Guerra cibernética

O Brasil está se preparando para uma guerra. Sem tiros, ataques terrestres e aéreos, sem bombardeios, mortes e derramamento de sangue. Neste tipo de combate, a munição é virtual, o território é digital e os disparos são eletrônicos. Os alvos, o sistema bancário, as redes elétricas e de telecomunicações, refinarias de petróleo e outras infraestruturas críticas dos países. Trata-se de uma guerra cibernética, na qual computadores são utilizados como armas e engenheiros e especialistas em tecnologia atuam como soldados que usam como armas vírus digitais, worms, cavalos de Troia (trojans)e ataques de negação de serviço (DoS) capazes de se disseminar via Internet e derrubar servidores, atacar engrenagens civis, administrativas, políticas, financeiras e industriais do país oponente.

Pode parecer um cenário de ficção científica, mas o risco é real. Tanto que o governo brasileiro criou, em agosto de 2010, o Núcleo de Defesa Cibernética (Nu CD Ciber), comandado pelo Exército. Trata-se do departamento responsável por coordenar e integrar as estratégias de defesa cibernética do país nos níveis político-estratégico, operacional e tático. O núcleo trabalha em parceria com o Gabinete de Segurança Institucional (GSI), do Ministério da Justiça, que atua no âmbito da segurança nacional e monitora a infraestrutura crítica do país.

Outra iniciativa que objetiva dar alguma preparação em relação às ameaças existentes às redes de telecomunicações faz parte do Plano Geral de Atualização da Regulamentação (PGR), da Anatel. Trata-se da Ação V. 23 das metas de curto prazo (que deveriam ter sido concluídas até o final do ano passado). Este item estabelece a realização de estudos e adoção de medidas para proteção da infraestrutura nacional de telecom contra falhas e ataques de guerra cibernética. O trabalho dispõe de três etapas: proteção de infraestrutura crítica de telecom; regulamento de interrupções sistêmicas do STFC; e segurança e proteção da infraestrutura nacional de telecom do Sistema Rede Nacional de Fibras Ópticas (Renaf). Segundo o último balanço do PGR, o Sistema Nacional de Fibras Ópticas, destinado a mapear a infraestrutura vulnerável de telecomunicações, estava com pouco mais de 20% dos trabalhos concluídos.

Em palestra realizada sobre o tema em setembro do ano passado, a Anatel informou a conclusão da metodologia de identificação e mapeamento da infraestrutura crítica de telecomunicações do país, além da criação de um cenário ideal e diagnóstico dessa infraestrutura.

Infraestrutura

De acordo com o Gabinete de Segurança Institucional da Presidência da República (GSI), infraestruturas físicas são as “instalações, serviços e bens que, se interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança nacional” (portaria nº 2, GSI-PR, 2008). Essas estruturas envolvem os setores de comunicações, energia, águas e transporte.

A Anatel é parte do Subgrupo Técnico de Segurança de Infra-estruturas Críticas de Telecomunicações (SGTSIC - Telecomunicações), cujos objetivos são “propor a implementação de medidas e ações relacionadas com a segurança das Infraestruturas Críticas (IEC) na área de telecomunicações”, sendo consideradas infraestruturas críticas as que que possam afetar, de forma direta ou indireta, a operação do setor. Um dos episódios listados pelo GSI como ameaças é, justamente, a pane do serviço Speedy, da Telefônica, em 2008 e 2009. É com esse tipo de problema, e também com questões de vulnerabilidade externa, que o GSI está preocupado. As etapas do trabalho do grupo são complexas e, segundo apurou este noticiário, ainda estão em fase muito inicial, por conta da burocracia interna do próprio governo e de decisões que precisam ser tomadas pelos ministérios afins. O GSI, vale lembrar, coordena os grupos de infraestrutura crítica não apenas em telecomunicações, mas em vários setores, como energia, petróleo, transportes, barragens e até mesmo radiodifusão e Correios. Fazer com que todos tratem com a mesma prioridade os riscos que essas áreas podem representar ao Brasil em caso de vulnerabilidades não é tarefa simples.

