Tradução do artigo Hacking: What journalists need to know. A conversation with Bruce Schneier, de David Trilling, publicado no site Journalist’s Resources.

*

A invasão das organizações do Partido Democrata fez da segurança da internet um dos temas da campanha da eleição presidencial de 2016. A comunidade de inteligência do governo americano acusou oficiais de alto escalão russos de serem os responsáveis por esses ciberataques numa tentativa de influenciar o resultado da eleição. Essa alegação foi um dos fatores que levou as relações de confiança entre Washington e Moscou ao seu menor nível em décadas.

Durante o processo, a integridade da infraestrutura da internet dos EUA foi colocada à prova no dia 21 de outubro de 2016 com um ataque DDoS (N.doT. – Distributed Denial of Service, ou Negação de Serviço Distribuído, é um tipo de ataque que consiste em enviar uma grande quantidade de dados ao site para congestioná-lo).

O site Journalist’s Resource falou com o especialista em segurança Bruce Schneier sobre os ataques e sobre o que os jornalistas precisam saber a respeito. A entrevista, realizada por email durante uma viagem de Schneier, foi editada para ficar mais curta.

Schneier é o CTO (Chief Technology Officer) da Resilient (uma companhia da IBM focada em segurança), membro permanente da Electronic Frontier Foundation, fellow do Belfer Center for Science and International Affairs da Harvard University e autor de bestsellers da lista do New York Times. O seu blog, Schneier on Security, é referência para especialistas em segurança e para jornalistas. Ele escreveu um texto presciente sobre ataques DDoS um mês antes do ataque de 2016 à Dyn.

O que o governo americano quer dizer quando responsabiliza a Rússia pela invasão dos emails? Em seu livro Data and Goliath, você diz que na maior parte das vezes nós suspeitamos de uma fonte de ataque baseados apenas em possíveis motivações. Você pode explicar aos jornalistas como o governo poderia descobrir ou rastrear a fonte?

Atribuir a responsabilidade por um ataque a alguém é complicado no ciberespaço e os jornalistas estão certos em duvidar de quaisquer atribuições oficiais. Em alguns casos, a análise forense (N.doT. – Conjunto de técnicas de investigação criminal) torna relativamente fácil identificar os atacantes. Em outros casos, isso é impossível. Os fatores decisivos geralmente são a capacidade técnica do atacante e a capacidade técnica do investigador. Também é possível realizar ataques dissimulados. Ou seja, fazer com que os ataques pareçam vir de alguém que, na realidade, é inocente. Há também ocasiões em que somente a capacidade de vigilância mundial da NSA nos permite atribuir um ataque, e nesses casos, os detalhes da atribuição permanecerão secretos.

Em todos os casos, no entanto, é muito mais fácil dizer que um ataque partiu de uma região ou computador em particular do que de uma pessoa ou organização. Por exemplo, pode ser impossível saber se um ataque específico proveniente da China é patrocinado pelo governo, feito por uma organização hacker com a aprovação tácita do governo chinês, ou é feito por um só hacker sem o conhecimento do governo. Recentemente, o Yahoo afirmou que o massivo ataque por ele sofrido foi “patrocinado por algum governo”. Não foi, mas a afirmação foi a desculpa para dizer que os atacantes eram muito sofisticados e por isso a imprensa não devia culpá-lo por sua fraca segurança.

Os jornalistas investigativos devem tentar examinar melhor a atribuição das organizações a fontes particulares?

Na verdade, vocês apenas precisam ser conscientes de que não têm a capacidade técnica necessária para saber a diferença entre uma atribuição legítima e um raciocínio irreal. Vocês precisam da ajuda de especialistas.

Há algum tipo de aviso que os jornalistas devem citar regularmente quando escrevem sobre atribuições de ataques? Malwares (N. do T. – softwares destinados a danificar ou a tomar o controle parcial de um computador) projetados para um ciberataque específico podem ganhar viva própria e causar hacks adicionais “acidentais”?

Eu evitaria a metáfora “vida própria” porque remete a inteligência artificial e ao conteúdo de roteiros de filmes.

Mais especificamente, no entanto, a resposta é sim. É muito difícil personalizar um malware para um ciberataque específico porque raramente há alguma coisa específica sobre um alvo em particular. Todo mundo usa o mesmo software, os mesmos sistemas operacionais, os mesmos aplicativos, os mesmos protocolos de internet. Por isso, os malwares têm de ser, por projeto, bastante generalistas. Isso é mais verdadeiro quanto mais autônomo fôr o software. Se houver uma pessoa – seja um criminoso ou um funcionário do governo – hackeando uma rede, não há muitos danos colaterais. Mas se a mesma pessoa lançar cegamente uma ciberarma feita para ser usada contra um alvo específico, danos colaterais são inevitáveis.

