Censura,Liberdade,Blog do Mesquita 07

“Denúncia contra Glenn Greenwald é aventura arbitrária”

Em entrevista, especialista em direito constitucional aponta afronta à liberdade de imprensa e ao devido processo legal na denúncia do MPF contra jornalista do Intercept, acusado de conluio com hackers.    

Glenn Greenwald“Glenn e o Intercept estão cobrindo um tema de interesse público, e a Constituição assegura o sigilo da fonte”, diz especialista

Mais do que ameaçar a liberdade de imprensa, a denúncia do Ministério Público Federal (MPF) contra o jornalista Glenn Greenwald, do site The Intercept, é uma tentativa de criminalização da atividade jornalística, na opinião do professor da Universidade do Estado do Rio de Janeiro (UERJ) Daniel Sarmento, especialista em direito constitucional. Em entrevista à DW Brasil, ele associa o caso a um contexto mais amplo de crise democrática no Brasil.

“É triste ver o Ministério Público Federal fazendo esse papel. Aliás, foi o mesmo procurador que denunciou o presidente da OAB, Felipe Santa Cruz, por ter denunciado o ministro Sergio Moro, chegando a pedir sua destituição do cargo, outra ação absurda”, diz.

“São casos que mostram o quadro de degradação das instituições do país. Infelizmente, a qualidade da nossa proteção à liberdade de imprensa está se deteriorando”, opina.

DW: Glenn Greenwald não era investigado pela Justiça nem havia sido indiciado pela Polícia Federal, que afirmou não ter encontrado evidências de crimes cometidos pelo jornalista. Mesmo assim, ele foi denunciado pelo Ministério Público Federal. Trata-se de uma ação arbitrária?

Daniel Sarmento: Eu vejo dessa forma. Em primeiro lugar, há uma ameaça à liberdade de imprensa. O Glenn e o Intercept estão cobrindo um tema com enorme interesse público. A Constituição assegura o sigilo da fonte, e a denúncia coloca uma ameaça sob a cabeça de jornalistas investigativos, que ousam noticiar o que desagrada às autoridades. O caso tem várias singularidades. Uma delas é o fato de não estar sendo sequer investigado. Outra é o claro descumprimento de uma decisão do Supremo Tribunal Federal (STF), proferida pelo ministro Gilmar Mendes, que vedou qualquer tipo de responsabilização do Glenn pela recepção, obtenção ou transmissão de informações publicadas em veículos de imprensa. É uma clara afronta à Constituição, especialmente à liberdade de imprensa e às regras do devido processo legal, que exigem a abertura de investigação e a oportunidade para que o investigado dê sua versão antes da denúncia.

Tendo em vista o envolvimento de figuras públicas nas mensagens vazadas para o Intercept, que limites a Constituição estabelece para a a atuação jornalística?

O Intercept não poderia, por exemplo, encomendar uma gravação ilícita, ou associar-se à prática de interceptação telefônica. Agora, no momento em que o site recebe o material, tem o direito de publicá-lo, pois a população tem o direito de conhecer o conteúdo. Não tem uma disposição clara na Constituição sobre esse ponto. Mas o standard importante é o relevo público e a importância das informações para a sociedade.

A Suprema Corte dos EUA julgou um caso muito parecido, que envolveu o jornal Washington Post, pela publicação dos Pentagon Papers, documentação relativa a irregularidades do governo estadunidense na Guerra do Vietnã. Uma fonte obteve o material e vazou para o jornal, que publicou o conteúdo, apesar da tentativa do governo de impedir a publicação. O tribunal decidiu a favor do jornal, da liberdade de imprensa e do direito da sociedade à informação. É um dos grandes precedentes no Direito global sobre essa matéria, que se aplica perfeitamente à atuação do Intercept.

Além de apontar a interceptação de comunicações e invasão de dispositivo informático, a denúncia do MPF acusa o jornalista de associação criminosa. Pode-se falar em uma tentativa de criminalização da atividade jornalística?

Claramente. É triste ver o Ministério Público Federal fazendo esse papel. Aliás, foi o mesmo procurador que denunciou o presidente da OAB, Felipe Santa Cruz, por ter denunciado o ministro Sergio Moro, chegando a pedir sua destituição do cargo, outra ação absurda. São casos que mostram o quadro de degradação das instituições do país. Infelizmente, a qualidade da nossa proteção à liberdade de imprensa está se deteriorando. É importante que as próprias instituições de Estado percebam isso na hora de decidir, e que não se permita a continuidade dessa aventura arbitrária contra o Glenn Greenwald.

O caso evidencia um desvio de função do MPF?

O MPF age em nome da sociedade. Embora seja parte, não pode estar do lado incondicional do governo ou possíveis vítimas de crimes, e deve fazer uma avaliação pautada no Direito. Claramente não foi o caso. Li a denúncia, que contém a transcrição de um diálogo do Glenn que serviu de base para a ação. É preciso ter muita criatividade para extrair dali um estímulo ao crime ou associação à prática do crime. É evidente que não foi isso.

Há precedentes de iniciativas tão agressivas contra a liberdade de imprensa no período democrático mais recente?

Em primeiro lugar, tenho confiança de que o Poder Judiciário não vai embarcar nisso. A gente tem tido decisões muito ruins, mas que, em geral, têm sido revertidas. Recentemente, o Supremo Tribunal Federal (STF) reformou uma decisão do presidente do Tribunal de Justiça do Rio (TJ-RJ) que autorizou a apreensão de revistas que traziam um beijo gay. Houve também uma decisão muito equivocada do Supremo que censurou a revista Crusoé por uma matéria contrária ao tribunal, com reação muito negativa, que levou o ministro ao voltar atrás. Nem sempre o Judiciário acerta.

Neste mês, um caso no TJ-RJ levou à censura judicial de um blog. A Associação Brasileira de Imprensa (ABI) pediu para entrar no processo como amicus curiae contra a censura, e o desembargador não só manteve a censura, como negou o pedido da ABI e condenou a entidade por litigância de má fé. Ou seja, censurou a própria ABI. Com muita frequência, o Judiciário brasileiro falha nessa matéria. O caso do Glenn é muito grave, e espero que não falhe desta vez.

São casos isolados ou se encaixam em um contexto mais amplo de cerceamento de liberdades?

Infelizmente, a segunda opção. É um caso extremo. Quase todas as pessoas razoáveis vão concordar que é algo com que não se pode transigir. Mas não acho que seja um ato isolado. A gente vive um momento de crise democrática no Brasil, com muitas instituições do Estado participando de sua formação. Eu tenho visto duas leituras bastante distintas da situação brasileira, e nenhuma das duas está totalmente certa, a meu ver.

Uma diz que as instituições estão funcionando e conseguindo conter os arroubos autoritários do governo. Outra, que não somos mais uma democracia. Algumas das instituições estão funcionando razoavelmente bem, mas muitas delas estão contaminadas. A polícia está matando mais, a atuação dos órgãos de fiscalização ambiental está muito pior, e aumentou a discriminação na sociedade. Acredito também que os críticos do governo estejam se sentindo mais ameaçados. São impactos reais, e as instituições não bastam para contê-los integralmente.

Na matéria indígena, o presidente da República disse que não ia demarcar nem um centímetro de terra indígena e tirou, inicialmente, a atribuição da Funai e passou para o Ministério da Agricultura. Após alguma hesitação, o Supremo derrubou isso. O governo, então, esvaziou totalmente a Funai, colocou um ruralista na presidência e proibiu a autarquia de pagar diárias para os funcionários que vão para áreas não demarcadas. Nos últimos dias, houve uma decisão escandalosa que sustava o fornecimento de cestas básicas para os povos indígenas que não estejam em áreas demarcadas, tirando o direito à subsistência. O Supremo vai por um caminho, e o governo esvazia por outro lado. Não é possível barrar os retrocessos só com algumas instituições. Agora, eu concordo que o Brasil ainda não virou uma Turquia, uma Hungria. Ainda temos um parlamento que freia excessos do governo, um Poder Judiciário que freia alguns excessos e atos democráticos. Não é o cenário em que está tudo normal, pois vivemos, de fato, uma crise democrática, mas também não é o cenário em que o Brasil já virou uma ditadura.
WD

Tecnologia,Crimes Cibernéticos,Internet,Redes Sociais,Hackers,Privacidade,Malware,Stalkware,WhatsApp,Facebook,Instagram,Twitter

WhatsApp e segurança

WhatsApp: a desinstalação do aplicativo de mensagens pode tornar seu telefone mais seguro?

Logotipo do WhatsApp com um gráfico por trás.

Direitos de imagem GETTY IMAGES
Telefones de ativistas, jornalistas e diplomatas foram bancos de ataques cibernéticos recentemente e suas mensagens do WhatsApp vazaram.

O WhatsApp é um dos maiores aplicativos populares de mensagens instantâneas do mundo. Mas é o mais seguro?

No final de outubro, o WhatsApp, cujo dono é o Facebook, entrou com uma ação contra o Israel NSO Group, que fabrica software de vigilância conhecido como Pegasus, alegando que a empresa estava por trás de ataques cibernéticos. Os hackers conseguiram instalar remotamente software de vigilância em telefones e outros dispositivos, aproveitando uma vulnerabilidade significativa no aplicativo de mensagens.

O WhatsApp acusa a empresa de enviar malware para aproximadamente 1.400 telefones celulares, a fim de espionar jornalistas, ativistas de direitos humanos, dissidentes políticos e diplomatas em todo o mundo, embora sejam principalmente da Índia.

Homem encapuzado com um telefone.Direitos de imagem GETTY IMAGES
O software de vigilância é conhecido como Pegasus.

No México, por exemplo, o caso era conhecido porque era usado para espionar figuras públicas como a jornalista Carmen Aristegui.

O jornal The Washington Post disse que o telefone Jamal Khashoggi Arábia jornalista, que foi morto no consulado saudita em Istambul no ano passado, foi “infectado” com um programa da empresa israelense.

O Grupo NSO, entretanto , rejeita as acusações e disse que sua missão é a de uma empresa dedicada a prestar serviços aos governos para combater “contra o terrorismo”.

Em uma apresentação em um tribunal em São Francisco, Estados Unidos, o WhatsApp disse que o NSO Group “desenvolveu seu malware para acessar mensagens e outras comunicações depois que elas foram descriptografadas nos dispositivos de destino”.

Após esse escândalo de segurança cibernética, alguns usuários estão procurando outras opções além do WhatsApp , incluindo aplicativos de mensagens como Signal ou Telegram, que são criptografados com mais segurança.

E muitos outros estão pensando em desinstalar o aplicativo WhatsApp de seus telefones. Mas essa é a solução?

Criptografado, mas vulnerável

WhatsApp em um telefone.Direitos de imagem GETTY IMAGES
O aplicativo WhatsApp entrou com uma ação contra o Israel NSO Group alegando que a empresa estava por trás de ataques cibernéticos que infectaram dispositivos com software malicioso.

Especialistas dizem que o WhatsApp, um aplicativo usado por aproximadamente 1,5 bilhão de pessoas em 180 países (apenas a Índia é de 400 milhões), está sofrendo a pior parte do ataque cibernético que não é inteiramente culpa deles.

Embora uma vulnerabilidade no recurso de chamada de vídeo do aplicativo permita que o spyware funcione sem a intervenção do usuário , ele eventualmente infectou o telefone devido a falhas nos sistemas operacionais do dispositivo.

“As vulnerabilidades que os spywares sabiam explorar estavam no nível do sistema operacional, seja Android ou Apple”, disse Vinay Kesari, advogado especializado em privacidade de tecnologia.

“Se houver um programa de espionagem no seu telefone, tudo o que for legível ou o que passa pela sua câmera ou microfone estará em risco ” , disse o consultor de tecnologia Prasanto K. Roy.

O WhatsApp é promovido como um aplicativo de comunicação “seguro” porque as mensagens são criptografadas do começo ao fim. Isso significa que eles devem ser exibidos apenas de forma legível no dispositivo do remetente ou do destinatário.

“Nesse caso, não importa se o aplicativo está criptografado ou não, uma vez que o spyware está no seu telefone, os hackers podem ver o que está no seu telefone como você o vê, isso já está descriptografado e de forma legível nesta fase “, descreveu Prasanto K. Roy à BBC.

“Mas o mais importante é que essa violação mostra como os sistemas operacionais são vulneráveis “, acrescentou.

Alterações na aplicação

Uma mulher indiana fala ao telefone.Direitos de imagem GETTY IMAGES
Os usuários mais afetados pela filtragem de mensagens do WhatsApp são da Índia, um dos mercados da Internet que mais crescem no mundo.

Desde que o WhatsApp reconheceu essa violação de segurança e entrou com a ação, grande parte da conversa nas redes se concentrou em mudar para outros aplicativos de mensagens.

Uma das opções mais comentadas é o Signal , conhecido por seu código-fonte aberto, ou seja, é um modelo de desenvolvimento de software baseado em colaboração aberta que todos podem ver.

Mas isso significa que seu telefone estaria melhor protegido contra um ataque? Não necessariamente, dizem os especialistas.

“Com o Signal, há uma camada adicional de transparência porque eles liberam seu código para o público. Portanto, se você é um desenvolvedor de código sofisticado e a empresa diz que corrigiu um erro, pode acessar o código e ver por si mesmo”, disse ele. Kesari

“Mas isso não significa que o aplicativo tenha uma camada adicional de proteção contra esses ataques”.

Prasanto K Roy diz que esse ataque em particular foi além do aplicativo de mensagens.

“Para aqueles cujos telefones estavam comprometidos, todas as informações estavam em risco, não apenas o WhatsApp”, disse Roy.

No momento, não há motivos para acreditar que o WhatsApp seja “menos seguro” do que outros aplicativos, acrescentou.

Internet,Virus,GuerraCibernética,Armas,Espionagem,Tecnologia,Hackers,Blog do Mesquita 01

Tecnologia – As armas cibernéticas do século XXI

Quais são as sofisticadas armas cibernéticas da guerra do século 21?

Ataque cibernéticoSaber que a distância física não é obstáculo para um ataque faz com que as pessoas se sintam mais vulneráveis – Direito de imagem THINKSTOCK

Eles não sabiam o que estava acontecendo. O equipamento quebrava constantemente, mas a causa era um mistério. Peças eram substituídas, mas o problema ocorria novamente.

Passou-se um ano antes que descobrissem que o problema era um vírus chamado Stuxnet, que havia infectado os sistemas eletrônicos da planta de enriquecimento de urânio em Natanz, no Irã.

Esta era a razão por trás dos diversos erros que atrasaram e prejudicaram o programa nuclear do país.

O descobrimento do Stuxnet, em 2010, tornou claro que os crimes cibernéticos podiam ir além da espionagem e do roubo de dados pessoais com fins econômicos: confirmou que era possível causar prejuízos físicos com uma motivação política.

“Foi a exploração bem-sucedida do ciberespaço com o objetivo de controlar uma série de processos industriais para destrui-los remotamente, sem que ocorresse nenhum tipo de confronto militar”, diz Lior Tabansky, especialista em cibersegurança estratégica da Universidade Yuval Ne’eman, em Israel, na publicação Cyber Security Review.[ad name=”Retangulo – Anuncios – Direita”]

“Isso demonstrou quão sofisticadas e precisas podem ser as armas cibernéticas.”

É difícil saber com certeza qual foi a origem desse ataque. Mas, segundo um artigo do Instituto de Tecnologia de Massachusetts (MIT, na sigla em inglês), nos Estados Unidos, suspeita-se que uma equipe de especialistas israelenses e americanos esteja por trás do incidente.

Essa opinião é compartilhada por diversos especialistas em segurança cibernética.

LaptopArmas cibernéticas já provaram que têm o poder de causar sérios prejuízos físicos e psicológicos com motivação política – Direito de imagem THINKSTOCK

Ciberterrorismo

Esse tipo de incidente, que afeta o funcionamento de equipamentos e infraestruturas, é uma das modalidades de ciberataques mais perigosa. Nos últimos anos, foram registrados vários ataques.

Suas consequências vão além do plano físico.

