The Flame: a “chama” que mudou o mundo

Por mais que eu viva, nunca vou esquecer o Oktoberfest de 2010. Sim, gosto muito de cerveja, especialmente da alemã, e ainda mais no Oktoberfest. A verdade é que nem sequer me lembro muito bem da cerveja, e não é porque tenha bebido demasiado 🙂 Foi por essa ocasião que recebemos as primeiras notícias sobre uma tendência muito chata, que eu já temia há alguns anos. É isso mesmo, foi a primeira vez que o Stuxnet apareceu – o primeiro malware criado com o apoio de um Estado e desenhado para cumprir uma missão militar específica. Foi exatamente sobre isto que falamos na nossa conferência de imprensa no Oktoberfest: “Bem-vindos à era da guerra cibernética!” Já parecia bastante óbvio nessa altura que o Stuxnet era apenas o início.

De fato, pouco mudou desde esse setembro até hoje. Todo mundo já tinha uma ideia sobre de onde o Stuxnet tinha vindo e de quem estava por trás da sua criação, apesar de nenhum Estado ter assumido a responsabilidade; na verdade, todos se afastaram da autoria do ataque o mais que puderam. A reviravolta veio no fim de maio, quando descobrimos um novo malware que também não deixava dúvidas quanto às suas origens e objetivos militares.

Sim, estou falando do Flame.

Deixando os detalhes técnicos de lado: qual é o significado histórico do Flame? Por que tanto rebuliço sobre este malware em particular? Até que ponto é perigoso e que tipo de perigo expõe? As armas cibernéticas podem vir a fazer parte da política militar dos Estados e desencadear uma nova corrida às armas? Estas questões podem parecer estranhas e até mesmo alarmantes – é apenas um vírus, não é nada demais! Afinal, não me vai impedir de saborear um croissant quentinho de manhã (ou o meu dim sum :), pois não? Bem, se o desenvolvimento de malware militar continuar a proliferar sem controle, a falta do croissant de manhã ou do café da manhã chinês vai ser o menor dos nossos problemas.

Na semana seguinte à descoberta do Flame, apareceram algumas notícias imprevisíveis. Em suma, as notícias atualizavam a percepção da estratégia militar e demonstravam que os Estados estavam utilizando, com sucesso, várias ciberarmas nas suas ofensivas já há alguns anos.

No dia 1º de junho, o New York Times publicou um artigo de referência que apontava o dedo aos EUA como responsável pelo Stuxnet – e Washington não negou. Pelo contrário – a Casa Branca expressou a sua ira em relação à fuga de informação e ordenou uma investigação. Ao mesmo tempo, Israel também deixou de inibições e, não indo muito mais além do que reconhecer a sua participação neste(s) incidente(s), finalmente admitiu o seu interesse no desenvolvimento e implementação de armas cibernéticas.

Vejamos agora as potenciais repercussões destas notícias.

Primeiro, o Stuxnet, o Duqu e o Flame provaram que as ciberarmas são: a) eficazes; b) muito mais baratas que as armas tradicionais; c) difíceis de detectar; d) difíceis de atribuir a um atacante em particular (tornando as medidas de proteção proativas virtualmente inúteis); e) difíceis de evitar, tendo em conta as vulnerabilidades de software desconhecidas; f) replicáveis sem custos adicionais. E mais: a natureza aparentemente inofensiva destas armas faz com que os seus criadores não tenham grandes problemas em lançá-las, sem pensarem muito nas consequências. E há consequências! Tanto que um cenário como o do filme Die Hard 4 (Duro de Matar 4) pode muito bem acontecer. Mais detalhes abaixo.

Em segundo lugar, os recentes exemplos justificaram a utilização de ciberarmas tanto ética como legalmente. Estou certo de que outros países também já utilizavam tais tecnologias, mas antes disso o assunto nem sequer era discutido e tudo era feito na surdina, aos poucos. Agora, ninguém vai voltar atrás. E os países que não tiverem armas cibernéticas vão ser considerados retrógrados por uma “sociedade militar decente”. Como consequência, a curto prazo, os orçamentos cibermilitares vão aumentar consideravelmente e vamos assistir a uma corrida às armas numa dimensão cibernética. E como todo mundo sabe, as armas foram feitas para disparar.

Em terceiro lugar, a falta de algum tipo de convenção internacional (ou seja, de um acordo que dite as “regras do jogo”) sobre o desenvolvimento, implementação e distribuição de ciberarmas e a não existência de um tribunal arbitral dá abertura para algumas ameaças muito reais:

  • A emergência de malware particularmente perigoso, que, de forma deliberada, acidental ou por algum tipo de efeito “boomerang”, pode atacar infraestruturas críticas, capaz de desencadear desastres econômicos ou ecológicos a uma escala regional ou global.
  • A utilização de armas convencionais em resposta a ataques que envolvem armas cibernéticas. No ano passado, os EUA anunciaram que se reservavam o direito de responder a um ciberataque com meios militares tradicionais.
  • Uma imitação, provocação ou interpretação errada de um ciberataque para justificar um ataque militar noutro Estado. Uma espécie de Pearl Harbor cibernético.

Atualmente não há muita gente que compreenda o perigo das ciberarmas. É difícil acreditar que um vírus, alguns poucos de megabytes de código, pode, por exemplo, causar um acidente numa estação nuclear, um incêndio num oleoduto ou a queda de um avião, não é?  Mas a humanidade está cada vez mais dependente das tecnologias de informação ao longo dos anos, muitas vezes de forma imperceptível.

