Não existe sistema 100% seguro, diz especialista sobre maior ataque hacker já registrado

TIMES BRASIL - LICENCIADO EXCLUSIVO CNBC

Marcos Monteiro, presidente da Associação Nacional dos Peritos em Computação Forense, explica os detalhes do maior ataque hacker já registrado contra instituições conectadas ao Banco Central. A invasão, que envolveu credenciais legítimas e movimentações milionárias via Pix, revela falhas críticas em APIs bancárias e levanta debate sobre segurança digital no setor financeiro.   🚨Inscreva-se no canal e ative o sininho para receber todo o nosso conteúdo!   Siga o Times Brasil nas redes sociais: @otimesbrasil   📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:   🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais   🔷 TV SINAL ABERTO: parabólicas canal 562   🔷 ONLINE: https://timesbrasil.com.br | YouTube   🔷 FAST Channels: Samsung TV Plus, LG Channels, TCL Channels, Pluto TV, Roku, Soul TV, Zapping | Novos Streamings   #CNBCNoBrasil  #JornalismoDeNegócios  #TimesBrasil

Transcript

00:00Eu converso agora com Marcos Monteiro, ele é presidente da Associação Nacional dos Peritos em Computação Forense.

00:07Marcos, boa noite, obrigada por ter aceitado o nosso convite.

00:10Marcos, é possível ter certeza sobre a extensão, a dimensão desse ataque?

00:16Boa noite. É possível porque, apesar dos criminosos, perceba, para que esse ataque fosse possível,

00:23os criminosos tiveram, em algum momento, acesso às credenciais da instituição, que seria o BNP,

00:32que ela representa, ela possibilita que outras pequenas instituições possam se fazer como uma instituição direta ou indiretamente,

00:44como sendo uma financeira.

00:45Então, perceba, o BNP funciona como banco, como serviço, a service.

00:52Quando você vai lá numa loja de varejo e tem aquela garota lá lhe oferecendo para fazer um cartão de crédito,

00:59aquele rapaz lhe oferecendo para fazer o cartão de crédito, o que aquela loja do varejo,

01:03o que permite que ela consiga transacionar como sendo uma empresa que não é uma financeira,

01:10mas trabalha num cartão de crédito, é a contratação de um serviço como o BNP,

01:15que é um banco sobre serviço.

01:18E essa instituição, o BNP, ela contratava uma outra instituição, que é a CIM Software, que fazia conexão.

01:25Perceba, existem sete empresas hoje no Brasil que estabelecem conexão entre instituições bancárias,

01:33293 instituições bancárias, com o Banco Central.

01:36As maiores instituições bancárias do Brasil, ela faz uma conexão direta com o Banco Central

01:41para poder fazer, dentre as muitas transações, principalmente hoje em dia, o PIX.

01:46Nesse caso concreto, o que acontece é que o BNP utilizava uma dessas sete empresas

01:51que fazia essa conexão com o Banco Central, e essa conexão, ela foi explorada,

01:57a vulnerabilidade, mas por si só, o que se entende é que não foi suficiente.

02:02Ou seja, os criminosos, eles utilizavam esse canal de comunicação entre o BNP e o Banco Central,

02:09se fazendo passar pelas instituições que o BNP representava.

02:14Portanto, tinham credenciais para isso.

02:18E o que me assusta mais é que a maioria dessas transações milionárias ocorreram

02:24numa madrugada de domingo para segunda-feira.

02:26Você imagina que eu queira fazer um PIX de 18 milhões de madrugada,

02:31eu não vou conseguir fazer, mas os criminosos conseguiram fazer.

02:35E parte desse recurso foi recuperado, porque parte desse valor feito a partir de PIX,

02:43milionário, em algum momento se tentou fazer compras de criptomoedas,

02:49e algumas instituições que fazem essa intermediação de transformar dinheiro em criptomoedas

02:54em criptomoedas, acharam estranho aquele volume e reportaram, e bloquearam e pararam,

03:00porque senão o prejuízo poderia ser muito maior.

03:03Marcos, há risco de sistemas do próprio Banco Central serem atingidos no ataque de maiores proporções?

03:10Nesse caso, ele não representa exatamente o risco ao Banco Central.

03:19Perceba, o Banco Central, nesse momento, ele parece como se fosse o nosso banco.