“Além do prejuízo concreto, esse tipo de evento tem um efeito secundário muito importante: o psicológico. A isso se referem os termos ciberterrorismo e ciberguerra”, disse à BBC Graham Fairclough, especialista do Centro de Cibersegurança da Universidade de Oxford, no Reino Unido.

“Eles geram medo e ansiedade. Tem-se a sensação de que alguém pode fazer algo com você e que você não tem a possibilidade de se proteger. O alcance também é importante, já que no ciberespaço a distância física não é relevante. Você pode ser uma vítima mesmo que esteja longe do ponto de origem do ataque.”

Neste contexto, o indivíduo perde confiança no sistema e em sua habilidade para protegê-lo.

“Tudo o que funcione com softwares pode ser utilizado para causar prejuízo, seja algo simples, como uma geladeira, ou muito mais complexo. A chave é o código, que pode ser desenvolvido ou comprado de criminosos na internet. E o equipamento físico, ou hardware, também pode ser comprado com facilidade na rede”, afirma Fairclough.

Planta nuclear
O ataque à instalação nuclear iraniana ocorreu sistematicamente durante um ano até ser descoberto – Direito de imagem THINKSTOCK

MÉTODOS MAIS COMUNS DE CIBERATAQUES

Botnets: Redes de sistemas que têm o objetivo de controlar remotamente os aparelhos e distribuir programas maliciosos.

Engenharia social: Técnica que tenta enganar as vítimas para que elas compartilhem informações confidenciais. O phishing – na qual a vítima é levada a entrar em sites que parecem autênticos, mas não o são – é um dos tipos mais usados.

Ataque de negação de serviço (DDoS, na sigla em inglês): Ocorre quando um site é “derrubado”, e os usuários não conseguem acessá-lo.

Ameaça persistente avançada (APT, na sigla em inglês): Ocorre quando o organizador do ataque entra no sistema operacional de uma empresa que tenha informações valiosas e permanece ali, sem ser detectado, por um longo tempo. O objetivo é roubar informação, e não danificar a rede da organização. Muitas vezes, a entrada ocorre através dos computadores de funcionários mais baixos da empresa, mas que estão conectados à rede.

Ataque man-in-the-middle (homem do meio, em tradução livre): Ocorre quando um hacker intercepta a comunicação entre duas partes, sem que elas percebam.

Fonte: Ministério do Interior da Alemanha e GlobalSign


Família em casa sem luz elétrica
O incidente em Ivano-Frankivsk, na Ucrânia, deixou 230 mil pessoas sem eletricidade – Direito de imagem GETTY IMAGES

Ataque impressionante

A sofisticada combinação de efeitos físicos e psicológicos das novas armas cibernéticas fica evidente no ataque que sofreu o sistema elétrico de Ivano-Frankivsk, uma cidade no oeste da Ucrânia, em dezembro de 2015.

Sem nenhum tipo de aviso, os técnicos da estação da região perderam o controle de seus computadores. Cursores moviam-se sozinho na tela e os terminais desativaram os interruptores que controlavam o fluxo de energia.

Os hackers por trás do ataque expulsaram os técnicos do sistema e mudaram suas senhas, impedindo que eles se conectassem novamente.

De acordo com a revista de tecnologia Wired, 230 mil moradores da cidade ficaram sem luz e sem calefação durante horas. Trinta subestações de energia e outros centros de distribuição foram desligados.

Uma ocorrência semelhante foi registrada em dezembro de 2016, desta vez no norte da capital ucraniana, Kiev.

Funcionários do governo ucraniano responsabilizaram a Rússia por ambos os ataques, em meio ao conflito entre os dois países – que ocorre há cerca de três anos, após a anexação russa da Crimeia, uma península ao sul da Ucrânia.

CódigoAs ameaças cibernéticas chegaram para ficar, segundo os especialistas em segurança – Direito de imagem THINKSTOCK

PASSO A PASSO DE UM CIBERATAQUE

1. Pesquisa – Compilar e analisar a informação que existe sobre o alvo, para identificar vulnerabilidades e decidir quem serão as vítimas.

2. Transporte – Chegar ao ponto fraco da rede informática que se quer penetrar. Pode-se usar métodos como:

  • Replicar um site que a vítima usa com frequência;
  • Entrar na rede da organização;
  • Enviar um e-mail com um link para um site malicioso ou com um arquivo anexo infectado com algum vírus;
  • Conectar em um computador da rede um pen drive com códigos maliciosos.

3. Entrada – Explotar essa vulnerabilidade para obter acesso não autorizado. Para conseguir isso, é preciso modificar o funcionamento do sistema, penetrar nas contas dentro da rede e conseguir o controle do computador, o celular ou o tablet do usuário.

4. Ataque – Realizar atividades dentro do sistema para conseguir o que o hacker quer.

Fonte: GCSQ


Cabos de eletricidadeRedes de eletricidade e de distribuição de água são vulneráveis a hackers habilidosos e com recursos – Direito de imagem GETTY IMAGES

Guerra de palavras

Recentemente, foram registradas uma série de denúncias e alertas sobre ciberataques centrados na manipulação de informações com objetivos políticos, incluindo com o propósito de intervir em processos eleitorais de outros países.

Nas últimas semanas, funcionários governamentais americanos, britânicos, alemães e tchecos também acusaram a Rússia de extrair informações de órgãos oficiais com este propósito.

A habilidade de obter informação privada, classificada e comprometedora de quase qualquer instituição governamental, privada, comercial ou de outro tipo, e usá-la com uma finalidade determinada é uma das armas mais poderosas da batalha cibernética no século 21.

Mas o que é possível conseguir, concretamente, com isso?

“Não é possível intervir nos sistemas eletrônicos de uma eleição para mudar seus resultados”, disse à BBC Brian Lord, ex-diretor encarregado de Inteligência e Ciberoperações do Centro de Comunicações do Governo (GCHQ, na sigla em inglês), o órgão de inteligência britânico.

“O que é possível fazer é acessar, filtrar e manipular informação para mudar a narrativa em torno de um processo eleitoral ou qualquer outro evento.”

É isso, justamente, o que se identificou como “notícias falsas”, que foram difundidas com grandes repercussões, principalmente nos Estados Unidos

Foi o caso do suposto apoio que o papa Francisco teria dado à candidatura de Donald Trump e de um suposto “romance” entre Yoko Ono e Hillary Clinton.

Vladimir Putin
Funcionários de diversos países responsabilizaram a Rússia por ciberataques que sofreram nos últimos meses – Direito de imagem GETTY IMAGES

‘Mais alcance’

Se as acusações à Rússia forem confirmadas, não será a primeira vez que um país tenta interferir às escondidas nos assuntos internos de outro, com objetivos específicos.

“Este tipo de ataques não são novidade, os russos estão há décadas tentando obter informações de outros governos. A diferença é que agora usam diferentes plataformas e têm um alcance maior”, disse à BBC Thomas Rid, professor do Departamento de Estudos Bélicos do King’s College em Londres.

Rid publicou um artigo sobre o vazamento de e-mails do Comitê Nacional do Partido Democrata americano (DNC, na sigla em inglês) nos Estados Unidos em julho de 2016. Novamente, a Rússia foi responsabilizada pelo ocorrido.

“Nunca tinhamos visto uma campanha tão direta. Além de vazar documentos e e-mails do DNC, disseminaram informação falsa e propaganda”, declarou, no final de 2016, James Clapper, ex-diretor da CIA, agência de inteligência americana.

Em seu artigo, Rid afirma que, neste caso, o aspecto “novo e assustador” é que a Rússia teria, pela primeira vez, combinado espionagem com a intenção de influenciar os resultados de uma votação.

Ele diz que, no final dos anos 1990, o Departamento de Defesa dos EUA começou a notar interferências em seus sistemas por parte de funcionários russos. Sempre que conseguiam, eles furtavam informações.

“Foi tanto, que a pilha de papeis com dados roubados que eles conseguiram era três vezes mais alta que o Monumento a Washington (o emblemático obelisco da capital americana).”

“Com o passar do tempo, a Rússia ficou mais sofisticada em suas táticas, e até chegou a modificar o funcionamento de satélites para apagar seus rastros. Desde então, os órgãos de inteligência russos se dedicaram a coletar informação política e militar. A NSA (agência de segurança nacional mericana) e a GCHQ (órgão da inteligência britânica) devolveram o favor.”

Homem fotografandoA espionagem feita por agências de inteligência nacionais se mantém, mas utilizando outros meios e com mais alcance – Direito de imagem THINKSTOCK

Como rastrear um ciberataque?

A variedade de recursos que existem para esconder a origem de um ataque ou para replicar os métodos utilizados por outros para realizá-lo pode dificultar a determinação de quem foi o responsável.

No entanto, mesmo sem os recursos técnicos e econômicos de órgãos como a NSA nos EUA, é possível utilizar ferramentas para desvendar quem está por trás do ciberataque.

“A primeira coisa seria saber se o vírus é amplamente utilizado ou costuma ser a opção de um grupo específico. Outra pista é o objetivo dos hackers. Mas não se consegue ter certeza absoluta (de quem são)”, disse à BBC Don Smith, diretor da Unidade Antiameaças da empresa internacional de cibersegurança SecureWorks.

Graham Fairclough, por sua vez, considera que a complexidade de descobrir qual é a fonte de um ataque está diminuindo à medida em que o tempo passa, porque se sabe melhor que tipo de informações é preciso ter para determiná-lo.

A análise do código utilizado, o idioma no qual se escreve e a forma que o ataque é conduzido guardam boas pistas.

“Quanto mais seguro é o sistema que se ataca, maiores são a capacidade e os recursos que os hackers necessitam. Se esse for o caso, indica que algum Estado – ou órgão do mesmo – esteve envolvido”, diz Fairclough.

“Atribuir o ataque a um governo específico é uma ferramenta política que costuma ser usada com um fim específico. O assunto é como responsabilizar um Estado sem revelar os mecanismos empregados para chegar a essa conclusão.”

Soldado com armaConflitos entre países já podem causar danos físicos sem confrontos no campo de batalha – Direito de imagem THINKSTOCK

Suspeitos de sempre

“Qualquer Estado que tenha órgãos de inteligência bem estabelecidos – com conhecimento e com uma missão – tem a possibilidade e a capacidade de realizar ciberataques”, afirma Don Smith.

“Os países que realizavam atividades de inteligência e espionagem nas décadas passadas continuam fazendo-o, mas agora através da internet. É até mais fácil e mais barato.”

No caso da Rússia, é fundamental também considerar a percepção que o resto do mundo tem de suas habilidades cibernéticas é fundamental.

“Um dos objetivos da Rússia é fortalecer a ideia de que o país é importante na geopolítica internacional”, disse à BBC Jenny Mathers, especialista em política e segurança na Rússia e professora da Universidade de Aberystwyth, no Reino Unido

“(A Rússia) Quer passar a mensagem de que é um país poderoso, que está no controle e que o mundo precisa prestar atenção.”

Os especialistas concordam que, seja qual for seu objetivo, estas atividades chegaram para ficar e são uma consequência do mundo digital em que vivemos.

“É preciso assumir que os ciberataques serão a ameaça ‘normal’ do século 21”, diz Brian Lord.

Tecnologia,Crimes Cibernéticos,Internet,Redes Sociais,Hackers,Privacidade,Malware,Stalkware,WhatsApp,Facebook,Instagram,Twitter

Saiba como descobrir se estão espionando seu celular

Stalkerware hackeo movil
Grupo de pessoas usa smartphone em Berlim, em 12 de agosto passado. ANNEGRET HILSE REUTERS

A tentação é forte: seu companheiro esquece o celular sobre a mesa, e você morre de vontade de xeretar o WhatsApp, as ligações recebidas e os sites que ele visitou, sobretudo se tem dúvidas sobre a fidelidade. Esse desejo não é novo, mas, em vez de pegar o telefone da vítima e navegar no conteúdo, agora existem ferramentas que fazem esse trabalho sujo sem o conhecimento (nem o consentimento) dela. É o chamado stalkerware (algo assim como “vírus do assediador”), e a má notícia é que qualquer um pode ser espionado sem ter consciência disso. Como detectar se o seu celular foi afetado por esse programa?

“Ao contrário dos aplicativos de controle parental, estes não são visíveis no celular da vítima”

Antes de analisar as chaves para detectar esse espião no smartphone, é bom conhecer como o stalkerware funciona. Esses aplicativos operam de forma muito similar à do malware (código malicioso): uma vez instalados no aparelho da vítima, começam a registrar todo tipo de atividade que for enviada posteriormente a um servidor ao qual o espião tenha acesso. Mas a técnica não é exatamente igual. “Ao contrário do malware, que é instalado de forma maciça, esse software é instalado por alguém que tem acesso ao celular”, disse ao EL PAÍS Fernando Suárez, vice-presidente do Conselho Geral de Associações de Engenharia Informática da Espanha. Ele cita também outra importante peculiaridade desse tipo de programa: “Ao contrário dos aplicativos de controle parental, esses não são visíveis no celular da vítima.” Mas… como saber se o aparelho está sendo espionado por um stalkerware?

Pop-Ups inesperados aparecem no navegador

Segundo o The Kim Komando Show, programa de rádio dos Estados Unidos sobre tecnologia, uma maneira de descobrir se o celular foi vítima dessa espionagem é através da súbita aparição de janelas emergentes (Pop-Ups) no navegador. Trata-se de comportamentos fora do normal que não devem ser minimizados pela vítima. Do mesmo modo, um súbito aumento de spam no e-mail e na recepção de mensagens de texto de desconhecidos, com excessiva frequência, devem ser motivos de preocupação.

O celular sumiu temporariamente?

Se o seu smartphone desapareceu por um tempo antes de ter um comportamento estranho (por exemplo, se você o deixou no quarto e ele apareceu na sala horas depois), então pode ser que alguém tenha instalado o programa espião nele.

A bateria de repente dura muito menos

Um celular com stalkerware trabalha muito mais que os outros – e essa atividade tem um impacto sobre a duração da bateria. Se você detectar uma súbita queda no rendimento, acompanhada das situações descritas acima, pode suspeitar e tomar as medidas necessárias.

O celular esquenta constantemente

Além do maior consumo da bateria, os aparelhos afetados pelo programa espião precisam desempenhar muito mais tarefas – o que gera um aumento da temperatura.

Instalar apps fora das lojas oficiais

Não se trata de um sintoma em si. Mas se você perceber algum desses comportamentos atípicos após ter instalado um aplicativo fora das lojas oficiais (App Store e Google Play), a chance de que o celular tenha sido infectado é muito maior. Tanto a Apple como o Google levam muito a sério a segurança de suas plataformas, e por isso é extremamente recomendável instalar apps das lojas oficiais. A boa notícia para os donos do iPhone é que esse dispositivo dificilmente se torna vulnerável aos ataques, já que a Apple obriga os usuários a instalar todos os apps através da loja. Já o Android é mais suscetível, pois as pessoas podem instalar os aplicativos sem o controle do Google.

O que fazer se você tem suspeitas?

O mais recomendável é restaurar o aparelho para padrão de fábrica. Além disso, convém instalar um software que possa detectar os invasores. “Em 2018, identificamos mais de 26.000 aplicativos de stalkerware”, afirma Daniel Creus, da Kaspersky Security, dando uma dimensão real do problema. Esta empresa modificou recentemente seus apps de segurança em celulares para enfrentar o fenômeno.
ElPais

Tecnologia,Azul,Blog do mesquita 01

Entenda por que a internet está se desintegrando

Sombra de pessoa sobre códigos de programaçãoDireito de imagem GETTY IMAGES
Rússia e China começaram a falar publicamente sobre uma ‘internet soberana’ por volta de 2011

Em 1648, foi assinada uma série de tratados conhecidos em conjunto como Paz de Vestfália, encerrando 30 anos de guerra na Europa e levando ao surgimento dos Estados soberanos. O direito estatal de controlar e defender seu próprio território tornou-se a base fundamental de nossa ordem política global e permaneceu inconteste desde então.

Em 2010, uma delegação de países – incluindo a Síria e a Rússia – chegou a uma obscura agência das Nações Unidas com um pedido estranho: levar essas mesmas fronteiras soberanas ao mundo digital.

