Siga-nos

Perfil

Expresso

Sociedade

A guerra invisível

O WannaCry parou hospitais e administrações públicas – e alertou autoridades de todos os países para a ciberguerra velada e permanente em que o mundo vive. Será a web uma ameaça para a democracia? Ou será que chegou a hora de criar uma rede mais segura e fiável?

O panorama é negro como o ecrã. Paulo Rosado, consultor de cibersegurança, parece em estado de meditação enquanto digita comandos que fazem lembrar nomes de naves espaciais. Como um cirurgião durante a mais complexa das operações, não tira os olhos do portátil nem perde tempo com a curiosidade alheia. Os dedos mexem-se frenéticos até poder dar por concluída a missão — e mostrar a palavra “Win” no ecrã com um grafismo tosco. O primeiro objetivo está cumprido, mas não há razões para sorrir. A mensagem de “vitória” pretende sinalizar uma intrusão num computador virtual, que vai ser atacado, posteriormente, por um terceiro computador, também virtual, num ataque de ransomware. Tudo é feito, em menos de meia hora, num cenário de teste, num dos gabinetes da redação do Expresso durante a hora de almoço. Num cenário real, é possível que houvesse alguém a festejar.

FuzzBunch, a caixa de ferramentas virtuais que acaba de ser aberta por Paulo Rosado, foi usada durante tempo indeterminado pela Agência Nacional de Segurança dos EUA (NSA) para espiar computadores de todo o mundo. Em junho de 2016, uma misteriosa fuga de informação colocou esta compilação de ciberameaças ao dispor dos internautas. Passado um ano, a FuzzBunch terá sido usada para lançar o ransomware WannaCry, que, desde 12 de maio, terá sequestrado por via eletrónica mais de 300 mil computadores, deixando grande parte dos internautas com medo de abrir um simples e-mail.

Paulo Rosado nem teve de se esforçar muito para conseguir obter o kit de ferramentas: “Descarreguei estas ferramentas num repositório da internet.” Uma simples pesquisa no Google confirma a facilidade com que hoje qualquer internauta acede à caixa de vulnerabilidades compilada pela NSA com o objetivo de espiar, extrair dados, propagar infeções, sequestrar computadores ou apenas apagar informação. As constatações são óbvias: sim, até uma criança de 10 anos com tarimba em videojogos poderia descarregar a FuzzBunch; e, sim, essa mesma criança facilmente poderá aprender a usar aquelas ferramentas, desde que domine o inglês em que estão escritos os múltiplos manuais que hoje se encontram na net. Para os aspirantes a cibercriminosos, a abundância de informação pode ser um maná; para profissionais como Paulo Rosado a situação é diametralmente oposta. “A FuzzBunch também contém ferramentas que apagam todos os vestígios para evitar a deteção durante análises forenses que venham a ser feitas aos computadores infetados”, explica o especialista da DXC Technology, que aceitou mostrar a FuzzBunch sob a condição de não proceder a qualquer infeção fora do seu computador.

O dia a dia de um ciberoperacional da NSA dificilmente será comparável ao de um James Bond. Tudo se passa frente a um ecrã de computador — que também serve de cortina virtual para os efeitos potencialmente catastróficos da exploração de vulnerabilidades que deram à NSA a capacidade para, numa fração de segundo, colocar-se em qualquer lugar do mundo onde haja um computador ligado à net. Nem as rotinas entediantes nem o potencial danoso da tecnologia reduzem o gosto pelo marketing quando é preciso batizar as diferentes vulnerabilidades. EternalBlue e a DoublePulsar são duas legítimas representantes dessa criatividade. A primeira é usada para gerar uma intrusão; a segunda para lançar o código malicioso com o objetivo de perpetrar um sequestro em versão eletrónica de um computador vulnerável. São estas duas vulnerabilidades que estão na origem do WannaCry — e da semi-histeria que se gerou em meados de maio.