No caso do subgrupo de telecomunicações, a portaria do GSI que o instituiu prevê: I - pesquisar e propor um método de identificação de IEC; II - identificar as IEC; III - levantar e avaliar as vulnerabilidades das IEC identificadas e sua interdependência; IV - selecionar as causas e avaliar os riscos que possam afetar a segurança das IEC; V - propor, articular e acompanhar medidas necessárias à segurança das IEC; e VI - estudar, propor e implementar um sistema de informações que conterá dados atualizados de IEC para apoio a decisões. Segundo fontes ouvidas pela TELETIME, o primeiro item é o que pode ser considerado cumprido, ou seja, já existe um método para avaliar as infraestruturas críticas em telecom. A partir de agora, há um trabalho de coleta de dados junto aos operadores, para só depois começar a análise de onde estão as vulnerabilidades e propor as linhas de ação. Ainda não há uma data certa para a conclusão dos trabalhos, e as informações ainda são tratadas com total sigilo tanto pela Anatel quanto pelo GSI.

Núcleo cibernético

Do outro lado, o chefe do Nu CD Ciber, o coronel Luís Gonçalves dos Santos, salienta que as Forças Armadas já contavam com uma ação de defesa digital sendo preparada desde a década de 80, por meio do Centro de Tratamento de Incidentes de Redes. A criação do núcleo, porém, trouxe a governança necessária para tornar esta uma das áreas de atuação fundamentais do Exército. “Resolvemos priorizar o setor cibernético. Em agosto começamos com cinco militares, hoje são 20 e até o final de 2011 serão 40, a grande maioria versada em proteção de redes”, revela. “Muitos desses especialistas em engenharia de computação, diz ele, têm sido enviados a países como Estados Unidos, Israel, Alemanha, Inglaterra e França para atualização e contato com as últimas tendências e tecnologias de proteção cibernética”.

O coronel Gonçalves garante que está havendo também, por parte do governo, um considerável aumento de investimentos financeiros no Nu CD Ciber, porém não cita valores por “questões estratégicas”.

Ele adianta também que dentro dos próximos meses o Nu CD Ciber passará a ser chamado Centro de Defesa Cibernética e ganhará ainda mais importância, passando para a responsabilidade direta do general José Carlos dos Santos. “O Ministério da Defesa resolveu colocar a defesa cibernética como um de seus pilares estratégicos, por isso estamos tendo esse salto qualitativo”, explica o coronel.

No final do ano passado, o exército brasileiro celebrou parceria com a Panda Security, empresa de segurança da informação de origem espanhola. O contrato prevê o fornecimento de 37,5 mil licenças da plataforma de segurança da empresa para todos os doze centros de telemática e 600 unidades operacionais do exército espalhados pelo país. Além de suporte técnico, treinamento, instalação, preparação de novos usuários e prevenção, detecção e resolução de códigos maliciosos em um prazo máximo de 24 horas.

O chefe do Nu CD Ciber diz que o exército está investindo no que há de mais avançado no mundo em termos tecnológicos e não deve parar por aí. “Estamos trabalhando com um sistema de cibercomputação de alto desempenho, que opera em petaflops (medida de velocidade equivalente a mil trilhões de cálculos por segundo)”, diz. O próximo passo, segundo ele, é a produção em médio prazo de cibercomputadores voltados a isso. E, no final do ano, será realizado o primeiro exercício de simulação de guerra cibernética no país.

Para a atualização de sua estratégia de defesa cibernética, o Nu CD Ciber atua também em parceria com a Marinha do Brasil e com a Força Aérea e realiza reuniões periódicas com representantes de centros de excelência tecnológica e acadêmica, além de empresas da iniciativa privada, como operadoras de telecom e instituições financeiras.