03:24Imagina que alguém entrou no meu banco, onde eu tenho uma conta, com as minhas credenciais,

03:31sendo o meu aparelho celular, e perceba, o banco vai criando várias medidas de segurança,

03:37onde vai restringir a sua transação ao seu aparelho celular, com o seu usuário,

03:42com os números da sua conta, com a sua senha.

03:45Por isso, o criminoso tinha tudo isso, porque a origem da transação era a origem autorizada,

03:50que era o BMP, e o destino era o Banco Central, e o Banco Central só respondeu aquilo.

03:55Ele se limitou apenas a essa conta, essa conta chamada conta reserva.

04:00Essa conta reserva, que representando o BMP, ela, por tabela, representava as instituições

04:05pelo qual o BMP prestava esse serviço.

04:09Não é a primeira vez que uma conta reserva sofre um ataque dessa natureza,

04:15mas essa, com certeza, foi o maior ataque.

04:19Então, perceba, o fato de alguém entrar na minha conta bancária de pessoa física,

04:25e a partir dessa conta bancária, tirar o meu dinheiro,

04:28isso não necessariamente quer dizer que o meu banco é que foi o atacado,

04:33eu que fui o atacado.

04:34Nesse caso, quem foi o atacado foi o BMP,

04:38que com as credenciais deles, eles se fizeram passar muito bem,

04:43como sendo o BMP,

04:45e aí a instituição, porque quem transaciona isso é a CIM,

04:50e a CIM, eles diziam, olha, a origem dessa transação é a BMP,

04:54que tem esse login, que tem essa senha, que tem essas credenciais,

04:59e o Banco Central nada poderia, em tese, fazer, a não ser acreditar,

05:03porque a origem tinha os critérios de segurança da informação necessária

05:09para crer que a autenticação era a legisla.

05:12Na sua opinião, essa resposta do BACEN foi adequada?

05:16A resposta do BACEN, nesse caso?

05:18Sim.

05:18Sim, perceba que imediatamente o Banco Central cortou a conexão com a CIM,

05:26então outros clientes que não foram vítimas,

05:31mas utilizavam da CIM para transacionar, sofreram impacto,

05:35é tanto que algumas instituições bancárias,

05:38em um breve momento, as pessoas que não conseguiam fazer PIX,

05:42não é que não conseguiam fazer PIX,

05:43porque aquela instituição bancária tinha sofrido o ataque,

05:46é porque aquela instituição bancária,

05:49ela estava, em algum momento, estava contratando a BMP,

05:53e a BMP estava contratando a CIM,

05:56que estava conectando o Banco Central.

05:59A própria CIM cortou a conexão,

06:03a própria BMP cortou a conexão de PIX,

06:06para poder parar a grande quantidade de PIX que estava sendo feita,

06:10não era uma transação,

06:11não foi uma transferência de 400 ou 800 milhões, como você acredita,

06:14foram muitas transferências milionárias que aconteceram de madrugada,

06:20sabe-se aí, provavelmente, uma de 18 milhões que ocorreu,

06:24por exemplo, 4 horas da manhã,

06:25então foram várias transações feitas no período da madrugada,

06:30e essas transações, elas eram do BMP,

06:34utilizando o CIM software,

06:36a BMP já parou os seus clientes,

06:40ou seja, desconectou, tirou da tomada a função de PIX,

06:43a própria BMP fez isso primeiro,

06:45para poder diminuir e reduzir aquela sangria,

06:48e aí em seguida o Banco Central também o fez,

06:51desconectando totalmente o CIM,

06:52até que se saiba exatamente qual a vulnerabilidade explorada,

06:56e que os bancos possam, a tempo necessário,

07:01se adaptar a outras 6 empresas que ainda existem,

07:04para poder restabelecer as suas conexões com o Banco Central.

07:06Marcos, essa empresa que foi atacada,

07:09ela prestava um tipo de serviço,

07:12digamos assim, como intermediário tecnológico,

07:16queria que você explicasse isso mais detalhadamente,

07:18para quem não entende exatamente o que é,

07:21e se na sua opinião,

07:22isso deveria ser evitado em nome da segurança?

