COBERTURA ESPECIAL - Cyberwar - Defesa

28 de Junho, 2011 - 11:07 ( Brasília )

A guerra virtual começou

Os ataques a sites oficiais brasileiros dão o alerta para a luta entre nações e organizações terroristas na internet. E revelam como estamos vulneráveis

Bruno Ferrari, Daniella Cornachione e Leandro Loyola

"Amor, novo e excitante.
Suba a bordo. Estamos esperando você.
Amor, doce recompensa da vida
Deixe ele fluir. Ele flutua de volta para você
O Barco do Amor logo fará outra viagem
O Barco do Amor promete algo para cada um
Acerte o curso para a aventura
E sua mente em um novo romance
O amor não machuca ninguém
É um sorriso aberto em um porto amigo"

Tais versos, traduzidos do inglês, são a letra da música tema de um antigo seriado americano, O barco do amor, um símbolo das comédias românticas dos anos 1970 e 1980. A série arrancava risadas, e até suspiros, com os amores ingênuos e trapalhadas num cruzeiro. A música foi agora adotada como hino por passageiros de outra embarcação: um grupo internacional de hackers que promove ataques piratas a empresas e governos nos oceanos digitais da internet e é conhecido pela alcunha LulzSec.

Em seu site, o grupo trocou a palavra "love" (amor) por "Lulz" na letra da balada. Lulz é uma variante da sigla LOL, ou "laughing out loud", algo como "rindo bem alto" na gíria da internet. Mas as ações do LulzSec não têm graça nenhuma. Na semana passada, um ramo brasileiro do grupo realizou o maior ataque à internet do país.

Os hackers tiraram do ar o Portal Brasil e vários sites oficiais: da Presidência, do Senado e dos ministérios do Esporte e da Cultura. Também tentaram derrubar o site da Receita Federal e de empresas privadas, mas apenas causaram lentidão. Nos ataques, sobrecarregaram os computadores com vários acessos simultâneos, tirando o o serviço do ar. Em alguns casos, porém, invadiram computadores e conseguiram alterar o conteúdo das páginas. Na madrugada da sexta-feira, outro grupo, intitulado Fail Shell, deixou uma mensagem de protesto no site do Instituto Brasileiro de Geografia e Estatística (IBGE). Os hackers também divulgaram informações pessoais que atribuíram a figuras públicas, como a presidente Dilma Rousseff e o prefeito de São Paulo, Gilberto Kassab, além de pretensos dados com gastos de outros políticos (parte das informações é falsa ou pública).

Do site do Ministério do Esporte, o LulzSec afirma ter retirado dados de funcionários (o ministério nega). Na sexta-feira, os hackers divulgaram dados pessoais e bancários de funcionários da Petrobras, que teriam sido capturados do site da estatal. A Infraero disse que tirou o próprio site do ar, para evitar o furto de informações sobre voos. A Polícia Federal diz que vai investigar e que os responsáveis podem pegar até cinco anos de prisão.

O LulzSec é uma estrela emergente no universo hacker. É o mesmo bando que, em abril, tirou do ar por três semanas a rede on-line do jogo PlayStation, da Sony, e roubou informações confidenciais de 77 milhões de usuários. Nas últimas semanas, o grupo reivindicou ataques a sites ligados ao governo americano. A página da Agência Central de Inteligência (CIA) ficou fora do ar por algumas horas e foram roubados dados de usuários do site senate.gov, do Senado americano. Na terça-feira 21, o LulzSec declarou guerra "imediata e incessante em busca da liberdade, arrebatando os atuais moderadores da internet" – de acordo com eles, os governos e os terroristas. O grupo se considera paladino da justiça, empenhado a expor a corrupção. "Nossa missão é informar os brasileiros do que acontece nos bastidores do governo e fazer com que abracem nossa causa para que possamos fazer uma revolução neste país", disse a ÉPOCA o hacker bile_day (com minúscula mesmo), que consta como administrador do site do LulzSec Brasil. Ele afirmou que os ataques seriam só o começo. "Estamos reunindo informações que vão expor nosso governo corrupto, planejando manifestações nas ruas e outras coisas que não posso revelar no momento." Por enquanto, o grupo parece mesmo é deslumbrado com a repercussão de suas ações na imprensa. Na noite da quarta-feira, alguns deles comemoravam numa sala de bate-papo, enquanto seus feitos eram noticiados pelo Jornal Nacional, da TV Globo. "É a gente no JN. Presta atenção", dizia um. Quando o programa informou que a Polícia Federal estava investigando as ações, vários debocharam:

– Quero ver a puliça pegar a gente!

