Vulnerabilidade digital de novas tecnologias: técnicas utilizadas através do meio digital que podem ser aplicadas em processo de espionagem e no cybercrime

(1)

VULNERABILIDADE DIGITAL DE NOVAS TECNOLOGIAS: TÉCNICAS UTILIZADAS ATRAVÉS DO MEIO DIGITAL QUE PODEM SER APLICADAS EM

PROCESSO DE ESPIONAGEM E NO CYBERCRIME 1

JOSELI INÊS PIEKARSKI*

Resumo: Smartphones, drones, câmera de vigilância, internet das coisas (IoT). A tecnologia avança a passos largos, mas ao mesmo tempo em que permite inúmeros benefícios, entrega novas ferramentas para abastecer de informações grandes bases de dados (GRAU, 2014, p.1) nutrindo o cybercrime e a espionagem que não precisa mais ser feita por grupos especializados como no passado. Hoje o cidadão comum pode ser vitima e também agente criminoso por meio de suas ações no meio digital mesmo que, muitas vezes, não tenha pleno conhecimento. Este projeto pretende apresentar como forma de resultado de sua pesquisa algumas vulnerabilidades digitais de novas tecnologias demonstrando suas utilizações em processos de espionagem e no cybercrime. Visa ainda a comparação e análise de previsões feitas em anos anteriores sobre o assunto contribuindo para a construção de novos conhecimentos até então não explorados de maneira conjunta.

Palavras-chave: Vulnerabilidade. Tecnologia. Espionagem. Cybercrime. Segurança.

1 INTRODUÇÃO

Objetiva-se identificar e apresentar as vulnerabilidades existentes em novas tecnologias e seu uso em processos de espionagem e no cybercrime analisando registros bibliográficos e documentos colhidos mediante levantamento realizado em sites, revistas e livros que abordam a temática.

Para realização deste trabalho, o tipo de pesquisa utilizado, pode ser classificado como exploratório. Seu método de abordagem consiste em uma apresentação quantiqualitativa e a metodologia escolhida é a teórica, bibliográfica e documental por

1

Artigo apresentado como Trabalho de Conclusão do Curso de Especialização em Gestão de Segurança da Informação, da Universidade do Sul de Santa Catarina, como requisito parcial para a obtenção do título de Especialista em Gestão de Segurança da Informação. Orientador: Prof. Horácio Dutra Mello, vice coordenador. Curitiba, 2018.

* Acadêmica do curso de Especialização em Gestão de Segurança da Informação da Universidade

(2)

possuir informações coletadas e pesquisas realizadas em livros, teses, revistas e sites confiáveis e de reconhecimento na área de gestão e segurança da informação. Do material consultado alguns não foram escolhidos para utilização de referências, mas ajudaram a construir um melhor entendimento do assunto e pautar a escrita do presente artigo.

O campo de pesquisa estudado está inserido na área de forense computacional e utiliza o estudo descritivo que permitirá a utilização de dados conhecidos para evidenciar novas visões do contexto com o uso da forma de coleta de dados contínua uma vez que o registro dos eventos acontece durante os estudos.

No intuito de uma melhor construção e apresentação do conteúdo, foram realizadas consultas seguindo uma ordem definida segundo os critérios:

a) Pesquisas sobre novas tecnologias e eleição das abordadas para o desenvolvimento do projeto;

b) Pesquisa sobre vulnerabilidades conhecidas;

c) Pesquisa sobre ações criminosas ou mal intencionadas utilizando vulnerabilidades das novas tecnologias;

d) Busca de material de apoio que utilizam palavras chave: vulnerabilidade, segurança, tecnologia, espionagem, cybercrime.

e) Pesquisas sobre o desconhecimento do cidadão sobre o alcance das tecnologias;

f) Pesquisa sobre a exploração e facilidades que advém do consumismo das novas tecnologias;

g) Pesquisas com vantagens e benefícios das tecnologias; e

h) Referência por autores de previsões da evolução da tecnologia para as nações.

Para realização deste trabalho, o tipo de pesquisa prevê a apresentação da construção de conteúdos por não existir muita literatura ou estudos científicos a respeito do tema muito embora seja um assunto com muita especulação e divulgação por veículos de mídia. Seu método de abordagem consiste em uma apresentação quantiqualitativa, pois além de dados de pesquisa pura para atualização de conhecimentos, optou-se por apresentações de indicadores para demonstrar graficamente e com base em pesquisas estatísticas o panorama de utilização e vulnerabilidades digitais atuais e prospectadas.

