlogo sistemtico:
1. Cibercrime : Problemas sociais 364.168

[2011]
Todos os direitos desta edio reservados
editora schwarcz ltda.
Rua Bandeira Paulista, 702, cj. 32
04532002
So Paulo sp
Telefone (11) 37073500
Fax (11) 37073501
www.companhiadasletras.com.br
www.blogdacompanhia.com.br

cdd 364.168

Sumrio

Prlogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Livro Um
parte i
1. O telefonema de um investigador . . . . . . . . . . . . . . . . . . . . . . . 31
2. Miranda fala de um admirvel mundo novo . . . . . . . . . . . . . . 40
3. Mister Hyde de Lagos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
parte ii
4. Os arquivos de Odessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5. CarderPlanet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
6. Um assunto de famlia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
7. Boa no aperto da jiboia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
8. Reescrevendo o Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

parte iii
9. Tigre, tigre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
10. Teoria dos jogos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
11. Impossvel voltar atrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12. Uma passagem para a ndia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
13. Shadowlndia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
parte iv
14. O cometa Iceman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
15. O CardersMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
16. O DarkMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
17. O escritrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
18. Mentes desconfiadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
19. Donnie Brasco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
20. Um plano astucioso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
parte v
21. O legado de Dron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
22. Cara, voc j era . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
23. Matrix liquidado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
24. A conexo francesa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
25. O homem invisvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
interldio
O pas do no sei qu e do no sei onde . . . . . . . . . . . . . . . . . . . . . 221
Livro Dois
parte i
26. Um turco em Pittsburgh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
27. O sublime portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

parte ii
28. Ciao, Cha0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
29. Muito discretamente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
parte iii
30. O mundo onrico de Mert Orta . . . . . . . . . . . . . . . . . . . . . . . . 290
31. Um servo de dois mestres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
32. Deleite turco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
33. O retorno ao Hades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
34. Investida turca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
35. A morte do DarkMarket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
parte iv
36. Duplo risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
37. Zorro desmascarado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
38. Quem voc? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
39. A caminho de lugar nenhum . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
40. O expresso do meiodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

Eplogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Fontes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Agradecimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Glossrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
ndice remissivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Prlogo

crime@sculo21.com
Na implacvel busca humana por convenincia e crescimento econmico, desenvolvemos em pouco tempo um nvel alarmante de dependncia em relao aos sistemas em rede. Em menos de duas dcadas, grande parte da chamada infraestrutura
nacional crtica da maioria dos pases (cni, na lngua dos geeks)
passou a ser controlada por sistemas computadorizados cada vez
mais complexos.
Os computadores dirigem importantes parcelas de nossa vi
da: regulam nossa comunicao, nossos veculos, nossa interao
com o comrcio e o Estado, nosso trabalho, nosso lazer nosso tudo. Num dos muitos julgamentos de crimes cibernticos que
presenciei nos ltimos anos, um juiz britnico imps uma ordem
restritiva a um hacker, que entraria em vigor assim que ele fosse
libertado da priso. Ele seria posto sob a superviso de um policial, que deveria impedilo de acessar a internet por mais de uma
hora por semana. Quando meu cliente terminar de cumprir sua
11

sentena, destacou o advogado do ru durante a audincia, no


haver quase nenhuma atividade humana que no seja mediada
pela internet. Como possvel que ele leve uma vida normal sob
tais circunstncias? Foi uma pergunta retrica.
Mas, de todo modo, uma boa pergunta. Aqueles que j esqueceram o celular em casa por algumas horas com certeza expe
rimentaram uma intensa sensao de perda e irritao, semelhan
te aos sintomas de abstinncia sentidos por dependentes de drogas.
Curiosamente, quando privados de seus telefones por trs dias,
a corrosiva sensao de inquietude costuma ser substituda pela
euforia da libertao, conforme a pessoa transportada de volta
a um mundo, no to distante, no qual no tnhamos nem precisvamos de celulares e organizvamos nossa vida muito bem sem
eles. Hoje em dia, no entanto, a maioria sente que no possvel
viver sem esses pequenos computadores portteis.
Talvez a mquina mais comparvel ao computador seja o car
ro. A partir dos anos 1940, quando ele se tornou um artigo padro
nas famlias, apenas uma minoria dos motoristas compreendia o
que de fato ocorria sob o cap. Ainda assim, um bom nmero
deles era capaz de consertar o prprio veculo em caso de pane,
e um nmero ainda maior de proprietrios sabia dar um jeito no
carburador para ao menos chegar em casa. A maioria conseguia,
no mnimo, trocar um pneu furado.
Hoje, se o problema for apenas um pneu furado, provvel que a pessoa chegue a seu destino. Mas um nmero cada vez
maior de panes agora causado por um defeito no computador
da caixa de controle o invlucro de plstico preto que costuma
ficar atrs do motor. Se o problema for a, nem mesmo se o motorista for um experiente mecnico de tanques de guerra ele conseguir fazer o carro andar. Talvez um engenheiro da computao
fosse capaz de resolver o problema, mas na maior parte dos casos,
porm, preciso mesmo substituir a unidade.
12

