Ryan Flores lidera uma equipe de pesquisadores especializados em detectar hackers em nível global. Ajuda a Interpol a identificar grandes cibercriminosos. Ele acredita que nos últimos anos é relativamente fácil tornar-se um hacker; mas são poucos os criadores.

Ele começou como mais um entre centenas de informáticos, sentado em um seu pequeno escritório separado por painéis, analisando um a um e-mails duvidosos. Agora Ryan Flores é diretor de Pesquisa de Ameaças de Trend Micro para a Ásia e o Pacífico, e lidera um grupo internacional de especialistas em cibersegurança. Estão situados em diferentes lugares do mundo, como uma rede de alerta que avisa sobre qualquer movimento estranho no fluxo de dados mundial.

“A primeira coisa é que temos que ter uma reputação muito boa na equipe”, afirma com convicção. “Pense que com muita gente não trabalho presencialmente, mais da metade da minha equipe quase nunca vejo, mas tenho que acreditar que fazem a coisa certa”. É que a ciberguerra, pelo lado dos bons, deve ser travada em boa batalha. São muitas as práticas que, embora eficazes, estão proibidas: todas as ações que decidir tomar devem ser consideradas defensivas.

“Por exemplo, se o hacker deixou o servidor aberto, podemos ter acesso aos conteúdos, mas fazemos isso porque deixou o sistema aberto e sem proteção. Pelo contrário, nunca usamos ataques de força bruta (a forma de recuperar uma chave provando todas as possíveis) quando investigamos. De fato, contamos com o apoio de uma equipe legal que verifica se o que fazemos é considerado algo defensivo ou ofensivo”.

A entrevista é de José Manuel Abad Liñán e publicada por Página/12, 27-07-2015. A tradução e de André Langer.

Eis a entrevista.

Que melhor hacker do que aquele que se arrependeu e deseja passar para o lado luminoso do cibermundo, não?

Não (sorri), não o aceitaríamos em nosso grupo.

Mas seriam muito úteis...

Alguns hackers se converteram e são muito úteis, sim. Por exemplo, Malware must die, que é um grupo de ex-piratas informáticos que agora se dedicam à investigação de segurança. Publicam os resultados, as descobertas e oferecem boa informação.

Chega-se a pagar, às vezes, a cibercriminosos para que ajudem?

Nossa política é que não se paga nunca um cibercriminoso. Tentamos armar-lhe armadilhas (ri), mas nunca pagamos. Tentamos fazer contatos com eles, dissuadi-los...

De que forma as ciberameaça mudarão no futuro?

Sofreremos ameaças cada vez mais regionais. Estamos começando a ver algumas muito, muito localizadas, que se dirigem a objetivos igualmente locais e afetam apenas a pessoas muito concretas. A tecnologia utilizada, no entanto, não é nova.

E por que aumenta o interesse nestes objetivos específicos?

Porque o hacker conhece os mecanismos de segurança desse país em concreto, de um banco específico, e sabe como vencê-lo.

Como uma empresa global consegue detectar ataques tão específicos?

Muitas vezes, pelo aumento do tráfico de dados. Por isso, temos especialistas em big data na equipe. Necessitamos de pessoas que sejam capazes de trabalhar com um volume grande de dados, que encontre a agulha no palheiro. Temos alguns mapas de calor que mostram as zonas para onde está sendo transferido um volume suspeitoso de dados e para lá apontamos.

Da mesma maneira que falamos de paraísos fiscais para o dinheiro, há países onde são armazenados dados de maneira massiva fora das regulações e da supervisão internacional?

Sabemos que há alguns provedores de serviços, que chamamos bulletproof hosting (alojamento à prova de bala), que estão conscientes de que os clientes os usam para cometer cibercrimes, como armazenar credenciais e identidades roubadas, mas fazem vista grossa. Alguns destes provedores dedicam-se apenas a isso.

Apesar dessa crescente localização, continua havendo áreas do mundo especialmente perigosas?

Sim, usamos um termo para nos referir a esses países. Os chamados ruscranianos: para a Rússia e os países (cujos adjetivos em inglês) terminam em –ians.

Mas, não segue sendo a tarefa de atribuir um ataque algo muito difícil de conseguir? Alguns grupos de hackers não imitam outros grupos?

Sim, e para identificá-los você necessita de tempo. A primeira coisa a fazer é fixar-se nos erros que cometem, que são o mais característico. Também nos fixamos em como variam, às vezes para nos confundir e às vezes porque estão experimentando. Há o caso de equipes que colaboram com outras em um ataque em concreto.

Vocês têm bases de dados secretos de hackers?

Sim, temos perfis em nossas bases de dados.

E não os compartilham?

Às vezes, quando as solicitam, com a Interpol. Em casos muito particulares, nós os avisamos e lhes comunicamos: “Isto é algo em que vocês podem trabalhar, pode lhes interessar”.

E com companhias da concorrência?

Às vezes, sim. Trocamos favores.

É uma comunidade formal?

Não, mas às vezes criamos um grupo especial com quem compartilhamos as nossas descobertas.

Pode nos dar um exemplo?

Sim, o caso do ransomware (um tipo de software malicioso) da polícia. Colaboramos com outras companhias. Também no caso do CriptoWall 3.0.

É certo que a imagem do hacker como pessoa extremamente inteligente é exagerada? Quero dizer, está de acordo em que no mundo há apenas algumas poucas centenas de hackers que criam ferramentas, o software malicioso, e que há milhares que as exploram, montando peças já existentes?

É verdade. Existem poucos programadores, que são aqueles que criam as ferramentas que depois são vendidas aos operadores, que produzem o malware e o distribuem às vítimas. Vi operadores realmente ignorantes, que não sabem nada da técnica e que precisam perguntar ao pessoal do suporte. Olha, como uso esta ferramenta? Quais teclas virtuais tenho que assinalar? O custo de entrada neste mundo é muito baixo.

E isso é uma nova tendência?

Começou há três ou quatro anos, mas cada vez mais é fácil tornar-se um hacker.