No Complexo de Segurança Nacional de Oak Ridge, criado no estado americano do Tennessee em 1943, durante a Segunda Guerra Mundial, pela primeira vez o urânio foi enriquecido como parte do Projeto Manhattan, para a fabricação da bomba atômica. Passadas quase sete décadas, no Departamento de Engenharia e Ciências da Computação do mesmo laboratório, cérebros da informática trabalham com afinco na criação de um sistema capaz de detectar e repelir ciberataques em grandes organizações.
A ofensiva contra sites das administradoras de cartão de crédito Visa e Mastercard, na semana passada, pelo grupo de hackers Anônimo – em represália às empresas que suspenderam seu apoio ao australiano Julian Assange e seu controverso WikiLeaks – mostra que a dissuasão cibernética é um dos maiores desafios do século XXI, exatamente como previu, há mais de dez anos, o pensador francês Paul Virilio, autor de A bomba informática. Neste novo campo de batalha, mouses terão tanta importância no futuro como canhões no passado.
Em pleno embate internacional sobre o controverso programa nuclear iraniano, especulou-se sobre o envolvimento dos EUA e de Israel nos ciberataques que recentemente tiraram temporariamente de funcionamento centrífugas de enriquecimento de urânio. Em maio de 2007, a Estônia foi abalada por ataques cibernéticos que atingiram os sites de Parlamento, Presidência, ministérios e até os sinais de trânsito da capital, Tallin. As autoridades do país acusaram os russos como os responsáveis pelos estragos. O motivo seria a tensão diplomática entre os dois países desde que a Estônia retirou de uma praça da capital a estátua de bronze de um soldado soviético, considerada símbolo da opressão da antiga União Soviética. Por sua vez, o polêmico caso WikiLeaks revelou documentos secretos em que um diplomata americano afirmava ter informações de que o ciberataque ao Google na China, em dezembro de 2009, foi ordenado pelas mais altas hierarquias do governo de Pequim.
– A estrutura da internet, em que há descentralização de sistemas e legislação, permite todo tipo de ações isoladas que podem causar grandes danos. Mas não fechemos os olhos para a oportunidade que a rede representa para ações mais organizadas, tanto por governos quanto grupos terroristas. Não tenho dúvidas de que esse front ainda será muito explorado – alerta Hillar Aarelad, coordenador da Equipe Informática de Resposta de Emergência, quartel-general de defesa cibernética da Estônia.
Formas de pressão
James Lewis, especialista em cibersegurança do Centro para Estudos Estratégicos e Internacionais, aponta seis países com capacidade militar para causar estragos num ciberataque: EUA, Reino Unido, Rússia, China, Israel e França.
– Haverá cada vez mais ênfase na defesa e na capacidade militar nessa área. Estamos apenas no início. É algo que fará parte de qualquer guerra no futuro – prevê.
Um exemplo da relevância do tema nos EUA foi a criação de um poderoso Departamento de Cibersegurança, integrado à Divisão de Segurança Nacional. Para a Casa Branca, a questão vai além da necessidade de manter sua vantagem tecnológica como elemento-chave para a hegemonia militar americana: a prosperidade econômica no século XXI dependerá de cibersegurança, proclama o presidente Barack Obama.
Algumas pessoas do ramo, como Adam Meyers, diretor de Inteligência em Cibersegurança da SRA International (empresa especializada em prover sistemas de defesa e segurança em informática para entidades governamentais e corporações privadas) já veem a proteção do ciberespaço como uma prioridade para o Pentágono.
– Há uma grande variedade de pessoas fazendo ciberataques em número crescente, e o profissionalismo e a sofisticação aumentam a cada dia. O desafio é que a defesa deve ser 100% eficaz, e os hackers necessitam de apenas um ataque bem-sucedido – avalia Meyers.
Sobre a eventual prática de ciberataques promovidos de forma encoberta por hackers dos serviços de inteligência de governos, o analista disse, de forma expressivamente evasiva, preferir ‘não comentar o assunto’.
Analistas enfatizam as diferenças entre os ataques lançados no rastro das acusações ao site WikiLeaks – cometidos por ‘ativistas que almejam a atenção da mídia’, diz Adam Meyers – e ações de hackers profissionais.
Para James A. Lewis, a série de recentes ataques em protesto contra a prisão de Julian Assange sinaliza um problema político.
