Qual é a diferença entre um míssil nuclear e o malware?
 
Não é uma pegadinha. Com as ferramentas adequadas, um malware pode controlar um míssil, mas nenhum poder de fogo pode mudar a direção de um software anômalo ativo. Diferente das armas tradicionais, os malwares podem se replicar infinitamente.
 
Enquanto muitas vezes um míssil pode ser controlado de alguma maneira, o malware costuma atacar de forma indiscriminada: ninguém sabe quem será prejudicado, nem por quais corredores ele se infiltrará. Nos misteriosos caminhos da web, quando algum vilão lança um programa malicioso para fazer dinheiro rapidamente, tudo pode acontecer. É impossível calcular o efeito que ele terá, o que pode ser afetado acidentalmente e até mesmo como ele pode retornar, danificando seus criadores. As pessoas cometem erros em tudo o que fazem e a atividade de criação de código, malicioso ou não, não é uma exceção. Há diversos exemplos desse tipo de “danos colaterais” (leia meu post anterior sobre as fortunas da internet).
 
Pelo menos, agora vemos alguns esforços conjuntos para combater os criminosos virtuais.
 
O setor de segurança está apertando o cerco sobre eles e até os grandes players, como Microsoft, estão envolvidos. Outras organizaçõessem fins lucrativos e intergovernamentais também estão se juntando a nós. Os governos estão começando a entender que a internet pode ser um caminhado penoso e estão acordando para a necessidade de fazer algo a respeito. Assim, podemos observar algum progresso.
 
Contudo, eu estou mais preocupado com outra faceta da segurança digital. Os golpes dos criminosos virtuais parecerão uma brincadeira em comparação com a guerra virtual em larga escala. Sim, você leu corretamente: uma guerra virtual! É aqui que as coisas começam a ficar muito mais complicadas e sombrias.
 
Vejam os fatos.
 
Primeiramente, os militares de diferentes países estão ocupados criando unidades virtuais exclusivas e “forjando” armas virtuais (por exemplo, EUA, Índia, Reino Unido, Alemanha, França, União Europeia, OTAN, China, Coreia do Sul, e Coreia do Norte).
 
Em segundo lugar, casos de espionagem industrial e atos de sabotagem são de conhecimento público (veja as notícias sobre ataques importantes apoiados por estados-nação, como o Stuxnet e o Duqu).
 
Em terceiro lugar, notícias sobre ataques cuidadosamente planejados estão sendo divulgadas com uma velocidade alarmante (bem, todos temos uma idéia de quem podem ser os vilões por trás deles). Foi até mesmo criado um novo termo para isso: APT (Advanced persistent threat).
 
Não há dúvidas de que tudo isso é apenas a ponta do iceberg. Sempre que descobrimos um novo programa malicioso com estilo Stuxnet, se constata que:
 
·         O malware “foi revelado” acidentalmente ou devido a um erro.
·         Ele já estava “instalado” silenciosamente em várias redes há muito tempo e nós só podemos supor qual era seu objetivo.
·         Vários recursos técnicos do malware – e a motivação de seu criador – ainda são suposições.
 
Você pode ver onde vou chegar?
 
Claramente, ainda estamos sentados em um barril de pólvora, serrando o galho sobre o qual repousa toda a internet, e a infraestrutura do mundo inteiro está exatamente ao lado. Os militares estão gradativamente transformando a web em um enorme campo minado. Potencialmente, uma simples tecla pode desencadear um caos do qual ninguém sairá ileso. O toque equivocado em um botão pode travar tudo, não apenas os computadores. A reação em cadeia envolveria as coisas do mundo real, além do mundo virtual: talvez até usinas nucleares. Seria possível ver um conflito da rede se agravar rapidamente em um conflito militar. Não foi um exagero dos EUAigualar os ataques de hackers a uma invasão – eles entendem claramente as consequências possíveis. Quando mais analisamos a situação, mais terrível ela se torna.
 