Pegar e punir os hackers não é fácil mesmo. Primeiro porque sua atividade envolve vários países (alguns ataques aos sites brasileiros partiram de computadores na Itália). Um dos poucos capturados foi o britânico Ryan Cleary, de 19 anos, preso na semana passada e acusado por alguns ataques do LulzSec. E essas prisões costumam gerar represálias. Foi a prisão do alemão Alexander Egorenkov, condenado em fevereiro por violar o console PlayStation, que teria motivado os ataques recentes do LulzSec.

Na origem, a palavra "hacker" era um termo inocente. Nas décadas de 1950 e 1960, estudantes do Massachusetts Institute of Technology (MIT) chamavam de hacker quem fosse capaz de explorar os programas de computador para realizar benfeitorias neles. Sua filosofia era libertária: a tecnologia e a informação deveriam ser livres para ser melhoradas. Um dos maiores mentores dessa filosofia, o ame-ricano Richard Stallman, desenvolveu os primeiros softwares livres. E também inspirou as comunidades de amadores que abrigavam jovens talentosos, como Steve Jobs – na fundação da Apple, Jobs posaria diante de uma bandeira pirata com a maçã dentro da caveira.

Com o passar do tempo, alguns hackers tomaram rumos menos nobres, como burlar sistemas de telefonia para fazer ligações gratuitas. A partir dos anos 1980, as ações de hackers se tornaram comuns. Elas estão geralmente associadas ao vandalismo de moleques irresponsáveis ou a crimes digitais, como o furto de senhas bancárias ou informações financeiras. No começo da década de 1990, ficou célebre o caso do americano Kevin Mitnick, que furtava números de cartões de crédito. Capturado pelo FBI, agência de investigação americana, ele ficou na cadeia por cinco anos.

Os ataques mais recentes, porém, são diferentes dos que vêm ocorrendo há décadas. Por duas razões. A primeira: apesar do evidente teor adolescente nas manifestações, eles trazem um ingrediente novo para o universo hacker – a motivação política. Sua prioridade é desestabilizar forças políticas, econômicas ou militares, numa lógica em tudo similar à do terrorismo. No lugar de atentados suicidas e ameaças à bomba, o foco dos hackers é a informação. Eles afirmam que as organizações e os Estados, ainda que estabelecidos de forma democrática, devem sofrer ataques em prol de um bem maior, a transparência. O maior defensor e ícone dessa visão é Julian Assange, o criador do site de vazamento de informações WikiLeaks, hoje em prisão domiciliar no Reino Unido, aguardando julgamento sob acusações de violência sexual.

A segunda razão é a mais relevante: o crescente nível de dependência que os cidadãos e os governos têm da infraestrutura digital. Computadores ligados em rede operam nosso Imposto de Renda, sistemas elétricos nacionais, redes bancárias e de telefonia. Mesmo nossos dados pessoais, como fotos, vídeos e documentos, estão cada vez mais hospedados na rede. É por isso que a implicação dos novos ataques pode ser bem mais ampla do que sugere o efeito aparentemente diminuto – ou até cômico – atingido na semana passada. Hoje, a segurança digital é uma questão de Estado. Defender a internet é tão importante quanto uma instalação urbana. Em entrevista recente, o vice-secretário de Defesa dos Estados Unidos, William J. Lynn, afirmou que "o Pentágono reconheceu formalmente a internet como um novo domínio de guerra". A rede tornou-se um campo de batalha tão crítico para as operações militares quanto terra, mar, ar e o espaço.

Em princípio, um ataque hacker pode parecer algo menos ofensivo que um bombardeio. Mas ele também pode ter impactos devastadores, como um apagão elétrico, a confusão em sistemas de tráfego aéreo ou de trens, capaz de provocar acidentes com mortes. "A década de 1990 foi marcada por vândalos, e os anos 2000 pelos criminosos cibernéticos", disse a ÉPOCA o russo Eugene Kaspersky, um dos maiores especialistas mundiais em segurança digital. "Entramos na década do terrorismo cibernético, com armas e guerras virtuais." Até que ponto estaremos seguros?

Apesar do barulho em torno do LulzSec, o grande perigo nessa guerra é mais insidioso. Seu poder de destruição vai além de pichações e constrangimentos públicos. Sua face foi revelada em julho de 2010, com a descoberta do Stuxnet, o mais poderoso vírus já detectado. Ele foi considerado o marco de uma nova era na guerra digital, em parte pelo grau inédito de sofisticação, mas principalmente porque definiu claramente a entrada de grandes potências nesse novo campo de batalha. Identificado depois de atacar silenciosamente por meses, o Stuxnet é um worm (verme, na tradução do inglês), um tipo de vírus que tem a capacidade de se autorreproduzir. Ele se espalhou silenciosamente por centenas de milhares de computadores do mundo, usando a internet e os dispositivos de memória, como pen drives. O verme tinha um alvo específico: uma caixinha cinza plástica, conhecida pela sigla PLC, que controla máquinas de automação industrial. Algumas PLCs administram o envasamento de cervejas. Outras administram comportas de hidrelétricas. No caso do Stuxnet, o alvo foram as PLCs que controlavam a velocidade das centrífugas de enriquecimento de urânio de usinas nucleares, fabricadas pela empresa alemã Siemens.