Defesa ativa

Segundo o coronel Gonçalves, “do Barão do Rio Branco até os dias de hoje” o Brasil não conta com uma tradição expansionista e de ataque aos demais países, o que, de acordo com ele, se reflete na estratégia de defesa cibernética. “Não é perfil de nossas relações internacionais, não temos esse vetor de ataque e de invasão”, diz. Mesmo diante da hipótese de o país sofrer um ataque cibernético, o coronel garante que é possível pôr em prática uma estratégia de “defesa ativa” sem burlar a legalidade. “Não gostaria de citar como, mas estamos preparados para lançar mão de ferramentas cibernéticas pró-ativas que defendem nosso sistema sem a intrusão na infraestrutura do oponente”, revela.

Apesar da tradição nacional de paz, o coronel Gonçalves salienta que o Brasil só é um país pacífico por manter sua capacidade de dissuasão. “A paz é conquistada e mantida por estarmos preparados para que ela não seja rompida”, diz o líder do Nu CD Ciber, que garante que o país está entre os mais avançados do mundo na capacidade de defesa cibernética.

Ele não acredita na possibilidade de uma terceira guerra mundial apoiada por infraestruturas cibernéticas, como profetizam alguns especialistas. “Acho isso muito difícil. Não acredito mais em coligações, eixos e coisas desse tipo. Há desavenças entre países, mas são questões e batalhas pontuais”, analisa.

Ilusão

Se o tema guerra cibernética é levado a sério pelo governo, em algumas empresas essa história não passa de ilusão. É o caso do diretor de comunicação e assuntos públicos do Google no Brasil, Felix Ximenes. “Ataque cibernético é ficção, teoria da conspiração, um termo exagerado”, diz ele, citando o recente relatório “Redução do Risco Sistêmico de Segurança Cibernética”, da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), que atesta que “a maioria dos ataques de alta tecnologia descrita como atos de ‘ciberguerra’ não são merecedores deste nome”.

Para Ximenes, os ataques de DoS contra o Google, Twitter e Facebook, que em 2009 ‘derrubaram’ estes websites por alguns minutos a partir de uma sobrecarga no sistema, não têm nenhuma relação com uma guerra entre China e Estados Unidos, como supõem alguns. “É uma visão catastrófica e especulativa demais essa coisa de guerras entre governos. Não sabemos se foi o governo chinês. E não fomos vítimas, pois ‘fechamos as portas’ assim que identificamos o ataque”, explica ele, que evita qualquer relação dessa ocorrência com a recusa do Google em manter filtros de buscas de questões críticas para o governo chinês.

Um dos autores do relatório da OCDE, o professor da London School of Economics, Peter Sommer, afirma no estudo que “alguns especialistas não contribuem ao utilizar a palavra ‘ciberguerra’ para descrever a espionagem, a atividade dos hackers ou destruição de sites”. E vai além, sustentando que é “improvável a ocorrência de uma ciberguerra”.

A questão é que parece não haver sequer um consenso entre os especialistas sobre a definição do termo “ciberguerra”.

Realidade

Exagero ou não, em 2007 a Estônia foi vítima de uma série de ataques virtuais que afetaram jornais, sites de bancos, ministérios e até o parlamento, deixando o país em situação caótica. Para o governo estoniano, o autor dos ataques foi a Rússia, que teria agido em represália à remoção da estátua em homenagem a um soldado soviético da capital Talim. Em 2009, o jornal New York Times e o periódico francês Le Figaro publicaram reportagens sobre a batalha cibernética entre os Estados Unidos e o Iraque. Segundo os jornais, o Pentágono chegou a planejar um ciberataque para congelar as contas bancárias de Saddam Hussein a fim de deixá-lo sem dinheiro para adquirir equipamentos bélicos ou pagar soldados. Assim, o exército norte-americano teria sua missão de invasão ao Iraque facilitada. Seria uma estratégia de guerra cibernética com objetivo de apoiar uma guerra cinética (física).

O plano só não foi levado a cabo por conta do receio de que a crise financeira se espalhasse em todo o Oriente Médio, gerando um problema mundial.

Por conta destas e outras várias ocorrências, o que se vê em diversos países é uma verdadeira corrida armamentista cibernética. Estudo da empresa de segurança da informação norte-americana McAfee informou que já em 2007 cerca de 120 países desenvolviam projetos de ciberguerra.