“Eles queriam permitir que os países atribuíssem endereços de internet fossem atribuídos país por país, da mesma forma que os códigos de país eram originalmente designados para números de telefone”, diz Hascall Sharp, consultor de política digital que era na época diretor de políticas da gigante de tecnologia Cisco.

Depois de um ano de negociações, o pedido não deu em nada: criar tais fronteiras teria permitido que as nações exercessem rígido controle sobre seus próprios cidadãos, contrariando o espírito aberto da internet como um espaço sem fronteiras, livre dos ditames de qualquer governo individual.

Quase uma década depois, esse espírito parece uma lembrança antiga. As nações que saíram da ONU de mãos vazias não desistiram da ideia de colocar uma parede ao redor do seu canto no ciberespaço. Elas simplesmente passaram a última década buscando formas melhores de tornar isso uma realidade.

A Rússia já explora uma nova abordagem para criar um muro de fronteira digital e aprovou dois projetos de lei que exigem medidas tecnológicas e legais para isolar a internet russa. O país faz parte de um número crescente de nações insatisfeitas com uma internet construída e controlada pelo Ocidente.

Embora os esforços russos dificilmente sejam a primeira tentativa de controlar quais informações podem e não podem entrar em um país, sua abordagem representa uma mudança em relação ao que foi feito no passado.

“As ambições da Rússia vão mais longe do que as de que qualquer outro país, com as possíveis exceções da Coreia do Norte e do Irã, no sentido de fraturar a internet global”, diz Robert Morgus, analista de segurança cibernética do centro de estudos americano New America Foundation.

Protesto na RússiaDireito de imagem GETTY IMAGES
As políticas de internet cada vez mais restritivas da Rússia provocaram protestos em todo o país

A abordagem da Rússia é um vislumbre do futuro da soberania na internet. Hoje, os países que buscam o mesmo não são mais apenas os suspeitos autoritários de sempre – e estão fazendo isso em níveis mais profundos do que nunca.

Seu projeto é auxiliado tanto pelos avanços da tecnologia quanto pelas crescentes dúvidas sobre se a internet aberta e livre foi uma boa ideia. Os novos métodos abrem a possibilidade não apenas de países construírem suas próprias pontes levadiças, mas também de alianças entre países que pensam da mesma forma para criar uma internet paralela.

O que há de errado com a internet aberta?

É sabido que alguns países estão insatisfeitos com a coalizão ocidental que tradicionalmente dominou a governança da internet.

Não são apenas as filosofias defendidas pelo Ocidente que os incomodam, mas o modo como essas filosofias foram incorporadas na própria arquitetura da rede, que é famosa por garantir que ninguém possa impedir que alguém envie algo a outra pessoa.

Isso se deve ao protocolo-base que a delegação que foi à ONU em 2010 tentava contornar: o TCP/IP (protocolo de controle de transmissão/protocolo de internet) permite que as informações fluam sem nenhuma ressalva quanto a geografia ou conteúdo.

Não importa qual informação esteja sendo enviada, de que país ela esteja vindo ou as leis do país que vai recebê-la. Tudo o que importa é o endereço de internet ao final da comunicação. É por isso que, em vez de enviar dados por caminhos predeterminados, que podem ser desviados ou cortados, o TCP/IP envia pacotes de informações do ponto A ao ponto B por qualquer via necessária.

É fácil rejeitar objeções a essa configuração como os gritos agonizantes de regimes autoritários em face de uma força global de democratização – mas os problemas que surgem não afetam apenas eles. Qualquer governo pode se preocupar com códigos maliciosos como vírus chegando a instalações militares e redes de água e energia, ou com a influência de notícias falsas sobre o eleitorado.

Protesto na RússiaDireito de imagem GETTY IMAGES
Embora governos possam alegar que a soberania na internet protege seus cidadãos contra vírus e outras ameaças, muitos temem perder a liberdade da ‘internet aberta’

“Rússia e China só entenderam um pouco mais cedo do que os demais o possível impacto que um ecossistema de informação massivo e aberto teria sobre os humanos e a tomada de decisões, especialmente no nível político”, diz Morgus.

A visão destes países é que cidadãos de um país são uma parte tão crítica de sua infraestrutura quanto usinas de energia e precisam ser “protegidos” de informações supostamente maliciosas – neste caso, notícias falsas, em vez de vírus.

Mas não se trata de proteger os cidadãos tanto quanto de controlá-los, diz Lincoln Pigman, pesquisador da Universidade de Oxford e do Centro de Política Externa, em Londres.

Uma internet soberana

Rússia e China começaram a falar publicamente sobre uma “internet soberana” por volta de 2011 ou 2012, quando uma onda de protestos começava a se consolidar em território russo e as revoluções nascidas abalavam regimes autoritários.

Convencidos de que essas revoltas haviam sido instigadas por Estados ocidentais, a Rússia buscou impedir que influências revolucionárias atingissem seus cidadãos – essencialmente criando postos de controle em suas fronteiras digitais.

Mas instaurar uma soberania na internet não é tão simples quanto se desligar da rede global. Isso pode parecer contraintuitivo, mas, para ilustrar como esse movimento seria contraproducente, não é preciso olhar além da Coreia do Norte.

Um único cabo conecta o país ao resto da internet global. Você pode desconectá-lo com o apertar de botão. Mas poucos países considerariam implementar uma infraestrutura semelhante. De uma perspectiva de hardware, é quase impossível.

“Em países com conexões ricas e diversificadas com o resto da internet, seria virtualmente impossível identificar todos os pontos de entrada e saída”, diz Paul Barford, cientista da computação da Universidade de Wisconsin, nos Estados Unidos, que mapeia a rede de tubos e cabos por trás da internet global.

Mesmo que a Rússia pudesse de alguma forma encontrar todos os pontos pelos quais as informações entram e saem do país, não seria muito interessante bloqueá-los, a menos que também quisessem se separar da economia mundial. A internet é agora uma parte vital do comércio no mundo, e a Rússia não pode se desconectar desse sistema sem prejudicar sua economia.

Cabo de internet é instaladoDireito de imagem GETTY IMAGES
A internet na maioria dos países depende de muitos pontos de entrada físicos

A solução parece ser manter alguns tipos de informação fluindo livremente enquanto se impede o fluxo de outras.

Mas como esse tipo de soberania na internet pode funcionar, dado a natureza do TCP/IP?

A China tem tradicionalmente liderado esse controle de conteúdo online e emprega filtros com o chamado “Grande Firewall” para bloquear certos endereços de internet, palavras, endereços de IP e assim por diante. Esta solução não é perfeita: é baseada em programas de computador, o que significa ser possível projetar formas de contorná-la, como as redes privadas virtuais e sistemas de prevenção de censura, como o navegador Tor.

Além disso, o sistema chinês não funcionaria para a Rússia. Por um lado, “depende muito das grandes empresas chinesas retirarem esse conteúdo de circulação”, diz Adam Segal, especialista em segurança cibernética do Conselho de Relações Exteriores dos Estados Unidos, enquanto a Rússia é “mais dependente de empresas de mídia social americanas”.

Grande parte da vantagem da China também se resume à estrutura física com a qual internet é construída. A China, desconfiada da nova tecnologia ocidental desde o início, só permitiu que pouquíssimos pontos de entrada e saída para a internet global fossem feitos em suas fronteiras, enquanto a Rússia foi inicialmente bastante receptiva e, hoje, está repleta destas conexões. A China simplesmente tem menos fronteiras digitais para ficar de olho.

Chineses olham para seus celulares no metrôDireito de imagem GETTY IMAGES
O ‘Grande Firewall’ da China permite que o governo tenha algum controle sobre as informações que entram no país, mas isso pode ser contornado

Tentativa russa de isolamento

A Rússia está, portanto, trabalhando em um método híbrido que não depende inteiramente de equipamentos nem de programas – em vez disso, manipula o conjunto de processos e protocolos que determinam se o tráfego da internet pode se mover de sua origem para o destino pretendido.

Os protocolos da internet especificam como todas as informações devem ser tratadas por um computador para serem transmitidas e roteadas pelos cabos globais. “Um protocolo é uma combinação de diferentes coisas – como dados, algoritmos, endereços de IP”, diz Dominique Lazanski, que trabalha na governança da internet e presta consultoria sobre desenvolvimento de seus padrões.

Um dos mais fundamentais é o padrão DNS – o catálogo de endereços que informa à internet como traduzir um endereço de IP, por exemplo, 38.160.150.31, para um endereço de internet legível como o bbcbrasil.com, e aponta o caminho para o servidor que hospeda esse IP.

É no DNS que a Rússia está mirando. O país previa testar em abril uma forma de isolar o tráfego digital de todo o país, para que as comunicações via internet por seus cidadãos permanecessem dentro dos limites geográficos do país, em vez de percorrer o mundo.

O plano – que foi recebido com ceticismo por grande parte da comunidade de engenheiros – é criar uma cópia dos servidores de DNS da Rússia (a lista de endereços atualmente sediada na Califórnia) para que o tráfego dos cidadãos fosse dirigido exclusivamente para sites russos ou versões russas de sites externos. Isso enviaria os russos para o buscador Yandex se quisesse acessar o Google, ou a rede social VK em vez do Facebook.

Para estabelecer as bases para isso, a Rússia passou anos promulgando leis que forçam empresas internacionais a armazenar todos os dados dos cidadãos russos dentro do país – levando algumas empresas como a rede LinkedIn a serem bloqueadas ao se recusarem a cumprir isso.

“Se a Rússia tiver sucesso em seus planos de um DNS nacional, não haverá necessidade de filtrar informações internacionais. O tráfego de internet russo nunca precisá sair do país”, diz Morgus, analista da New America Foundation.

“Isso significa que a única coisa que os russos – ou qualquer um – poderiam acessar de dentro da Rússia seria a informação que está hospedada dentro da Rússia, em servidores fisicamente presentes no país. Isso também significaria que ninguém poderia acessar informações externas, seja isso dinheiro ou o site da Amazon para comprar um lenço.”

A maioria dos especialistas reconhece que o principal objetivo da Rússia é aumentar o controle sobre seus próprios cidadãos. Mas a ação também pode ter consequências globais.

Site exibe produtos em tela de tabletDireito de imagem GETTY IMAGES
Governos que buscam ter ‘soberania digital’ precisam achar uma forma de controlar quais informações entram no país sem bloquear transações econômicas

As abordagens adotadas pela Rússia e pela China são muito caras para países menores, mas isso não significa que isso não os influencie. “A disseminação, particularmente de políticas repressivas ou da arquitetura iliberal da internet, é como um jogo de imitação”, diz Morgus.

Sua observação é confirmada por uma pesquisa feita por Jaclyn Kerr no Laboratório Nacional Lawrence Livermore, um centro de pesquisa federal dos Estados Unidos baseado na Universidade da Califórnia.

A extensão e alcance do controle da internet por regimes autoritários são determinados por três fatores. Primeiro, pelas soluções que estão disponíveis. Segundo, se o regime pode se dar ao luxo de implementar qualquer uma das opções disponíveis. A terceira variável – “as políticas selecionadas pelos Estados que são uma referência para este regime” – é o que explica por que isso é descrito como um jogo de imitação: quais recursos os parceiros endossaram ou escolheram? Isso muitas vezes depende da atitude destes países de referência ao controle da internet.

Em relação à primeira variável, os vizinhos da Rússia, como as repúblicas da Ásia Central, poderiam se conectar apenas à versão russa da internet. Isso expandiria as fronteiras desta rede para sua periferia, diz Morgus.

Os tomadores de decisão digitais

Em relação à terceira variável, a lista de países que se sentem atraídos por uma governança da internet mais autoritária parece estar crescendo.

Nem todos se enquadram perfeitamente entre os que defendem uma “internet aberta” e os “autoritários repressivos” quando se trata de como eles lidam com a internet.

Israel, por exemplo, encontra-se nitidamente entre os dois extremos, como Morgus destacou em um artigo publicado no ano passado. Esse estudo mostra que, nos últimos quatro anos, os países que são os “maiores tomadores de decisão digitais” – Israel, Cingapura, Brasil, Ucrânia, Índia, entre outros – têm se aproximado cada vez mais de uma abordagem mais soberana e fechada quanto à circulação de informação.

As razões para isso são variadas, mas vários desses países estão em situações semelhantes: Ucrânia, Israel e Coreia do Sul, que vivem em um estado perpétuo de conflito, dizem que seus adversários estão usando a internet contra eles.

Alguns especialistas acham que o uso estratégico da rede – em especial, das mídias sociais – se tornou como a guerra. Mesmo a Coreia do Sul, apesar de sua reputação de nação aberta e global, desenvolveu uma técnica inovadora para reprimir informações ilegais online.

Mas os tomadores de decisão podem realmente copiar o modelo da China ou da Rússia? Os meios tecnológicos da China para sua soberania são muito idiossincráticos para países menores seguirem. O método russo ainda não está totalmente testado. Ambos custam no mínimo centenas de milhões para serem criados.

Indiano lê jornalDireito de imagem GETTY IMAGES
A Índia é considerada um dos ‘ tomadores de decisão digitais’ que podem influenciar o destino da internet

Dois dos maiores países dentre estes, Brasil e Índia há muito tempo buscam uma maneira de lidar com a internet global de forma independente dos “valores de abertura” do Ocidente ou das redes nacionais fechadas.

“Sua internet e valores políticos estão no meio do caminho deste espectro”, diz Morgus. Durante a maior parte da última década, ambos tentaram encontrar uma alternativa viável para as duas versões opostas da internet que vemos hoje.

Essa inovação foi sugerida em 2017, quando o site de propaganda russo RT informou que Brasil e Índia se uniriam a Rússia, China e África do Sul para desenvolver uma alternativa que eles chamavam de internet dos Brics. A Rússia alegou que estava criando a infraestrutura para “protegê-los da influência externa”.

O plano fracassou. “Tanto a Rússia quanto a China estavam interessadas em promover os Brics, mas os demais estavam menos entusiasmados”, diz Lazanski. “Em especial, a mudança de liderança no Brasil fez isso sair dos trilhos.”

A internet que está sendo construída pela China

Alguns veem bases sendo lançadas para uma segunda tentativa sob o disfarce do projeto de “Rota da Seda do Século 21” da China para conectar a Ásia à Europa e à África com a construção de uma vasta rede de corredores terrestres, rotas marítimas e infraestrutura de telecomunicações em países como Tajiquistão, Djibuti e Zimbábue.

Segundo estimativas do Instituto Internacional de Estudos Estratégicos de Londres, a China está envolvida em cerca de 80 projetos de telecomunicações em todo o mundo – desde a instalação de cabos até a construção de redes centrais em outros países, contribuindo para uma rede global significativa e crescente de propriedade chinesa.

Pessoa olha para mapa em telaDireito de imagem GETTY IMAGES
Alguns países podem se separar e construir sua própria infraestrutura independente da internet ocidental

Uma possibilidade é que um número suficiente destes países se una à Rússia e à China para desenvolver uma infraestrutura semelhante a ponto de poderem se sustentar economicamente sem fazer negócios com o resto do mundo, o que significa que poderiam se isolar da internet ocidental.

Os países menores podem preferir uma internet construída em torno de um padrão não ocidental e uma infraestrutura econômica construída em torno da China pode ser a “terceira via” que permitiria aos países participar de uma economia semiglobal e controlar certos aspectos da experiência de internet de suas populações.

Sim Tack, analista do grupo de inteligência Stratfor, nos Estados Unidos, argumenta que uma economia da internet autossustentável, embora possível, é “extremamente improvável”.

Maria Farrell, da Open Rights Group, uma organização dedicada a promover a liberdade na internet, não acha que isso é exagero, embora uma internet isolada possa ter uma forma ligeiramente diferente.

A iniciativa da China, diz ela, oferece aos países “tomadores de decisão” pela primeira vez uma opção de acesso online que não depende da infraestrutura de internet ocidental.

“O que a China tem feito é criar não apenas um conjunto inteiro de tecnologias, mas sistemas de informação, treinamento de censura e leis para vigilância. É um kit completo para executar uma versão chinesa da internet”, diz ela.

É algo que está sendo vendido como uma alternativa crível a uma internet ocidental que cada vez mais é “aberta” apenas no nome.

