As armas cibernéticas não são mais coisa de ficção científica. Elas são bastante reais, como também sua ameaça ao nosso mundo interconectado. Esta ameaça certamente irá crescer no futuro próximo, com a Internet das coisas¹, quando todos os nossos dispositivos serão inteligentes e serão conectados à Internet. Se quisermos impedir que a Internet seja militarizada, temos de começar a falar sobre o que os Estados-nação devem ou não devem fazer. E isso significa um pacto internacional a par com o que o mundo acordou com as armas biológicas e químicas, e conseguiu com as armas nucleares.

Aqui estão duas questões interligadas que enfrentamos: Será que vamos reconhecer o perigo que representa o ciberespaço militarizado e enfrentaremos isso diretamente? Ou será que vamos permitir que se continue a construir um mundo no qual alguns países, pelo seu poder ofensivo, alcancem um estado de dissuasão mútua, como já aconteceu conosco, com as armas nucleares, e que sempre nos deixa à beira de uma situação descontrolada que pode explodir a qualquer momento? A não-proliferação não é desarmar, como estamos aprendendo às nossas custas.

Nossa infraestrutura vital em perigo

Hoje, um Estado-nação pode ser capaz de atacar os computadores que controlam a infraestrutura crítica de um outro país, causando uma falha catastrófica. Consideremos o caso de um reator nuclear. O seu núcleo é controlado por computadores integrados que fazem parte de um sistema de controle do complexo. Se o sistema de controle é conhecido, é possível “contaminar" o sistema de forma a causar-lhe problemas, causando até mesmo um colapso. Depois de Fukushima, alguém pode duvidar de que isso seria um ato de guerra, junto com um ataque físico no reator nuclear?

A rede de energia elétrica, o controle de fábricas perigosas, as redes de telecomunicações, os controles de tráfego aéreo, incluindo aeronaves em voo, são operados por programas de software e computadores. Com a internet das coisas, até mesmo uma simples máquina de lavar roupa terá um sistema operacional controlada por computadores e estará conectada à internet. Se os países se propõe jogar com este tipo de software e computadores, um novo campo de guerra está aberto, com consequências incalculáveis.

No terreno do enriquecimento de combustível nuclear em Natanz, no Irã, EUA e Israel implantaram o vírus Stuxnet para atacar os controladores das centrífugas da Siemens causando danos físicos aos equipamentos. Mesmo quando uma equipe ou país específico é o alvo, o Stuxnet tem mostrado que estes vírus podem escapar e se espalhar, constituindo uma ameaça para outras equipes e países. O vírus Stuxnet infectou milhares de equipamentos na Indonésia, Índia e outros países, e facilmente poderia ter afetado outros controladores Siemens em equipamentos críticos nestes países.

O ataque ao Irã- com a senha "Jogos Olímpicos" - não só foi direcionado às centrífugas, mas também aos equipamentos que armazenam dados da indústria do petróleo, usando um vírus (flame) que parece ser da mesma família como Stuxnet.

Houve ataques ao Irã, por fontes norte-americanas, que apagaram dados de dois terços dos computadores Armco na Arábia Saudita. Ataques semelhantes têm como alvo o sistema bancário dos EUA. O Intercept publicou um documento da NSA¹, considerando que esses ataques são a resposta do Irã aos ataques que ocorreram em Natanz e em sua infraestrutura informacional petrolífera. Em outras palavras, o Irã respondeu com sua própria versão do vírus “Jogos Olímpicos”.

O vírus Stuxnet é o primeiro caso conhecido da utilização de um vírus de computador para destruir ou danificar as máquinas físicas. Aqueles que seguem estas questões reconhecem que é a primeira vez que um país atravessou este limiar. Foi a travessia do Rubicão em ataques cibernéticos.

No contexto da utilização do Stuxnet contra o Irã, muitos especialistas ocidentais têm argumentado que o uso de vírus de computador para paralisar uma usina de enriquecimento de combustível nuclear é melhor do que o bombardeio direto.  A questão aqui não é qual ação é a melhor (e, claro, para quem), mas se é ou não é um ato de guerra. Existe uma diferença entre o bombardeio de uma instalação e os danos físicos com um vírus?

Os EUA e os parceiros dos Cinco Olhos¹ inseriram 50.000 programas de software malicioso, também chamados de computador de explorações de rede (CNE), explorações de redes informáticas, nas redes de quase todos os países do mundo. Trata-se de "bombas lógicas", que, quando ativadas, podem quebrar essas redes. Eles também infiltraram armas no backbone da Internet³.

O que é o ciberespaço e o que é ciberguerra?

Como demonstrado pelo exemplo do Irã,  estamos nos primeiros estágios da guerra cibernética.  Bruce Schneier, o reitor da cibersegurança, disse¹: "Estamos nos primeiros anos de uma corrida armamentista de ciberguerra, é caro, é desestabilizador e ameaça o próprio tecido da Internet que usamos todos os dias. A adoção dos tratados sobre ciberguerra, mesmo imperfeitos, seriam a única maneira de conter a ameaça ".

O problema crucial para o desarmamento na Internet é a convicção de que os EUA estão à frente de seus rivais, e então qualquer pacto de desarmamento equivaleria ao desarmamento unilateral. Como resultado, os EUA rejeitaram as propostas da Rússia e da China de desmilitarização da Internet, na ONU e em outras plataformas; as diluiu ao ponto de  torná-las praticamente inúteis. E enquanto recentemente fez algumas concessões, como evidencia o relatório do Grupo de Peritos Governamentais para a 68ª Sessão da Assembleia Geral -, infelizmente, elas ficam aquém. Tudo o que conseguiram foi a criação de um novo grupo de peritos governamentais.