(3)

O conteúdo encontra-se disposto em seções. Os capítulos que se seguem são: 2 Fundamentação Teórica, 3 Apresentação dos Dados Coletados, 4 Análise de Dados Coletados e 5 Conclusões Finais.

2 FUNDAMENTAÇÃO TEÓRICA

A tecnologia digital “é um conjunto de tecnologias” que permitem a transformação de linguagem em números e esses interpretados por dispositivos digitais transformam-se em linguagem conhecida “(imagem fixa ou em movimento, som, texto verbal)” (RIBEIRO, 2017, p.1).

Podemos considerar como novas tecnologias (NTIC) o resultado da evolução das aplicações onde ocorre a diminuição das complexidades e em conseqüência disso o aumento da disseminação em sociedade.

Servidores em nuvem, Internet das coisas (IoT), dispositivos mobile, drones, redes sociais e câmeras de vigilância, são alguns exemplos de novas tecnologias, conectadas à internet e que alimentam fontes gigantescas de informações (big data).

Borges (2015, p.1) expõe o aproveitamento das novas tecnologias pelos criminosos:

É certo que a criminalidade, obviamente, não deixaria de aproveitar as oportunidades trazidas pelas novas tecnologias, e a prática de ilícitos na Internet é uma realidade perversa, com um sem número de fraudes bancárias, extorsões decorrentes de invasões de computadores, vírus e programas espalhados pela rede para obtenção de dados que permitam a prática criminosa, pornografia infantil e muitas outras condutas ilícitas ou reprováveis.

Ainda seguindo os estudos apresentados por Borges (2015, p.1), existe uma abordagem terrorista para as redes sociais.

(4)

Com efeito, o surgimento das redes sociais, por exemplo, trouxe a possibilidade de captação de novos membros extremistas, e a mera postagem de fotos nas mesmas redes permite, através dos sistemas de georreferenciamento, a localização de tais membros.

A coleta de dados por parte das redes sociais não se limita, no entanto a organizações suspeitas ou terroristas, o usuário comum também tem seus dados vulneráveis. McClure, Scambray e Kurtz (2014, p.16) escreveram que sites de redes sociais, gestão de carreira ou fotos online podem ser usados contra as empresas e consumidores.

A disseminação da tecnologia traz consigo eventos de vulnerabilidade devido a ações pessoais como o uso de senhas fracas, uso de dispositivos desatualizados e sem qualquer ferramenta de segurança como um simples antivírus. Mas além do usuário, as novas tecnologias carregam falhas.

Os benefícios das tecnologias embora muitos, não anulam a existência de um número crescente de vulnerabilidades trazendo consigo históricos de ataques criminosos visando diversos setores da sociedade já que muitas ferramentas tornaram-se obsoletas durante o processo ou não conseguem gerar atualizações na mesma velocidade com que aplicações são criadas.

A fim de ilustrar a observância desse evento, a KSecurity (2017, p.5) define em seu material de pesquisa que:

Enquanto a infraestrutura de rede teve poucas mudanças ao longo dos anos, os cibercriminosos evoluíram para executar ataques cada vez mais sofisticados, com fortes motivações e muita persistência. Dessa maneira, muitos desenvolveram habilidades para desviar de uma série de barreiras e de controles de segurança para atingir empresas em diferentes países.

Segundo Vesica (2007, p.13) “Não faltam exemplos de falhas de programas exploradas para utilizar computadores para outras finalidades, e os alvos são os mais diversos [...]”.

Assim como geralmente acontece, novas funcionalidades, novos recursos ou complexidades frequentemente acarretam problemas de segurança. A

(5)

demanda pelo acesso sem fio é tão grande que fornecedores e profissionais de segurança têm sido incapazes de acompanhar [...] Aqui, temos uma tecnologia onipresente, uma demanda que ultrapassa em muito a maturidade da tecnologia e um grupo de pessoas mal-intencionadas que gosta de invadir dispositivos sem fio. Esse é o cenário perfeito para o surgimento de uma situação crítica de segurança. (MCCLURE, SCAMBRAY e KURTZ, 2014, p. 372).

Além de crimes, as vulnerabilidades digitais expõem dados privados nutrindo ações como a espionagem. Para conceituar melhor esse termo, Scudere (2015, p.94) escreve: “Espionagem envolve [...] uma atividade governamental ou individual para a obtenção de informações consideradas secretas ou confidenciais sem a permissão do proprietário ou administrador da mesma”.

