[O artigo que traduzo parcialmente a seguir, publicado pelo The Washington Post no dia 2 de junho, é muito longo, daí a razão de reproduzí-lo apenas parcialmente -- e, mesmo assim, em duas partes.]
Charlie Miller preparou seu ataque cibernético em seu quarto de dormir, na sua casa num subúrbio do meio-oeste. Brilhante e com cara de garoto, Miller é PhD em matemática pela Universidade de Notre Dame, e passou cinco anos na Agência de Segurança Nacional (EUA) , de onde invadiu secretamente sistemas computacionais estrangeiros para o governo americano. Agora, está com sua atenção voltada para o iPhone da Apple.
Pesando exatamente 141,75 g (5 onças) e com 11,43 cm (4,5 pol.) de comprimento, o iPhone é uma elegante central de computação. Seus transistores microscópicos e seus milhões de linhas de código permitem aos seus usuários fazer chamadas, mandar emails, tirar fotos, ouvir música, praticar jogos e fazer negócios quase simultaneamente. Quase 200 milhões de iPhones foram vendidos ao redor do mundo.
A ideia de se ter um ex-guerreiro cibernético usando seu talento para invadir um dispositivo de consumo enormemente popular pode parecer uma brincadeira. Mas, a "batalha" de Miller, que visava ganhar, no ano passado, uma competição de hackers pouco conhecida, aponta para um paradoxo da nossa era digital. O mesmo código que desecadeou uma revolução nas comunicações criou também vulnerabilidades sérias para sociedades que dependem de códigos para segurança nacional e sobrevivência econômica.
A ofensiva de Miller contra o iPhone mostrou como qualquer coisa ligada hoje a redes pode ser um alvo. Ele começou por conectar seu computador a outro laptop que utilizava o mesmo software usado pelo iPhone. Ele então digitou um comando, para iniciar um programa que alterava aleatoriamente dados de um arquivo que estava sendo processado pelo software. A alteração poderia ser tão simplória como inserir 58 como valor de F0 numa sequência de dados como "0F 00 04 F0". Sua estratégia era provocar, de modo constante, essas alterações aleatórias, até que o software entrasse em colapso, e então entender por que as alterações criaram um problema. Uma falha do software poderia abrir-lhe uma porta para entrar.
"Sei que posso fazê-lo", disse para si mesmo Miller, hoje um consultor de segurança cibernética. "Posso invadir qualquer coisa".
Depois de semanas de pesquisas, Miller encontrou o que estava procurando: um "dia zero" ("zero day"), uma vulnerabilidade do software que nunca havia sido conhecida publicamente e para a qual não há remédio conhecido. A porta estava aberta, e Miller pronto para atravessá-la.
Buracos no sistema
As palavras "dia zero" provocam medo em líderes militares, da área de inteligência e empresariais. O termo é usado por hackers e especialistas em segurança para descrever uma falha descoberta pela primeira vez por um hacker, que pode usá-la para invadir um sistema. Em anos recentes, não houve nenhuma revelação surpreendente sobre como tais vulnerabilidades desconhecidas foram usadas para invadir sistemas supostos seguros.
Uma surgiu em 2009, tendo como alvo o Google, a Northrop Grumman, a Dow Chemical e centenas de outras empresas. Hackers da China se aproveitaram de uma falha no navegador do Internet Explorer da Microsoft, e usaram-na para invadir os sistemas computacionais visados. Durante vários mesers, os hackers drenaram toneladas de dados, incluindo o código-fonte que roda[va] os sistemas do Google.
Outro ataque no ano passado teve como alvo um gigante da área de segurança cibernética, a RSA, que protege a maioria das 500 empresas listadas pela revista Fortune [RSA é um algoritmo de criptografia de dados que deve seu nome a três professores do MIT, que criaram a empresa RSA Data Security, Inc.: Ronald Rivest, Adi Shamir e Leonard Adleman]. A vulnerabilidade envolveu o Excel da Microsoft, um programa de planilha de dados. O resultado foi o mesmo: hackers exploraram um "dia zero" para se infiltrarem secretamente nos computadores da RSA e violar o sistema de segurança que ela vendia. A empresa teve que gastar US$ 66 milhões nos meses seguintes para remediar problemas de clientes.