O estado de alerta tinha alguma razão de ser: a mais famosa campanha de ransom começou por se propagar por e-mail, mas depois de infetar a primeira máquina disseminava-se automaticamente para todos os computadores vulneráveis que se encontrassem conectados na mesma rede. O que acelerou de sobremaneira o contágio e consequente sequestro de computadores. “Este tipo de ransomware costuma usar uma encriptação forte, que é conhecida por AES. Seria necessária toda a computação do mundo a funcionar durante 100 anos para desbloquear este tipo de encriptação”, explica José Pina Miranda, perito em encriptação que liderou a Multicert e que hoje chefia a startup Devise Future.

As notícias mais estrondosas sobre o WannaCry surgiram com o bloqueio de grande parte da rede informática do sistema nacional de saúde britânico e com as estimativas que apontavam a China como o país mais afetado, com metade de todos os computadores sequestrados pelo WannaCry. Em Portugal, a fazer fé nas fontes oficiais, o efeito foi mínimo. A visita do Papa Francisco ter-se-á revelado providencial tanto para crentes como não crentes — e a Administração Pública (AP) foi poupada a males maiores devido à tolerância de ponto e às medidas de mitigação que levaram ao corte de e-mails e acessos à net.

Toda esta azáfama de escala mundial não parece bater certo com os cerca de 71 mil euros amealhados pelos manobradores do WannaCry. Um valor que é manifestamente curto, tendo em conta o número de infeções. Terá sido o WannaCry apenas uma vulgar campanha de cibercrime ou é a confirmação de que a ciberguerra veio para ficar?

De Pyongyang com amor?

A NSA não tem o exclusivo da criatividade na internet. E isso ajuda a explicar parte do sucesso de um grupo conhecido por ShadowBrokers. Ainda ninguém apurou ao certo a proveniência do coletivo, mas há um ano o circuito da cibersegurança ficou a saber aquilo de que era capaz, com a distribuição da FuzzBunch. O enredo estava montado, e nem faltou o lado picaresco para se chegar a uma conspiração internacional digna dos melhores filmes.

Em março, a Microsoft anunciou uma atualização que eliminava a EternalBlue em sistemas operativos anteriores ao Windows 10. Todos os gestores de redes foram a correr instalar esse remendo para evitar ataques, certo? Errado. Nem todos o fizeram. Até porque, nalguns casos, a instalação de um patch poderia pôr em causa o funcionamento de outras aplicações mais antigas. Mas essa justificação não esconde uma realidade mais assustadora: uma parte significativa do contágio só aconteceu por incúria dos gestores das redes de informática, que não fizeram uma atualização atempada. “Esta vulnerabilidade era conhecida há dois meses. Não se justifica que uma vulnerabilidade com dois meses continue exposta”, explica João Gouveia, diretor de Tecnologias da AnubisNetworks.

Não foram só os gestores de departamentos de informática que pecaram por negligência. Os criadores do WannaCry também ficaram longe de serem exemplares para os padrões de eficiência exigidos no cibercrime. Marcus Hutchins, um jovem britânico, garantiu um lugar no muro da fama dos especialistas de segurança eletrónica, depois de descobrir, no meio dos códigos do WannaCry, um interruptor virtual sob a forma de um endereço de internet que… não estava registado. Hutchins só teve de registar esse endereço de internet para passar a poder travar o contágio entre máquinas vulneráveis (mas sem garantir a capacidade para desbloquear computadores que já tinham sido alvo de ataque). Uma semana depois, um conjunto de investigadores franceses descobriu uma forma de desbloquear computadores com algumas versões do Windows, desde que não tivessem sido desligados depois de terem sido atacados.

As duas falhas de implementação mais parecem de amadores, mas esse não foi o único traço distintivo do WannaCry. As semelhanças com uma vaga de ataques, lançada há três anos, por um grupo de hackers associado à Coreia do Norte também foi motivo de especial atenção. “Verificámos que há similaridades com os códigos usados pelo Grupo Lazarus, mas também admitimos que esses códigos tivessem sido usados como uma máscara virtual (para passar a culpa para outros). É uma teoria possível, mas somos levados a crer que não se tratou de uma máscara. As similaridades com os códigos do Grupo Lazarus foram detetadas numa primeira versão do WannaCry. Caso fosse uma máscara, os responsáveis por este ataque teriam mantido essas similaridades nas versões mais recentes do WannaCry, mas essas similaridades foram retiradas depois de descobertas”, explica David Emm, investigador principal de Segurança da Kaspersky.