Pelo ponto de vista de Carmona (2005, p.116) no livro Segredos da Espionagem Digital, os espiões tem suas ações focadas em canais tidos como seguros surpreendendo no momento que ocorre o vazamento de informação.

O Brasil nesse cenário ficou entre os 5 paises que sofreram mais ataques em 2016 segundo Miceli (2017, p.1).

De acordo com o relatório anual Norton Cyber Security Insights, 2016 foi um ano próspero para os hackers em todo o mundo, quando os ataques cibernéticos registraram uma alta de 10% em relação ao ano anterior. Apenas no Brasil, 42,4 milhões de pessoas foram afetadas, e o prejuízo total no país por conta desses ataques chegou a US$ 10,3 bilhões — R$ 32,1 bilhões.

Embasado nos dados de previsão de impactos em segurança da informação para 2017 apresentados pela KSecurity (2017, p.11) verificamos que:

Os dispositivos mobile são interessantes para os cibercriminosos por causa dos dados de aplicativos e da presença de microfone, câmera e histórico de chamadas e mensagens, que fazem de smartphones e tablets uma grande fonte de dados sensíveis.

(6)

Conforme a tecnologia evolui, gradativamente novas brechas de segurança são encontradas. Um exemplo disso é a internet das coisas e a divulgação de prospecções escritas por Zani (2016, p.1).

Os dispositivos de Internet das Coisas muitas vezes não são projetados para a segurança. A maioria dos dispositivos não tem uma abordagem coordenada de segurança de rede, não exige senha ou não se preocupa com complexidade das mesmas, armazena informações pessoais e contém diversas vulnerabilidades. A proliferação de novos dispositivos, a baixíssima preocupação com segurança e alto valor dos dados contidos nesses objetos farão com que os ataques cibernéticos visando esses dispositivos cresçam de forma abundante.

Embora diferentes autores abordem a segurança de maneira distinta, é possível identificar que há concordância e preocupação sobre a exploração de vulnerabilidades das novas tecnologias.

Segundo Alves (2017, p.1), conforme a divulgação de experiências pessoais são difundidas, os cuidados necessários para utilizar o meio digital passam a ser observados e também as consequências que podem afetar a vida real.

“O que hoje parece ser um debate definido sobre segurança e privacidade será expandido para questões de quem controla e influencia as identidades virtuais e , portanto, os próprios cidadãos” (SCHMIDT e COHEN, 2013, p.90).

Observando o cenário descrito pelo cruzamento de informações, notamos que existem riscos reais a serem enfrentados para garantir a segurança do grande volume de dados gerados, dados esses que podem ser interceptados por governos, concorrências e sociedade civil.

3 APRESENTAÇÃO DOS DADOS COLETADOS

O período de estudo e coleta iniciou-se em 05 de junho de 2017 com a definição do tema e levantamento da literatura a ser utilizada e as primeiras consultas do conteúdo em sites.

(7)

Primeiramente realizou-se uma pesquisa para análise do quanto já é conhecido sobre o assunto na literatura e em sites especializados, desconsiderando já nesse momento, informações sem embasamento ou divulgados em mídias de baixa credibilidade.

Desde a definição do tema, optou-se pelo uso preferencialmente de material coletado em livros com abordagens que variam entre considerações de impacto da tecnologia para o individuo, para governos, etc. e a abordagem hacker que é onde consegue-se ter a melhor visão do âmbito já alcançado na exploração de vulnerabilidades e sua banalização.

Após a análise do livro de Leonardo Scudere, Risco Digital na Web 3.0, foi inserido nas buscas o assunto espionagem embora seu material não fique restrito a essa temática e sua forma de abordagem seja diferenciada já que questiona a interpretação da palavra espionagem e a forma como é traduzida dos textos com origem inglesa, pois o termo encontrado muitas vezes é intelligence e não espionage.

Já em A Nova Era Digital de Eric Schmidt e Jared Cohen (2013, p.41), a abordagem aproveitada é a feita da análise de previsões futuras. Como vamos chegar às eras digitais. Em seu texto prospectam que nas próximas décadas a população virtual será maior que a população da Terra o que gerará uma quantidade enorme de dados. É necessário estar atento ao impacto desse evento, no entanto. A vida virtual interferirá na vida real o que pode afetar o mundo (processo que já está em andamento).

Em estudo da visão hacker do tema, foi utilizado como referência inicial o livro Hackers Expostos 7 de Stuart McClure. Em um de seus capítulos (11) sobre Invasão de Sistemas Móveis, fica clara a forma como os usuários estão vulneráveis.