“Nações como Zimbábue, Djibuti e Uganda não querem entrar em uma internet que é apenas uma porta de entrada para o Google e o Facebook” para colonizar seus espaços digitais, diz Farrell.

Esses países também não querem que a “abertura” oferecida pela internet ocidental seja uma forma de prejudicar seus governos por meio da espionagem.

Juntamente com todos os outros especialistas entrevistados para este artigo, Farrell reiterou como seria insensato subestimar as reverberações em curso das revelações feitas Edward Snowden sobre a coleta de informações feita pelo governo americano – especialmente porque elas minaram a confiança dos países “tomadores de decisão” em uma rede aberta.

“Os países mais pobres, especialmente, ficaram muito assustados”, diz ela. “Isso confirmou que tudo que nós suspeitávamos é verdade.”

Assim como a Rússia está trabalhando para reinventar o DNS, a internet autoritária da iniciativa chinesa oferece aos países acesso aos protocolos de internet da China. “O TCP/IP não é um padrão estático”, aponta David Conrad, diretor de tecnologia da Corporação da Internet para Atribuição de Nomes e Números, que emite e supervisiona os principais domínios de internet e administra o DNS. “Está sempre evoluindo. Nada na internet é imutável. ”

Mas a evolução da internet global é cuidadosa e lenta e baseada em consenso. Se isso mudar, o TCP/IP pode seguir por outros caminhos.

Por mais de uma década, China e Rússia têm pressionado a comunidade da internet a mudar o protocolo para permitir uma melhor identificação de emissores e destinatários, acrescenta Farrell, algo que não surpreenderá ninguém que esteja familiarizado com a adoção em massa do reconhecimento facial para rastrear cidadãos no mundo físico.

Contágio ocidental

Mas talvez os países autoritários tenham menos trabalho a fazer do que imaginam. “Cada vez mais países ocidentais são forçados a pensar sobre o que significa a soberania na internet”, diz Tack.

Na esteira da recente interferência eleitoral nos Estados Unidos e da prática bem documentada dos governos russos de semear discórdia nas mídias sociais ocidentais, os políticos ocidentais acordaram para a ideia de que uma internet livre e aberta pode realmente prejudicar a própria democracia, diz Morgus.

“A ascensão paralela do populismo nos Estados Unidos e em outros lugares, somada a preocupações com o colapso da ordem internacional liberal, fez muitos dos tradicionais defensores da internet aberta recuarem.”

Cartaz de protesto contra mudanças na internetDireito de imagem GETTY IMAGES
 Ameaças à ‘internet aberta’ continuam a gerar respostas acaloradas – mas alguns especialistas acreditam que a mudança é inevitável

“Não se trata de classificar países como ruins ou bons – isso diz respeito a qualquer país que queira controlar suas comunicações”, diz Milton Mueller, que dirige o Projeto de Governança da Internet na Universidade Georgia Tech, nos Estados Unidos.

“A pior coisa que vi ultimamente é a lei britânica de danos digitais.” Esta proposta inclui a criação de um órgão regulador independente, encarregado de estabelecer boas práticas para as plataformas de internet e punições caso elas não sejam cumpridas.

Essas “boas práticas” limitam tipos de informação – pornografia de vingança, crimes de ódio, assédio e perseguição, conteúdo carregado pelos prisioneiros e desinformação – de forma semelhantes às recentes leis russas sobre internet.

De fato, as próprias multinacionais temidas pelos países “tomadores de decisão” atualmente podem estar ansiosas por serem recrutadas para ajudá-los a alcançar suas metas de soberania da informação.

O Facebook recentemente capitulou diante de uma pressão crescente, exigindo regulamentação governamental para determinar, entre outras coisas, o que constitui conteúdo prejudicial, “discurso de ódio, propaganda terrorista e muito mais”.

O Google está trabalhando fornecer uma internet aberta no Ocidente e um mecanismo de busca com censura no Oriente. “Suspeito que sempre haverá uma tensão entre os desejos de limitar a comunicação, mas não limitar os benefícios que a comunicação pode trazer”, diz Conrad.

Sejam as fronteiras da informação elaboradas por países, coalizões ou plataformas globais de internet, uma coisa é clara: a internet aberta com a qual seus criadores sonharam já acabou. “A internet não tem sido uma rede global há muito tempo”, diz Lazanski.

Tecnologia,Redes Sociais,Internet,Hackers,Telegram,Blog do Mesquita

Como as mensagens de Telegram de membros da Lava Jato podem ter vazado

Deltan Dallagnol,Ministério Público,Justiça,Blog do Mesquita
Em 2013, depois que Glenn Greenwald e outros jornalistas do jornal britânico Guardian publicaram as denúncias sobre a espionagem do governo americano feitas por Edward Snowden, dois irmãos russos decidiram criar um aplicativo de trocas de mensagens que garantiria “total privacidade” e proteção.

Vangloriando-se de sua criptografia e garantia de privacidade, Pavel e Nikolai Durov fundaram o Telegram. Pavel, fundador do “Facebook russo”, o “VKontakte”, chegou até a oferecer um emprego para Snowden, ex-técnico da CIA e consultor da agência nacional de inteligência dos EUA, quando ele chegou a Moscou.

Seis anos depois, Greenwald publica em seu The Intercept Brasil trocas de mensagens de autoridades ligadas à Lava Jato, uma reportagem que movimenta o mundo político no Brasil desde a noite de domingo (9).

O aplicativo por meio do qual autoridades como o procurador da República Deltan Dallagnol, chefe da força-tarefa da operação, e o atual ministro da Justiça e Segurança Pública, Sergio Moro, teriam trocado as mensagens? O Telegram, criado em 2013 justamente para, em tese, prover mais proteção a seus usuários.

Snowden criticou o aplicativo Telegram e recomendou o Signal.

Não se sabe se as conversas enviadas por uma fonte anônima ao Intercept foram obtidas a partir de uma invasão do aparelho de celular de Dallagnol, sua rede ou nuvem de seu celular (onde usuários costumam fazer back-ups constantes), a partir de uma invasão ao Telegram. Ou, ainda, se foram obtidas de outra maneira.

Em nota, a força-tarefa da Lava Jato afirmou que foram “obtidas cópias de mensagens e arquivos” e que seus membros “foram vítimas de ação criminosa de um hacker”. Também afirmou que sua atuação “é revestida de legalidade, técnica e impessoalidade”.

Segundo o Intercept, o site recebeu os arquivos “há algumas semanas”, antes da notícia de uma suposta invasão ao celular Moro. Na última semana, ele e outras autoridades ligadas à Lava Jato, como o desembargador federal Abel Gomes, divulgaram à imprensa que haviam sofrido tentativas de invasão de seus celular por hackers. Especificaram que as tentativas eram ligadas ao Telegram.

No mundo, “o Telegram se popularizou entre organizações e países não alinhados aos Estados Unidos depois das revelações de Snowden”, diz Alan Woodward, do centro de segurança cibernética da Universidade de Surrey, no Reino Unido. Ele ressalta que não há aplicativo de troca de mensagens “100% perfeito”.

Já no Brasil, o Telegram se popularizou como alternativa ao WhatsApp em ocasiões em que o aplicativo do Facebook, o mais usado para mensagens no país, caiu – em algumas ocasiões, por decisões judiciais. Além disso, o Telegram se vende em seu próprio site como “bem mais seguro que o WhatsApp”, ideia que se propagou.

Hackear o Telegram
À BBC News Brasil, um porta-voz do Telegram, Markus Ra, disse que nos seis anos da existência do aplicativo, “0 bytes” foram compartilhados com outras pessoas e que “nenhuma maneira de derrubar a criptografia do Telegram foi descoberta”.

Mas deu “dois prováveis cenários para o que pode ter acontecido no Brasil”, caso consideremos que a invasão foi no próprio Telegram:

1 – Os telefones foram comprometidos por meio de um malware (um software malicioso instalado no telefone que pode captar seus dados). “Nenhum aplicativo pode proteger seus dados se seu aparelho está comprometido”;

2 – Os telefones dos usuários foram comprometidos ou seus SMS interceptados para conseguir o código de login do Telegram.

Essa segunda opção significa que o Telegram pode ser acessado de outras formas: além do celular, também há possível acesso por tablets ou computadores comuns.

Para acessar o Telegram a partir do computador, por exemplo, o usuário digita seu número telefônico e pode escolher receber o código de acesso por um SMS. Qualquer um que conseguisse interceptar um SMS – como através dum malware – poderia então ter acesso às mensagens de Telegram do usuário.

O ‘default’ do Telegram não são conversas encriptadas de ponta a ponta; é preciso escolher essa opção
Para evitar isso, ajuda acionar a verificação em duas etapas, o que concede mais segurança ao uso do aplicativo (o caminho é “Configurações” -> “Privacidade e Segurança” -> “Verificação em duas etapas”).

Assim, o usuário do Telegram no computador tem de digitar não só a senha recebida por SMS, como também uma senha definida pelo próprio usuário. Isso provavelmente teria impedido o hackeamento do aplicativo dos procuradores, caso essa tenha sido a maneira escolhida para obter as mensagens.

No fim de maio, o Telegram informou que autoridades da Rússia tentaram hackear as mensagens de quatro jornalistas russos, e que essas tentativas foram impedidas pela verificação em duas etapas.

Criptografia de ponta a ponta
Também vale mencionar a criptografia de ponta a ponta.

O que significa esse recurso que os aplicativos de mensagem sempre divulgam ter?

Funciona assim: um usuário manda mensagem para outro. A criptografia embaralha a mensagem e só quem tem a chave, o destinatário da mensagem, pode abri-la. Não há um servidor no meio, e essa encriptação funciona quando a mensagem está em trânsito. Ou seja, o conteúdo das mensagens é protegido, por exemplo, das próprias empresas, que não têm acesso a elas. Só quem recebe as mensagens pode lê-las.

O WhatsApp e o Signal têm criptografia de ponta a ponta. No Telegram, porém, esse recurso não está ligado automaticamente. Só está disponível nos chamados “chats secretos” (é preciso selecionar “novo chat secreto” depois de selecionar a opção de “nova mensagem”).

Mas não ter acesso ao conteúdo das mensagens não significa que as empresas não tenham acesso a outros dados importantes, como os chamados metadados. O Telegram pode saber informações sobre quem está falando com quem, quando, por quanto tempo, embora não revele exatamente quais metadados armazena.

Esses dados que podem revelar informações importantes sobre usuários, principalmente se analisados em conjunto.

Além disso, o Telegram enfrenta críticas porque usa seu próprio protocolo de criptografia, e não um protocolo público, sem provas de sua segurança.

O próprio Snowden é contrário ao Telegram, e já escreveu várias vezes sobre isso. Recentemente, porém, elogiou a empresa por sua resistência na Rússia. Ali, o governo proibiu o aplicativo e pressionou para que libere o acesso às mensagens privadas dos usuários (é aqui que a criptografia de ponta a ponta entra como uma proteção ao usuário).

De qualquer forma, Snowden usa e recomenda outro aplicativo, o Signal, e já declarou achar o WhatsApp mais seguro que o Telegram. Mas o WhatsApp não está a salvo de hackers – há diversos relatos de usuários que tiveram seus aplicativos hackeados.

Em meados de maio, um grave bug no WhatsApp mostrou uma falha no aplicativo. Com apenas uma chamada perdida por meio do WhatsApp, um hacker poderia instalar um software chamado Pegasus, obter mensagens privadas e até ligar a câmera e o microfone do celular. Um up-grade de invasões por meio de links esquisitos que levam à instalação de malwares.

Mas, novamente, não se sabe se as supostas mensagens sobre a Lava Jato publicadas pelo Intercept foram publicadas a partir de uma invasão do Telegram.

Segundo Woodward, da Universidade de Surrey, “90% dos ataques hackers bem-sucedidos” são feitos por meio de malwares (instalação de softwares maliciosos no telefone), roubo de credencial/login de alguém ou roubo do back-up ou nuvem da vítima (o back-up das conversas do Telegram, porém, ficam em uma nuvem própria da empresa, não em back-ups de terceiros, como Apple ou Google).

Outro golpe conhecido é enganar a operadora, “roubando” o número telefônico do alvo e obtendo um número de verificação do WhatsApp ou Telegram.

“Hackers normalmente não tentam entrar pela porta da frente. Eles procuram por uma janela aberta”, diz Woodward.

Tecnologia,Crimes Cibernéticos,Internet,Redes Sociais,Hackers,Privacidade,Malware,Blog do Mesquita

Como você é espionado por seu celular Android sem saber

Tecnologia,Crimes Cibernéticos,Internet,Redes Sociais,Hackers,Privacidade,Malware,Blog do Mesquita

Um estudo envolvendo mais de 1.700 aparelhos de 214 fabricantes revela os sofisticados modos de rastreamento do software pré-instalado neste ecossistema

Um usuário compra um celular Android novo. Tanto faz a marca. Abre a caixa, aperta o botão de ligar, o celular se conecta à Internet e, sem fazer nada mais, ele acaba de iniciar a mais sofisticada máquina de vigilância da sua rotina. Não importa se você vai baixar o Facebook, ativar sua conta do Google ou dar todas as permissões de acesso a qualquer aplicativo esquisito de lanterna ou antivírus. Antes de executar qualquer ação, seu celular novo já começou a compartilhar detalhes da sua vida. O software pré-instalado de fábrica é o recurso mais perfeito desse celular para saber sua atividade futura: onde está, o que ele baixa, quais mensagens manda, que arquivos de música guarda.

“Os aplicativos pré-instalados são a manifestação de outro fenômeno: acordos entre atores (fabricantes, comerciantes de dados, operadoras, anunciantes) para, em princípio, agregar valor, mas também para fins comerciais. O elemento mais grave nisso é a escala: falamos de centenas de milhões ou de bilhões de telefones Android”, diz Juan Tapiador, professor da Universidade Carlos III e um dos autores, junto com Narseo Vallina-Rodríguez, do IMDEA Networks e do ICSI (Universidade de Berkeley), da investigação que revela esse submundo. Os celulares Android representam mais de 80% do mercado global.

O elemento mais grave nisso é a escala: falamos de centenas de milhões ou de bilhões de telefones Android

Juan Tapiador, professor

O novo estudo comandado pelos dois acadêmicos espanhóis revela a profundidade do abismo. Nenhuma das conclusões é radicalmente nova por si só: já se sabia que os celulares andam no limite das autorizações de uso na hora de colher e compartilhar dados. A novidade da função dos aplicativos pré-instalados está em sua extensão, falta de transparência e posição privilegiada dentro do celular: foram analisados 1.742 celulares de 214 fabricantes em 130 países.

“Até agora as pesquisas sobre os riscos de privacidade em celulares se centravam em aplicativos que estão listados no Google Play ou em amostras de malware”, diz Vallina. Desta vez, foram analisados os softwares que os celulares trazem de série, e a situação parece fora de controle. Devido à complexidade do ecossistema, as garantias de privacidade da plataforma Android podem estar em xeque.

O artigo, que será publicado oficialmente em 1º de abril e ao qual o EL PAÍS teve acesso, já foi aceito por uma das principais conferências de segurança cibernética e privacidade do mundo, o IEEE Symposium on Security & Privacy, da Califórnia.

Nossa informação pessoal é enviada a uma ampla rede de destinos, que muda segundo o celular, e alguns são polêmicos: para servidores do fabricante do celular, para empresas habitualmente acusadas de espionar nossas vidas —Facebook, Google— e para um obscuro mundo que vai de corporações a start-ups que reúnem a informação pessoal de cada um, empacotam-na com um identificador vinculado ao nosso nome e a vendem a quem pagar bem.

Nossa informação pessoal é enviada a uma ampla rede de destinos, alguns deles polêmicos

Ninguém até agora havia se debruçado sobre este abismo para fazer uma investigação dessa magnitude. Os pesquisadores criaram o aplicativo Firmware Scanner, que recolhia o software pré-instalado dos usuários voluntários que o baixavam. Mais de 1.700 aparelhos foram analisados nesse estudo, mas o aplicativo está instalado em mais de 8.000. O código aberto do sistema operacional Android permite que qualquer fabricante tenha sua versão, junto com seus apps pré-instalados. Um celular pode ter mais de 100 aplicativos pré-instalados e outras centenas de bibliotecas, que são serviços de terceiros incluídos em seu código, muitos deles especializados em vigilância do usuário e publicidade.