Em 2014, o Grupo Lazarus entrou para a história como o autor de uma vaga de ataques contra a Sony e várias salas de cinema dos EUA, como retaliação pela estreia do filme “The Interview”, que parodiava uma tentativa de assassínio do líder norte-coreano, Kim Jong-un. A acreditar nas alegadas semelhanças com os ataques de 2014, o WannaCry teria sido ordenado pelo Governo norte-coreano. Só que, nos tempos mais recentes, também surgiram teses que dão como certa uma intervenção chinesa. Provavelmente, as dúvidas sobre a autoria do ataque nunca serão dissipadas em definitivo — e o mesmo se passa com a origem dos ShadowBrokers, que os serviços de inteligência ocidentais garantem serem de origem russa. Para Vladimir Putin, Presidente da Rússia, a questão é mais simples e são os EUA os responsáveis por esta ciberameaça. E em parte tem razão: ainda ninguém percebeu ao certo como é que a NSA deixou escapar a FuzzBunch. Seria mais ou menos como a Marinha norte-americana deixar um porta-aviões sem tripulação à deriva no Atlântico.

As coisas comunicam

John Chambers, antigo CEO da Cisco, disse um dia que “só existem dois tipos de empresas: as que já foram alvo de ciberataques e as que ainda não sabem que foram alvo de ciberataques”. É um soundbyte feito à medida dos títulos de jornal, mas tem uma correspondência com a realidade — e os números confirmam que não é preciso ir aos EUA para estar sob permanente ameaça. De acordo com a Kaspersky, foram contabilizados quase 262 milhões de endereços infetados a circular na net durante 2016. A mesma Kaspersky identificou, no ano passado, 69 milhões de códigos maliciosos prontos a atacar.

Na BinaryEdge, uma startup criada por jovens portugueses na Suíça, há um relatório que ajuda a levantar a ponta do véu à segurança de uma rede mundial que já conecta mais de 3,4 mil milhões de pessoas e já superou há muito os sete mil milhões de máquinas ligadas — algumas delas com toneladas de peso. Desta vez, a análise, feita com uma ferramenta que recolhe dados de diferentes dispositivos ligados à net, incidiu apenas em máquinas que operam em Portugal com a tecnologia SCADA, e estão aptas a receber comandos a partir do exterior. Da análise resultou a deteção de 363 servidores sem qualquer sistema de autenticação. Entre os casos potencialmente gravosos, há lojas de roupa, uma quinta vitivinícola, um museu, dois cinemas e uma piscina municipal. A estas máquinas vulneráveis junta-se o Hospital de Vila Verde e um caso emblemático: um servidor que, atualmente, está em uso no Santuário do Cristo-Rei (todas as entidades em causa foram avisadas antes da publicação deste artigo).

“Como o resto da Europa, Portugal está a aprender a lidar com a cibersegurança. É uma área ainda muito nova, e com enorme complexidade, com falta de pessoal técnico especializado. Muitas infraestruturas críticas pertencem a privados, o que faz com que a responsabilidade sobre estes sistemas recaia em equipas de segurança pequenas ou inexistentes. Também é preciso dar mais força ao Centro Nacional de Cibersegurança (CNCS)”, descreve Tiago Rodrigues, líder da BinaryEdge.

No passado recente, o CNCS foi chamado a desbloquear computadores de alguns institutos públicos (entre eles um hospital) que haviam ficado sequestrados por ransomware, mas a grande prova de fogo só chegou com o WannaCry. Foi nesse momento que ficou patente a falta de pessoal qualificado e também de um enquadramento legal que permita ao CNCS impor-se perante os restantes organismos da AP. Pedro Veiga, coordenador do centro, admite mudanças para breve: “A missão do CNCS vai ser alterada. Já fizemos uma avaliação, que encaminhámos para a ministra da Presidência e Modernização Administrativa.” O responsável recorda ainda os requisitos previstos pela diretiva da Segurança das Redes de Informação que entra em vigor a meados de 2018, e aponta um caminho possível para os tempos mais próximos: “Vai ser feita uma consulta pública com o objetivo de apurar limiares de impacto que deverão obrigar organismos da AP e algumas empresas a notificarem o CNCS em caso de ciberataque.”

