Segundo Sun Tzu, “a arte da guerra nos ensina a não confiar na probabilidade de o inimigo não estar vindo, mas na nossa própria prontidão para recebê-lo; não na chance de ele não nos atacar, mas sim no fato de que fizemos a nossa posição inatacável”. Ao ter a oportunidade de acessar uma parte do conteúdo obtido pelo denunciante Edward Snowden, a respeito do programa clandestino de vigilância eletrônica de dados em massa denominado Prism, a frase do estrategista chinês foi a primeira que me veio à mente.
Operado pela Agência de Segurança Nacional dos Estados Unidos (NSA), Prism é um nome de código governamental americano que se refere a um esforço de coleta de dados conhecido oficialmente por Sigad US-984XN. O material que acessei é composto por slides cujo conteúdo possuía todas as evidências de que foram destinados a treinamento de agentes da NSA. Pelo que foi possível perceber, os módulos do programa Prism a que tive acesso (com codinomes bem pitorescos, como “FlyingPig” – e logomarca de um leitão com asas) mapeiam diversas informações sobre as comunicações de um alvo previamente selecionado, composto principalmente por nomes de empresas bem conhecidas, como a Petrobras, além de outras grandes empresas multinacionais e mesmo um órgão de relações exteriores de um país europeu. O poder do sistema me pareceu assombroso: não apenas mapeia e coleta tudo o que encontra pela frente a respeito do alvo, como também parece “aprender” cada vez mais a respeito dele, utilizando filtros de interesse.
“Toda operação militar tem o logro como base”
Porém, o que mais me chamou a atenção foi o mapeamento do caminho percorrido pelos dados que trafegam nos protocolos de segurança da internet, que utilizam criptografia na web (como o SSL e o TLS – aqueles que “fecham o cadeado verde” no navegador). O sistema da NSA parece permitir ao agente se concentrar inclusive em dados armazenados após o trecho em que circulam criptografados, uma vez que são mais fáceis de manusear e acessar. Como conclusão, o que poderia se destinar a proteger a comunicação de uma grande empresa, como a Petrobras – ou seja, o uso de protocolos seguros (SSL, TLS) –, não apenas não consegue protegê-la contra uma agência de inteligência governamental com o poderio computacional da NSA, como também pode servir como “mapa da mina” para os agentes de espionagem poderem focar no que é importante.
A recomendação para se defender, neste caso em pauta, é tentar gerir o “problema da coleta”. Ou seja, em um cenário de verdadeira guerra cibernética, deve-se criptografar tudo – o que é sensível e o que não é, pois, assim, o “mapa da mina” pode se tornar confuso para quem espiona. O que, finalmente, nos remete novamente a outra frase de Sun Tzu: “Toda operação militar tem o logro como base.”
******
Paulo Pagliusi é especialista em segurança eletrônica e presidente da CSABR (Cloud Security Alliance Brasil)