Ao todo, um panorama internacional de centenas de milhares de aplicativos com funções comuns, duvidosas, desconhecidas, perigosas ou potencialmente delitivas. Essa quase perfeita definição do termo caos levou os pesquisadores a mais de um ano de exploração. O resultado é só um primeiro olhar para o precipício da vigilância maciça de nossos celulares Android sem conhecimento do usuário.

Mais de um fabricante
Um celular Android não é produto apenas do seu fabricante. A afirmação é surpreendente, mas na cadeia de produção participam várias empresas: o chip é de uma marca, as atualizações do sistema operacional podem estar terceirizadas, as operadoras de telefonia e as grandes redes de varejo que vendem celulares acrescentam seu próprio software. Os atores que participam da fabricação de um celular vão muito além do nome que aparece na caixa. É impossível determinar o controle definitivo de todo o software lá colocado, e quem tem acesso privilegiado aos dados do usuário.

O resultado é um ecossistema descontrolado, onde atualmente ninguém é capaz de assumir a responsabilidade do que ocorre com nossa informação mais íntima. O Google criou a plataforma a partir de código livre, mas agora ele é de todos. E o que é de todos não é de ninguém: “O mundo Android é muito selvagem, é como um faroeste, especialmente em países com escassa regulação de proteção de dados pessoais”, diz Tapiador.

“Não há nenhum tipo de supervisão sobre o que se importa e comercializa em termos de software (e em grande medida de hardware) dentro da União Europeia”, diz Vallina. O resultado? Um caos, onde cada versão de nossos celulares Android conversa com sua base desde o primeiro dia, sem interrupção, para lhe contar o que fazemos. O problema não é só o que contam sobre nós, mas que o dono do celular não controle a quem dá permissões.

O jardim fechado do Google Play
As empresas que reúnem dados de usuários para, por exemplo, criar perfis para anunciantes já têm acesso aos dados do usuário através dos aplicativos normais do Google Play. Então que interesse um comerciante de dados tem em chegar a acordos com fabricantes para participar do software pré-instalado?

Imaginemos que nossos dados estão dentro de uma casa de vários andares. Os aplicativos do Google Play são janelas que abrimos e fechamos: às vezes deixamos os dados sair, e às vezes não. Depende da vigilância de cada usuário e das autorizações concedidas. Mas o que esse usuário não sabe é que os celulares Android vêm com a porta da rua escancarada. Tanto faz o que você fizer com as janelas.

O software pré-instalado está sempre lá, acompanha o celular para cima e para baixo, e além do mais não pode ser apagado sem rootear o dispositivo – romper a proteção oferecida do sistema para fazer o que quiser com ele, algo que não está ao alcance de usuários comuns.

O usuário não sabe que os celulares Android vêm com a porta da rua escancarada

Os aplicativos que o usuário baixa do Google Play dão a opção de ver as permissões concedidas: autoriza seu novo jogo gratuito a acessar seu microfone? Permite que seu novo app acesse a sua localização para ter melhor produtividade? Se nos parecerem permissões demais, podemos cancelá-las. Os aplicativos que o Google fiscaliza têm seus termos de serviço e devem pedir uma autorização explícita para executar ações.

O usuário, embora não repare ou não tenha outro remédio, é o responsável final por suas decisões. Ele está autorizando alguém a acessar seus contatos. Mas os aplicativos pré-instaladas já estão lá. Vivem por baixo dos aplicativos indexados na loja, sem permissões claras ou, em muitos casos, com as mesmas permissões que o sistema operacional – quer dizer, todas. “O Google Play é um jardim fechado com seus policiais, mas 91% dos aplicativos pré-instalados que vimos não estão no Google Play”, diz Tapiador. Fora do Google Play ninguém vigia em detalhe o que acaba dentro de um celular.

Dois problemas agregados
O software pré-instalado tem outros dois problemas agregados: fica junto do sistema operacional, que tem acesso a todas as funções de um celular, e, dois, esses aplicativos podem ser atualizados e podem mudar.

O sistema operacional é o cérebro do celular. Sempre tem acesso a tudo. Independe que o aplicativo esteja acionado ou que o usuário possa apagá-la. Estará sempre lá e, além disso, é atualizado. Por que as atualizações são importantes? Aqui vai um exemplo: um fabricante autorizou uma empresa a colocar no celular um código que comprove algo inócuo. Mas esse código pode ser atualizado e, dois meses depois, ou quando a empresa souber que o usuário vive em tal país e trabalha em tal lugar, mandar uma atualização para fazer outras coisas. Quais? Qualquer coisa: gravar conversas, tirar fotos, olhar mensagens…

Os aplicativos pré-instaladas são fáceis de atualizar por seu criador: se muda o país ou as intenções de quem colocou lá um sistema de rastreamento, manda-se um novo software com novas ordens. O proprietário de seu celular não pode impedi-lo e nem sequer lhe pedem permissões específicas: atualiza-se o seu sistema operacional.

Essa informação às vezes é descomunal: características técnicas do telefone, identificadores únicos, localização, contatos, mensagens e e-mails

JUAN TAPIADOR, PROFESSOR

“Alguns desses aplicativos ligam para casa pedindo instruções e mandam informação sobre onde estão instalados. Essa informação às vezes é descomunal: relatórios extensos com características técnicas do telefone, identificadores únicos, localização, contatos na agenda, mensagens e e-mails. Tudo isso é reunido num servidor, e é tomada uma decisão sobre o que fazer com esse celular. Por exemplo, segundo o país no qual se encontre, o software pode decidir instalar um ou outro aplicativo, ou promover determinados anúncios. Verificamos isso analisando o código e o comportamento dos aplicativos”, diz Tapiador.

O servidor que recebe a informação inclui desde o fabricante, uma rede social que vende publicidade, um desconhecido comerciante de dados ou um obscuro endereço IP que ninguém sabe a quem pertence.

Um perigo é que esses obscuros aplicativos pré-instalados usam as permissões personalizadas (custom permissions) para expor informação a aplicativos da Play Store. As permissões personalizadas são uma ferramenta que o Android oferece aos desenvolvedores de software para que os aplicativos compartilhem dados entre si. Por exemplo, se um operador ou um serviço de banco tem várias, é plausível que possam falar entre si e compartilhar dados. Mas às vezes não é simples verificar quais dados algumas peças desse software compartilham.

Dentro de um celular novo há por exemplo um aplicativo pré-instalado que tem acesso a câmera, aos contatos e ao microfone. Esse aplicativo foi programado por um sujeito chamado Wang Sánchez e tem um certificado com sua chave pública e sua assinatura. Aparentemente é legítima, mas ninguém comprova que o certificado de Wang Sánchez seja real. Esse aplicativo está sempre ligado, capta a localização, ativa o microfone e conserva as gravações. Mas não manda isso a nenhum servidor, porque o aplicativo de Wang Sánchez não tem permissão para enviar nada pela Internet. O que ele faz é declarar uma permissão personalizada que regula o acesso a esses dados: quem tiver essa permissão poderá obtê-los.

Aí um dia o proprietário desse celular vai à Google Play Store e encontra um aplicativo esportivo magnífico. Que permissões oficiais lhe pedem? Só acessar a Internet, o que é perfeitamente comum entre aplicativos. E também pede a permissão personalizada do aplicativo de Wang Sánchez. Mas você não percebe, porque estas permissões não são mostradas ao usuário. Então, a primeira coisa que o app esportivo recém-chegado dirá ao pré-instalado é: “Ah, você mora aqui? Me dá acesso ao microfone e à câmera?”. Era aparentemente um app sem risco, mas as complexidades do sistema de permissões tornam possíveis situações desse tipo.

Os Governos e a indústria há anos conhecem esse emaranhado. As agências federais dos Estados Unidos pedem seus celulares com sistemas operacionais livres deste software pré-instalado e adaptados às suas necessidades. E os cidadãos? Que se virem. Seus dados não são tão secretos como os de um ministério.

“Exercer controle regulatório sobre todas as versões possíveis do Android do mercado é quase impraticável. Exigiria uma análise muito extensa e custosa”, explica Vallina. Esse caos lá fora permite que sofisticadas máquinas de vigilância maciça vivam em nossos bolsos.

OS AUTORES DOS APLICATIVOS
Os autores desses aplicativos são um dos grandes mistérios do Android. A investigação encontrou um panorama similar ao submundo da Dark Web: há, por exemplo, aplicativos assinados por alguém que diz ser “o Google”, mas não tem jeito de sê-lo. “A atribuição aos atores foi feita quase manualmente em função do vendedor no qual se encontram, quem as assina e se têm, por exemplo, alguma cadeia que identifique alguma biblioteca ou fabricante conhecido”, diz Vallina. O resultado é que há muitas que mandam informação aceitável a fabricantes ou grandes empresas, mas muitas outras se escondem detrás de nomes enganosos ou falsos.

Essa informação é facilmente vinculada a um número de telefone ou dados pessoais como nomes e sobrenomes, não a números identificativos tratados de forma anônima. O telefone sabe quem é o seu dono. O chip e dúzias de aplicativos vinculados ao e-mail ou à sua conta em redes sociais revelam facilmente a origem dos dados.
ElPais

Tecnologia,Hackers,Blog do Mesquita,Alaska,USA

O ataque cibernético que fez um território americano voltar no tempo

Tecnologia,Hackers,Blog do Mesquita,Alaska,USA

Remoto distrito do Alasca foi atacado por malware que o forçou a ficar offline

Não se sabe de onde vieram. Mas, quando chegaram, foram logo seis malwares – softwares maliciosos – que atacaram o distrito Matanuska-Susitna, do Alasca.

Eles rapidamente se espalharam pelas redes de computadores da região, interrompendo uma quantidade desconcertante de serviços. Centenas de funcionários não conseguiram acessar seus sistemas de trabalho. Bibliotecários receberam alertas para desligar urgentemente todos os computadores públicos. O abrigo de animais perdeu o acesso aos dados sobre medicamentos de seus inquilinos peludos.

E não parou por aí. Um sistema de reservas online para aulas de natação caiu, obrigando os interessados a formarem uma fila. Um escritório passou a usar máquinas de escrever. E Helen Munoz, uma mulher de 87 anos que faz campanha por melhorias no sistema de esgoto da área, recebeu uma resposta inesperada a uma de suas frequentes ligações a administradores locais: “Nossos computadores estão desligados”.

“O ataque cibernético, meu Deus, quase parou tudo”, diz ela. “Na verdade, o distrito ainda não resolveu todos os problemas com seus computadores”.

Matanuska-Susitna, conhecida como Mat-Su, ainda tenta se recuperar do que aconteceu em julho de 2018. Quando os primeiros sinais de malware apareceram, ninguém esperava a turbulência que se seguiu. A equipe de TI trabalhava até 20 horas por dia, encarregada de restaurar 150 servidores.

Mat-Su é um distrito em grande parte rural que abriga apenas cem mil pessoas. Por isso seria um alvo improvável de um ataque cibernético.

Esta é a história do que aconteceu.

paisagemDireito de imagem GETTY IMAGES
O ataque virtual prejudicou várias atividades administrativas

Na manhã de 23 de julho de 2018, funcionários do vilarejo de Palmer, no distrito Matanuska-Susitna, chegaram para trabalhar como de costume. Em poucas horas, um programa antivírus sinalizou uma atividade incomum em alguns computadores.

O diretor de TI local, Eric Wyatt, pediu a sua equipe para dar mais atenção àquilo. Eles, então, encontraram arquivos maliciosos e, portanto, seguiram o procedimento padrão: pedir à equipe para alterar suas senhas e, enquanto isso, preparar um programa para limpar automaticamente o software suspeito.

Quando lançaram o mecanismo de defesa, entretanto, houve uma resposta não esperada.

Resposta automática

Wyatt observou a rede se iluminar. Parecia que um ataque maior ou de segundo estágio havia sido acionado. Talvez alguém estivesse monitorando as ações do departamento de TI ou foi uma resposta automática do malware.

De qualquer maneira, ele começou a se espalhar ainda mais e, em alguns casos, bloqueou mais arquivos de funcionários e exigiu pagamentos de resgate.

Essa forma de malware é conhecida como “ransomware” – uma ameaça cada vez mais comum e perigosa aos sistemas de computadores. Nos últimos anos, surtos de ransomware em todo o mundo interromperam temporariamente hospitais e fábricas, confundiram as operações nos principais portos e levaram centenas de escritórios ao caos.

O custo total anual dos eventos de ransomware está estimado em vários bilhões de dólares, segundo a empresa de pesquisa Cybersecurity Ventures.

A escala desses ataques cibernéticos foi certamente nova para Wyatt, que iniciou sua carreira em TI na Força Aérea dos EUA.

malwareDireito de imagem GETTY IMAGES
Malwares geram milhões de dólares em prejuízos para empresas

“Tenho mais de 35 anos neste negócio e sempre lidei com esse tipo de coisa”, disse Wyatt. “Esse (ataque) foi certamente o maior que eu já vi, o mais sofisticado”.

Quando percebeu que o incidente causaria dor de cabeça, ele se dirigiu ao gestor do distrito, John Moosey, que, por sua vez, informou o FBI sobre o que parecia um grande ataque cibernético. “Isso realmente nos afetou muito”, contou Moosey.

Quase todos os telefones de escritórios do distrito tiveram que ser desligados. Especialistas em TI foram recrutados para ajudar na recuperação dos sistemas. Mais de 700 dispositivos, entre impressoras e computadores, foram verificados e limpos.

“Todos os dados são considerados suspeitos”, dizia uma atualização publicada pouco tempo depois.

No departamento de compras do distrito, a equipe preenchia formulários à mão quando alguém teve uma ótima ideia. Foram até o depósito e resgataram duas antigas máquinas de escrever eletrônicas. Tiraram seu pó e passaram a usá-las, um movimento que chegou às manchetes internacionais.

Como os sistemas foram colocados offline e a equipe mudou para telefones celulares e serviços temporários de webmail, as atividades do distrito foram forçadas a desacelerar. Programas de computador haviam sido projetados para ajudar a processar tudo, desde dados em canteiros de obras até pagamentos com cartão de crédito no aterro sanitário local. Mas agora estavam todos sem ação.

máquina de escreverDireito de imagem GETTY IMAGES
Funcionários de escritório recuperaram máquinas de escrever

“O vírus foi terrível”, disse Peggy Oberg, da Biblioteca Pública de Big Lake, no centro-sul de Mat-Su.

No período de uma semana, a biblioteca acolheu entre 1,2 mil e 1,5 mil pessoas em busca de serviços de internet e computadores.

Oberg ainda se lembra da ligação recebida do departamento de TI, que pediu que a biblioteca desconectasse todos os computadores e impressoras – não apenas desligando-os, mas desconectando-os. O wi-fi público também foi desligado. Em 20 anos, Oberg nunca tinha recebido uma ligação como aquela.

Perda de arquivos

Equipes de outras bibliotecas também não conseguiram catalogar livros, procurar novos itens solicitados por usuários ou se comunicar por canais habituais com colegas de Mat-Su. Por algumas semanas, eles ficaram parcialmente isolados. Oberg passou dois meses preocupada de que dados e serviços da biblioteca fossem perdidos para sempre.

“Eu estava enlouquecendo de imaginar que eles não fossem recuperados”, lembra. Felizmente, mais tarde ela soube que os arquivos haviam sido restaurados, nove semanas depois do último acesso antes do ataque.

O abrigo local de animais de Mat-Su recebe entre 200 e 300 animais por mês – desde animais de estimação perdidos até gado retirado das estradas. Os computadores da equipe do abrigo foram levados.

Sem registros de medicamentos ou outras informações de casos antigos, os funcionários não sabiam quanto cobrar das pessoas que vinham coletar os animais. O site com fotos de animais para adoção também não pôde ser atualizado.

cachorro sendo vacinadoDireito de imagem GETTY IMAGES
Abrigo de animais perder dados sobre hóspedes peludos

Moradora de Palmer, Helen Munoz, de 87 anos, gerenciava um negócio de tanque séptico e esgoto. Hoje ela faz parte de um comitê que supervisiona a construção de uma nova estação de tratamento de águas residuais.

