Resumo: A guerra cibernética ressuscitou a espionagem no cenário mundial. Na Era da Informação, cada vez mais há a existência de ataques cibernéticos, os quais muitas vezes são caracterizados erroneamente como guerras cibernéticas. Este artigo objetiva retratar alguns cenários de guerra cibernética com o escopo de analisar a possibilidade de prevenção de tais guerras através do uso de políticas de dissuasão.
Palavras-chave: guerras cibernéticas - direito internacional - dissuasão cibernética.
1.INTRODUÇÃO
As revoluções tecnológicas sempre inovaram a arte da guerra; o uso da pólvora e do radar, por exemplo, foram decisivos em diversas batalhas da nossa história. Com a invenção da Internet, aparentemente surgiu uma nova modalidade de guerra: a guerra cibernética.
Para alguns investigadores, a guerra cibernética é a mais nova forma de guerra na Era da Informação: período que se caracteriza pela capacidade do homem de comunicar-se através da Internet. Devido à possibilidade de a Internet simular o espaço físico no espaço cibernético, a Internet também foi reconhecida pelos Estados Unidos como o mais novo espaço da sua infraestrutura: ademais do mar, do ar, da terra e do espaço sideral.
Observa-se que nos países desenvolvidos, a economia, o transporte, a comunicação e demais empresas estão integradas na infraestrutura digital. Esta dependência da infraestrutura crítica de um país à Internet faz com que ela se exponha as ameaças do espaço cibernético.
A ameaça de ataques cibernéticos é um desafio constante para a política de defesa de um país principalmente porque houve um aumento de ataques cibernéticos nos últimos anos. Sem embargo, como a tecnologia da Internet ainda tem deficiências, tal como a falta de capacidade de atribuir os ataques cibernéticos a um determinado país, a política de prevenção e defesa de ataques cibernéticos acaba sendo um ponto estratégico para os governos atuais.
No âmbito dos estudos sobre prevenção de guerras cibernéticas, os estadunidenses Martin C. Libicki, Will Goodman e Ryan Moore acreditam que as políticas de dissuasão cibernética servem como prevenção de ataques cibernéticos. Para Goodman e Moore, a dissuasão cibernética ocorre quando um ator desiste de utilizar a Internet com o objetivo de manipular, degradar, destruir qualquer porção da infraestrutura crítica do país. Diante deste cenário, o objetivo deste artigo é responder à seguinte pergunta: seria a dissuasão cibernética uma política eficaz para evitar a guerra no espaço cibernético?
Esta pesquisa pauta-se na preocupação da falta de estudos sobre prevenção de guerras cibernéticas no Brasil tendo em conta suas possíveis implicações na segurança do Sistema Internacional. De uma maneira geral, este artigo busca analisar a dissuasão cibernética como medida preventiva da guerra cibernética e, por conseguinte, verificar se a dissuasão cibernética é realmente uma política de prevenção eficaz no espaço cibernético. Por fim, ressalta-se que para alcançar os objetivos desta pesquisa, a metodologia utilizada foi a análise bibliográfica.
2.PREVENÇÃO E GUERRAS CIBERNÉTICAS
Em 27 de abril de 2007 ocorreu um dos ataques cibernéticos mais famosos da história da Internet, ele começou na Estônia logo após a decisão do governo de remover os corpos de alguns soldados soviéticos e o monumento do Soldado de Bronze, símbolo da ocupação soviética durante a Segunda Guerra Mundial, do centro de Tallin para o cemitério das Forças Armadas. Moscou qualificou como desumana a remoção e ameaçou com sanções econômicas o seu vizinho báltico.1 Além da tensão diplomática entre a Rússia e a Estônia, uma crise civil nasceu e ocorreram vários protestos e desordens entre os nacionalistas russos na Estônia, um dia anterior aos ataques cibernéticos, deixando mais de 600 pessoas presas.2
Os ataques distribuídos de negação de serviço foram um caos para todo o país devido a sua enorme dependência à Internet. Estes tipos de ataques fazem com que as páginas não estejam disponíveis em um determinado momento devido a uma sobrecarga no sistema. Assim, por mais de três semanas, a população foi impossibilitada de utilizar o sistema bancário, os meios de comunicação e outros serviços dependentes da Internet. A Rússia foi considerada culpada pelos ataques cibernéticos na Estônia, mas recusou a atribuição.
Considerando este cenário caótico, neste artigo busca-se investigar a prevenção da guerra no espaço cibernético, mais precisamente a eficácia da dissuasão cibernética como política preventiva. Para isto, na primeira parte investiga-se o conceito de guerra cibernética e na sua segunda parte, estudam-se alguns aspectos teóricos sobre as políticas de dissuasão cibernética.