Este capitulo procura apresentar um “panorama” desse universo de rápida evolução em um período no qual o entusiasmo e a promessa de novas tecnologias superam em muito a preocupação com quaisquer deficiências, como a segurança. (2014, p .590).

(8)

Para acrescentar ao conteúdo deste artigo, foram estudados textos divulgados em sites como computerworld, CIO, symantec, convergecom, kaspersky, canaltech entre outros e também artigos publicados no Google acadêmico por exemplo.

Por estar centralizado o estudo nas vulnerabilidades de novas tecnologias, ainda não é encontrado muito volume de literatura, mas, através da análise do material coletado, fica clara a falta de cuidado que as empresas possuem com seus novos produtos até devido à velocidade com que a tecnologia se desenvolve.

Durante o processo de coleta foram identificadas correntes divergentes a respeito do assunto o que só acrescenta em relação ao desenvolvimento do conteúdo permitindo um resultado não tendencioso o que não é objetivo do presente artigo.

Foram pesquisados indicadores em sites como symantec e CERT de onde puderam ser coletados dados estatísticos de ataques e vulnerabilidades como podemos ver no Gráfico 1 que evidencia os incidentes reportados sendo os do tipo scan, que são varreduras de rede em busca de brechas, os de maior número.

(9)

Gráfico 1 – Incidentes reportados ao CERT.br – Janeiro a dezembro de 2016.

Legenda:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.

• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.

• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.

• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.

• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.

• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.

• outros: notificações de incidentes que não se enquadram nas categorias anteriores. Fonte: cert.br (2017, p.1)

(10)

3.1 ISTR (INTERNET SECURITY THREAT REPORT) SYMANTEC

ISTR são relatórios divulgados pela Symantec onde foram encontrados indicadores que serão utilizados para demonstração das vulnerabilidades em ambientes tecnológicos (anos analisados 2015 e 2016), e também no auxilio a um melhor entendimento de projeções como a existente na Figura 1 que retrata o crescimento esperado de dispositivos IoT para os próximos anos.

(11)

Figura 1 – Previsão de dispositivos conectados à internet.

Fonte: Symantec (2016, p.17)

Embora essas análises corroborem com muitas citações de diferentes autores, vale lembrar que por se tratar de informações contidas em relatórios

(12)

baseados em ataques e ambientes inseguros pesquisados, a abordagem pretende evidenciar vulnerabilidades e não ser tendenciosa ou ter o intuito de criticar as tecnologias.

As informações apresentadas são resultado da tradução dos relatórios de segurança e não foram transcritos integralmente na língua inglesa por conveniência idiomática.

3.1.1 Relatório anual ISTR – Zero-days

As vulnerabilidades possuem classificações e uma delas são as Zero-days.

Zero-days são falhas desconhecidas onde nem mesmo o próprio programador conhece sua existência. Logo que é detectada, precisa ser corrigida imediatamente (devendo a isso seu nome).

Essas vulnerabilidades são utilizadas pelo cybercrime em sofisticados ataques a governos e empresas colocando em risco a segurança e economia dos países e não estão ligadas a algum tipo de tecnologia específica.

Em análises divulgadas em seu relatório anual a Symantec apresenta dados e conclusões que apontam aumento na identificação de falhas Zero-days. Isso se deve ao fato de que a localização desse tipo de vulnerabilidade pode expor dados dos mais variados, alimentando o movimento do mercado negro o que incentiva a busca hacker desse tipo de evento.

No Gráfico 2 divulgado no material ISTR de 2016 com dados coletados em 2015, verificamos que o maior aumento de detecções de vulnerabilidades Zero-day estão em 2015 em comparação com outros anos, confirmando a maturidade crescente do mercado de buscas nesta área.

(13)

Gráfico 2 - Total Anual de Vulnerabilidades Zero-Day

(14)

Figura 2 – Panorama geral – Zero-Days

Observando a Figura 2 vemos que os alvos mais comuns de Zero-Days em 2015 ocorreram em tecnologias já esperadas por terem sido alvos em anos anteriores como Adobe Flash, softwares distribuídos com o Microsoft Windows, Internet Explorer, Microsoft Office e Android.

Embora as novas vulnerabilidades tenham sofrido redução de detecções em 2015 em relação a anos anteriores, o número de Zero-Day disparou como vemos nos indicadores a seguir: (Ver Figura 3)

(15)

Figura 3 - Vulnerabilidades

3.1.2 Relatório anual ISTR – Violação de dados

Outras vulnerabilidades que estão aumentando no ambiente tecnológico são as data breachs ou violação de dados.