O ataque de "dia zero" mais sensacional tornou-se públicamente conhecido no verão de 2010, e ocorreu nas instalações de processamento nuclear em Natanz, no Irã. Conhecido como Stuxnet [ver também postagem anterior sobre este vírus], o ataque envolveu um vírus de computador -- um tipo de código projetado para mover-se pela Internet enquanto vai se multiplicando. Na semana passada o The New York Times informou que o Presidente Obama havia autorizado a operação, como parte de uma campanha secreta americano-israelense contra o Irã iniciada no governo Bush [ver postagem anterior sobre essa ação conjunta]. -- [Surpreendentemente, o artigo não toca no Flame, considerado a última palavra em matéria de vírus.]
Entre outras tarefas, o vírus foi desenvolvido para infectar pen drives. Investigadores acham que, quando um dos pen drives infectados foi conectado a um computador na usina de Natanz, seu código encontrou rapidamente seu alvo: ele fez com que centenas de centrífugas de refinamento de urânio operassem muito depressa e se autodestruíssem, enquanto os monitores recebiam sinais de que tudo estava bem.
A vastidão do ciberespaço
[...] Bits guiam os impulsos elétricos que dizem aos computadores do mundo o que têm de fazer. Eles tornam factíveis as aplicações aparentemente mágicas nas quais os usuários de computadores e telefones inteligentes se fiam. Bits também deram vida ao ambiente mais dinâmico feito pelo homem na Terra: o espaço cibernético, ou ciberespaço. Há não muito tempo atrás, "cyberspace" ["ciberespaço", em inglês] era pura ficção. A palavra surgiu em "Neuromancer", de William Gibson, um romance de 1984 que descrevia um reino digital, no qual as pessoas, adequadamente vestidas, podiam navegar com suas mentes. Gibson o descreveu como "uma alucinação consensual, vivenciada diariamente por bilhões de operadores legítimos".
Hoje, o ciberespaço é uma realidade vital, que inclui bilhões de pessoas, computadores e máquinas. Praticamente qualquer coisa que se respalde em códigos, e tenha uma conexão a uma rede, pode ser uma parte de um ciberespaço. Isso inclui telefones inteligentes, tais como o iPhone e os dispositivos que rodam com Android, computadores domésticos e, obviamente, a Internet. Um número crescente de outros tipos de máquinas e de dispositivos "inteligentes" estão também conectados: câmeras de segurança, elevadores, máquinas de tomografia computadorizada; aparelhos de GPS e satélites; caças a jato; redes bancárias globais; trens urbanos e computadores que controlam sistemas elétricos e de abastecimento de água.
É tão significativa a parte das atividades do planeta que se desenrolam no ciberespaço -- incluindo comunicações e operações militares --, que o Pentágono o declarou no ano passado um território de guerra. Tudo isso está repleto de "dias zero".
"Construímos nosso futuro sobre uma habilidade que não aprendemos a proteger", disse o ex-diretor da CIA George T. Tenet.
Pesquisadores e hackers, os mocinhos e os bandidos, estão numa corrida para entender a natureza fundamental do ciberespaço. Para obter dicas sobre como melhorar a segurança -- ou fazer ataques mais eficientes -- eles têm recorrido à física, à matemática, à economia e até mesmo à agricultura. Alguns pesquisadores consideram o ciberespaço como semelhante a um organismo, sua segurança sendo análoga a um tema de saúde pública. Uma das coisas de que têm certeza é que o problema começa com código e envolve o que "Neuromancer" descreveu como a "inimaginável complexidade" de seres humanos e máquinas interagindo online.
Quebrando o código do iPhone
(cont.)
Nenhum comentário:
Postar um comentário