A infecção ocorreu principalmente no Irã e na Indonésia, mas algumas usinas também foram contaminadas na Índia, no Azerbaijão, no Paquistão e nos Estados Unidos. O Stuxnet não se acusava em máquinas que não eram alvos. Era impossível detectá-lo num computador que não tivesse o componente da Siemens. Ele se reproduzia para no máximo três máquinas e se autodestruía depois de três horas. Não fazia alarde. Até que identificava uma centrífuga-alvo. Então, registrava as informações que as PLCs enviavam aos engenheiros – e começava a atacar. No momento em que as centrífugas nucleares giravam 40% acima da velocidade normal, os funcionários das usinas recebiam relatórios de atividade normal. O processo, que durava 15 minutos, só era percebido fisicamente, já que a supervelocidade causava rachaduras nas centrífugas de alumínio. Segundo Kaspersky, o Stuxnet não foi criado para roubar dinheiro, enviar spam ou para se apoderar de dados pessoais. "Seu objetivo era sabotar fábricas e prejudicar sistemas industriais. Essa é a diferença e o marco para um novo mundo", afirma.

Os objetivos de quem criou o Stuxnet são até hoje um incógnita. Ao que tudo indica, porém, a motivação era atingir o programa nuclear do Irã, o país mais afetado. O governo iraniano vem escondendo há anos informações dos inspetores das Nações Unidas e despertou suspeitas de que desenvolvesse armas nucleares. É consenso que o Stuxnet não foi obra de um grupo hacker isolado, mas que foi patrocinado por um ou mais Estados. Sabe-se que partes do Stuxnet foram criadas nos EUA e em Israel. Um consultor do governo americano, Scott Borg, revelou que Israel se preparava para uma ciberguerra e que uma de suas armas seria um vírus que assumiria o controle das usinas nucleares a partir de um pen drive infectado. Tanto os EUA quanto Israel nunca admitiram participação no desenvolvimento dessa arma digital.

O cenário pós-Stuxnet é uma corrida armamentista entre as grandes potências militares. Algumas agências de inteligência já promoviam ataques digitais desde os anos 1980. Com o Stuxnet, ficou claro que a ameaça digital exige uma nova estratégia. Alexander Merezhko, professor ucraniano de Direito Internacional, propõe uma convenção internacional para proibir a guerra virtual. Ele afirma que a internet deve ser tratada como um bem comum, um território internacional, livre de táticas belicosas. Mas pacificar a rede parece um objetivo cada vez menos realista. O novo campo de guerra também representa outro desafio para as grandes potências: a disputa digital é assimétrica, pois os países mais poderosos, com maior infraestrutura, também são os mais conectados e, por isso, os mais vulneráveis.

Alguns países despontam como líderes nessa guerra. A Rússia é apontada como responsável por dois grandes ataques. O primeiro se deu em 2007, na Estônia, e interrompeu a conexão de internet do país inteiro. Um ano depois, foi a vez da Geórgia. Enquanto os tanques russos invadiam o território da Ossétia do Sul, um exército de hackers teria derrubado uma série de linhas de comunicação do país. Na China, segundo especialistas em segurança, órgãos militares também fazem ataques digitais. Em 2009, descobriu-se que uma rede de ciberespiões denominada GhostNet, hospedada na China, tinha documentos confidenciais de 103 países e organizações, incluindo dados de exilados tibetanos. "Sabemos que os chineses e os russos mapearam nossas redes elétricas e, se houver uma guerra, poderão apagar nossas luzes", diz Peter Brookes, ex-funcionário da CIA e do Departamento de Estado americano. Tanto a Rússia quanto a China negam a auto-ria dos atos.

