COBERTURA ESPECIAL - Cyberwar - Segurança

16 de Julho, 2013 - 11:15 ( Brasília )

Hackers vendem brechas a governos interessados em ciberespionagem


Da África do Sul à Coreia do Sul, o negócio de descobrir brechas de seguranças e bugs em sistemas está crescendo para os hackers, segundo reportagem do The New York Times. As falhas encontradas pelos programadores podem dar acesso a sistemas como o Windows, da Microsoft, e permitir ao comprador do segredo acesso ao computador de qualquer companhia ou governo que use o sistema.

Até alguns anos atrás, os bugs descobertos eram vendidos às próprias fabricantes do software defeituoso. Microsoft e Apple, por exemplo, pagam por essas informações - e Redmond inclusive aumentou o valor máximo por erro para US$ 150 mil no mês passado. O Facebook gastou US$ 1 milhão desde 2011, quando iniciou seu programa de recompensas, e o Google paga até US$ 20 mil por falhas encontradas no navegador Chrome. A Apple não tem uma iniciativa de recompensa, e diz-se no ramo que uma falha no iOS uma vez foi vendida por US$ 500 mil.

Mas atualmente os governos pagam por esse tipo de informação do que as companhias desenvolvedoras dos softwares, uma vez que países podem explorar os dados para conseguir estar à frente - ainda que por tempo limitado - de nações rivais com que travam disputas. De acordo com companhias do setor, uma falha custa hoje, em média, entre US$ 35 mil e US$ 160 mil. Um dos modelos de negócio exige US$ 100 mil de assinatura anual, para olhar o "catálogo" de falhas e, uma vez escolhida a brecha desejada, cobra por cada item separadamente.

Os profissionais do ramo chamam essas falhas de "zero days" - algo como "tempo zero", em tradução livre -, em referência ao fato de que o usuário não tem tempo nenhum de se proteger: a falha vendida pode ser usada imediatamente por quem a comprar.

"Governos estão começando a dizer, 'para proteger meu país, preciso encontrar vulnerabilidades em outras nações'", afirma Howard Schmidt, ex-coordenador de cibersegurança da Casa Branca. "O problema é que estamos essencialmente ficando menos seguros", contrapõe.

O jornal americano cita dados da Symantec de que falhas 'zero days' persistem por cerca de 312 antes de ser detectada - nesse tempo, a brecha pode ser explorada por golpistas ou governos. Os Estados Unidos seriam um dos países compradores desse tipo de informação, de acordo com os dados vazados pelo ex-agente da CIA Edward Snowden sobre o esquema de vigilância em massa do governo americano através da agência nacional de segurança ianque (NSA).

Mas os EUA não estariam sozinhos. Israel, Reino Unido, Rússia, Índia e Brasil investiriam pesado na compra desses bugs. A Coreia do Norte e agências de inteligência em alguns países do Oriente Médio também, segundo Luigi Auriemma e Donato Ferrante, dois profissionais do ramo que moram em Malta e falaram ao NYT. De acordo com o Centro para Estratégias e Estudos Internacional, de Washington, países da Ásia como Malásia e Singapura, completam a lista.

A negociação entre hackers e governos é feita por corretores, que cobram 15% do valor do negócio em comissão. Em alguns casos, o programador que descobre a falha ganha um adicional por cada mês em que o bug não é arrumado - ou seja, em que a brecha continua aberta ao invasor.

Mas o lado confidencial é essencial ao negócio desses corretores. Um dos mias famosos, que atua de Bangcoc e atende na conta Grugq do Twitter, deu entrevista à revista Forbes no ano passado e viu as transações diminuírem, porque os clientes ficaram desconfiados.

Apesar disso, de acordo com o jornal americano, a abordagem não precisa ser discreta. A reportagem cita quatro startups que anunciam que vendem vulnerabilidades para fins de ciberespionagem e, em alguns casos, ciberataque.

Uma delas, onde atua um ex-gerente da NSA, afirma que oferece suas ferramentas para encontrar brechas primeiramente ao governo americano. Outra, diz que todos os seus clientes são americanos. Uma terceira alega que não vende a países com os quais a União Europeia, os EUA ou a ONU têm embargo.

O mercado, alegam todos os players, começou a crescer em 2010, quando Estados Unidos e Israel compraram falhas para atacar o sistema iraniano de enriquecimento de uranio. Agora, mais países pagam, e pagam melhor, para obter essas informações. Hackers afirmam que não é possível escolher os clientes, ou o profissional acaba "escanteado". Alguns, inclusive, defendem que não se deve entregar de graça conhecimento profissional. "Há sempre alguém interessado em pagar", lamenta Schmidt, ex-Casa Branca.