17 setembro 2012

Apelo: a Internet devia ser uma zona desmilitarizada

Qual é a diferença entre um míssil nuclear e malware?

A resposta não é difícil – o malware pode ter a mesma importância tática que um míssil, mas um míssil não pode ser usado para destruir o malware. Com as ferramentas certas, um míssil pode ser “desviado por malware”, mas nenhum tipo de poder de fogo pode acabar com o software malicioso a partir do momento em que este é ativado.

Ao contrário das armas tradicionais, o malware pode replicar-se indefinidamente. E enquanto um míssil pode ser controlado de alguma forma, o malware tem tendência para atacar indiscriminadamente: ninguém sabe quem é que vai ser prejudicado, nem que caminhos o malware poderá percorrer até chegar ao seu destino. Nos recantos insondáveis da rede, a partir do momento em que um black hat lança um programa malicioso para ganhar dinheiro fácil, tudo pode acontecer. É impossível calcular que efeito terá, o que será infectado por acidente, e pode até ser que o feitiço vire contra o feiticeiro, prejudicando os seus próprios criadores. Há uma probabilidade de cometermos erros em tudo aquilo que fazemos – e escrever códigos de programação, maliciosos ou não, não é exceção. Há vários exemplos deste tipo de “dano colateral” – falo de alguns num post anterior sobre as fortunas na Internet.

Pelo menos, alguns esforços conjuntos já têm sido feitos no combate aos cibercriminosos.

A indústria da segurança está apertando a fiscalização aos cibercriminosos, e grandes empresas como a Microsoft também já se estão envolvendo no assunto. Outras organizações, não-comerciais e intergovernamentais, estão também se juntando à causa. Os Governos estão entendendo que a Internet pode ser uma verdadeira “estrada para o Inferno”, e começam a tomar consciência da necessidade de fazer alguma coisa. Já é um progresso.

No entanto, estou mais preocupado com outra faceta da segurança na Internet. Os pequenos truques de um cibercriminoso podem ser insignificantes quando comparados com uma ciberguerra em grande escala. Sim, leram bem – uma guerra cibernética na Internet! É aqui que as coisas se complicam e se tornam muito mais obscuras.

Estes são os fatos.

Em primeiro lugar, os exércitos de diferentes países têm estado ocupados na criação de ciberunidades dedicadas e a “forjar” ciberarmas (a lista de exemplos inclui: o cibercomando dos EUA, Índia, Reino Unido, Alemanha, França, UE, NATO, China, Coreia do Sul e Coreia do Norte).

Em segundo lugar, os casos de espionagem industrial e os atos de sabotagem são do conhecimento geral (veja as notícias sobre ataques de alto nível, como o Stuxnet e o Duqu, que têm países por trás).

Em terceiro lugar, as notícias sobre ataques cuidadosamente planejados estão sendo reveladas a um ritmo alarmante (bem, todos temos uma noção de quem está por trás de tudo isso). Até um novo termo foi criado para descrever esta ameaça: Advanced Persistent Threat (APT).

Não resta dúvida de que isto é apenas a ponta do iceberg. Sempre que descobrimos um programa malicioso ao estilo do Stuxnet nos damos conta que:

  • O malware foi descoberto por causa de um erro ou por acidente.
  • O programa malicioso já se encontrava em várias redes há algum tempo – fazendo o quê, só podemos imaginar.
  • Muitas das funcionalidades técnicas do malware – e os objetivos do seu criador – continuam envolvidos numa rede de mistério.

Entendem onde quero chegar?

Claramente, estamos perante um barril de pólvora, estamos pondo em causa toda a base em que a Internet e todas as infraestruturas do mundo estão baseadas. As forças militares estão gradualmente transformando a Internet num enorme campo minado.  O simples pressionar de uma tecla pode, potencialmente, causar um caos tão grande que todos seriam afetados. Pressionar o botão errado pode fazer tudo parar bruscamente – não apenas os computadores. Poderia desencadear ações no mundo real, assim como no virtual – estações nucleares, talvez. Um conflito na rede poderia transformar-se rapidamente num conflito militar. Não é exagero os EUA compararem os ataques de hackers a uma invasão – claramente veem quais são as possíveis consequências. E quanto mais fundo analisarmos, mais assustador fica o cenário.

E piora. Esse malware, militarizado ou não, possui erros no código. Uma mosca pousou no teclado do programador, era sexta-feira à noite ou os testes não foram feitos corretamente – tudo pode acontecer. Um bug típico num software tradicional normalmente tem efeitos controlados – o sistema do computador pode colapsar ou uma turbina pode parar, ou, na pior das hipóteses, alguma coisa, em algum lugar, deixa de funcionar. Se estivermos falando de um míssil guiado convencional, este pode explodir no momento ou no lugar errado. Mas com a nova vaga de malware militar, um erro pode ter consequências verdadeiramente catastróficas. E se o código malicioso atingir não só o alvo mirado, mas também outros objetos similares em todo o mundo? Como distinguiria alvos reais de alvos não desejados? Se o malware tem como alvo uma estação de energia nuclear específica, mas acaba por atacar todas as estações de energia nuclear, o que é que pode acontecer? A Internet não tem fronteiras, e a maior parte das estações de energia são construídas com baixos padrões de segurança. O alvo pode ser só um, mas o número de potenciais vítimas pode ser muito maior – e em qualquer ponto do planeta.

Espero sinceramente que não ignorem estes alertas, como aconteceu no caso dos worms autopropulsionados e nos ataques dirigidos a projetos industriais. Gostaria MUITO de estar enganado.