3.GUERRAS CIBERNÉTICAS
Os ataques cibernéticos da Estônia são considerados os ataques de maior proporção da historia da Internet depois do Titan Rain, o qual foi lançado provavelmente pelo exército chinês para fazer espionagem nos EUA. Acredita-se que o Titan Rain começou em 2003 e seguiu até 2007, sendo que somente em 2004 o governo estadunidense detectou a falha de segurança no seu espaço cibernético. Diversos departamentos do governo sofreram os ataques, incluindo o de Defesa. Além dos EUA, o British Foreign Office detectou o Titan Rain no seu sistema.3
Observa-se que apesar de ser impossível fazer a atribuição dos ataques cibernéticos mencionados, a mídia ocidental apontou a China e a Rússia como principais responsáveis por tais ataques cibernéticos e, por conseguinte, culpadas pela instabilidade no espaço cibernético. O fato de culpar antigos rivais comunistas dos EUA por uma série de ataques cibernéticos faz uma alusão à existência de uma Guerra Fria no espaço cibernético.
Para Shi Yanhong, especialista em Relações Internacionais da People’s University em Pequim, as acusações contra a China são constantes. Durante muitos anos, têm existido acusações contra o governo chinês sobre o lançamento de ataques no espaço cibernético. Em sua opinião, se observarmos o estilo de política exterior chinesa, é difícil acreditar que o governo chinês continue com este tipo de atividade.4
Atualmente, observa-se que a espionagem é o principal objetivo da maioria dos ataques cibernéticos que são classificados como guerras cibernéticas. A política estadunidense de segurança cibernética ressalta a necessidade de obter mecanismos cibernéticos de ataque e defesa para garantir a estabilidade no espaço cibernético e assegurar a segurança das infraestruturas crítica conectadas à Internet. Embora diversos órgãos do governo estejam envolvidos em questões de segurança cibernética, tais como o FBI e a National Security Agency, o US Cyber Command centraliza as operações no espaço cibernético nos EUA. Como o espaço cibernético também depende diretamente do setor privado, os investimentos em segurança cibernética geram bilhões de dólares por ano e a aliança do setor privado com o setor público é essencial para almejar a segurança no espaço cibernético.
A corrida por armas cibernéticas pelos Estados e a sua importância no contexto internacional acaba por ser similar a obtenção de tecnologia para desenvolver a bomba nuclear durante a Guerra Fria. Com a criação do US Cyber Command em 2010; a China, Coréia do Sul, Coréia do Norte, Brasil, Israel e Reino Unido seguiram os passos estadunidenses e criaram o seu próprio departamento de defesa cibernética. No caso do Brasil, o Centro de Defesa Cibernética do Exército ainda é muito obsoleto porque tem como prioridade única proteger alguns eventos internacionais organizados no país. Portanto, ainda não se pode afirmar que o Brasil tenha uma política de segurança cibernética articulada.
Retomando ao caso estadunidense, constata-se que houve uma mudança na sua agenda de segurança, pois, desde a morte de Osama Bin Laden, o governo dos EUA tem adotado um discurso de substituição do terrorismo pela guerra cibernética como principal ameaça a segurança das infraestruturas críticas do país. O próprio secretário de defesa estadunidense Leon E. Panetta disse que os EUA seriam vulneráveis a uma possível Pearl Harbor cibernética e também manifestou que seus principais adversários eram China, Irão, Rússia e alguns grupos militantes.
Neste cenário, as possibilidades mais destrutivas implicam atores cibernéticos lançando vários ataques diretos à infraestrutura crítica estadunidense, em combinação com ataques físicos. E o resultado coletivo seria como uma espécie de Pearl Harbor cibernética que causaria destruição física e perda de vida humana; seria um ataque que paralisaria e surpreenderia o país e criaria um profundo sentimento de vulnerabilidade.5
A Operação Shady RAT foi outro acontecimento que alimentou a propaganda do medo estadunidense por ataques cibernéticos promovidos por inimigos do Oriente no espaço cibernético ocidental. A China era outra vez responsável pelos ataques e a mídia ocidental descreveu a Operação Shady RAT como um dos maiores ataques cibernéticos do mundo.