Em paralelo com o reforço dos poderes de coordenação, o centro deverá avançar com a instalação de sensores que monitorizam as comunicações entre diferentes ministérios e organismos públicos. João Nuno Ferreira, coordenador da rede académica na Fundação para a Ciência e Tecnologia (FCT), indica uma outra iniciativa que poderá ajudar a estancar uma ciberameaça de maiores proporções: “Nos últimos tempos têm sido criados pontos de interligação ministeriais. Quando esse trabalho estiver concluído será possível ter todo o tráfego da AP dentro da AP. Além das vantagens económicas, estes pontos de interligação permitem isolar as comunicações da AP com o exterior.”

Stuxnet: o princípio do fim

Com a crescente automação, é pouco crível que o número de servidores que usam SCADA ou outros protocolos similares deixem de proliferar. Mas já houve situações em que o atacante optou por estratégias bem menos seletivas. E logrou alterar a correlação de forças à escala mundial. Aconteceu em 2010. Para a posteridade ficaria um nome: Stuxnet, a primeira arma digital de grandes proporções que terá sido criada em conjunto pelos serviços secretos norte-americanos e israelitas.

O Stuxnet tinha como missão introduzir-se indistintamente no maior número de computadores iranianos (que totalizaram quase 60% das infeções mundiais) — mas não pretendia extrair dados ou solicitar um resgate. Limitava-se a ficar à espera. Até ao dia em que um computador infetado conseguiu entrar em contacto direto com uma variante da tecnologia SCADA conhecida por Step7, da Siemens — e que se sabia ser usada para controlar as operações das centrais de enriquecimento de urânio iranianas. Pouco depois desse dia, o Irão perdeu um quinto das infraestruturas usadas no respetivo programa nuclear. Mais do que o pioneirismo, o Stuxnet distinguiu-se por mostrar que era possível interferir no dia a dia de um país hostil, sem disparar um tiro ou causar uma morte, e ainda obter ganhos políticos (em 2015, o Irão aceitou impor limites ao programa nuclear). A batalha foi ganha, mas a nova realidade ficou à vista de todos: as mesmas ciberarmas que foram usadas para os EUA criarem uma disrupção de larga escala também podem ser usadas por um qualquer outro país numa situação de ciberconflito. E não foi preciso esperar muito para ver os EUA, que haviam sido os predadores bem-sucedidos com o Stuxnet, se converterem em vítimas.

Em 2013, um relatório da Mandiant deixou as autoridades dos EUA à beira de um ataque de nervos: de acordo com a empresa de segurança eletrónica, ciberoperacionais ao serviço do Exército chinês conseguiram desviar centenas de terabytes de dados confidenciais e críticos de várias empresas e organismos governamentais dos EUA. Foi o primeiro grande ataque alegadamente patrocinado por um governo a vitimar as terras do Tio Sam. E foi também o primeiro ataque que tornou famosa a Unidade 61398, sitiada num prédio nos arredores de Xangai, que aloja o braço tecnológico do exército chinês. O caso não tardou a chegar à via diplomática — até deixar de constar na agenda, quando os argumentos das duas partes se esgotaram e o jogo de espelhos que caracteriza o estado de ciberguerra permanente evoluiu até se chegar a um novo ataque de grandes proporções. No verão de 2016, em plena campanha para as eleições presidenciais, as contas de e-mail da Convenção do Partido Democrata (DNC) foram alvo de intrusão. Do ataque viria a resultar a divulgação, por parte do coletivo WikiLeaks, de mais de 44 mil e-mails, provocando um rombo na popularidade da candidata democrata Hillary Clinton na reta final das presidenciais norte-americanas. O caso viria a redundar numa intensa troca de teorias da conspiração: os apoiantes de Donald Trump não perderam tempo a relacionar o assassínio de Seth Rich, um antigo membro da Convenção Nacional Democrata, com uma alegada participação na fuga de informação promovida pelo WikiLeaks; Hillary Clinton, e mais tarde, Barack Obama, ainda enquanto Presidente, haveriam de colocar-se do lado da tese de que a DNC havia sido atacada por hackers russos, que alegadamente cederam os milhares de e-mails ao WikiLeaks.