Ao analisar os dados do comparativo demonstrado (ver Figura 4), contidos no ISTR de 2017 com dados de 2016, observa-se o grande número de identidades expostas.

Figura 4 – Comparativo anual de violações

(16)

Os números assustam, mas sabe-se que nem todos os dados vazados são divulgados pelas empresas que sofrem a invasão podendo esses números serem muito maiores. Literalmente vemos a ponta do iceberg.

Mesmo com a redução do número de violações entre os anos de 2015 e 2016, o roubo de identidades dobrou neste mesmo período. (Ver Tabela 2).

Tabela 1 - Violação de dados 2014 - 2016

No relatório ISTR de 2016 vemos apresentado um mapeamento dos tipos de informações mais vazadas em 2015 em comparação com os números de vazamentos coletados sobre 2014:

Tabela 2 - Top 10 Tipos de Informações Expostas

Tipos de 2015 % 2015 Tipos de 2014 % 2014

1 Nomes Reais 78% Nomes Reais 69%

2 Endereços Domésticos 44% Números de Identificação 45%

3 Datas de Aniversário 41% Endereços Domésticos 43%

4 Números de Identificação 38% Informações Financeiras 36%

5 Registros Médicos 36% Datas de Aniversário 35%

6 Informações Financeiras 33% Registros Médicos 34%

7 Endereços de E-mail 21% Números de Telefone 21%

8 Números de Telefone 19% Endereços de E-mail 20%

9 Seguros 13% Nomes e Senhas de Usuários 13%

10 Nomes e Senhas de

(17)

As informações financeiras incluem roubo de dados de cartões de crédito e outras credenciais financeiras.

Destacando a análise de identidades roubadas em 2016, temos mais uma avaliação que é a identificação dos números dos 10 países onde a maior quantidade de vazamentos ocorreu: (Ver Tabela 3).

Tabela 3 - Top 10 países com maior número de roubo de identidades – 2016

Para exemplificar como o cybercrime lucra e por isso busca vulnerabilidades basta conferir a lista de “produtos” comercializados e divulgados na Deep Web pelo grupo hacker Anonymous. Temos no menu:

- Roubo de identidade;

- Roubo de propriedade intelectual; - Segredos comerciais;

(18)

- Espionagem industrial; - Roubo de dados sensíveis; - Extorção online;

- Crimes financeiros; e - Manipulação de dados.

Embora os preços não estejam divulgados, pode-se imaginar que o valor sofra alteração com base na importância dos dados ou do alvo.

Em trabalho divulgado por Rui Miguel Feio, e utilizado para apresentação pela RSM Partners sob título Cyber Crime - The new world order (v1.0 - 2016), os oito alvos de ataque mais comuns são:

- Organizações de todos os tamanhos; - Indivíduos;

- Dispositivos Móbile; - Dispositivos IoT;

- Softwares supervisores de sistemas (SCADA); - Sistemas GPS;

- Sistema de rastreamento; e - Dispositivos médicos.

3.1.3 Relatório anual ISTR – E-Crime

A vulnerabilidade dos indivíduos é uma conseqüência não esperada por muitos que utilizam as tecnologias. O uso é feito muitas vezes sem cuidados ou até mesmo sem pensar em segurança.

As próprias redes sociais são fontes de dados onde não é preciso ser hacker para conseguir informações. As pessoas expõem suas vidas intimas publicamente, dados pessoais, fotos com localização geográfica e ainda, em alguns

(19)

casos, segredos empresariais, atitudes essas que acabam por fazer expor a si mesmos, as empresas e terceiros.

Comprovando o quanto o usuário comum está exposto temos o comparativo no Gráfico 3 que demonstra que os alvos são cada vez mais os consumidores do que as empresas.

Gráfico 3 - Infecções por mês – Consumidor X Empresas

A proporção entre consumidores infectados e empresas permaneceu estável embora os números sejam bem distintos.

O tipo de ataque ransomware que é uma “tendência” criminosa, também tem crescimento maior de consumidores infectados em comparação com as empresas. (Ver Gráfico 4).

Esse malware é comumente disseminado por e-mails ou donwloads infectados que uma vez no computador da vitima encripta seus dados e oferece a chave de decriptação mediante pagamento de valores, geralmente em Bitcoins (moeda virtual não rastreável) ou doações para web sites acessados pela rede anônima Tor.