Em 2011, a McAfee informou a existência de uma campanha de hacking que funcionava mediante o envio de um correio eletrônico a um empregado de determinada organização, instalando um cavalo de Tróia no computador logo depois de abrir o arquivo de aspecto inofensivo. Dentre as 49 vítimas estavam o Comitê Olímpico Internacional, as Nações Unidas, Taiwan e a Coréia do Sul. Também foram afetados 13 empresas de defesa dos EUA. A lista de objetivos levou a alguns analistas a suspeitarem da participação da China.6
Foi com a publicação do informe da empresa estadunidense McAfee que o mundo conheceu o Shady RAT. Para os jornalistas David Barboza e Kevin Drew, o informe da McAfee7 era fraco porque não identificava com precisão a localização dos ataques e nem sequer demonstra uma verificação concisa sobre os danos provocados.8 Deste modo, seria quase impossível atribuir a um determinado país os supostos atos de espionagem. É interessante observar que a publicação do informe coincidiu com a conferência Black Hat, o que aumenta as indagações de que poderia tratar-se de uma estratégia de publicidade da empresa de segurança. Ademais, os jornais chineses rejeitaram a hipótese de a China ser responsável por tais ataques.
O terceiro exemplo de guerra cibernética mais citada por especialistas em segurança são os ataques cibernéticos da Geórgia em 2008. Mais uma vez, a identificação dos ataques veio dos EUA.
José Nazario, especialista em segurança da Arbor foi o responsável em verificar que a infraestrutura cibernética da Geórgia havia sido comprometida.9 Vários ataques distribuídos de negação de serviço foram efetuados nas páginas do governo da Geórgia, incluindo a do presidente. Como a Geórgia não tem toda a sua infraestrutura crítica conectada a Internet, as consequências dos ataques não foram tão graves como o que ocorreu na Estônia.
Para Gadi Evrom, especialista em segurança não estava seguro quanto à participação da Rússia nos ataques. Na Geórgia, as empresas de transporte e de comunicação foram atacadas. Os ataques se propagaram nos computadores de todo o governo depois que tropas russas entraram na província georgiana da Ossétia do Sul. O sítio Web do Banco Nacional da Geórgia foi desconfigurado com imagens dos ditadores do século 20, assim como uma imagem do presidente da Geórgia, Mijaíl Saakashvili. Segundo Evrom, a natureza dos ataques não era clara porque a Rússia utilizava bombas reais no conflito e se quisesse, poderia ter eliminado toda a infraestrutura crítica.10
Embora fosse impossível identificar a atribuição dos ataques cibernéticos na Geórgia, a Rússia foi considerada culpada pela mídia ocidental. Com efeito, o governo russo negou qualquer tipo de participação nos ataques e acrescentou que os responsáveis poderiam sem inclusive cidadãos comuns. Um porta-voz do governo russo disse que era possível que indivíduos na Rússia ou em qualquer outro lugar tomassem atitudes individuais de iniciar ataques cibernéticos devido a descontentamento pessoal por algo.11
Em 2009, foi identificada uma enorme rede de espionagem supostamente criada pela China. Pesquisadores da Universidade de Toronto reconheceram um ataque cibernético na forma de malware que espiou uma rede de computadores infectados em uma centena de países e a chamaram de GhostNet.12 Este ataque cibernético foi descrito como um sistema sofisticado de infecção em computadores governamentais e a China foi apontada como possível responsável por esta rede de espionagem.
As declarações do governo chinês foram decisivas para eliminar qualquer participação na rede descrita. Para o porta-voz do consulado chinês em Nova Iorque, o governo chinês não estava envolvido e tratava-se de histórias falsas e acrescentou que o governo chinês opunha-se e proibia terminantemente qualquer delito cibernético. O relatório GhostNet que foi cuidadosamente elaborado pela Universidade de Toronto deu um respaldo ao porta voz chinês quando afirmou ser errôneo e enganoso atribuir a responsabilidade pelo malware ao governo chinês.13
Somente a partir de 2010 observa-se que foram publicados na mídia internacional possíveis ataques cibernéticos propagados pelo governo estadunidense tais como o Stuxnet e o Flame. Ambos foram desenvolvidos devido às falhas no sistema operacional da multinacional estadunidense Microsoft.
O verme Stuxnet infectou o sistema tecnológico da Siemens instalado em quatorze empresas iranianas e tinha como objetivo fazer espionagem e disrupção de operações. Especialistas observaram que a infestação do verme ocorreu via USB. Todavia, ainda não se sabe quando o Stuxnet entrou no sistema, alguns acreditam que desde 2009. Em julho de 2010 este verme foi identificado pelos pesquisadores do VirusBlokAda e logo depois da sua publicidade, a Microsoft fez correções no sistema Windows14 e a Siemens ofereceu gratuitamente um antivírus para seus clientes efetuarem as correções necessárias para evitar qualquer tipo de responsabilidade jurídica pelos danos causados. Acredita-se que este verme foi desenvolvido pelos EUA e por Israel para atacar centrais nucleares do Irão.15
O vírus Flame é um dos mais recentes ataques cibernéticos publicado pelo jornal The Washington Post. Este vírus foi criado com uma linguagem utilizada na programação de jogos eletrônicos tal como o Angry Birds e é considerado vinte vezes mais potente que o verme Stuxnet. A potencialidade do vírus forçou o governo iraniano a cortar os cabos da Internet do Ministério do Petróleo. Embora os EUA e Israel tenham recusado a sua participação na criação deste vírus, o Irão os apontou como responsáveis.16 A resposta do Irão provavelmente deu-se com a criação do Shamoon, um vírus que infectou diversos computadores da Saudi Aramco apagando parte das suas informações sensíveis em agosto de 2012.17 Considerando os exemplos supracitados, como poderia ser definida a guerra cibernética?