Quase todos os sistemas no mundo que hoje em dia controlam a infraestrutura física vital estão ligados à internet de alguma forma. Eles podem ser ligados através de redes internas que são aparentemente isoladas da internet, mas na realidade, são dispositivos comuns que rompem esse isolamento. Em teoria, se tem firewalls que protegem esse tipo de redes internas e sistemas de controle. Na prática, este tipo de firewalls de segurança pode ser facilmente violado. O ciberespaço é a totalidade de todas as redes e dispositivos que estão interligados.

A guerra cibernética consiste em ataques ao ciberespaço que atravessam um determinado limite. Uma abordagem para definir a ciberguerra seria em termos de dano físico que um ataque cibernético poderia causar no mundo real. O ataque por um Estado contra outro, utiliza-se o software ou código destinado a impedir o funcionamento (ou o mal uso) de uma rede de computadores essencial e, assim, danificar a infraestrutura crítica, ou causar danos físicos à propriedade ou às pessoas, até mesmo a perda de vida. Nesta definição, a ciberguerra envolve sempre um ator estatal, não é o trabalho de um grupo ou um indivíduo.

Esta abordagem tem o mérito de definir guerra cibernética como um ato de guerra, de uma maneira similar à definição de um ato de guerra na base de direito internacional. Para ser considerado guerra cibernética, as ações devem ser em uma escala que constitui uso da força (ou a ameaça de uso da força), como previsto no artigo 2(4) da Carta da ONU. Outras abordagens pretendem incluir também danos ao sistema computacional e às informações, como a guerra cibernética, o que exigiria uma extensão da atual definição de guerra. Há também o problema de definir o que constitui um limite: a partir de que ponto nós podemos descrever a perda de sistemas de informação como um ato de guerra? Depois de tudo, a perda de informação ocorre por uma série de razões, apenas algumas são maliciosas.

Podemos definir o que constitui a guerra no ciberespaço, que permita chegar a um acordo internacional que estabeleça que a ciberguerra, ou qualquer ataque que resulte em danos físicos ou perda de vidas, é doravante ilegal. É importante notar que o direito internacional atual não considera todos os atos de guerra como ilegal. Com limites relativamente estreitos, limita a base legal para a guerra, seja a legítima defesa de um país, ou com base numa resolução do Conselho de Segurança das Nações Unidas. Excluir a guerra cibernética como uma "forma de guerra permitida" sob a lei internacional seria um grande passo em frente.

A outra opção seria a de proibir armas cibernéticas, com o compromisso, por meio de um acordo internacional que tais armas não serão desenvolvidas ou utilizadas por nenhum país. A proibição de armas cibernéticas seria semelhante à proibição de armas biológicas e químicas. Estou convencido de que dada a nossa rápida transição para um mundo mais interligado, é preciso ir além da proibição de guerra cibernética; também temos de proibir as armas cibernéticas. O desenvolvimento de tais armas é uma ameaça ao nosso futuro. Enquanto armas cibernéticas não são ilegais, existirá a motivação para desenvolvê-las como uma espécie de impedimento. Além disso, irá persistir a motivação perversa de enfraquecer a segurança das redes e dispositivos.

As recentes revelações de Snowden e outros mostraram que os EUA têm consistentemente enfraquecido a segurança de várias maneiras. A falta de segurança foi propositadamente incorporada em software dos controladores dos dispositivos, em vários protocolos, e até mesmo em padrões de criptografia. As agências de inteligência dos Estados Unidos criaram em colaboração com os principais fabricantes de hardware e software. Embora isso possa ter ajudado a NSA e outras agências de inteligência para vigilância orientada, o perigo é que criaram sistemas muito menos seguros para nós. Ao enfraquecer os sistemas, a NSA e seus aliados nos tornaram alvos mais fáceis para os softwares maliciosos.

É claro que as capacidades ofensivas são muito mais fáceis de construir do que as defensivas. Para conseguir uma ação ofensiva, basta ter sucesso uma vez; para a defesa, você deve ter sucesso o tempo todo. Daí a defesa requer a colaboração global. Este é o ponto de diferença com os Jogos Olímpicos: não há vencedores ou perdedores individuais. Somente se ganha quando todo mundo ganha também.

Precisamos de uma mudança de mentalidade, temos de projetar dispositivos e redes para fins defensivos. Precisamos construir a segurança no DNA de todas as comunicações. Isso significa uma mudança de visão de todas as partes interessadas, incluindo o ator predominante- os EUA.  Precisamos construir defesas fortes, e não enfraquecê-las, se queremos alcançar a  ciber-paz e, não a ciberguerra.

- Prabir Purkayastha é co-coordenador da “Just Coalition Net” e participa no movimento de Software Livre da Índia.

Agradecimentos

1) Este artigo utilizou como fonte, "Apuntes sobre la necesidad de un tratado de cyberpaz" Just Coalition Net, junho de 2014, disponível em http://www.alainet.org/es/active/74562.

2) Gostaria de agradecer a contribuição de Rishab Bailey, que fez grande parte da pesquisa para este artigo.

Tradução: Kassia Marques (Coletivo Chasqui)

Revisão: Vitor Taveira (Coletivo Chasqui)