O caso haveria de marcar os últimos dias de Obama na Sala Oval. O antigo Presidente não hesitou em solicitar uma investigação aos ataques à DNC, bem como às eventuais incursões nos cadernos eleitorais de alguns estados dos EUA, que alegadamente também foram atacados. Será que as eleições dos EUA foram forjadas? Mesmo que surgisse um relatório a provar detalhadamente uma ciberfraude, dificilmente, um Governo dos EUA — e presumivelmente de qualquer outro estado democrático — poderia encarar de ânimo leve a realização de novas eleições. E compreende-se porquê: as eleições têm por pressuposto um pacto de confiança entre quem vota e quem garante a legalidade do ato eleitoral. A partir do momento em que se prova um ciberataque, ficam criadas as condições para grande parte dos eleitores deixarem de acreditar nos resultados de futuras eleições. Coincidência ou não, Donald Trump acabou por demitir James Comey do cargo de diretor do FBI por alegadamente não cumprir a missão que lhe foi atribuída. No ano passado, o mesmo Comey apontou os hackers russos como a principal ameaça para a democracia norte-americana.

E em Portugal?

Há o erro recorrente de acreditar que o mal só acontece aos outros, mas José Tribolet já não tem razões para incorrer nesse erro. Pelo menos no que toca a eleições: enquanto presidente do INESC, acompanhou de perto, em variadas ocasiões, os bastidores das eleições em Portugal. E por mais de uma vez assistiu a tentativas de ataque aos servidores do Ministério da Justiça que corriam o software de contagem de votos. “Estes ataques acontecem na atualidade em todos países do mundo onde há eleições”, refere o líder do INESC, fazendo um diagnóstico menos auspicioso: “Os ataques da década passada eram uma brincadeira com o que há agora. Mas nunca tive conhecimento de uma tentativa bem-sucedida de alteração do software de processamento de dados.” Face à avalanche de ataques registada nos períodos eleitorais, o Ministério da Justiça (que geria o processo eleitoral, antes de se passar para a Administração Interna) teve de enveredar por um plano de redundância, com diferentes servidores dispersos pelo mundo, que entram em ação sempre que outros são afetados por uma tentativa de ataque. Os peritos do INESC também chegaram a pôr à prova esta arquitetura com testes de intrusão: “Conseguimos perturbar quatro ou oito servidores, mas era quase impossível gerar perturbações em todos.” Houve ataques às eleições… mas quem lançou os ataques? Se depender de um ciberexército, essa questão ficará sempre sem resposta. Até porque o modo de operação destas unidades, que alguns especialistas encaram como o embrião de um novo ramo das forças armadas, pautam-se pela dissimulação. Os ciberataques podem ter como único propósito a interceção de informação crítica ou apenas o lucro.

“Na internet, a superfície de ataque é muito grande. É fácil, é barato, e assimétrico. Um ator individual pode pôr em causa um Estado inteiro.” A citação é de Viegas Nunes, coronel que tem vindo a coordenar a instalação do Centro de Ciberdefesa no Estado-Maior-General das Forças Armadas, numa entrevista realizada no ano passado, mas serve para ilustrar na perfeição o atual equilíbrio de forças que leva os diferentes governos a evitarem ciberataques mais diruptivos, durante os períodos de guerra não declarada, para evitarem tornar-se vítimas de retaliação ou de uma escalada de ciberataques à escala global que não beneficia ninguém. E não adianta ter ilusões. Portugal também terá os seus ciberoperacionais. “Portugal até foi pioneiro nalgumas operações cyber que serviram de exemplo a outros parceiros da NATO, mas como são operações altamente classificadas, poucos as conhecem. Infelizmente, como teima em ser hábito entre nós, esses brilharetes foram conseguidos à custa do voluntarismo e dedicação de alguns quadros excelentes que tivemos, e não fruto de uma política oficial dos serviços que permitisse consolidar conhecimentos”, lembra Henrique Corrêa da Silva, ex-operacional dos Serviços de Informação portugueses e hoje CEO da startup Privus, que tem vindo a desenvolver diferentes soluções de cibersegurança a partir da Suíça.