Em meados de 2009, para proteger as redes oficiais e privadas dos constantes ataques cibernéticos, o presidente Barack Obama anunciou a criação de uma agência federal focada na segurança tecnológica, parte integrante do primeiro escalão do governo norte-americano. Na ocasião, Obama falou que o “ciberespaço é um espaço real e um mundo do qual dependemos mais a cada dia”. O Reino Unido estabeleceu o OCSIA, Escritório de Garantia de Segurança Cibernética da Informação (em inglês, Office of Cyber Security and Information Assurance). Em 2005, a Europa instituiu a ENISA, Agência Européia de Rede de Informação e Segurança (em inglês, European Network and Information Security Agency) para, segundo a própria agência diz, “proteger a sociedade de informação européia”.

Bem antes, em 1999, a China já se preocupava com a guerra cibernética. Reportagem do Financial Times da época trazia um artigo do Exército de Libertação Popular, da República Popular da China, sobre a necessidade do país em se preparar para uma guerra de alta tecnologia.

Em estudo da Escola Superior de Geopolítica e Estratégia (ESGE), de Porto Alegre, denominado “Guerra eletrônica e informacional: Um novo desafio estratégico” é citado um texto do ex-embaixador em Cingapura, Amaury Porto de Oliveira, que aponta a intenção da China em dar “enorme ênfase ao domínio da tecnologia de fabricação de computadores, desde chips a circuitos integrados e toda a parafernália cibernética”.

O relatório da ESGE informa também que desde 1997 um hipotético confronto bélico entre China e Estados Unidos já era previsto. Naquele ano, dois analistas americanos, Richard Bernstein e Ross H. Munro, lançaram o livro “The coming conflict with China”, no qual sustentam que China e Estados Unidos caminham claramente para uma guerra, que pode acontecer entre 2020 e 2030, quando o país asiático deve superar, em Produto Interno Bruto, a nação norte-americana. A agência de estratégia e segurança Defesa Net alertou que a China revisa constantemente sua política militar a fim de se preparar para essa provável guerra, com grande foco em estratégias de ciberguerra.

Guerra iminente

Segundo Eduardo D´Antona, diretor da Panda Security, falar em guerra cibernética não é exagero. “Acordou-se, percebeu-se que realmente existe uma possibilidade de ataque digital. Há dez anos, era preciso jogar uma bomba em uma usina para retardar a construção de uma arma atômica. Hoje é possível fazer isso remotamente, de um computador”, acrescenta.

Integrante de fóruns internacionais de segurança digital e superintendente executivo da Unidade de Segurança de TI do banco Banrisul, Jorge Fernando Krug Santos concorda e reitera a tese de que o mundo está na iminência de uma guerra cibernética. “É o próximo passo. Por isso, não acho ruim falar sobre guerra cibernética. Vivemos em uma geração cada vez mais digital e, se não houver preocupação hoje, quando precisarmos não estaremos preparados”, diz.

É muito fácil entender a razão do crescimento dessa nova modalidade de guerra no mundo. Uma guerra online é muito menos onerosa do que uma guerra cinética. Não necessita do deslocamento de soldados, aviões, nem gasto com armamentos, munições, logística, ou até mesmo o desgaste emocional com as famílias dos combatentes. Enquanto em uma guerra física o gasto atinge a casa dos bilhões, não é preciso tamanho investimento para o desenvolvimento de um vírus poderoso ou até mesmo para a construção de um moderno centro de defesa cibernética.

Além disso, no mundo virtual a guerra é assimétrica e sem regras. Um computador pode ser considerado uma arma? E um hacker, é passível de ser preso ou até exterminado por desenvolver um vírus que derruba um sistema estratégico de um país?

No Brasil, ainda não há tal jurisprudência. O Projeto de Lei 84/99 (ver box) que definirá as diretrizes para os crimes cibernéticos foi recentemente aprovado pelo Senado. No entanto, tem sido intensamente questionado pela sociedade civil por conta de alguns artigos polêmicos e se transformou em uma novela que já dura doze anos e não parece ter prazo para acabar.