Munoz estava frustrada pela maneira como a comunicação ineficiente vinha prejudicando o distrito.

“Eu não me importo com a tecnologia, mas, quando não consigo garantir a construção de um sistema de esgoto, fico muito irritada.”

Outros estavam igualmente preocupados. Um morador chegou a postar no Facebook sobre o ataque cibernético: “É incrível como isso pode afetar o nosso dia-a-dia.”

“Até agora, isso mudou a forma como eu pagava pelo depósito de lixo; não recebi o email provando que meu cachorro tomou a vacina anti-rábica e imagino que também será diferente quando for pagar meus impostos.”

Agentes imobiliários de Mat-Su, que se conectam a um sistema online para ter acesso a dados cadastrais locais, viram-se sem ter o que fazer. E até o sistema de inscrição de crianças para aulas de natação sofreu impacto.

“Todo mundo tinha que ficar na fila, tudo foi feito à moda antiga”, diz Nancy Driscoll Stroup, advogada local.

Até agora, o incidente custou à Mat-Su mais de US$ 2 milhões (R$ 7,4 milhões).

Logo após o início do ataque, os investigadores encontraram evidências de que o malware estava nos sistemas do município desde maio.

Isso aumenta a curiosidade de Stroup, que lembra que uma delegação do bairro visitou a China em uma missão comercial naquele mês. Embora ninguém tenha feito qualquer ligação oficial com os chineses, houve alegações de envolvimento chinês em outros episódios recentes de hackers.

livrosDireito de imagem GETTY IMAGES
Bibliotecas não conseguiram acessar seu banco de dados

Enquanto vasculhavam os destroços digitais, Wyatt e seus colegas perceberam que o malware havia depositado dados em arquivos com um número específico nos computadores atacados. Depois perceberam que o número 210 identificou Mat-Su como a 210ª vítima dessa versão específica do malware; as outras 209 vítimas ainda são desconhecidas.

Eles também recolheram pistas sobre como o ataque começou. Wyatt acredita ter sido um ataque de phishing direcionado, no qual uma organização trabalhando para o distrito foi comprometida em outro ataque.

Isso permitiu, diz ele, que alguém enviasse um email malicioso, contendo o primeiro lote de malware, para um funcionário de Mat-Su.

Os criadores do malware encobrem ataques em mensagens aparentemente inofensivas para aumentar as chances de que um clique no link ou download de um anexo infecte o computador. A partir daí, ele atinge outras máquinas da rede.

Ações de reparação

Mas Wyatt não culpa ninguém por ter sido enganado. “Os únicos culpados são os que escrevem os vírus”, diz ele.

Nas dez semanas seguintes, uma equipe restaurou a maioria dos serviços afetados em Mat-Su.

Em agosto de 2018, Wyatt apareceu em um vídeo oficial no YouTube explicando a extensão da operação de recuperação. Especialista em TI, Kurtis Bunker também afirmou no vídeo que o FBI estaria “surpreso” com a forma como a equipe de Mat-Su reagiu ao ataque.

Nem todo o público estava entendendo. “Quem ou por que alguém iria ‘hackear’ uma pequena cidade?”, zombou um usuário do Facebook. Mas muitos apoiaram as ações. E várias organizações que têm relações comerciais com o distrito fizeram um esforço para garantir que o ataque cibernético não se estendesse ainda mais.

paisagem chinesaDireito de imagem GETTY IMAGES
Investigações revelam que equipe visitou a China antes do ataque

O único motivo plausível para o ataque é o de os criadores do malware pensarem que poderiam cobrar por um resgate. Mas o conselho do FBI foi claro, segundo Wyatt: “Não pague”.

William Walton, agente do FBI que investiga o que aconteceu em Mat-Su, diz que esse tipo de ataque pode ter sérias consequências. Sendo uma comunidade pequena, Mat-Su tem menos estrutura de segurança de rede.

“Em termos de infraestrutura, ela não tem o mesmo nível de recursos de uma grande área metropolitana, por isso consideramos esse como um evento crítico de infraestrutura”, diz Walton.

Talvez nunca saibamos quem atacou Mat-Su ou o porquê. Mas tais incidentes são inquietantemente comuns. Como comunidades e empresas dependem de computadores para as tarefas mais básicas, a periculosidade de um criminoso cibernético só aumenta.

Agora, os vilarejos de Mat-Su sabem bem disso.

Hacker,Ciências,Tecnologia,Blog do Mesquita

Como evitar que hackers ‘invadam’ seu cérebro no futuro

Imagine ser capaz de navegar por suas memórias como se fosse em uma linha do tempo do Facebook, revivendo em nítidos detalhes seus momentos favoritos da vida e guardando os mais queridos.

Agora imagine uma versão distópica do mesmo futuro, no qual hackers roubam essas memórias e ameaçam apagá-las se você não pagar um resgate.

Pode soar longe da realidade, mas o cenário não é tão impossível quanto parece.

Abrindo a cabeça

Avanços no campo da neurotecnologia nos deixaram mais próximos da possibilidade de melhorar e turbinar nossas memórias, e em algumas décadas poderemos também ser capazes de manipulá-las e reescrevê-las.

Os implantes produzem a chamada estimulação profunda no cérebro, a DBS (da sigla em inglês, deep brain stimulation), para tratar gama ampla de condições, dos tremores da doença de Parkinson ao TOC (Transtorno Obsessivo Compulsivo).

Cerca de 150 mil pessoas no mundo já passaram por tratamentos experimentais com os implantes.

Paciente em um scanner médico no hospitalDireito de imagem GETTY IMAGES
Avanços no campo da neurotecnologia prometem trazer um entendimento melhor do cérebro

A tecnologia está sendo cada vez mais pesquisada nos tratamentos para depressão, demência, síndrome de Tourette e outras doenças psicológicas.

Pesquisadores estão agora começando a explorar os implantes no tratamento de distúrbios que afetam a memória, como os causados por eventos traumáticos.

A Agência de Projetos de Pesquisa em Defesa Avançada dos EUA (Darpa, em inglês) tem um programa para desenvolver e testar uma “interface neural sem fio totalmente implantável” para ajudar a restaurar a perda de memória em soldados afetados por danos traumáticos ao cérebro.

Superpoderes mentais

“Eu não me surpreenderia se um implante de memória estivesse disponível no mercado dentro dos próximos dez anos – essa é a escala de tempo de que estamos falando”, diz Laurie Pycroft, uma pesquisadora do departamento de ciências cirúrgicas na Universidade de Oxford, no Reino Unido.

Em 20 anos, a tecnologia pode ter evoluído o suficiente para nos permitir “capturar” os sinais que constroem nossas memórias, turbiná-los, e redirecioná-los de volta ao cérebro.

No meio do século, é possível que tenhamos ainda mais controle, com a habilidade de manipular memórias.

Arte

‘Sequestro de memória’

Mas o controle também pode ter consequências ruins. Se essa habilidade cair nas mãos erradas, as consequências podem ser “gravíssimas”, diz Pycroft.

Se um hacker invadir um neuroestimulador de um paciente com doença de Parkinson, por exemplo, e alterar as configurações, ele poderia influenciar os pensamentos e comportamento do paciente, ou mesmo causar paralisia temporária.

Um hacker também poderia ameaçar apagar ou reescrever memórias.

Se os cientistas conseguirem decodificar os sinais neurais das nossas memórias, então os cenários podem ser infinitos: pense na quantidade de informação valiosa que hackers mal intencionados poderiam coletar invadindo os servidores do hospital de veteranos em Washington, por exemplo.

Em um experimento em 2012, pesquisadores da Universidade de Oxford e da Universidade de Berkeley, na Califórnia, conseguiram desvendar informações pessoais como senhas de cartão de crédito apenas observando as ondas cerebrais de pessoas usando um headset (conjunto com microfone, óculos de visão 3D e fone de ouvido) para jogos virtuais.

Controle do passado

“A possibilidade de ‘sequestro de cérebros’ e de alterações maliciosas de memória gera uma variedade enorme de desafios para a segurança – algumas bem novas e únicas”, diz Dmitry Galov, pesquisador de segurança virtual da empresa Kaspersky Lab.

Foto antiga e desfocada com uma mãe e duas crianças em uma festa de aniversárioDireito de imagem GETTY IMAGESTecnologias futuras podem deixar nossas memórias mais acessíveis – e até controláveis

A Kaspersky e a Universidade de Oxford colaboraram em um projeto para mapear potenciais ameaças e formas de ataque envolvendo essas novas tecnologias.

“Até no estágio atual de desenvolvimento – que é mais avançado do que as pessoas se dão conta – há uma evidente tensão entre a saúde e a segurança do paciente”, diz o relatório O Mercado da Memória: Preparando-se para um Futuro onde as Ameaças Virtuais Miram seu Passado, publicado pelo grupo.

Não é impossível imaginar governos autoritários do futuro tentando reescrever a história interferindo com a memória das pessoas, e até criando novas memórias, diz o artigo.

“Dá até para imaginar essa tecnologia sendo usada para mudar o comportamento das pessoas. Você pode fazer uma pessoa mudar imediatamente o comportamento estimulando a parte do cérebro que gera emoções indesejáveis”, diz Galov à BBC.

E vice-versa: também é possível seria possível encorajar determinado comportamento estimulando a parte do cérebro que gera prazer e alegria.

ilustração de interface entre cérebro e computadorDireito de imagem GETTY IMAGES
Acesso ao cérebro permitiria controle do comportamento

Acesso não autorizado

Hackear dispositivos médicos conectados a pessoas é, na verdade, uma ameaça que já existe. Em 2017, autoridades americanas fizeram um recall de 465 mil marca-passos depois de avaliar que eles estavam vulneráveis à ataques cibernéticos.

A FDA, agência americana de controle de remédios e alimentos, disse que pessoas mal intencionadas podem interferir com os mecanismos, mudando o ritmo cardíaco de alguém ou acabando com a bateria, o que poderia provocar morte.

Com o recall, ninguém foi ferido, mas a agência afirmou que com aparelhos médicos cada vez mais conectados, redes de hospitais, cirurgias remotas, etc, há um aumento do risco de pessoas mal intencionadas explorarem as vulnerabilidades de segurança virtual. “Algumas (dessas vulnerabilidades) podem afetar como os aparelhos médicos operam.”

É um problema para muitas áreas médicas, e a Kaspersky acredita que, no futuro, mais aparelhos serão conectados e monitorados remotamente. Médicos só serão chamados para assumir situações de emergência.

médico checando um exame em um tabletDireito de imagem GETTY IMAGES
Médicos e instituições de saúde vão precisar se preocupar cada vez mais com segurança virtual

Defesas virtuais

Felizmente, reforçar a segurança virtual no início do planejamento e desenvolvimento de aparelhos pode mitigar a maior parte dos riscos.

Mas a medida mais importante, segundo Galov, é educar médicos e pacientes sobre precauções a serem tomadas, como criar senhas fortes.

O fator humano, diz ele, é uma das maiores vulnerabilidades, porque não podemos esperar que os médicos se tornem especialistas em segurança virtual e “qualquer sistema é tão seguro quanto sua parte mais fraca”.

Pycroft diz que, no futuro, implantes cerebrais serão mais complexos e mais amplamente usados para tratar um amplo conjunto de doenças. “A confluência desses fatores provavelmente deve tornar mais fácil e atraente realizar um ataque usando implantes de pacientes”, diz ele.

“Se não criarmos soluções para a primeira geração de implantes, a segunda e terceira gerações serão bastante inseguras.”

Hackers,Computadores,Espionagem Digital,Internet,Tecnologia,Privacidade,Blog do Mesquita

Todos fazem isso: A incômoda verdade sobre a espionagem em computadores

Hackers,Computadores,Espionagem Digital,Internet,Tecnologia,Privacidade,Blog do Mesquita

EM OUTUBRO, a Bloomberg Businessweek publicou uma reportagem alarmante: agentes que trabalhavam para o Exército de Libertação Popular da China haviam implantado secretamente microchips em placas-mãe fabricadas na China e vendidas pela Supermicro, com sede nos Estados Unidos, dando a espiões chineses acesso clandestino a servidores de mais de 30 empresas americanas, incluindo a Apple, a Amazon e vários fornecedores do governo, em uma operação conhecida como um “ataque a cadeias de suprimentos”, em que um hardware ou software malicioso é inserido em produtos antes de eles serem enviados para consumidores que serão alvo de vigilância.

O texto da Bloomberg, baseado em 17 fontes anônimas, incluindo “seis funcionários atuais ou antigos do alto escalão da segurança nacional”, começou a desmoronar logo após sua publicação quando partes envolvidas negaram os fatos de forma rápida e inequívoca. A Apple disse que “não há verdade” na afirmação de que teria descoberto chips maliciosos em seus servidores. A Amazon afirmou que o relatório da Bloomberg continha “tantos erros … naquilo que dizia respeito à Amazon que eles eram difíceis de contar”. A Supermicro declarou nunca ter ouvido de seus consumidores sobre quaisquer chips maliciosos e que sequer os encontrou, incluindo na declaração uma auditoria feita por outra empresa que a Supermicro contratou. Porta-vozes do Departamento de Segurança Nacional dos EUA e do Centro Nacional de Segurança Cibernética do Reino Unido afirmaram não terem motivos para duvidar das negações das empresas. Duas fontes citadas no texto declararam publicamente serem céticas quanto às conclusões dele.

Mas, enquanto o artigo da Bloomberg pode estar completamente (ou parcialmente) errado, o perigo de a China comprometer cadeias de suprimento é real, julgando a partir de documentos confidenciais de inteligência. Agências de espionagem americanas foram alertadas em termos drásticos sobre a ameaça quase uma década atrás e até mesmo avaliaram que a China era perita em corromper o software  colocado mais próximo do hardware de um computador na fábrica, ameaçando algumas das máquinas mais sensíveis do governo dos EUA, conforme documentos fornecidos pelo delator da Agência de Segurança Nacional (NSA, na sigla em inglês) Edward Snowden. Os documentos também detalham como os EUA e seus aliados têm sistematicamente direcionado e subvertido cadeias de suprimentos de tecnologia, com a NSA conduzindo suas próprias operações, inclusive na China, em parceria com a CIA e outras agências de inteligência. Os documentos também revelam operações de cadeias de suprimentos feitas pela inteligência alemã e francesa.

O que está claro é que ataques a cadeias de suprimentos são um método de vigilância bem estabelecido, quem sabe até um tanto subvalorizado – e muito trabalho ainda está por ser feito para assegurar que equipamentos de informática estejam seguros contra esse tipo de risco.

“Um número crescente de agentes está buscando a capacidade de direcionar… cadeias de suprimento e outros componentes da infraestrutura de informação americana,” a comunidade de inteligência declarou em um relatório secreto de 2009. “Relatórios de inteligência fornecem apenas informações limitadas sobre os esforços em colocar em risco cadeias de suprimentos, em grande parte porque nós não temos acesso ou tecnologia necessários em mãos para a detecção confiável de tais operações.”

Nicholas Weaver, pesquisador de segurança do Instituto Internacional de Ciência da Computação, afiliado à Universidade da Califórnia em Berkeley, disse ao Intercept que “A história da Bloomberg/Supermicro era tão preocupante porque um ataque como aquele descrito teria funcionado, mesmo que agora nós possamos seguramente concluir que a história da Bloomberg se tratava de puro excremento. E agora, se eu sou a China, eu estaria pensando: ‘já estou levando a culpa, então é melhor cometer o crime!’”

Enquanto a história da Bloomberg pintava uma situação dramática, a que emerge dos documentos de Snowden é fragmentada e incompleta – mas assentada nos recursos profundos de inteligência disponíveis ao governo americano. Esse texto é uma tentativa de resumir o que aquele material tem a dizer sobre ataques a cadeias de suprimentos, de documentos não divulgados que publicamos pela primeira vez, documentos que já foram publicados e documentos que foram publicados apenas em parte com pouco ou sem comentários editoriais. Os documentos a que lançamos mão foram escritos entre 2007 e 2013; as vulnerabilidades de cadeias de suprimentos têm sido, aparentemente, um problema há muito tempo.