Estes malware, militarizado ou não, tem erros de código. Geralmente, um bug em um software padrão tem um efeito limitado; no máximo, o sistema de computadores terá um colapso, ou  uma turbina de energia parará. Mas com a nova onda de malware militares, um erro pode ter consequências realmente catastróficas. E se o código anômalo atingir não apenas o alvo pretendido, mas todos os objetos semelhantes em todo o mundo? Como ele consegue distinguir alvos reais e inocentes? Se o malware for direcionado a uma determinada usina de energia [nuclear], mas acabar atingindo todas elas, o que acontecerá? A internet não tem limites e a maioria das usinas de energia são construídas de acordo com um limitado conjunto de padrões. Embora possa haver apenas um alvo, o número de vítimas potenciais pode ser muito maior e elas podem estar em qualquer lugar do mundo.
 
Eu espero sinceramente não estar profetizando uma tragédia, como no caso dos worms autopropulsores e ataques que visavam projetos industriais. Eu GOSTARIA MUITO de estar errado.
 
Esses malware militares são respaldados por excelentes profissionais, com financiamentos generosos e têm acesso a poderosos recursos técnicos e materiais. Sem isso, como você acha que alguém poderia personalizar o Stuxnet para centrífugas iranianas? Então, temos a chave dourada dos certificados digitais, atualmente a garantia da confiança na Web (outro sinal de alarme, por sinal). Eu só posso fazer hipóteses sobre as armas virtuais que estão carregadas e prontas, mas o futuro não parece promissor. Toda a área está além do controle da sociedade – é quase uma anarquia, com cada um fazendo o que quer. Como mostrado pelo Stuxnet, a comparação com o míssil já é bastante precisa; os malware podem ter os mesmos resultados de uma arma militar convencional.
 
Contudo, existe uma diferença.
 
Todas as armas, especialmente as armas de destruição em massa, juntamente com a tecnologia nuclear em geral, são mais ou menos controladas e regulamentadas pelo menos em teoria. As Nações Unidas têm sua Agência Internacional de Energia Atômica, há um sistema internacional de acordos de não proliferação e o Conselho de Segurança das Nações Unidas reage fortemente a qualquer tentativa de entrada no clube nuclear (como o Irã descobriu). É claro que a política, os subterfúgios e padrões duplos têm seu papel, mas isso não tem nada a ver com a ideia que estou descrevendo.
 
A ideia é a seguinte:
 
Considerando o fato de que a paz e a estabilidade mundial dependem fortemente da internet, é necessário criar uma organização internacional para controlar as armas virtuais. Um tipo de Agência Internacional de Energia Atômica dedicada ao ciberespaço. Em um mundo ideal, ela replicaria as estruturas de segurança nuclear que já existem e as aplicariam ao ciberespaço. Particularmente, devemos considerar o uso de armas virtuais como um ato de agressão internacional e colocá-lo lado a lado com o terrorismo virtual.
 
Em condições ideais, o certo seria proclamar a internet uma zona não militarizada; um tipo de Antártida virtual. Eu não tenho certeza sobre a possibilidade desse desarmamento. A oportunidade já foi perdida, foram feitos investimentos, produzidas armas e a paranoia já está presente. Porém, as nações precisam pelo menos concordar com as regras e controles relativos às armas virtuais.
 
Eu imagino que a implementação dessa ideia não será nada fácil. A sociedade ainda considera os computadores e a internet uma realidade virtual, brinquedos que não têm nada a ver com a vida real. Isso está totalmente errado! A internet é totalmente parte da realidade cotidiana! Eu descrevi acima quais podem ser os resultados da complacência. Esse assunto já é discutido há muitos anos nos limites dos círculos de profissionais de segurança. Estou sendo simplesmente o primeiro a falar em público.
 
Por favor, lembrem-se da primeira e mais importante regra da segurança!
 
--- Não matem Cassandra*! Por favor! ---
 
* profetisa da mitologia grega que previu a queda de Tróia.

Texto originalmente publicado por Eugene Kaspersky