Com usar a matemática para capturar cibercriminosos

Acredite ou não, matemática é importante. Pode até ter sido (para muitos) uma chatice na infância, mas comportamento humano é bem previsível -e a matemática ajuda nessas previsões. A boa

Acredite ou não, matemática é importante. Pode até ter sido (para muitos) uma chatice na infância, mas comportamento humano é bem previsível -e a matemática ajuda nessas previsões. A boa notícia é que isso também se aplica a cibercriminosos.

Hackers e outros criminosos, que usam a Internet para “trabalhar” (como traficantes de drogas e armas) se esforçam muito para se manter anônimos: usam o Tor para ficar online, mudam seus apelidos usados em fóruns e adotam ferramentas especiais para manter o anonimato.

Apesar disso, cibercriminosos ainda são humanos e altamente limitados por seus hábitos sociais e ambiente em que convivem. Eles celebram o Ano Novo, dormem de noite e vão para o trabalho. Além disso, são incapazes de postar de diferentes contas simultaneamente. Em teoria, podem criar um bot, que publique algo ao mesmo tempo que o hacker, mas isso é outra história.

Toda atividade online cria dados e a partir do momento em que há dados suficientes para análise, torna-se mais fácil capturar o criminoso. Existem muitas empresas de análise que fazem pesquisa forense para agências reguladoras. Uma dessas companhias é a Recorded Future. Na conferência de Analistas de Segurança de 2016, o CEO da empresa, Christopher Ahlberg, revelou como eles usam matemática para capturar cibercriminosos.

A empresa automatizou os processos de coleta de dados para reunir informação de mais de 500 fóruns populares entre cibercriminosos. Os dados foram coletados em sete línguas por mais de quatro anos. Como resultado, a Recorded Future descobriu vários fatos interessantes.

Ainda mais interessante, parece que cibercriminosos dificilmente reusam seus apelidos em fóruns. A Recorded Future monitorou 742 mil apelidos – e 98,9% eram únicos. Fora isso, analistas podem detectar quais nomes são usados por um mesmo criminoso. Mudar o apelido é fácil, mas mudar comportamento é bem mais difícil.

Analisando horários de atividade e padrões de discurso, pode-se encontrar conexões entre contas diferentes que possam parecer sem nenhuma relação. O fator mais óbvio que atrai mais atenção – são os horários das atividades online. Se contas diferentes ficam online uma após a outra, como vagões de um trem, é bem possível que elas pertençam a mesma pessoa.

Como você pode ver no screenshot acima, logo que Hassan20 fica offline, o usuário Crisis entra. Talvez essas contas pertençam a mesma pessoa. Alguém pode usar esse método para relacionar membros de um mesmo bando: por um período relevante de tempo, eles estarão ativos simultaneamente para coordenarem suas operações.

Se os membros de um grupo se mantém online o dia inteiro, eles vivem ao redor do mundo em fusos-horários diferentes, ou tentam criar essa impressão.

Tendo estudado os dias de folga de hackers e períodos com maior carga de trabalho, alguém pode isolar a nacionalidade deles. Por exemplo, existem grandes chances de criminosos serem de países islâmicos caso estejam ativos durante o Ramadan. Bem, se você não é religioso – não há muito o que fazer além de “trabalhar” nesses dias. Além disso, eles também são bem ativos durante o mês de celebração da Revolução Islâmica. Já hackers russos trabalham mais durante a última semana de dezembro. O interessante é que o Ano Novo é celebrado por todo mundo, até por cibercriminosos.

É possível encontrar sinais e características mais específicas, além de usuários com hábitos similares, não na dark web, mas sim na Internet legal. Criminosos tem hobbies, assim como nós. Eles usam as mídias sociais, saem de férias, usam serviços diferentes para ver filmes e ler livros. E diferentemente do Tor, esses serviços nos dão mais chances de descobrir a verdadeira identidade deles, e no fim, prendê-los.

Ao analisar esquemas de atividades em sites obscuros de Londres que vendem drogas, veja que o usuário Abraxas é o administrador do recurso. Ok, o que nós temos sobre ele? Parece que está fora por dois dias, o que resulta em uma perda de dinheiro para os traficantes. Saiu de férias? Ou pegou um resfriado? Quando agências de investigação coletam fatos o suficiente, elas serão capazes de encontrar a pessoa real.

Além disso, não há necessidade de se limitar às observações passivas. Em alguns casos é muito melhor fazer com que eles mudem seus padrões de comportamento por conta de uma provocação, de modo que traiam seus instintos. Christopher afirma que em diversas investigações, ao lançar mão desse truque, as coisas funcionaram muito bem, mas ele não pode revelar os detalhes por motivos de segurança. Então, analisaremos esse método com o auxílio de um exemplo conhecido.

Especialistas em cibersegurança estão cientes do seguinte princípio: uma vez que um desenvolvedor produz um pacote de atualização, alguém usa engenharia reversa para criar exploits. Como a maioria das pessoas não instala atualizações do sistema a tempo, elas se tornaram alvos. Como a Microsoft tem por hábito liberar pacotes de atualização nas terças, o dito: “Patch na terça, Exploit na quarta.” Surgiu. Ele ilustra o princípio mencionado acima.

http://twitter.com/e_kaspersky/status/696730907143770113/photo/1

Pacotes de atualização se tornaram, então, uma faca de dois gumes. Por um lado, eles protegem as pessoas, e por outro, literalmente, fornecem aos hackers uma ferramenta para fisgar os mais descuidados. Além disso, patches na terça fazem com que os hackers trabalhem duro no dia depois de seu lançamento.

Por isso, a Microsoft acidentalmente realocou os planos dos hackers para cada quarta-feira do mês. Especialistas em segurança podem fazer o mesmo e provocar a saída dos hackers do anonimato com uma campanha bem pensada. E é isso que eles fazem.

Dicas