Voltemos, por exemplo, à questão do croissant.

Os croissants são feitos numa padaria, onde computadores são utilizados no departamento de contabilidade, no armazém e nos sistemas responsáveis pela mistura da massa e controle dos fornos. Os ingredientes são fornecidos à padaria por fábricas, também elas automatizadas. Toda a logística entre elas envolve computadores e redes. A eletricidade, a água, os esgotos e outros serviços municipais também são fornecidos por empresas informatizadas. Até o elevador que entrega o croissant na doceira da moda é gerido por um sistema TI dedicado. E ainda há o cartão de crédito utilizado para pagar o croissant…É preciso dizer mais?

Todos estes locais são potenciais alvos de um ciberataque. E depois temos o Stuxnet, que fez com que os reatores nucleares de algumas instalações no Irã deixassem de funcionar. Uma padaria ou estação de tratamento de água não deve ter uma proteção melhor. Na verdade, é tudo muito pior – as infraestruturas industriais e críticas operam em sistemas SCADA vulneráveis que, ainda por cima, estão frequentemente ligados à Internet. E a lentidão dos desenvolvedores destes sistemas na correção de vulnerabilidades (que podem ser exploradas para levar a cabo um ciberataque) deram origem a um novo termo: “forever days”.

No que diz respeito ao potencial destrutivo, as ciberarmas não são, de forma alguma, inferiores às armas nucleares, biológicas ou químicas. Mas, diferentemente destas armas de destruição massiva, as ciberarmas não estão sujeitas a nenhum tipo de controle e têm a particularidade de serem invisíveis, onipresentes e “precisas” (alguns “especialistas” foram ainda mais longe e declararam que as armas cibernéticas no fundo contribuem para a paz no mundo) o que as torna ainda mais tentadoras.

Ao desenvolver ciberarmas, estamos atacando a estrutura em que estamos apoiados. E, como consequência, os países desenvolvidos, por serem as entidades mais informatizadas do mundo, vão sofrer mais.

Para ser honesto, estou pessimista. Espero estar enganado. Acho que já não é possível que os países cheguem a um acordo quanto às regras da ciberguerra. Neste momento, estamos fornecendo conhecimentos técnicos à União Internacional de Telecomunicação(ITU) das Nações Unidas. Estão tentando criar, pelo menos, uma espécie de sistema para governar o ciberespaço de acordo com as linhas da Agência Internacional de Energia Atômica (IAEA). Mas alguns artigos na mídia mostram que há países que estão resistindo a estes esforços. Na verdade, quem é que precisa de regulação para armas tão promissoras e “inofensivas”? Penso que os governos só vão entender completamente o perigo real das ciberarmas depois de serem violentamente atacados, como aconteceu em 2003 na costa noroeste dos EUA, – nesse incidente em particular não há dúvidas sobre a sua causa real. Como diz o provérbio português: “casa roubada, trancas à porta”. Fico me perguntando se podemos ser mais inteligentes que isto no século 21?

Conclusões:

  • A comunidade internacional precisa tentar chegar a um acordo que regule o desenvolvimento, aplicação e proliferação de ciberarmas. Isto não iria resolver todos os problemas, mas pelo menos ajudaria a estabelecer as regras do jogo, integrando as novas tecnologias militares na estrutura das relações internacionais, prevenindo o desenvolvimento descontrolado e a utilização negligente.
  • As infraestruturas e as instalações industriais, os sistemas financeiros e de transportes, ferramentas e outros objetos de importância crítica deveriam rever a sua abordagem de segurança da informação e, sobretudo, deviam se isolar da Internet, procurando software alternativo que responda aos novos desafios dos sistemas de controle industrial.
  • Apesar de a indústria de segurança ter estado mais concentrada no combate a epidemias em massa durante muitos anos, o seu arsenal inclui tecnologias de proteção que, muito provavelmente, são capazes de prevenir ataques dirigidos por ciberarmas. No entanto, isto requer que os usuários repensem o paradigma da segurança e introduzam um sistema de proteção de vários níveis.
  • O Stuxnet, o Duqu e o Flame são só a ponta do iceberg. Só podemos imaginar que outras ciberarmas estão a circular pelo mundo. Estou certo que vamos fazer mais descobertas em breve. Só espero que o cenário não se torne demasiado assustador.
  • Por sermos uma empresa global, cuja principal missão é garantir a segurança dos nossos clientes, declaramos oficialmente que vamos lutar contra qualquer ciberarma, independentemente do seu país de origem e das tentativas para nos forçarem a “colaborar”. Consideramos que qualquer acordo a este nível seria incompatível com os nossos princípios éticos e profissionais.

As ciberarmas apoiadas pelos Estados são uma ameaça real que apenas está dando os primeiros passos em direção a uma utilização em massa. Quanto mais cedo os Estados entenderem as possíveis consequências de uma ciberguerra, mais seguras estarão as nossas vidas. Não podia concordar mais com Bruce Schneier:

Os tratados de ciberguerra, por mais imperfeitos que sejam, são a única forma de controlar a ameaça.

Conseguiriam imaginar uma ordem mundial sem tratados internacionais que regulassem a utilização de armas nucleares, químicas e biológicas? A IAEA não impediu que a Índia, Israel, a Coreia do Norte e o Paquistão desenvolvessem as suas próprias armas nucleares. No entanto, estes tratados claramente apontam o que está bem e o que está mal, estabelecendo as regras do jogo!

LEIA COMENTÁRIOS 0
Deixe um comentário.