Hoje, está em curso uma corrida às ciberarmas — e também aos profissionais qualificados. José Tribolet recorda que, na atualidade, um especialista em cibersegurança “vale ouro” — e muitos dos que se formaram em Portugal já emigraram para o estrangeiro por essa razão. E é para dar resposta a essa lacuna que o decano das tecnologias tem vindo a promover um curso “avançado e intensivo” de seis meses que permitirá formar, a partir do Técnico, 240 cibercomandos em quatro anos. Tribolet acredita que, numa fase posterior, este primeiro contingente de “oficiais e sargentos” possa ajudar a formar “soldados”, em ações concertadas com os politécnicos do país. O curso avançado de ciberdefesa está disponível para candidaturas, mas não há garantia de que venha alguma vez a funcionar como o equivalente à recruta de um ciberexército. Contudo, José Tribolet acredita que a ideia tem pernas para andar: “Com esta iniciativa poderíamos formar 2000 operacionais em seis anos.”

Os três maiores

À data de hoje, um contingente de dois mil cibersoldados daria ao Portugal a entrada direta no top 3 dos ciberexércitos mais numerosos. Segundo a empresa russa Zecurion, o Reino Unido, atualmente no terceiro lugar desse ranking, conta com dois mil soldados. Os EUA não terão mais de nove mil ciberoperacionais — e a China faz jus à população com um ciberexército de 20 mil efetivos. É apenas uma estimativa — e não tem em conta outro fator nada despiciendo: muitos dos ciberexércitos operam de modo concertado com grupos especializados em campanhas de disseminação de spam, vírus indiferenciados, ransomware, pirataria de filmes ou software, roubo de segredos industriais, venda de medicamentos contrafeitos ou grupos de hacktivistas.

Neste lado obscuro da internet, composto por um conjunto de subterrâneos encriptados que é conhecido precisamente por dark web, há muito que é conhecida a divisão de tarefas: há grupos que se dedicam apenas à programação de códigos maliciosos e divulgação de vulnerabilidades; outros que lançam campanhas de recolha de dados de vítimas; outros que apenas alugam o tempo de uso de máquinas infetadas que operam como exércitos de zombies; e não faltaram outros intervenientes que apenas encomendam os ataques com os mais variados propósitos. Hoje, qualquer diretor de um departamento governamental, munido com o browser adequado para entrar nesta área escondida da internet, pode encomendar um ataque à medida — desde que haja bitcoins para pagar. E pior: qualquer adolescente pode fazer o mesmo. “Vamos ou não assistir ao aparecimento de fronteiras eletrónicas? Já vimos bases de dados eleitorais a serem atacadas. Se há uma interferência de um Estado na vida de outro como é que se garante a democracia? Não digo que as fronteiras digitais sejam a melhor solução, mas é possível que venhamos a assistir a uma tentativa para compartimentar”, refere João Nuno Ferreira.

As novas fronteiras tecnológicas já começaram a produzir efeito nas compras dos Estados, quando enveredam por proibições oficiais ou apenas oficiosas no uso de equipamentos de marcas em serviços considerados fulcrais (nos EUA e na França chegaram a ser debatidas medidas de bloqueio a servidores chineses, por alegadamente facilitarem a espionagem). O paradigma tecnológico pode vir a sofrer nova rutura nos próximos anos, arrisca João Nuno Ferreira: “A web é apenas uma das interfaces da internet. Lembro-me do tempo em que havia internet, mas não havia web. A internet vai continuar a existir. Só não sei é se, no futuro, continuará a haver web.”