Os sistemas de computadores so muito mais complexos e


frgeis que os motores de combusto interna, de forma que, em
caso de problemas, apenas um minsculo grupo de pessoas sabe
o que fazer alm de se guiar pelo conhecido mantra: J tentou
reiniciar o sistema?.
Agora nos encontramos numa situao em que essa minscula elite (podemos chamlos de geeks, nerds, programadores,
securocratas ou pelo termo que preferirmos) detm um entendimento profundo de uma tecnologia que a cada dia comanda
nossa vida de maneira mais intensa e extensa, enquanto a maioria
de ns no entende nada do seu funcionamento. Comecei a reconhecer a dimenso do problema durante as pesquisas para o meu
livro anterior sobre o crime organizado global, McMfia. Viajei
ao Brasil para investigar os crimes cibernticos porque esse pas
cativante , alm de suas muitas qualidades positivas, um grande
centro de prticas nefastas na rede apesar de poucos saberem
disso na poca.
No Brasil conheci ladres cibernticos que tinham criado
uma fraude de phishing muito bemsucedida. O phishing continua
a ser um dos pilares mais infalveis da criminalidade na internet.
H duas variaes simples. A vtima abre um email indesejado. O
anexo pode conter um vrus, permitindo a outro computador em
qualquer lugar do planeta monitorar toda a atividade na mquina
infectada, como a digitao de senhas bancrias, por exemplo. O
outro truque consiste em disparar um email que parea ter sido
enviado por um banco ou outra instituio que possa solicitar
login, senha e outros dados do usurio. Se o destinatrio cair no
truque, o remetente tornase ento capaz de usar tais informaes para acessar suas contas na internet. Os hackers brasileiros
demonstraram passo a passo como fizeram para transferir para si
mesmos milhes de dlares de contas no Brasil, na Espanha, em
Portugal, na GrBretanha e nos Estados Unidos.
13

Visitei ento os ciberpoliciais em Braslia que tinham apanhado quatro outros membros dessa quadrilha (apesar de um nmero ao menos duas vezes maior nunca ter sido rastreado pela
polcia), e depois entrevistei o chefe da XForce, departamento de
operaes secretas da empresa americana de segurana iss. No
intervalo de mais ou menos uma semana, percebi que o crime
organizado convencional, por mais matizes e variaes que tenha, traz muito mais riscos para seus perpetradores que o crime
ciberntico.
O crime organizado moda antiga, ligado tecnologia e aos
meios de comunicao do sculo xx, lida com dois considerveis
desafios para atingir o sucesso. A polcia representa o principal
risco para seus negcios. A eficcia do policiamento varia com a
geografia e o tempo. O crime organizado se adapta a essas diferentes condies e escolhe um, dentre uma srie de mtodos, para
lidar com as foras da lei e da ordem. Pode tentar venclas pela
fora ou corromplas; pode corromper os polticos que exercem
autoridade sobre a polcia; ou pode dificultar as investigaes.
Mas ento enfrenta um segundo problema: a ameaa da concorrncia, outros malfeitores que caam sua presa nas mesmas
guas. Tambm nesse caso os grupos ligados ao crime organizado
podem tentar se impor pela fora, sugerir uma aliana, ou ainda
concordar em ser incorporados pelos rivais.
Em nenhum desses casos, porm, a organizao criminosa
pode optar por ignorar seu rival atitude que representaria o caminho da derrota, com resultados por vezes fatais. Para garantir
a sobrevivncia e a prosperidade fundamental ter a capacidade
de se comunicar com os colegas criminosos e a polcia, e, mais
importante, de mandar a mensagem correta a ambos.
No Brasil, aprendi rpido que o crime do sculo xxi diferente.
O mais importante: muito difcil identificar quando as pes
14