Nenhum dos materiais reflete diretamente as afirmações do texto da Bloomberg Businessweek. A publicação não comentou sobre as controvérsias em torno de seu relatório além dessa declaração: “A investigação da Bloomberg Businessweek é o resultado de mais de um ano de pesquisa, durante o qual conduzimos mais de 100 entrevistas. Dezessete fontes individuais, incluindo funcionários do governo e pessoas de dentro das empresas, confirmaram a manipulação de hardwares e outros elementos dos ataques. Também publicamos a declaração de três empresas na íntegra, assim como uma declaração do Ministério de Relações Exteriores da China. Acreditamos em nossa história e temos confiança em nossa pesquisa e fontes.”

Operários montam circuitos de chips para smartphones em fábrica de smartphones em Dongguan, na China, em 8 de maio de 2017.

Operários montam circuitos de chips para smartphones em fábrica de smartphones em Dongguan, na China, em 8 de maio de 2017. Foto: Nicolas Asfouri/AFP/Getty Images

A ‘infraestrutura crítica’ dos EUA é vulnerável a ataques a cadeias de suprimentos

Segundo documentos governamentais, o governo dos Estados Unidos, de forma geral, leva a sério a possibilidade de manipulação de cadeias de suprimentos e da China, em particular, conduzir tais interferências, incluindo a fase de fabricação.

O documento confidencial do Departamento de Defesa (DoD na sigla em inglês) de 2011 nomeado “Strategy for Operating in Cyberspace” [Estratégia para Operação no Ciberespaço] se refere às vulnerabilidades de cadeias de suprimentos como um dos “aspectos centrais das ameaças cibernéticas”, dizendo ainda que a dependência dos Estados Unidos em fábricas e fornecedores estrangeiros “dá amplas oportunidades para que atores internacionais subvertam e interditem cadeias de suprimentos americanas em pontos de projeto, fabricação, serviço, distribuição e descarte”.

De acordo como o documento, fornecedores de hardware chineses poderiam se posicional na indústria dos EUA de forma a comprometer “a infraestrutura crítica da qual o DoD depende”.

Outro documento confidencial, uma National Intelligence Estimate(NIE) [Estimativa Nacional de Inteligência] de 2009 sobre “A ameaça cibernética global à infraestrutura de informação dos Estados Unidos”, avaliou com “alta confiança” que havia um crescente “potencial para persistentes e furtivas subversões” em cadeias de suprimentos de tecnologia devido à globalização e com “confiança moderada” que isso ocorreria em parte por manipulação durante a fabricação e ao “tirar vantagem de figuras internas”. Tal “tática intensiva de recursos” seria adotada, afirmava o documento, para contrapor a segurança adicional em redes confidenciais dos EUA.

Cada National Intelligence Estimate foca em uma questão em particular e representa o julgamento coletivo de todas as agências de inteligência americanas, conforme resumido pelo diretor de inteligência nacional. O NIE de 2009 considerou a China e a Rússia como “as maiores ameaças cibernéticas” para os EUA e seus aliados, dizendo que a Rússia tinha a habilidade de conduzir operações em cadeias de suprimentos e que a China estava conduzindo “acesso interno, acesso próximo, acesso remoto e provavelmente operações em cadeias de suprimentos”. Em uma seção voltada a “Comentários de Revisores Externos”, um dos revisores, um antigo executivo em uma fábrica de hardwares de comunicações, sugeriu que a comunidade da inteligência olhasse mais de perto a cadeia de fornecimento chinesa. Ele disse ainda:

“A forte influência do governo chinês em seus fabricantes de eletrônicos, a crescente complexidade e sofisticação desses produtos e a sua dominante presença em redes de comunicação global aumenta a probabilidade do risco sutil – talvez um risco sistêmico, mas negável [pela China] – desses produtos.”

A NIE ainda assinalou ataques a cadeias de suprimentos como uma ameaça à integridade de máquinas eletrônicas de votação, já que tais máquinas estão “sujeitas a muitas das mesmas vulnerabilidades que outros computadores”, embora tenha mencionado que, na época, em 2009, a inteligência americana não estava ciente de quaisquer tentativas de “utilizar ataques cibernéticos para afetar as eleições dos Estados Unidos”.

Além das vagas preocupações envolvendo a Rússia e a China, a comunidade de inteligência americana não sabia o que pensar na vulnerabilidade de cadeias de fornecimento de computadores. Conduzir tais ataques era “difícil e demandava uma intensa utilização de recursos”, de acordo com a NIE, mas, além disso, ele tinha pouca informação para compreender a extensão do problema: “A indisponibilidade de vítimas e agências de investigação em reportar incidentes” e a falta de tecnologia para detectar manipulações significava que “uma incerteza considerável atrapalha nossa avaliação da ameaça trazida por operações de cadeias de suprimentos”, disse a NIE.

Uma seção dentro da Strategy for Operating in Cyberspace do Departamento de Defesa de 2011 é dedicada ao risco de ataques a cadeias de fornecimento. Esta seção descreve uma estratégia para “administrar e mitigar o risco de tecnologia não-confiável utilizada pelo setor de telecomunicações”, em parte reforçando a fabricação norte-americana, que estaria em completa operação em 2016, dois anos após a Bloomberg dizer que o ataque à cadeia de suprimentos da Supermicro teria ocorrido. Não está claro se a estratégia foi colocada de fato em operação; o Departamento de Defesa, que publicou uma versão pública do mesmo documento, não respondeu a pedidos de comentários. Mas a NIE de 2009 dizia que a “exclusão de hardwares e softwares estrangeiros de redes e aplicações sensíveis já é extremamente difícil” e que mesmo se uma política de exclusão tivesse sucesso, “oportunidades para subversão ainda existirão através de empresas de fachada nos Estados Unidos e uso adversário de acesso privilegiado em empresas americanas.”

Um terceiro documento, uma página sobre “Ameaças cibernéticas a cadeias de suprimentos” da Intellipedia, uma wiki interna da comunidade de inteligência norte-americana, incluía passagens confidenciais ecoando preocupações similares sobre cadeias de fornecimento. Um snapshot de 2012 da página incluía uma seção, atribuída à CIA, dizendo que “o espectro de subversão de hardwares de computadores levando armas a falharem em tempos de crise, ou secretamente corrompendo dados cruciais, é uma preocupação crescente. Chips de computadores cada vez mais complexos e modificações sutis feitas em seus projetos ou processos de fabricação podem tornar impossível detectar com os meios práticos disponíveis atualmente.” Outra passagem, atribuída à Defense Intelligence Agency, apontava servidores de aplicações, roteadores e interruptores como as ferramentas provavelmente “vulneráveis à ameaça global de cadeias de suprimento” e dizia ainda que “as preocupações com cadeias de fornecimento serão exacerbadas na medida em que fornecedores de produtos e serviços de segurança cibernética dos EUA são adquiridos por empresas estrangeiras.”

Um instantâneo de 2012 de outra página da Intellipedia listava ataques a cadeias de fornecimento primeiro entre ameaças aos chamados computadores air-gapped, que são mantidos isolados da internet e são usados por agências de espionagem para lidar com informações especialmente sensíveis. O documento também dizia que a Rússia “tem experiência com operações em cadeias de suprimentos” e declarava que “empresas de software russas montaram escritórios nos Estados Unidos, possivelmente para desviar atenção de suas origens russas e para serem mais aceitas aos agentes de compra do governo americano.” (Preocupações similares sobre o software antivírus russo Kaspersky Lab levou a um recente banimento do uso do antivírus dentro do governo dos EUA.) A Kaspersky Lab negou repetidamente ter ligações com qualquer governo e disse que não ajudaria um governo com ciberespionagem. A Kaspersky informou ainda ter ajudado a expor o ex-contratado da NSA Harold T. Martin III, que foi acusado de roubo em larga escala de dados confidenciais da NSA.

Componentes são vistos em uma placa de circuito dentro dos Interruptores Agile Série S12700 da Huawei Technologies Co. em exibição em uma sala de exposições na sede da empresa em Shenzhen, na China, na terça-feira, 5 de junho de 2018.

Componentes são vistos em uma placa de circuito dentro dos Interruptores Agile Série S12700 da Huawei Technologies Co. em exibição em uma sala de exposições na sede da empresa em Shenzhen, na China, na terça-feira, 5 de junho de 2018.
Foto: Giulia Marchi/Bloomberg via Getty Images

Empresa de telecomunicações chinesa vista como ameaça

Além dos grandes receios, a comunidade de inteligência dos Estados Unidos tinha algumas preocupações com a habilidade da China em utilizar a cadeia de fornecimento para a espionagem.

O documento de estratégia de 2011 do Departamento de Defesa dizia, sem detalhar, que os fornecedores de equipamentos de telecomunicações chineses suspeitos de ligações com o Exército Popular de Libertação da China “buscam invasões na infraestrutura de telecomunicações dos Estados Unidos.”

Esta pode ser uma referência, pelo menos em parte, à Huawei, a gigante de telecomunicações chinesa que o Departamento temia que criasse acessos ilegais em equipamentos vendidos aos fornecedores de comunicações dos EUA. A NSA conseguiu chegar no máximo até a comunicação empresarial da Huawei, procurando por ligações entre a empresa e o Exército Popular de Libertação, conforme publicado em conjunto pelo New York Times e a revista de notícias alemã Der Spiegel. O artigo não citava evidências de relação entre a Huawei e o Exército, e uma porta-voz da empresa disse às publicações que era irônico que “eles estão fazendo conosco o que sempre disseram que os chineses fazem”.

Segundo o relatório ultrassecreto da NSA sobre a Huawei, a comunidade de inteligência dos EUA pareceu preocupada que a Huawei poderia ajudar o governo chinês a acessar um cabo transatlântico de telecomunicações sensíveis conhecimento como “TAT-14”. O cabo transmitia a comunicação da indústria de defesa em um segmento entre Nova Jersey e a Dinamarca; em uma atualização em 2008 a Mitsubishi foi contratada, o que “terceirizava o trabalho para a Huawei. Que, em troca, atualizou o sistema com um roteador de ponta deles”, dizia o documento. Como uma preocupação mais ampla, o documento acrescentou que havia indícios de que o governo chinês poderia usar a “penetração de mercado da Huawei para seus próprios propósitos SIGINT” – isto é, para inteligência de sinais (a coleta de informações feita através da interceptação de sinais de comunicação). Um porta-voz da Huawei não comentou em tempo para a publicação.

Ataques ao firmware preocupam Inteligência dos EUA

Em outros documentos, agências de espionagem detectaram outra preocupação específica, a crescente destreza da China para explorar o BIOS, o Sistema Básico de Entrada/Saída, na sigla em inglês. O BIOS, também conhecido pelos acrônimos EFI e UEFI, é o primeiro código a ser executado quando um computador é ligado, antes mesmo do lançamento de um sistema operacional como o Windows, o macOS ou o Linux. O software que compõe o BIOS é armazenado em um chip na placa-mãe do computador, e não no disco-rígido; ele costuma ser referido como “firmware”, por ser ligado de maneira tão próxima ao hardware. Como qualquer outro software, o BIOS pode ser modificado para se tornar malicioso e é um alvo especialmente bom para ataques a computadores, pois reside fora do sistema operacional e, assim, não pode ser facilmente detectado. Ele nem sequer é afetado quando um usuário apaga o disco-rígido ou instala um sistema operacional novo.

A Agência de Inteligência da Defesa acreditava que a capacidade da China para explorar o BIOS “reflete um salto qualitativo que é difícil de detectar”, segundo a seção de “Implantes de BIOS” no artigo da Intellipedia a respeito das ameaças a computadores não conectados a outros terminais ou à Internet A seção também assinalava que “relatos recentes”, presumivelmente envolvendo implantes de BIOS, “corroboram a estimativa de inteligência feita em 2008 segundo a qual a China provavelmente era capaz de intrusões mais sofisitcadas do que aquelas atualmente observadas pelos responsáveis pelas defesas de rede dos EUA”.

Um instantâneo de 2012 de outra página da Intellipedia, sobre “Ameaças ao BIOS”, sinaliza a vulnerabilidade do BIOS a intromissões na cadeia de suprimentos e a ameaças internas. De forma significativa, o documento também parece se referir à descoberta feita pela comunidade de inteligência norte-americana sobre um malware feito pelo Exército Popular de Libertação da China, dizendo que “as versões do Exército Popular e do MAKERSMARK [russo] não parecem ter uma ligação em comum além do interesse em desenvolver formas mais persistentes e encobertas” para hackear. As “versões” citadas parecem ser casos de firmwares de BIOS maliciosos feitas pelos dois países, a julgar pelas notas de rodapé e outros trechos do documento.

A página da Intellipedia também continha indicações de que a China poderia ter descoberto uma forma de comprometer o software do BIOS produzido por duas empresas, a American Megatrends, conhecida como AMI, e a Phoenix Technologies, que faz os chips Award BIOS.

Em um parágrafo marcado como ultrassecreto (top secret), a página indicava: “entre as versões de BIOS atualmente comprometidas estão aquelas baseadas no AMI e no Award. A ameaça que implantes de BIOS causa aumenta de forma significativa para sistemas que operam nessas versões comprometidas”. Após essas duas frases, concluindo o parágrafo, há uma nota de rodapé para um documento ultrassecreto, ao qual o Intercept não teve acesso, intitulado “Provável terceirizado contratado pelo Exército de Liberação Popular da China conduz exploração de rede contra redes críticas de infraestrutura de Taiwan; desenvolve capacidades de ataque à rede”.

A palavra “comprometido” poderia ter diferentes significados nesse contexto e não necessariamente indica que um ataque bem-sucedido por parte da China tenha ocorrido; ela poderia simplesmente significar que versões específicas de BIOS da AMI e da Phoenix continham vulnerabilidades a respeito das quais os espiões norte-americanos tinham conhecimento. “É muito intrigante que não tenhamos visto evidências de mais ataques a firmware”, disse Trammell Hudson, um pesquisador de segurança no fundo de investimentos Two Sigma Investments e co-descobridor de uma série de vulnerabilidades de BIOS em Macbooks, conhecidas como Thunderstrike. “Quase todas as conferências de segurança estreia novas provas de conceitos de vulnerabilidades, mas … a única revelação pública de um firmware comprometido” veio em 2015, quando a Kaspersky Lab anunciou a descoberta de um firmware malicioso de uma operação hacker avançada apelidada Equation Group. “Ou nós não somos muito bons em detectá-los, enquanto indústria, ou esses ataques a firmware e implantes de hardware são usados em operações de acesso sob medida”.

Hudson acrescentou: “é preocupante que muitos sistemas nunca recebam atualizações de firmware após a fabricação, e que vários dispositivos incorporados a um sistema tenham uma probabilidade ainda menor de receber atualizações. Qualquer ataque a versões mais antigas tem um aspecto ‘eterno’, significando que eles vão continuar úteis para adversários invadirem sistemas que podem seguir sendo usados por muitos anos”.

A American Megatrends publicou a seguinte declaração: “A indústria de firmware de BIOS e de computação como um todo, deu passos incríveis em busca de mais segurança desde 2012. A informação no documento de Snowden diz respeito a plataformas anteriores ao nível atual de segurança de BIOS. Temos processos capazes de identificar vulnerabilidades de segurança no firmware de inicialização e oferecer uma rápida mitigação para nossos clientes OEM e ODM”.

A Phoenix Technologies publicou esta declaração: “Os ataques descritos no documento são bem entendidos na indústria. O Bios Award foi desbancado pela estrutura atual de UEFI, mais segura, que continha mitigações para esses tipos de ataques de firmware muitos anos atrás”.

Ataques bem-sucedidos à cadeia de suprimentos por parte de França, Alemanha e EUA

Os documentos de Snowden revisados até aqui discutem, com frequência em termos vagos e imprecisos, o que a Inteligência norte-americana acredita que seus adversários russos e chineses são capazes de fazer. Mas esses documentos e outros também discutem, em termos muito mais específicos, o que os EUA e seus aliados são capazes de fazer, incluindo descrições de operações de cadeia de suprimentos específicas e bem-sucedidas. Eles também descrevem, de forma geral, as capacidades de vários programas e unidades da Agência de Segurança Nacional (NSA) contra cadeias de fornecimento.

