Imagem: g1.com.br
Comecei a estudar e trabalhar na
área de informática há algum tempo, e, logo no início, ficava admirado com a
forma com que os vírus e trojans se comportavam. Sem nem mesmo saber como
“aquilo” funcionava, não era difícil imaginar as potenciais aplicações desses
dispositivos para espionagens e grampos. De forma acadêmica e experimental,
nossa turma de computação da UNB (Universidade de Brasília) já desenvolvia
projetos de vírus não detectáveis, de grampos em rede Novell e outras
ferramentas computacionais, antes mesmo desse assunto vir a público, em meados
de 1995.
A espionagem e os grampos não são
novidades. Ganharam muita força no decorrer da Guerra Fria em função do avanço
da tecnologia e do volume das informações trafegadas.
Quando comecei a proferir
palestras sobre tecnologia de segurança nacional, há mais de 15 anos, sempre
incluía um ou dois slides sobre backdoors de aplicação e utilização de vírus
para espionagem e controle de maquinário. As reações eram diversas. No âmbito
militar, a possibilidade era considerada, mas a maior preocupação ainda era a
criptografia das comunicações. Para o público civil no Brasil, o anúncio soava
mais como uma teoria da conspiração, algo próximo à ficção. No fundo, gerava um
desconforto ao ouvinte admitir a hipótese de uma aquisição de tecnologia com
backdoor proposital ou qualquer outro tipo de furo de segurança inserido “já de
fábrica”. Nosso parque de segurança digital ainda é hoje massivamente dominado
por produtos estrangeiros, sem nenhum controle de entrada no país.
A incapacidade dos antivírus de
detectar esse tipo de invasão é conhecida há muito tempo pelo meio
especializado. Um pouco pela questão tecnológica e um pouco pelo desejo do
usuário de ter a liberdade de utilizar seu dispositivo sem restrição. É a
máxima da segurança versus a liberdade.
Bem, creio que a suposta teoria
da conspiração não seja mais teoria, ou alguém tem alguma dúvida?
Flame e Stuxnet são um marco na
segurança da informação, porque mostram à sociedade civil aquilo que sempre
comentamos: a era dos espiões digitais chegou para ficar.
A ficção vira realidade. O Grande
Irmão (Big Brother - livro 1984, George Orwell) digital está agora em
computadores e smartfones, não mais apenas nas câmeras das estradas e prédios.
Como em Jogos de Guerra (WarGames, filme de ficção científica de 1983 –
Lawrence Lasker e Walter F. Parkes – no qual um estudante invade um sistema via
modem e é capaz de disparar mísseis e começar uma 3ª grande guerra), hoje uma
série de dispositivos, desde elevadores a centrífugas nucleares, pode ser
controlada por software.
Flame e Stuxnet não são
brinquedos desenvolvidos por estudantes curiosos, magricelas de óculos de
“fundo de garrafa” ou gordinhos viciados em video
game. São armas de combate bem estruturadas e direcionadas, não
coincidentemente, ao mundo árabe.
Imagem: g1.com.br
A estrutura desses vírus tem
pontos em comum, o que sugere projetos desencadeados por uma mesma equipe ou
uma demanda de um mesmo cliente. Sua capacidade de esconder-se de sistemas de
segurança, multiplicar-se apenas em alvos pré-estabelecidos através de comandos
remotos e sua modularidade para adicionar novas funções pressupõem uma equipe organizada
e um projeto bem estruturado, com manutenção constante, já que os softwares de
defesa mudam o tempo todo.
Não me causaria espanto se
descobríssemos que esses dois sistemas (já não considero que sejam apenas vírus,
como alguns meios de comunicação tentam convencer o público leigo) fazem parte
de uma iniciativa governamental, alocando uma força tarefa não-oficial (até porque
seria muito ruim ter funcionários de carreira envolvidos nesse tipo de desenvolvimento).
Também não ficaria surpreso se encontrássemos “contribuições diversas” de
empresas que hoje fornecem soluções de segurança para a sua corporação,
inclusive.
Afinal, o que o mercado
corporativo tem a ver com tudo isso?
Na realidade, essa tecnologia já
está disponível mercadologicamente. São os famosos SPY Software, que podem ser baixados
aos montes pela Internet. Seus grandes pontos falhos são a falta de sofisticação,
o amadorismo no seu desenvolvimento e a falta de automação. O esforço e risco
para se chegar no nível do Flame e do Stuxnet, em um mercado ainda não
dimensionado, é alto, apenas tateado por visionários com muito tempo e dinheiro
para gastar.
Como toda tecnologia, o preço
tende a cair com o tempo e as técnicas tendem a se tornar populares e
disponíveis. Logo aparecerão novos Flames e Stuxnets por aí, focados em roubar
informações específicas de empresas e instituições, com um grau de automatização
razoável.
Isso afetará diretamente a forma
como as empresas lidarão no futuro com seus móbiles e demais ativos de informática.
O risco de ter suas informações roubadas, de forma massiva e automatizada, é
uma realidade, o final de um filme de tragédia. Agora, temos que pensar em como
mudar esse desfecho, transformando a tragédia em comédia.
Quanto ao Flame e ao Stuxnet,
como no final de toda boa teoria da conspiração, talvez algum “hacker” apareça,
acusado de ser o autor dessa façanha, a fim de evitar qualquer incidente
internacional. Seria, no mínimo, um grande final cinematográfico, digno de
James Cameron.