soas tm ms intenes na rede. As leis que regem a internet variam


muito de pas para pas. E esse um dado significativo, porque,
muitas vezes, no ambiente virtual um crime cometido a partir
de um endereo ip (sigla em ingls para protocolo da internet)
localizado num determinado pas contra um indivduo ou corporao de outro pas, antes de ser concludo (ou transformado
em lucro) num terceiro. Um policial na Colmbia, por exemplo,
pode identificar que o endereo ip responsvel por coordenar um
ataque a um banco colombiano vem do Cazaquisto. Em seguida
descobre que essa ao no considerada crime naquele pas, e
por isso seus equivalentes cazaques em Astana no tero motivos
para investigar o crime.
Muitos criminosos cibernticos so inteligentes o bastante pa
ra pesquisar e explorar discrepncias como esta. Nunca uso cartes de crdito ou de dbito americanos, disseme um dos mais
bemsucedidos carders (especializado em fraudar cartes) da Su
cia. Isso me colocaria sob a jurisdio legal dos Estados Unidos,
onde quer que eu estivesse. Por isso uso apenas cartes europeus
e canadenses, o que me deixa ao mesmo tempo feliz e seguro
eles nunca vo me apanhar.
A diferena que separa os Estados Unidos da Europa e do
Canad de grande importncia, pois essas so as regies que
apresentam a maior concentrao de vtimas de crimes cibernticos. Os dois ltimos contam com leis muito mais robustas para
proteger as liberdades e os direitos individuais na rede. Seguidos
governos americanos conferiram ao aparato policial poderes
maiores do que a maioria dos governos europeus estaria disposta
a considerar, permitindo aos policiais um acesso mais fcil aos
dados de empresas privadas em nome da luta contra o crime e o
terrorismo.
Poderamos argumentar, por exemplo, que a onipresena mul
tiplataforma e multitarefa do Google viola os princpios da legis15

lao antitruste americana e que a aglomerao de todos aqueles


dados pessoais consiste ao mesmo tempo em uma oportunidade
para os criminosos e uma ameaa s liberdades civis. Mas o Google poderia perfeitamente responder que a prpria essncia de sua
genialidade e de seu sucesso est na onipresena multiplataforma
e multitarefa do site, e que isso em si promove a segurana e os interesses comerciais americanos. Se desejar, o governo americano
pode, em questo de horas, acessar os dados do Google recorrendo a procedimentos legais e, como o Google rene dados de todo
o mundo, isso confere a Washington uma imensa vantagem estratgica. Outros governos desejariam ter a mesma sorte. Diferentemente de seus equivalentes chineses, russos e mdioorientais,
o governo americano no precisa invadir os sistemas do Google
para explorar seus segredos. Em vez disso, pode obter facilmente
uma ordem judicial. Quem abriria mo desse poder em nome da
legislao antitruste?
A internet uma teoria da grande bolha resolvemos um
problema que a afeta, mas outro, aparentemente intratvel, vem
tona em outra parte.
E, para quem a policia, o maior de todos os problemas o
anonimato. Por enquanto, continua sendo possvel para qualquer
pessoa com acesso internet e dotada de conhecimentos especficos mascarar a localizao fsica de um computador.
H duas maneiras principais de se fazer isso: a primeira muralha ciberntica a vpn, ou rede virtual privada, que faz com
que um nmero de computadores partilhe o mesmo endereo ip.
Normalmente um endereo ip atribudo a uma nica mquina,
mas, com uma vpn, vrios computadores localizados em partes
diferentes do mundo podem aparentar estar situados em Botsua
na, por exemplo.
Para aqueles que no se satisfazem com a proteo oferecida
pela vpn, existe tambm a possibilidade de erguer uma segun16

da barreira ciberntica por meio dos chamados servidores proxy.


Um computador nas Ilhas Seychelles pode estar usando um proxy
na China ou na Guatemala. O proxy no revela que o ip original
est transmitindo a partir das Seychelles mas seja como for o
computador faz parte de uma vpn centrada na Groenlndia.
Configurar tudo isso exige habilidades avanadas de computao, e por isso tais tcnicas tendem a ser usadas pelos dois nicos grupos envolvidos no crime ciberntico: hackers de verdade
e criminosos de verdade. Mas essa elite de operadores, que representa um novo tipo de crime organizado srio, apenas uma pequena parte dos que se envolvem nos crimes computadorizados.
Os demais so participantes menores, que agem individual
mente, roubam somas no muito expressivas, so ladres de galinha que mal valem o esforo de calos, levandose em consi
derao os recursos escassos disposio das foras policiais.
Apesar de esses personagens no se darem ao trabalho de configurar vpns, proxies e toda uma srie de outras tcnicas de ocultamento, eles ainda podem dificultar muito a vida dos policiais ao
criptografar suas comunicaes.
Programas que garantem a criptografia da comunicao escrita (e at falada ou filmada) esto disponveis farta na rede,
mas dentre todos o que mais se destaca o pgp, o simptico e
coloquial Pretty Good Privacy (Privacidade Bem Decente).
A criptografia uma poderosa ferramenta, que desempenha um papel importante na segurana ciberntica. Tratase de
uma maneira de embaralhar a linguagem usando chaves matemticas geradas digitalmente, cuja permutao to complexa que
s pode ser revelada queles que possuem a senha correta. No
momento, os documentos criptografados so seguros, apesar de
a Agncia de Segurana Nacional de Washington (nsa), a mais
poderosa agncia de espionagem digital do mundo, estar sempre
buscando formas de decifrlos. No submundo dos criminosos
17

