Segurança cibernética para além do bem e do mal

Por Colaborador externo | 05.03.2015 às 07:20

Por Rodrigo Fragola*

Um equívoco bastante comum é o de se trazer o julgamento ético ou a preferência ideológica para a discussão relacionada à segurança cibernética das empresas, governos e sociedade. Julgamento equivocado e inócuo por dois motivos muito simples: primeiro, porque esse tipo de debate jamais conduzirá ao consenso e em nada ajudará na questão da segurança.

E segundo, porque, ainda que por motivos eticamente generosos e louváveis, qualquer pessoa ou grupo organizado que se apodere de certas armas, e as leve ao espaço público para fazer valer a sua opinião, deverá ser prontamente desarmado em favor do real interesse coletivo.

Vejamos, a este propósito, o caso dos cada vez mais sofisticados ataques DDoS (ou de negação de serviços). Para muitos, eles correspondem apenas à metáfora de um piquete (cuja validade ética não entra em questão aqui), no qual um grupo de pessoas promove um cerco na porta de entrada do escritório ou da fábrica que se deseja paralisar em função de uma reivindicação ou protesto.

No imaginário que se constituiu sobre a estratégia de ataques DDoS, esta prática é opcionalmente atribuída a um hacker especialista "do bem" (também chamado 'hacktivista'), que organiza um cerco massivo ao site da empresa "maldosa" (aquela que não respeita a privacidade alheia, por exemplo); ou ao contrário, é atribuída a um cibercriminoso comum, sem ética e sem piedade, que utiliza o mesmo estratagema para enfraquecer os mecanismos de guarda de um banco, ou de uma empresa de cartão, para assim invadir os seus tesouros.

Ao lado dos dois personagens, campeiam o ciberterrorismo (que também promove o sequestro de dados, a sabotagem, o roubo, a fraude etc. por motivos políticos ou ideológicos) e a guerra fria cibernética em si, que envolve o engajamento de países com suas forças estratégicas de inteligência, e que não será objeto deste artigo.

Mas se a prática hacktivista pode às vezes ser considerada "do bem" por sua finalidade altruística (em contraposição ao sempre condenável cibercrime), de que lado devemos ficar quando o grupo hacktivista "Anonymous" invade e faz profanação em inocentes sites islâmicos, em nome do protesto "je suis Charlie"? ou quando os hacktivistas islâmicos do "L'Apoca-Dz" derrubam sites cristãos em nome da suas crenças?

Se a pergunta se refere à preferência ideológica ou à religião, cada um que opte por seu lado. Mas se a discussão é de fato voltada à questão da segurança, o papel do debatedor é ignorar solenemente tais embates. Os responsáveis pela segurança devem fazer uma suspensão radical desses julgamentos ideológicos e entender que, em ambos os casos, o que está sendo violado é o bom funcionamento da Internet do qual depende, em última instância, a tranquilidade pública.

Não só a tranquilidade dos sites e instituições afetadas, mas a de todos os cidadãos, obrigados a conviver com o aumento progressivo do medo e da frustração em relação às salvaguardas de auto integridade no espaço público da Internet.

Glamourizar ou não glamourizar o ativismo cibernético baseado em ferramentas hackers é uma questão que deve passar totalmente ao largo daqueles que precisam se preocupar com a segurança cibernética.

Que partam de uma agremiação idealista, a favor do direto inegável de minorias injustiçadas; ou que partam de organizações voltadas para promover o tráfico de crianças, as táticas de ativismo ancoradas em ataques cibernéticos comungam em pelo menos dois aspectos básicos:

1 - Todas elas exploram as vulnerabilidades técnicas de terceiros inocentes (que quase nunca têm algo a ver com o alvo de seus ataques) e usam de expedientes igualmente espúrios, como phishing; roubo de identidade; clonagem de páginas web; interceptação ilegal; reedição de códigos fontes; invasão de propriedade; violação de privacidade e violação de inúmeros direitos.

2 - Todos esses tipos de agentes acabam negociando entre si, ainda que inadvertidamente, seja no submundo ou em fóruns lícitos de interação, para a troca de experiências e para as operações de compra e venda de kits para a atividade hacker. E isto engloba não apenas o tráfico de códigos maliciosos utilizados nos ataques, mas também as listagens globais de verdadeiros parques computacionais zumbis, que são transformados em clusters, tanto para o ataque de pane (DDoS), quanto para o processamento de dados, necessário à decifração de senhas ou à quebra de algoritmos em geral.

Assim, é papel da comunidade de segurança acompanhar o cibercrime, o ciberterrorismo e o hacktivismo como facetas de um mesmo movimento de constante pressão em que vive a sociedade atual (suas pessoas, suas instituições de estado, suas empresas e agremiações), em função da vulnerabilidade sistêmica que existe na Internet.

E cabe à indústria de software e dispositivos de segurança o esforço permanente de oferecer à sociedade os mecanismos de combate (prioritariamente, de proteção) contra toda a sorte de atacantes virtuais. Em outras palavras, a ordem é contribuir - de modo frio e agnóstico - para a mitigação dessas vulnerabilidades, que são cada dia maiores, mais complexas e mais desafiadoras.

*Rodrigo Fragola é presidente da Aker Security Solutions.