(20)

Gráfico 4 - Infecções Ransomware - Consumidor X Empresas

3.1.4 Relatório anual ISTR – Internet das Coisas

Analisando o cenário IoT com base em dados colhidos sobre as vulnerabilidades encontradas em 2015, a Symantec identificou que grande número delas eram obvias e fáceis de explorar.

Nas pesquisas em dispositivos IoT verificou-se que as senhas default frequentemente não são alteradas o que propicia o vazamento de dados.

As senhas default de dispositivos IoT mais encontradas são: (Ver Gráfico 5).

(21)

Gráfico 5 - Top 10 senhas usadas em tentativas de login em IoT pelo "honeypot" Symantec abc123 1,80% test 2,00% admin123 2,30% 1234 5,60% password 7,20% ubnt 7,50% 12345 10,10% 123456 10,70% _{root 16,30%} admin 36,50%

*honeypot: sistemas de detecção de intrusões dissimulados para atração de hackers. Fonte: Symantec (2017, p.66)

Para entender melhor como o ambiente IoT ainda é inseguro, vemos na Figura 5 os indicadores de ataques realizados nesses ambientes. Os dados são de 2016.

(22)

Figura 5 – Internet das coisas (IoT)

No relatório ISTR de 2016 são apresentados para exemplificação alguns eventos ocorridos com a exploração das vulnerabilidades em IoT:

- Carros: Foi necessária a realização de recall em cerca de 1,4 milhão de veículos da Fiat Chrysler depois de identificado que seus sistemas de abertura e controle remoto foram hackeados para furtos.

- Dispositivos de casas inteligentes: Em pesquisas da Symantec foram encontrados 50 dispositivos com vulnerabilidades entre elas uma porta inteligente que permitiu a abertura remota sem senha.

- Dispositivos médicos: Encontradas vulnerabilidades em bombas de insulina, sistemas de raio X e tomografia computadorizada, refrigeradores de uso medico e desfibriladores implantados.

- Smart TVs: Equipamentos conectados à internet e sem o mínimo de segurança. Vulneráveis a fraudes, roubo de dados, ransomware, etc.

(23)

- Dispositivos embarcados: Roteadores, webcans, smartphones. São cerca de 4 milhões de dispositivos vulneráveis para interceptação e acesso não autorizado.

A preferência dos invasores é por usuários comuns pela facilidade da invasão já que nos ambientes empresariais, embora as vulnerabilidades existam da mesma maneira, existe geralmente uma preocupação maior com a segurança nas redes dificultando um pouco mais para o invasor.

Na Figura 6 podemos ver que o numero de vulnerabilidades aumenta em dispositivos mobile lembrando que estão referenciadas apenas as novas vulnerabilidades encontradas e estas separadas por sistemas operacionais.

Figura 6 – Vulnerabilidades mobile

4 ANÁLISE DOS DADOS COLETADOS

Durante o processo de coleta de dados realizado, foram encontrados resultados que evidenciam a existência de vulnerabilidades nas novas tecnologias e sua exploração pelo cybercrime.

Não são apenas as vulnerabilidades que são utilizadas para ataques. Recursos com finalidades distintas também são desviadas para utilizações não tão nobres, deixando dados de usuários desprevenidos, vulneráveis e expondo informações classificadas como pessoais ou privadas.

(24)

Com o crescimento dos big datas e a tecnologia em nuvem, é importante sabermos que dados são replicados e espalhados sem controle. Uma vez publicada uma informação (quer criminalmente ou voluntariamente), não será apenas um comando de deletar realizado no equipamento da ponta que eliminará a informação.

Além de tecnologias vulneráveis é preciso observar a evolução dos usuários também. Com a urgência que as novas gerações exigem que a comunicação e a transmissão aconteçam, o perfil é mais e mais exposto já que os fabricantes e desenvolvedores não podem “perder tempo” com testes.

A Nodes Tecnologia, fornecedora de soluções de segurança e distribuidora do antivírus Avira no Brasil, alerta para a necessidade de se levar em conta todos os aspectos de segurança digital nos projetos de Internet das Coisas. Segundo os especialistas da empresa, um projeto de IoT pode enfrentar muitos problemas já em sua implementação, tendo maior dificuldades depois de entrar em funcionamento. (GERMINIANO, 2017, p.1).

O consumismo atinge a segurança e pode se tornar uma ameaça para países que passam por momentos de guerra ou estão em evidência comercial já que as informações podem traçar panoramas reais sem a necessidade de agências de inteligência deslocarem contingente físico para os locais de interesse expondo pessoas a riscos.