A página da Intellipedia sobre ameaças às redes “air-gapped” revelam que, em 2005, a agência de inteligência internacional alemã (BND) “estabeleceu algumas companhias comerciais de fachada que usaria para ganhar acesso às cadeias de suprimentos de componentes de computação não-identificados”. A página atribui esse conhecimento a “informação obtida durante uma conversa oficial com um contato”. A página não menciona qual era o alvo da BND ou em que tipos de atividades as empresas de fachada se envolviam.

A BND tem “estabelecido companhias de fachadas para operações HUMINT e SIGINT desde os anos 1950”, disse Erich Schmidt-Eenboom, um escritor alemão e especialista em BND, usando os termos para a inteligência reunida tanto por espiões humanos quanto por espionagem eletrônica, respectivamente. “Via de regra, um agente da BND fundaria uma pequena empresa, responsável por uma única operação. Na área do SIGINT, essa empresa também mantém contatos com parceiros indutriais”.

A BND não respondeu a um pedido para comentar a situação.

A página da Intellipedia também dizia que, desde 2002, a agência francesa de inteligência, a DGSE, “entregou computadores e equipamentos de fax para os serviços de segurança de Senegal, e em 2004 era capaz de acessar toda a informação processada por esses sistemas, de acordo com uma fonte cooperativa com acesso indireto”. Senegal é uma antiga colônia francesa. Representantes do governo senegalês não responderam a um pedido por comentários. A DGSE se negou a comentar.

cisco-computadores-1548873662
2-cisco-computadores-1548873667

Esquerda: pacotes interceptados são abertos cuidadosamente. Direita: uma “estação de carga” implanta um transmissor.Fotos: NSA

Muito do que foi reportado sobre as capacidades de ataque dos EUA a cadeias de suprimentos veio de um documento da NSA de junho de 2010, que o co-fundador do Intercept, Glenn Greenwald, publicou em seu livro “Sem lugar para se esconder”, de 2014. O documento, um artigo de um site de notícias interno da NSA chamado SIDtoday, foi republicado em 2015 na Der Spiegel com alguns trechos censurados (mas sem novas análises sobre o conteúdo).

O SIDtoday explicava de forma concisa uma das abordagens da NSA para ataques à cadeia de suprimento (os destaques são do texto original):

“Encomendas de produtos de redes de computadores (servidores, roteadores, etc. entregues a nossos alvos ao redor do mundo são interceptados. A seguir, eles são redirecionados para um local secreto onde empregados de Operações de Acesso Adaptado/Operações de Acesso (AO – S326), com o apoio do Centro de Operações Remotas (S321), habilitam a instalação de implantes de transmissão diretamente nos eletrônicos de nossos alvos. Esses aparelhos são então re-embalados e colocados novamente em transporte para o destino original.”

Ataques de “interdição” da cadeia de fornecimento como o descrito acima envolvem o comprometimento do hardware do computador enquanto ele está sendo transportado para o consumidor. Eles têm como alvo uma parte diferente da cadeia de suprimento daquela descrita pela Bloomberg. A reportagem da Bloomberg dizia que espiões chineses instalavam microchips maliciosos na placa-mãe de servidores enquanto eles estavam sendo produzidos na fábrica, e não quando estavam em trânsito. O documento da NSA dizia que seus ataques de interdição “são algumas das mais produtivas operações da TAO”, a sigla em inglês para as Operações de Acesso Adaptado, a unidade da NSA dedicada a ofensivas hackers, “porque elas posicionam previamente pontos de acesso em difíceis alvos ao redor do mundo.” (a TAO é conhecida atualmente como Computer Network Operations, ou Operações de Rede de Computadores).

Interditar entregas específicas pode trazer menos riscos para uma agência de espionagem do que implantar microchips maliciosos em massa ainda na fábrica. “Um ataque de design/manufatura do tipo alegado pela Bloomber é plausível”, disse Eva Galperin, diretora de cibersegurança na Electronic Frontier Foundation. “Isso é exatamente o porquê de a história ter sido tão importante. Mas ser plausível não significa que aconteceu, e a Bloomberg não trouxe evidência suficiente, na minha opinião, para apoiar sua alegação”. Ela acrescentou: “O que sabemos é que um ataque de design/manufatura é altamente arriscado para quem o comete, e há muitas alternativas menos arriscadas que são mais recomendáveis para essa tarefa.”

Homem sírio olha para o seu celular no bairro de Bustan al-Qasr, em Aleppo, Síria, em 21 de setembro de 2012.

Homem sírio olha para o seu celular no bairro de Bustan al-Qasr, em Aleppo, Síria, em 21 de setembro de 2012. Foto: Manu Brabo/AP

O documento de 2010 também descrevia um ataque bem-sucedido da NSA contra a empresa estatal de telecomunicações síria (Syrian Telecommunications Establishment). A NSA sabia que a empresa havia encomendado aparelhos de rede de computadores para o seu serviço de internet, então a agência interditou esses equipamentos e os redirecionou para uma “estação de carga”, onde implantou “transmissores” e então colocou os produtos novamente em trânsito.

Alguns meses após a Syrian Telecom receber os equipamentos, um dos transmissores “chamou de volta para a infraestrutura de ações encobertas da NSA”. Nesse ponto, a NSA usou seu implante para fazer um levantamento da rede onde o aparelho estava instalado e descobriu que ele dava um acesso muito maior do que o esperado; além da rede de internet, também dava acesso à rede nacional de telefonia celular operada pela Syrian Telecom, já que o tráfego celular atravessava a espinha-dorsal da internet.

“Como a rede STE GSM [celular] nunca foi explorada, esse novo acesso representava um verdadeiro golpe”, escreveu o autor do documento da NSA. Isso permitia que a NSA “extraísse automaticamente” informações sobre os assinantes de celular da Syrian Telecom, incluindo informações sobre para quem eles ligavam, quando, e suas localizações geográficas enquanto carregavam seus telefones durante o dia. A NSA também tinha possibilidades de ganhar um acesso ainda maior às redes celulares da região.

Documento ultrassecreto detalha como explorar a rede VOIP para obter informações sigilosas de um alvo.

Documento ultrassecreto detalha como explorar a rede VOIP para obter informações sigilosas de um alvo. Documento: NSA

Outro documento da NSA  descreve um ataque diferente, também de sucesso, conduzido pela agência. Um slide de uma da “revisão de administração de programas” feita pela NSA em 2013 descrevia uma operação ultrassecreta tendo como alvo a rede VOIP para telefonemas secretos realizados online. Em uma “base no exterior”, a NSA interceptou uma encomenda de equipamentos para essa rede de uma fábrica na China, e a comprometeu com transmissores implantados.

“A análise e o relato sobre esse alvo identificaram, com alto nível de detalhe, o método para aquisições de hardware [pelo alvo]”, dizia um slide da apresentação. “Como resultado desses esforços, a NSA e seus parceiros [na comunidade de inteligência] agora estão em posição para ser bem-sucedidos nas próximas oportunidades.”

Operações da NSA em ‘espaço adverso’

Além da informação sobre operações específicas de cadeia de suprimentos por parte dos EUA e seus aliados, os documentos de Snowden também incluem informações mais geral sobre as capacidades dos Estados Unidos.

O hardware de computadores pode ser alterado em vários pontos ao longo da cadeia de suprimentos, desde o design à produção, do depósito à entrega. Os EUA estão entre um pequeno número de nações que poderiam, em tese, comprometer equipamentos em vários pontos diferentes desse canal, graças aos seus recursos e alcance geográfico.

Slide apresenta possíveis alvos de SCS (Serviço Especial de Coleta), um programa de espionagem a partir de instalações diplomáticas dos EUA.

Slide apresenta possíveis alvos de SCS (Serviço Especial de Coleta), um programa de espionagem a partir de instalações diplomáticas dos EUA. Documento: NSA

Isso foi sublinhado em uma apresentação ultrassecreta de 2011 sobre o Serviço Especial de Coleta (SCS, na sigla em inglês), um programa conjunto de espionagem da NSA e da CIA operando a partir de instalações diplomáticas norte-americanas no exterior. Ela fazia referência a 80 locais da SCS ao redor do globo como “pontos de presença”, oferecendo a “vantagem de jogar em casa em um espaço adverso”, a partir dos quais uma “SIGINT ativada por humanos” pode ser conduzida, e onde “oportunidades” na cadeia de suprimento se apresentam, sugerindo que a NSA e a CIA conduzem ataques desde embaixadas e consulados norte-americanos ao redor do mundo. (A apresentação foi publicada pela Der Spiegel em 2014, ao lado de outros 52 documentos, e aparentemente nunca se escreveu a respeito dela. O Intercept a publica novamente para incluir os comentários do apresentador.)

Um programa que afeta cadeias de fornecimento dessa forma é o SENTRY OSPREY da NSA, no qual a agência utiliza espiões humanos para grampear fontes digitais de inteligência ou, como um briefing ultrassecreto publicado pelo Intercept em 2014 indica, “utiliza seus próprios recursos de HUMINT […] para apoiar operações SIGINT,” incluindo operações de “acesso próximo” que essencialmente colocam humanos contra a infraestrutura física. Essas operações, conduzidas ao lado de parceiros como a CIA, o FBI, e a Agência de Inteligência da Defesa, parecem ter incluído tentativas de implantar grampos e comprometer cadeias de suprimentos; um guia de classificação de 2012 dizia que eles incluíam formas de possibilitar implantes na cadeia de fornecimento e em hardware — bem como uma “presença avançada” em locais em Pequim, Coreia do Sul e Alemanha, todos sedes de fábricas de telecomunicações. Outro programa, o SENTRY OWL, trabalha “com parceiros estrangeiros específicos… e entidades industriais estrangeiras” para fazer aparelhos e produtos “exploráveis para SIGINT”, de acordo com o briefing.

A Divisão de Persistência

As Operações de Acesso Adaptado da NSA tiveram um papel crítico nas operações de interdição da cadeia de suprimentos levadas a cabo pelo governo americano. Além de ajudar a interceptar entregas de hardware para instalar implantes em segredo, uma divisão da TAO, conhecida como Divisão de Persistência, tinha a tarefa de criar os implantes.

Apresentação da TAO detalha as diferentes atividades, incluindo ações hackers encobertas.

Apresentação da TAO detalha as diferentes atividades, incluindo ações hackers encobertas. Documento: NSA

Uma apresentação ultrassecreta de 2007 sobre a TAO descrevia ações hackers encobertas e “sofisticadas” contra softwares, incluindo firmware, utilizando uma rede de computadores “ou interdição física”, e credita a esses ataques “alguns dos mais significativos sucessos” das agências de espionagem dos EUA.

Outro documento, uma página wiki da NSA intitulada “Projetos Internos”, publicada originalmente pela Der Spiegel, descrevia “ideias sobre possíveis projetos futuros da Divisão de Persistência.” Os projetos ali descritos envolviam adicionar novas capacidades aos implantes de firmware maliciosos já existentes. Esses implantes poderiam ser inseridos nos computadores-alvo através de ataques à cadeia de suprimentos.

Um projeto potencial propunha expandir um tipo de malware de BIOS para funcionar em computadores que utilizam o sistema operacional Linux, e oferecer mais maneiras de explorar computadores Windows.

Outro sugeria mirar na chamada tecnologia de virtualização dos processadores, que permite aos computadores separar de forma mais eficiente e confiável as chamadas máquinas virtuais, um software que simula múltiplos computadores em um só. O projeto proposto desenvolveria um “implante hipervisor”, indicando que o alvo pretendido era o software que coordena a operação de máquinas virtuais, conhecido como hipervisor. Os hipervisores e máquinas virtuais são largamente utilizados pelos provedores de armazenamento em nuvem. O implante daria suporte para máquinas virtuais em processadores Intel e AMD. (a Intel e a AMD não responderam a pedidos para comentar o caso.)

Outro possível projeto sugeria prender um rádio do tipo short-hop à porta serial de um disco-rígido, comunicando-se a ele usando um implante de firmware. Outro projeto pretendia desenvolver implantes de firmware tendo como alvo discos-rígidos produzidos pela companhia norte-americana Seagate. (a Seagate não respondeu a um pedido por comentários.)

ilustração-intercept-1548873725

Ilustração: Oliver Munday para o Intercept

Onde esconder seu implante de hardware?

Uma das razões que agências de espionagem como a NSA temem o comprometimento de cadeias de suprimentos é que há muitos lugares em um computador comum para esconder um implante espião.

“Os servidores atuais têm dezenas de componentes com firmware e centenas de componentes ativos”, disse Joe FitzPatrick, um pesquisador e instrutor de segurança de hardwares. “A única maneira de ter um boletim de saúde perfeito é um teste destrutivo e aprofundado que depende de um ‘padrão-ouro’ como boa referência —  só que definir esse ‘padrão-ouro’ é quase impossível. O risco muito maior é que mesmo um hardware perfeito pode ter um firmware ou um software vulneráveis.”

A página da Intellipedia sobre ameaças à cadeia de suprimentos lista e analisa as várias partes de hardware onde um computador poderia ser comprometido, incluindo as fontes de energia (“poderia ser estipulado a … autodestruir-se, danificar a placa-mãe do computador … ou mesmo iniciar um incêndio ou explosão”); cartões de rede (“bem posicionados para introduzir malwares e extrair informações”); controles de disco (“melhores que um rootkit”, tipo de software malicioso que permite acesso a um computador enquanto oculta suas atividades); e a unidade de processamento gráfico, ou GPU (“bem posicionada para escanear a tela do computador em busca de informação sensível”).

De acordo com o texto da Bloomberg, espiões chineses conectaram seus microchips maliciosos aos baseboard management controllers, ou BMCs, computadores em miniatura que são conectados aos servidores para dar a administradores de sistema acesso remoto para resolver problemas ou reiniciar os servidores.

FitzPatrick, citado pela Bloomberg, vê a história do Supermicro com ceticismo, incluindo sua descrição de como espiões exploraram os BMCs. Mas especialistas concordam que colocar uma entrada clandestina no BMC seria uma boa maneira de comprometer um servidor. Em uma reportagem complementar, a Bloomberg alegou que uma “importante empresa de telecomunicações norte-americana” descobriu um servidor Supermicro com um implante em um cartão de rede Ethernet, que é uma das partes do hardware listadas na página da Intellipedia como vulnerável a ataques da cadeia de suprimento. FitzPatrick, novamente, via as alegações com ceticismo.

Após o texto da Bloomberg ser publicado, em um post no blog Lawfare, o pesquisador de segurança de Berkeley, Weaver, defendeu que o governo americano deveria reduzir o número de “componentes que precisam executar com integridade” a apenas a unidade de processamento central, ou CPU, e requisitar que esses componentes “confiáveis” usados em sistemas do governo deveriam ser fabricados nos EUA, por empresas norte-americanas. Dessa forma, o resto do computador poderia ser manufaturado com segurança na China — os sistemas funcionariam com segurança mesmo se os componentes fora dessa base confiável, como a placa-mãe, tivessem implantes maliciosos. O iPhone da Apple e o Boot Guard da Intel, dizia ele, já funcionavam dessa maneira. Devido ao poder de compra do governo, “deveria ser plausível escrever regras de fornecimento que, após alguns anos, efetivamente exigissem que os sistemas do governo americano fossem montados de forma a resistir a maioria dos ataques à cadeia de suprimentos”, disse Weaver ao Intercept.

Embora operações de cadeia de suprimentos sejam utilizadas em ciberataques reais, elas parecem ser raras quando comparadas a outras formas mais tradicionais de hackear, como o phishing e os ataques de malware na internet. A NSA os utiliza para acessar “redes complexas e isoladas”, de acordo com uma apresentação ultrassecreta de 2007 sobre o TAO.

“Ataques à cadeia de suprimentos são algo que indivíduos, empresas e governos devem estar cientes. O risco potencial deve ser pesado frente a outros fatores”, disse FitzPatrick. “A realidade é que a maioria das organizações tem várias vulnerabilidades que não precisam de ataques à cadeia de suprimentos para ser exploradas.”

Documentos divulgados com este artigo:

Tradução: Maíra Santos