07:27Olha só, interessante,

07:28o que essa empresa é, é uma API,

07:33que quer dizer interface de programação entre aplicações,

07:37todo o universo da computação mundial,

07:40ela funciona com milhares e milhares e milhares de APIs,

07:44ou seja, toda vez que eu tenho um programa,

07:46que quer conversar com outro programa,

07:48e são dois programas desenvolvidos por empresas diferentes,

07:51você tem que fazer um programa intermediário,

07:54para poder falar de um com o outro,

07:56a forma mais simples de dizer é,

07:58eu não sei falar mandarim,

08:00eu contrato uma API,

08:01para poder traduzir o português para o mandarim,

08:05e vice-versa,

08:06então quem estabelece uma conexão entre um ponto e outro,

08:09é essa que é uma API.

08:12Essa API, ela está,

08:14como as diversas instituições bancárias que existem no Brasil,

08:18elas têm que seguir uma série de regras de segurança da informação,

08:22que o Banco Central impõe,

08:24não existe nenhum sistema 100% seguro,

08:28e não existe nenhum sistema no mundo que seja independente,

08:32que não precise de uma API.

08:35Se você pega as maiores instituições bancárias do Brasil,

08:38que são poucas,

08:39as maiores bancos,

08:41eles conversam diretamente com o Banco Central,

08:45mas eles desenvolvem a API deles,

08:48então ele tem um sistema deles,

08:50ele tem a API deles,

08:51e conversa com o Banco Central.

08:52A diferença só cabe aí a deles.

08:55Então, quando você cria uma instituição como essa,

08:58o BNP,

08:59que faz o Bank of Service,

09:02ele possibilita, por exemplo,

09:03que várias instituições financeiras

09:06criem vários bancos digitais,

09:09por exemplo,

09:10onde você precisa de bem menos infraestrutura,

09:13porque você terceiriza isso.

09:15E a terceirização de risco

09:16é uma das formas de se trabalhar o risco

09:19segundo a segurança da informação.

09:21Então, não é exatamente errado isso.

09:24A terceirização de risco

09:26é o que acontece nesse caso,

09:28por exemplo,

09:28onde nenhum cliente corre o risco

09:30de sofrer o prejuízo,

09:32porque já existia um colateral depositado,

09:34ou seja, um dinheiro depositado,

09:36e para isso é que existe a conta reserva

09:38do Banco Central,

09:39que é aquele dinheiro que garante,

09:42que supra os riscos,

09:44é como se fosse um seguro

09:45que o Banco Central impõe.

09:47Então, isso é um tipo de terceirização de risco.

09:51Imagina que eu boto o dinheiro no meu banco

09:54e o banco somente,

09:56se o banco amanhã ele quebra,

09:58ele para de funcionar,

10:00o Banco Central ou outro tipo

10:02de instituição ou fundo

10:05que tenha como obrigação

10:07ter esse colateral depositado,

10:08ele vai lá cobrir aquele prejuízo.

10:11Então, isso é um tipo de terceirização de risco.

10:13Não é errado, mas é óbvio,

10:16nenhum sistema é 100% seguro.

10:18E nesse caso concreto,

10:20há de se investigar em que,

10:22aonde estavam essas credenciais.

10:24Por quê?

10:25O ataque só se foi possível,

10:27não só pela exploração de um sistema,

10:30mas a pouca informação que já foi divulgada,

10:33é que foi utilizado o credencial,

10:35ou seja, usuário e senha.

10:36Esse usuário e senha estava em algum lugar,

10:38e esse algum lugar não necessariamente

10:41era na própria C&M.

10:42poderia ser da BMP

10:44ou poderia até ser

10:46nas empresas que contratavam a BMP.

10:49Então, olha só,

10:50nós temos a possibilidade,

10:51a credencial está na empresa

10:53que contratou a BMP,

10:54as credenciais estavam na BMP,

10:56as credenciais estavam na empresa C&M.

10:59Em algum desses lugares,

11:00o criminoso primeiro teve acesso

11:02a essas credenciais

11:03para permitir,

11:05para possibilitar o crime cometido.

11:07Marcos, muito obrigada.

11:09Você deixou muito claro aí

11:10o cenário pelo qual a gente passou

11:13em relação a esse ataque hacker.

11:15Obrigada mesmo.

11:16Obrigado.

11:17Boa noite.

Categoria

Transcrição

Seja a primeira pessoa a comentar

Recomendado