Muitas são as denúncias de que no meio das informações de segurança das nações essas agências acessem dados de civis e países sem nenhum tipo de envolvimento com a origem de suas buscas, mas a tendência é o aumento desse tipo de monitoramento já que há um temor mundial sobre o “terror” e terroristas podem estar infiltrados em qualquer lugar.

Até onde isso pode crescer e até que ponto é legal, é questionável. Certo é que a tecnologia não recua o mesmo podendo se esperar de quem a consome.

A previsão é que os governos se preparem para ataques hackers do tipo ransonware, invasões de ativistas indisponibilizando serviços, etc. o que resulta em perda de controle do tráfego de informações e expõe o novo perfil de usuários.

(25)

No ano passado, apesar do alto volume de ataques, pouca gente sabia o que era um ransonware. Porém, infelizmente, até o fim de 2017 ou você terá um problema do tipo, ou conhecerá alguém que passou por isso. Essa modalidade crescerá exponencialmente por conta da facilidade de monetização e pela disponibilidade de kits de malware, possibilitando que pessoas sem conhecimentos técnicos aprofundados possam direcionar uma investida dessa categoria. (BORDINI, 2017, p.1).

Não é só esse público que precisa estar atento. Na internet das coisas ou no modelo Byod as vulnerabilidades se somam. No caso da IoT eventos como espionagem por televisores, invasão de sistema operacionais de veículos são noticiados constantemente.

É preciso ter atenção em fazer entender que a rapidez e as dezenas de integrações possíveis têm um bônus, mas também um ônus.

Em comunidades onde as crianças têm acesso a tecnologia antes mesmo de aprender a balbuciar, é necessário realizar alertas de que essa proximidade não é de todo segura. Geolocalização, histórico de consumo e padrões recolhidos por ferramentas de busca, padrões de consumo e acessos coletados em ferramentas sociais tem como resultado abrir a porta de casa para o desconhecido.

Marketing ou espionagem? Cada um pode interpretar da maneira que seus interesses convierem, mas não dá pra se surpreender com o âmbito de alcance atual da informação, e esperado para o futuro.

5 CONCLUSÕES

Nesse mundo digital estamos todos comprometidos e a segurança muitas vezes passa a ser ignorada ou considerada em segundo plano tanto na conduta dos usuários que não querem perder tempo (HAMANN, 2017) como para empresas desenvolvedoras que precisam inovar pra ontem, seja para seu benefício tecnológico ou apenas financeiro. Resultado: vulnerabilidade.

Para os usuários é importante observar que os riscos não afetam apenas governos e empresas. Em seu livro A nova era digital, Schmidt e Cohen (2013) resumem nosso atual cenário: “Se estamos conectados á web, publicamos e

(26)

aceitamos o risco de nos tornarmos figuras publicas. É só uma questão de quantas pessoas prestam atenção em nós e por quais motivos.”

A pouco tempo apenas revistas e canais técnicos tratavam o assunto de vulnerabilidades e riscos das tecnologias, mas esse cenário sofreu alteração após as denúncias de espionagem da NSA por Edward Snowden (GREENWALD, 2014) que causou alvoroço na comunidade civil.

Organizações internacionais como o FBI, CIA e NSA são constantemente denunciadas por manter bases de informações de cidadãos comuns. Vazamento de dados por parte de grandes empresas também expõem nossos dados e a fragilidade da segurança.

Embora nenhum sistema seja auto imune contra ameaças o cybercrime não será vitorioso se condutas de proteção e resguardo forem aplicadas.

DIGITAL VULNERABILITY OF NEW TECHNOLOGIES: TECHNIQUES USED THROUGH THE DIGITAL MEDIUM THAT CAN BE APPLIED IN THE PROCESS

OF ESPIONAGE AND CYBERCRIME

Abstract: Smartphones, drones, surveillance camera, internet of things (IoT). The technology advances in strides, but at the same time that it allows numerous benefits, it delivers new tools to supply information to large databases (GRAU, 2014, p.1) nurturing cybercrime and espionage that no longer needs to be done by specialized groups such as past. Today ordinary citizens can be a victim and also a criminal agent through their actions in the digital environment even if they are often not fully aware. This project intends to present as a result of its research some digital vulnerabilities of new technologies demonstrating its uses in espionage and cybercrime processes. It also aims to compare and analyze forecasts made in previous years on the subject contributing to the construction of new knowledge that had not been explored together.