Parte da corrida armamentista envolve recrutar novos soldados. Para combater o ataque de hackers, nada melhor do que outros hackers. Eles agiriam como os corsários de outrora, piratas autorizados legalmente a pilhar barcos de outras nações. As autoridades usam essa tática desde a prisão de Kevin Mitnick nos anos 1990, encontrado pelo FBI com a ajuda de outro hacker. De acordo com uma investigação publicada pela revista 2600: The Hacker Quartely, um em cada quatro hackers americanos presta serviços para o governo federal. "Por causa das duras penas envolvidas e da relativa inexperiência com a lei de muitos hackers, eles são muito suscetíveis à intimidação", diz Eric Corley, responsável pela revista. Corley é um hacker veterano. Nos Estados Unidos, um grupo de hackers voluntários é considerado um novo corpo de fuzileiros navais. A Coreia do Norte recruta jovens talentosos em informática ainda na escola. Os primeiros da turma podem ser selecionados a terminar os estudos numa espécie de universidade para soldados cibernéticos. Só em 2010, a Coreia do Norte teria recrutado mais de 3 mil hackers. A China anunciou recentemente seu próprio batalhão de hackers, o exército azul. Além de defender o país, os soldados cibernéticos também atacam inimigos. "A dificuldade para encontrar os culpados no ciberespaço só fomentará a criação de exércitos cibernéticos", diz Guillaume Lovet, perito em cibercrimes da empresa de segurança Fortinet. "Eles são uma maneira mais discreta, e às vezes mais eficaz, que as armas convencionais."

O Brasil foi alvo da ala menos perigosa do terror digital. A intenção dos ataques da semana passada até pode ter sido o furto de informações dos bancos de dados. Nesse ponto, até o fechamento desta edição, eles não tinham sido bem-sucedidos. Seu principal efeito foi revelar nossa vulnerabilidade. O Gabinete de Segurança Institucional da Presidência da República dita as principais diretrizes de uma política de segurança de informações para todo o governo. Mas cada órgão adota medidas diferentes. Há poucas restrições ao uso de pen drives, que podem servir para introduzir vírus, como o Stuxnet, ou para furtar informações. Em alguns departamentos do Banco Central, que lidam com dados sigilosos, os funcionários só podem usar pen drives com autorização. Na Receita Federal, os funcionários têm senhas individuais, que dão acesso a níveis de informação segundo a função e a posição hierárquica. Cada passo do funcionário fica gravado no sistema. Foi graças a isso que, no ano passado, a Receita descobriu quem acessara ilegalmente dados fiscais sigilosos de seis pessoas, entre familiares e aliados do ex-governador de São Paulo José Serra (PSDB).

No campo de batalha digital, o Brasil não tem defesas comparáveis às das grandes nações. O Serviço Federal de Processamento de Dados (Serpro), estatal responsável por 80% do processamento de dados do governo, armazena e processa as informações da Receita ou dados como os gastos e a folha de pagamentos do governo. O Serpro tem uma equipe que monitora a rede de sites oficiais. O tamanho desse time é informação considerada confidencial. A preocupação com a defesa contra ataques cibernéticos surgiu no ano 2000, quando foi criado o Comitê Gestor de Segurança da Informação, ligado ao Gabinete de Segurança Institucional. O governo não revela quanto gasta para se defender contra possíveis ataques. E o trabalho não tem coordenação central. No ano passado, o Exército montou o Centro de Defesa Cibernética, em Brasília. Comandado pelo general José Carlos dos Santos, um engenheiro de 58 anos, o centro planeja chegar a 100 militares. Assim como as tropas fazem exercícios de guerra, o grupo tem dois servidores para simular guerras virtuais. No último dia 13, no entanto, o Exército teve de lidar com a invasão de seu próprio site pelo grupo Fatal Error Crew. O grupo capturou dados pessoais e senhas de quase 1.000 servidores.

A Polícia Federal, responsável por investigar invasões como as da semana passada, esbarra em outras dificuldades. Hoje, é possível criar uma conta num provedor sem identificação. O anonimato facilita a vida de criminosos. Nos Estados Unidos, a lei prevê que, em caso de processo judicial, a polícia possa pedir ao provedor que identifique clientes e guarde seus dados por um período. No Brasil, a quebra desse anonimato é vista como invasão à privacidade. Um projeto de lei parado na Câmara desde 2008 mudaria essa visão. Para completar, um hacker não pode ser processado por invadir um site. Só está sujeito a punição se cometer um crime, como furtar dados.

O russo Kaspersky, que dirige uma Ferrari e adora Jackie Chan, lembra o filme Duro de matar 4 para justificar sua preocupação. Nele, hackers apagam a luz em toda a Costa Leste. O objetivo final seria afetar toda a infraestrutura tecnológica e energética americana. No filme, o policial interpretado por Bruce Willis impede uma catástrofe maior. Na vida real, a guerra virtual começa a ficar mais complicada do que no cinema ou nas séries ingênuas dos anos 1970. O Barco do Amor nos arrasta para um oceano desconhecido e tempestuoso.