cibernticos, j circulam rumores segundo os quais a nsa e seus


parceiros de espionagem no Canad, GrBretanha, Austrlia e
Nova Zelndia j possuiriam a capacidade de quebrar esses sistemas pblicos de criptografia com o uso do seu orwelliano sistema Echelon. De acordo com o que se diz, o Echelon seria capaz de
acessar comunicaes via telefone, satlite e email em qualquer
ponto do planeta.
As implicaes polticas da criptografia digital so to amplas
que o governo americano comeou a classificar os softwares criptogrficos como munies na dcada de 1990, enquanto na Rssia,
se a polcia ou a kgb um dia encontrarem um nico arquivo criptografado no computador de um usurio, a pessoa poder ser detida e passar vrios anos na cadeia, mesmo que o documento contenha apenas uma lista semanal de compras. Conforme governos
e corporaes renem cada vez mais informaes pessoais sobre
seus cidados ou clientes, a criptografia se torna uma das ltimas
linhas de defesa ao alcance dos indivduos para garantir a prpria
privacidade. tambm um instrumento de valor incalculvel para
quem atua em atividades criminosas na rede.
Assim como os criminosos tradicionais precisam desenvolver
maneiras de falar uns com os outros e diferenciar amigos, adversrios, policiais e rivais, os ciberviles enfrentam o desafio permanente de tentar estabelecer as credenciais fidedignas de quem
quer que esteja conversando com eles na rede. Parte deste livro
dedicada a contar como eles desenvolveram mtodos para identificar uns aos outros, e como as foras policiais de todo o mundo
tentaram ludibriar a capacidade dos hackers de identificar agentes e informantes confidenciais (cis) infiltrados na internet.
Ao longo dos anos 1990, a maneira mais simples de evitar
que convidados indesejados bisbilhotassem atividades crimino
sas estava na introduo de um rigoroso sistema de sabatinas e
concesso de acesso aos sites dedicados ao debate de prticas inde18

vidas na rede. Apesar dessa medida de segurana, no demorou


mais que alguns meses para que foras da lei o Servio Secreto americano e agncias de espionagem como o fsb (sucessor da
kgb) estivessem rastejando por todos esses sites, aps fingirem
pacientemente ser criminosos para obter acesso, ou ter persuadido informantes a trabalhar para eles.
A interpretao de certos agentes foi to convincente que algumas agncias da lei chegaram at a dedicar seus recursos perseguio desses policiais infiltrados, filiados a organizaes irms,
tomandoos por criminosos de verdade.
Como resultado de suas iniciativas, as foras policiais e os
espies conseguiram, ao longo da ltima dcada, compilar um
grande banco de dados de hackers criminosos: seus apelidos, sua
localizao real ou presumida, o tipo de atividade em que se envolvem e com quem costumam se comunicar com regularidade.
O escalo mais baixo dos criminosos cibernticos teve seus dados devassados. Mas, apesar de todo esse volume de informao,
continua sendo extremamente difcil processar um criminoso
ciberntico.
a que a prpria natureza da rede em particular sua interconectividade traz uma imensa dor de cabea para as foras
da lei: ningum pode ter certeza absoluta da identidade daqueles
com quem est se comunicando. Estaramos lidando com um
hacker criminoso comum? Ou algum que conta com amigos no
poder? Ser mesmo um criminoso do outro lado? Ou um agente
infiltrado? Ou um pesquisador militar avaliando as possibilidades das tcnicas criminosas de invaso de sistemas? Somos ns
que observamos nosso interlocutor ou ele quem nos observa?
Ser que ele est tentando obter lucro para si mesmo? Ou para a
Al-Qaeda?
como uma partida de xadrez heptadimensional, comentou o futurologista Bruno Guissani, no qual nunca podemos ter
certeza de quem o nosso oponente.
19

Você também pode gostar