Outra questão é que no mundo digital o inimigo não tem rosto, ou seja, é muito difícil identificar de onde vem o ataque. Até é possível verificar a origem no código do malware, mas é uma tática comum entre hackers utilizar de sinais falsos para confundir o oponente. Se aproveitando disso, alguns países colocam em prática a chamada “terceirização do ataque”. Mesmo descobrindo que um malware partiu de um determinado país e rastreando o computador do hacker, como afirmar que o mesmo trabalha para o governo?

Stuxnet

O melhor exemplo de um ataque cibernético de origem desconhecida é o Stuxnet. O malware é considerado o primeiro capaz de causar danos no mundo físico, o que o torna uma ameaça sem precedentes. Por este motivo, Eugene Kaspersky, fundador e CEO da empresa de segurança digital Kaspersky, descreve o Stuxnet como “a abertura da Caixa de Pandora”. “Ele não foi criado para roubar dinheiro, enviar spam ou se apoderar de dados pessoais. Ele foi desenvolvido para sabotar fábricas e prejudicar sistemas industriais”, diz o especialista, que acredita que o vírus “é uma arma que inaugura a era da guerra cibernética e que levará à criação de uma nova corrida armamentista no mundo”.

O malware se aproveita de vulnerabilidades do Windows desconhecidas até então e permite que hackers operem equipamentos físicos de usinas de energia elétrica, represas, sistemas de processamento de resíduos e outras operações críticas, o que o torna extremamente perigoso.

O inventor de tal ameaça permanece, até hoje, desconhecido. Sem especular a identidade do autor do Stuxnet, Kaspersky afirma apenas que “se trata de um ataque sofisticado, apoiado por uma equipe bem financiada, altamente qualificada, cujo trabalho só poderia ser realizado com o apoio e suporte de algum país”.

Por ter atingido uma usina nuclear no Irã e sistemas industriais estratégicos da China, o que se especula entre os especialistas é que o vírus pode ter sido patrocinado por Israel ou Estados Unidos. Nada disso, porém, é oficial.

Brasil: campeão de trojans

Segundo estudo da Kaspersky, em 2010 o Brasil foi o país mais infectado por trojans (cavalos de Tróia) bancários. Cerca de 95% de todos os vírus desenvolvidos no Brasil têm a finalidade de roubar dados financeiros e bancários. De acordo com o levantamento, no Brasil é produzido aproximadamente 38% de todo o malware bancário do mundo.

Nos demais países esse índice também é elevado. Relatório global do Panda Labs referente ao primeiro trimestre de 2011 coloca os trojans como o tipo mais popular de ameaças para sistemas computacionais, com 70% dos novos malwares. Nos três primeiros meses de 2011, o PandaLabs identificou uma média de 73 mil tipos de novos malware, dos quais a maioria eram trojans, um aumento de 26% de novas ameaças em relação ao mesmo período do ano passado.

Ausência de jurisprudência

O PL 84/99, aprovado no Senado e assinado, na forma de substitutivo, pelo Senador Eduardo Azeredo (PSDB/MG) é também conhecido como “PL dos Cibercrimes”, por tipificar os crimes na internet. No entanto, alguns itens do texto têm gerado polêmica junto à sociedade civil, como a exigência de que os provedores guardem dados de acesso de usuários e os proprietários de LAN houses denunciem atividades suspeitas na Internet. Por ser interpretado por muitos como um projeto intervencionista e violador da privacidade, o texto ganhou o apelido de “AI-5 Digital” e está em trâmite em Brasília, aguardando novas intervenções. Já o Marco Civil da Internet, relatado pelo senador Eduardo Braga (PMDB/AM), segue em elaboração pelo Governo Federal e em audiência pública na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informação (CCT) e pretende traduzir os diretos do cidadão para o ambiente da Internet para, posteriormente, avançar sobre temas que impõem restrições ao seu uso, como a tipificação de crimes.