(27)

REFERÊNCIAS

ALVES, André. Do crime físico ao cibercrime: um limite cada vez mais tênue. Disponível em:

<http://convergecom.com.br/tiinside/seguranca/artigos- seguranca/14/06/2017/do-crime-fisico-ao-cibercrime-um-limite-cada-vez-mais-tenue/>. Acesso em: 18 ago 2017.

BORDINI, Thiago. Ataques cibernéticos: o que esperar para o futuro? Disponível em: <http://www.securityreport.com.br/overview/mercado/ataques-ciberneticos-o-que-esperar-para-o-futuro/#.Wn7sPLgpofc>. Acesso em: 25 out 2017.

BORGES, Fabiani.Terrorismo Cibernético e a Proteção de Dados Pessoais. Disponível em:<https://fabianiborges.jusbrasil.com.br/artigos/218335957/terrorismo-cibernetico-e-a-protecao-de-dados-pessoais>. Acesso em 15 ago 2017.

CARMONA, Tadeu. Segredos da espionagem digital. São Paulo: Degerati Books, 2005.

COMPUTERWORLD. Brasil está entre os 5 países que mais sofrem ataques cibernéticos no mundo. Disponível em: <http://computerworld.com.br/brasil-esta-entre-os-cinco-paises-que-mais-sofrem-ataques-ciberneticos-no-mundo>. Acesso em 15 ago 2017.

FEIO, Rui Miguel, Cyber crime – The new world order. Disponível em: <https:// www.slideshare.net/rmfeio/cyber-crime-the-new-world-order-v10-2016>. Acesso em: 15 dez 2017.

GERMINIANO, Willians. Nodes Tecnologia alerta: não se pode esquecer da segurança em IoT. Disponível em: <http://www.segs.com.br/info-ti/69872-nodes-tecnologia-alerta-nao-se-pode-esquecer-da-seguranca-em-iot.html>. Acesso em: 25 out 2017.

GRAU, Renato. Big Data: Mocinho ou vilão? Disponível em:

<http://innovision.com.br/2014/02/06/big-data-mocinho-ou-vilao/>. Acesso em: 31 jul 2017.

GREENWALD, Glenn. Sem lugar para se esconder. Rio de Janeiro: Sextante, 2014.

HAMANN, Renan. 10 das coisas mais perigosas que você pode fazer na

internet. Disponível em: <https://www.tecmundo.com.br/seguranca/7528-as-coisas-mais-perigosas-que-voce-pode-fazer-na-internet.htm>. Acesso em: 31 jul 2017. KSECURITY. O que vai impactar a segurança da informação em 2017.

Disponível em: <http://www.ksecurity.com.br/wp-content/uploads/2017/03/O-que-vai-impactar-a-seguran%C3%A7a-em-2017_v2.pdf>. Acesso em: 30 jun 2017.

(28)

MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hackers Expostos 7. Porto Alegre: Bookman, 2014.

RIBEIRO, Ana Elisa. Glossário CEALE: Tecnologia digital. Disponível em:

<http://www.ceale.fae.ufmg.br/app/webroot/glossarioceale/verbetes/tecnologia-digital >. Acesso em: 01 ago 2017.

SCHMIDT, Eric; COHEN, Jared. A nova era digital: Como será o futuro das pessoas, das nações e dos negócios. 1 ed. Rio de Janeiro: Intrínseca, 2013. SCUDERE, Leonardo. Risco Digital na web 3.0. 1 ed. Rio de Janeiro: Elsevier, 2015.

SYMANTEC. ISTR – Internet Security Threat Report. Mountain View, v.21, abril. 2016. Disponível em: <https://www.slideshare.net/rapidsslonline/2016-symantec-internet-security-threat-report>. Acessado em: 06 dez 2017.

SYMANTEC. ISTR – Internet Security Threat Report. Mountain View, v.22, abril. 2017. Disponível em: <https://www.symantec.com/content/dam/symantec/docs/ reports/istr-22-2017-en.pdf>. Acessado em: 29 nov 2017.

VESICA, Fabrizio. Desvendando o universo H4CK3R. São Paulo: Degerati Books, 2007.

ZANI, Bruno. As vulnerabilidades e necessidades de segurança da internet das coisas. Disponível em: <http://cio.com.br/opiniao/2016/09/26/as-vulnerabilidades-e-necessidades-de-seguranca-da-internet-das-coisas/>. Acesso em: 28 jun 2017.