– Antes, se protestava com máscaras negras diante do Fundo Monetário Internacional (FMI). Hoje, o ciberataque é uma nova força que os governos devem levar em conta. São outras formas de pressão, e acredito que isso vá remodelar a política no mundo. Mas são hackers amadores. Há em Brasil, EUA, Europa, Rússia e China hackers muito fortes, mas que não estão envolvidos nesses ataques de agora – sustenta.
Origem obscura
No mais recente relatório sobre estratégias de defesa nacional, o governo do Reino Unido classificou o ciberterrorismo como uma das mais graves ameaças ao país – 51% dos ataques detectados até hoje a sites governamentais ocorreram apenas em 2009. Mas o que vem preocupando os analistas é a facilidade com que hackear está se transformando em algo acessível para usuários comuns, de perfil menos tecnológico. Já é comum encontrar planos simples de como levar a cabo ataques cibernéticos ou mesmo sites onde se podem baixar programas maliciosos.
– O crescimento do número de hackers de ocasião é mais do que esperado, conseqüência natural da evolução das mesmas ferramentas digitais que hoje tornam a web bem menos complicada e mais barata que nos anos 90. O maior problema é como parar essa proliferação. A web é extremamente vasta e complexa em termos de regulamentação. A não ser que haja iniciativas transnacionais, não vejo como esse problema possa começar a ser resolvido – explica Colin McClean, diretor do curso de Hacking Ético da Universidade de Dundee, na Escócia.
Um estudo de outubro passado da Narus Inc, empresa americana que presta serviços de segurança para vários países, revelou o que já tem sido constatado por analistas e autoridades.
Numa pesquisa com responsáveis em cibersegurança de diferentes organizações e empresas, mais de 71% dos entrevistados afirmaram que suas corporações estão insuficientemente equipadas para uma proteção eficaz contra ciberataques; e 88% disseram o mesmo em relação às agências do governo federal.
– É crucial entender que, ao contrário de uma guerra tradicional, ataques cibernéticos não significam imediatamente um país atacando outro, pois deixaram de ser privilégio oficial. Os governos precisam de um sistema parecido com o de armas nucleares, em que primeiro conversam antes de apertar os botões. Ainda mais nos casos em que a origem dos ataques está longe de ser clara – diz Bruce Schneier, especialista britânico em segurança cibernética.
***
Soldados cibernéticos de um exército do bem
Trapacear é o dever de casa para 150 alunos de um dos cursos que mais tem crescido na Universidade de Dundee, na Escócia: o de hacking ético. Sem analmente, estudantes se debruçam sobre maneiras de descobrir fraquezas de sistemas, de redes de segurança aos códigos com que, por exemplo, pode-se fraudar preços em sites de compras. Trata-se de um argumento semelhante aos de treinamentos envolvendo policiais e soldados.
– Conhecer as armas do inimigo é fundamental. Num momento em que o crime cibernético vem se transformando numa das maiores ameaças à segurança de empresas e governos, não se pode brincar – explica Colin McLean, um dos coordenadores do curso.
Desde sua abertura, em 2006, o curso já não é tão inédito assim, mas viu o número de alunos aumentar em pelo menos 10 vezes. Diversas empresas e mesmo órgãos governamentais estrangeiros têm procurado a universidade. Mas a inscrição também depende da aprovação das agências de inteligência britânicas, que fazem uma rigorosa checagem de antecedentes nos candidatos.
Afinal, táticas de invasão seriam bastante úteis em mãos erradas. Mas o que universidades como Dundee pregam é que tais manobras são também a melhor de maneira de defender sistemas. Tanto contra hackers que apenas driblem barreiras em busca de algum tipo de satisfação pessoal como contra a turma que tem objetivos mais nefastos.
– Na verdade, o termo ético se deve ao fato de operarmos de acordo com a lei. Jamais vamos a um site verdadeiro, por exemplo, sem autorização de seus donos ou administradores – completa McLean.
Estudantes, então, são estimulados não apenas a reagir a ataques, mas a descobrir novas maneiras de evitá-los. Ainda mais nestes tempos em que a atividade deixou de ser privilégio de uma elite tecnológica.
– Por mais incrível que pareça, muitas empresas com faturamento altíssimo ainda têm sistemas de segurança cibernética extremamente simples de serem driblados com o auxílio de programas baixados da internet. Precisamos preparar mais e mais ‘soldados’.(F.D.)
******
Correspondentes de O Globo em Londres e Washington