Este malware militar é bancado por profissionais top, um financiamento generoso, e tem acesso a poderosas fontes técnicas e materiais. Sem isso, como é que alguém conseguiria personalizar o Stuxnet para atacar os reatores iranianos? Agora temos a chave de ouro, os certificados digitais, que são atualmente a garantia de confiança na Internet (outro alerta, já agora). Sobre as armas cibernéticas que já estão preparadas e prontas para serem utilizadas, só podemos fazer suposições, mas o futuro não parece nada promissor. Toda essa área foge ao controle da sociedade – é quase uma anarquia, onde todo mundo faz o que quer. Como mostra o Stuxnet, a comparação do míssil continua fazendo sentido – o malware pode causar o mesmo dano que uma arma militar convencional.

No entanto, há uma diferença.

Todas as armas – especialmente as armas de destruição massiva, juntamente com a tecnologia nuclear em geral – são mais ou menos controláveis, pelo menos em teoria. As Nações Unidas têm a sua Agência Internacional de Energia Atômica, há um sistema internacional de acordos de não-proliferação e o Conselho de Segurança da ONU reage de forma severa às tentativas de alguns países de se juntarem ao “clube nuclear” (como descobriu o Irã). É claro que a política, os subterfúgios e os padrões ambíguos desempenham aqui um papel importante – mas isso não tem nada a ver com a ideia que estou apresentando aqui.

E essa ideia é:

Tendo em conta o fato de que a paz e a estabilidade mundial dependem da Internet, é necessário criar uma organização internacional que controle as armas cibernéticas. Uma espécie de Agência Internacional de Energia Atômica, mas dedicada ao espaço cibernético. Idealmente, esta agência replicaria as estruturas de segurança nuclear que já temos e as aplicaria ao ciberespaço. Em particular, deveríamos considerar o uso de ciberarmas um ato de agressão internacional e colocá-lo no mesmo nível do ciberterrorismo.

Idealmente, a forma correta de fazer isto seria proclamar a Internet uma zona desmilitarizada – uma espécie de ciber Antártida. Não sei se esse tipo de desarmamento seria possível. Já perdemos a oportunidade, já foram feitos investimentos, as armas já foram produzidas e a paranóia já está aí. Mas os países têm que, pelo menos, chegar a um acordo quanto às regras e mecanismos de controle no que diz respeito às armas cibernéticas.

Sei que implementar esta ideia não é nada fácil. A sociedade ainda encara os computadores e a Internet como uma realidade virtual, brinquedos que não têm relação com a vida real. Que erro crasso! A Internet faz parte da realidade do dia a dia! E já salientei as consequências que esta atitude benevolente pode trazer. Este tema já foi discutido durante vários anos nos círculos dos profissionais de segurança. Eu sou apenas o primeiro a torná-lo público.

E, por favor, lembrem-se da primeira e mais importante regra de segurança:

— Não disparem sobre o mensageiro! Por favor! —

LEIA COMENTÁRIOS 0
Deixe um comentário.
Facebook

27 fevereiro 2024

Prêmios nunca são demais

Fala pessoal! Hoje, estou escrevendo direto da Áustria!… Mas eu não fiz essa viagem apenas para ver pelas janelas o clima sombrio da Europa. Eu fui a negócios – vários; em primeiro lugar – receber isso aqui pessoalmente! -> …Quando a sua empresa é premiada com nada menos do que “Produto do Ano”, por ninguém […]

27 junho 2023

Alto escalão da Infosec: de volta – pessoalmente – à SAS!

Preparem as trombetas, ouça o rufar de tambores, aplausos, vivas e  assobios! Eis duas novidades para você: uma é boa, a outra é… ainda melhor! Primeiro: este ano teremos nossa 15ª conferência anual de cibersegurança – a Security Analyst Summit (SAS). Décima quinta?! Gente… o tempo voa! Segundo: finalmente estamos de volta ao formato offline, […]

19 janeiro 2023

Retrospectiva 2022: patentes chegando com tudo!

Inventar novas tecnologias de ponta é apenas a metade do caminho. Espere – na verdade. não: não sejamos tão categóricos… Uma nova tecnologia de ponta que seja de fato inovadora tem um movimento de ciclo de vida muito mais complexo e longo do que pode ser inicialmente imaginado por muitos. Claro, sem a invenção em […]

11 novembro 2022

11.11: Celebração de 20 anos!

Saudações meninos e meninas! Do nada, chegamos a outro marco histórico. Viva! Nosso sistema operacional ciberimune – KasperskyOS – faz hoje… não, espera aí. Não é exatamente isso… Há exatos 20 anos – em 11 de novembro de 2002 – iniciamos uma longa e sinuosa jornada; uma trajetória que, de fato, ainda se encontra em […]

21 julho 2022

Cibercontos do lado sombrio (e luminoso): hack criptográfico audacioso, K fica neuromórfico e como entrar em um data center pelo… banheiro!

Fala pessoal! Para aqueles que ainda estão suando no escritório, não tiveram a sorte de ter saído para algumas férias de desintoxicação digital de verdade, para manter sua mente fora do calor, algumas iNews deliciosas, também conhecidas como Contos obscuros (e claros) do cibermundo – histórias ainda mais extraordinárias e difíceis de acreditar do mundo […]

5 julho 2022

Um “Kuarto” de século? Parece que passou voando, não?

Fala galera! Há 25 anos e 9 dias – em 26 de junho de 1997 – a empresa que, por acaso, tem o mesmo nome que o meu foi registrada. E foi um “início humilde” no sentido mais verdadeiro: cerca de uma dúzia de pessoas com rotatividade zero – mas com algum conhecimento técnico especial […]

Mais

Vlog de Viagens