Há muito se fala do uso da Internet como ferramenta de ação política ou militar, no que nos acostumamos a chamar de cyberwar, ciberguerra ou gerra cibernética. Apesar de ainda fazer parte do imaginário e dos temas de filmes de Hollywood, alguns fatos esse ano mostraram que a realidade pode estar mais perto do que parece.
Na semana de 4 de Julho, diversos sites da Coreia do Sul e dos Estados Unidos sofreram ataques denial of service, e culparam a inimiga histórica – Coreia do Norte. Um dos resultados foi o anuncio de uma nova unidade militar na Coreia do Sul especializada em defesa digital. Em 25 de Junho o site do Telegraph do Reino Unido (http://www.telegraph.co.uk) publicou notícia sobre a acusação, por parte de um alto funcionário do governo daquele país, de que a China, Russia e a Al-Qaeda estavam promovendo ataques contra a infraestrutura digital do país, e que o governo britânico estava lançando uma nova estratégia para defesa digital, incluindo ataques terroristas que poderiam ser lançados no futuro. Coincidência ou não, o governo dos Estados Unidos anunciou há algumas semanas um novo plano de defesa contra ataques e uma nova estrutura organizacional, com pesados investimentos e um claro aviso de que pode revidar ataques cibernéticos militarmente, com forças convencionais, para deixar bem claro. De qualquer forma, os países anunciaram que o contra-ataque faz parte da estratégia.
Não considero que chegamos ao ponto, como alguns já falam, de uma nova guerra fria, cibernética e virtual; mas o fato é que os ataques contra a Coreia do Sul e a Estônia em 2007 mostraram que é possível atingir e causar danos sérios a um país via ataques coordenados. Para quem não se lembra do caso da Estonia, em 2007 uma ataque praticamente tirou o pequeno país do ar, incluindo sites governamentais e privados. Houve acusações contra a Russia, porém nada foi provado. Em alguns países totalitários, como China e Irã, já há uma “guerra cibernética” em curso, entre o governo que tenta bloquear o acesso livre à Internet e grupos de dissidentes com suas ferramentas para burlar os sistemas de controle. É uma situação diferente, porém o motivo da censura é político. Uma preocupação dos países ocidentais é impedir que a Internet seja usada para coordenar e sincronizar ações terroristas “físicas”. Porém aqui já entramos em outra discussão: como prevenir o mau uso sem atingir a privacidade.
Mas o que é fantasia e o que é realidade? O que realmente pode ser feito contra um país a partir da Internet? O ataque à Estonia mostrou uma das possibilidades: um ataque denial of service, retirando serviços essenciais do ar. Um ataque DoS bem sucedido pode não comprometer a infraestrutura física de um país, mas certamente causa danos e prejuizos, além do efeito psicológico. Realizar esse ataque não é hoje algo especialmente complicado, dado às redes bot com milhares e milhares de computadores ao redor do mundo. Por outro lado, redes do mundo todo estão mais preparadas para lidar com esse tipo de ameaça. Outro evento possível, e o que mais reclamam países como Estados Unidos e Reino Unido, é o de espionagem. Técnicas existem, assim como farto conhecimento de como explorar vulnerabilidades para invadir redes de computador. É certo que muitos casos de vazamento são simplesmente erros crassos de usuários ou administradores de sistemas, mas enfim essas são vulnerabilidades exploráveis, como qualquer outra. Outros ataques, que derrubariam redes de energia elétrica, telecomunicações ou até aviões ainda continuam no espaço da ficção, e pelo que parece os governos estão tentando fazer com que lá permaneçam.
É notável que os Estados Unidos, onde há bem mais de dez anos diferentes agências governamentais como CIA, FBI e NSA (agência de segurança nacional) atuam ativamente na área de segurança cibernética, ainda esteja procurando a estratégia ideal. Tive a oportunidade de conhecer alguns profissionais que antes de trabalharem no setor privado atuaram em unidades especializadas. Um deles trabalhou no Exército americano e tinha como função investigar ataques à rede da instituição em qualquer lugar do mundo, com o complicador que muitas vezes o patrocinador do ataque era o governo de outro país. É seguro dizer que segredos militares foram muitas vezes roubados.
O Governo Brasileiro felizmente também está se organizando, com o Departamento de Segurança da Informação e Comunicações (DSIC), que faz parte do Gabinete de Segurança Institucional da Presidência da República, o que é bom sinal, já que está subordinado diretamente ao Presidente. Uma estrutura centralizada de coordenação e planejamento é mesmo essencial. De acordo com o site Convergência Digital, do portal Terra, a administração pública federal possui 320 redes informatizadas e, em apenas uma delas, os ataques de hackers chegaram a três milhões em 2008.
Em comparação aos seus similares na América do Norte e na Grã Bretanha, o DSIC possui hoje desafios mais prosaicos, porém não menos complexos: disseminar os conceitos de segurança de informação aos quase um milhão de servidores públicos. Isso não quer dizer que seja menos importante. Vulnerabilidades causados por erro humano são as mais fáceis de explorar e as mais dificeis de prevenir e detectar. Geralmente é tarde demais e o arquivo sigiloso já foi perdido ou vendido. Não adianta investir em hardware e software se os dados continuarem a passear sem controle, ou protegidos por senhas fracas e conhecidas, ou sem senha alguma. Por outro lado o governo brasileiro possui alguns dos melhores e mais bem preparados grupos de resposta a ataques do país, em empresas como o Banco do Brasil, Petrobras e Serpro. Aos poucos esse conhecimento será disseminado para governos estaduais e municipais, além de empresas privadas.
Não precisamos chegar ao ponto do Paquistão, que proclamou em 2008 uma lei que pune com a pena de morte os autores de ciberterrorismo, mas é essencial que a infraestrutura e os serviços digitais, assim como dados sigilosos e importantes para o país estejam protegidos.
Já sabemos que hackers estão sempre buscando novas formas de espalhar seus programas. Daí que não me espanta os recentes problemas no Twitter e outros sites de relacionamento. Também não me espanta o que anda ocorrendo no Skype. Não me espanta, mas me irrita bastante!