Especialistas em inteligência afirmam que a divulgação de certos detalhes de um ciberataque pode revelar detalhes demais dos métodos e capacidades da ciberinteligência do governo, dando uma vantagem ao adversário. Você diria que isso é verdade e uma legítima preocupação de segurança?

Sim, e isso torna a atribuição especialmente difícil. Se as “fontes e métodos” – como são chamados – são mais secretos do que a informação coletada daquelas fontes e por meio daqueles métodos, a informação não será revelada ao público. Vimos isso no ataque norte-coreano contra a Sony. O governo americano tinha informações de atribuição, provavelmente devido à vigilância da NSA, mas não podia torná-las públicas. Basicamente, ele pediu para o mundo acreditar nele, e muitas pessoas não acreditaram.

Quais seriam as preocupações técnicas sobre o potencial hacking no dia da eleição?

Esta é uma questão complicada e uma resposta completa encheria toda esta publicação.

De uma maneira breve, há três áreas de preocupação. A primeira são os registros de votação que determinam quem está autorizado a votar. A segunda são as urnas em si, especialmente as urnas eletrônicas com tela sensível ao toque sem impressão do voto em papel para permitir auditoria. E a terceira é o sistema de tabulação onde os resultados de cada urna são combinados no resultado final. Todas essas três áreas são vulneráveis a hackers, apesar dos problemas práticos de efetuar com sucesso um ataque sejam muito mais complicados do que geralmente se pensa. Mesmo assim, é importante eliminar as vulnerabilidades porque o sistema deve ser confiável. As eleições têm duas finalidades. A primeira é escolher um vencedor e a segunda é convencer o perdedor de que ele perdeu de maneira justa. Todos têm de confiar no sistema.

A minha principal preocupação sobre o dia da eleição não é de que ela seja hackeada mas de que afirmem que ela foi hackeada, e não haverá jeito de verificar se não foi.

O que os jornalistas devem ter em mente quando escrevem sobre ameaças cibernéticas?

Os computadores estão tomando conta do mundo. O seu smartphone é um pequeno computador portátil que também faz ligações telefônicas. A sua geladeira é um computador que mantém as coisas geladas. O seu forno é um computador que aquece as coisas. Um terminal ATM bancário é um computador com dinheiro dentro. O seu carro não é um dispositivo mecânico com computadores dentro dele. É um computador com quatro rodas e um motor. […]

Ameaças cibernéticas não são ameaças desprezíveis. São ameaças aos nossos lares, às nossas famílias, aos nossos negócios, ao nosso país. Entender os riscos de qualquer uma das tecnologias do século XXI significa entender as ameaças cibernéticas. Para ser específico: jornalistas devem aprender o suficiente para entender o que estão escrevendo.

Você está percebendo alguma coisa faltando nas informações atuais sobre os ataques? Quais?

Eu gostaria que as histórias sobre computadores e hacking contivessem mais nuances – o que está acontecendo e o que é possível; o que significa no contexto e o que não significa. As notícias, em número maior do que o desejável, são especulações grosseiras e conjecturas do tipo “e se” da pior espécie. Isso pode dar melhores manchetes mas não é a melhor maneira de informar o público.

Na sua opinião, quais são as maiores preocupações sobre segurança que os jornalistas devem acompanhar?

Eu estou preocupado com os crescentes usos legais dos dados pelos governos e pelas corporações e com as crescentes vulnerabilidades provenientes de computadores capazes de afetar o mundo de uma maneira direta e física. Ambos mudarão as nossas noções sobre risco e segurança de um modo ainda incompreensível.

Eu também me preocupo com governos criando políticas de internet sem entender como a internet realmente funciona. Há um gigantesco vazio entre os elaboradores dessas políticas e os especialistas em tecnologia, e isso resultará tanto em más políticas como em má tecnologia.

Como os jornalistas podem se proteger?

Essa é uma questão complicada e os jornalistas devem buscar ajuda para além deste breve texto. Recomendo o Committee to Protect Journalists e um dos bons guias de segurança que você pode encontrar digitando no seu buscador “computer security for journalists”. É importante que os jornalistas tomem medidas para proteger tanto a si como as suas fontes, especialmente nos países onde a liberdade de imprensa esteja sob risco.

Outras fontes:

  • A Electronic Frontier Foundation é uma organização sem fins lucrativos que defende as liberdades civis na internet.
  • O Berkman Klein Center da Harvard University publica pesquisas sobre todos os aspectos da internet e da lei, incluindo ciberssegurança.
  • Brian Krebs, ex-repórter do Washington Post, edita um perspicaz blog sobre segurança na internet.
  • A Radio Free Europe tem uma timeline dos maiores ciberataques, incluindo fontes suspeitas.

***

 

Anúncios