Para formular um conceito de guerra cibernética, primeiramente é necessário ter em consideração que o espaço cibernético é uma simulação do espaço físico. Assim, é um equívoco considerá-lo como um novo espaço das relações humanas. A simulação não é perfeita, mas tem características necessárias para simular uma guerra em seu próprio espaço.
O departamento de Defesa dos EUA define a guerra cibernética como o emprego das capacidades cibernéticas, no qual o objetivo principal é alcançar objetivos militares ou efeitos similares no espaço cibernético.18
Para o Conselho de Segurança da ONU, a guerra cibernética seria o uso de computadores ou meios digitais por um governo ou com o seu conhecimento e aprovação explícita desse governo contra outro Estado, ou contra a propriedade privada dentro de outro Estado incluindo: acesso intencional, a interceptação de dados ou danos a infraestrutura digital e o controle digital, a produção e distribuição de dispositivos que podem ser utilizados para destruir as atividades domésticas.19
Richard Clarke, especialista em segurança do governo estadunidense, define a guerra cibernética como um conjunto de ações efetuadas por um Estado para penetrar nos ordenadores ou em redes de outro país, com a finalidade de causar prejuízo ou alteração.20
Por outro lado, Arquilla e Ronfeldt acreditam que a guerra cibernética refere-se ao ato de conduzir e preparar para conduzir operações militares de acordo com princípios relacionados à informação. Em outras palavras, significaria causar disrupção e talvez a própria destruição da informação e dos sistemas de comunicação.21
Por sua vez, Bruce Schneier, especialista em segurança cibernética, questiona todas as definições existentes de guerra cibernética. Ele afirma que muitas vezes a definição de guerra cibernética não está bem aplicada, pois, ainda não se sabe como é uma guerra no espaço cibernético, quando uma guerra cibernética inicia-se e tampouco se sabe como fica o espaço cibernético após o término da guerra.22
Para Schneier, tanto os políticos quanto os especialistas em segurança cibernética não estão de acordo quanto à definição adequada para a guerra cibernética. Muitas vezes as guerras mencionadas neste artigo são consideradas guerras retóricas porque se observa que o conceito de guerra está aplicado em situações que na realidade não ocorrem no âmbito físico.
Sem contar que todas as ações que já foram classificadas como guerras cibernéticas poderiam perfeitamente se encaixar em tipos penais já existentes na maioria dos ordenamentos jurídicos dos países democráticos. Além disso, Bruce opina que há uma dificuldade em definir a guerra cibernética porque a maioria das pessoas a confundem com tática de guerra. Ressalta ainda que a impossibilidade de identificar as atribuições dos ataques cibernéticos e de saber seus reais motivos enfraquece a classificação de tais acontecimentos como guerras.
Há, portanto, um exagero por parte de alguns governos e da própria mídia em enfatizar a existência de guerras cibernéticas quando de fato são em sua maioria atos de espionagem. Este exagero é muito ruim para a democracia, pois, os governos acabam por tentar controlar cada vez mais o espaço cibernético em nome da segurança nacional. E porventura, alguns países acabam por desrespeitar importantes valores democráticos tal como a privacidade.
Segundo Schneier, um ataque cibernético pode ser lançado por criminosos, grupos com motivações políticas, espiões de governos ou do setor privado, terroristas ou militares. As táticas também são variadas: roubo de dados, easvesdropping, data poisoning, manipulação de dados, ataques de negação de serviço, sabotagem etc. Sendo que as principais táticas são controlar os computadores da rede do adversário e monitorar o inimigo via easvesdropping. Bruce acaba por não definir um conceito de guerra cibernética, mas acredita no aumento de ataques cibernéticos financiados por Estados. Embora a visão de Bruce seja a mais coerente, continuaremos a analisar algumas teorias de guerra cibernética.
O espaço cibernético é um espaço de riscos, seus softwares são complexos e cheios de falhas. Os hackers utilizam todo seu conhecimento sobre as falhas do adversário para realizados os ataques. Quando estes ataques cibernéticos são resultados da continuação política de um país, poderiam ser classificados como guerra cibernética. Desta maneira, a motivação política do conflito por parte de um país é essencial para que os ataques cibernéticos se caracterizem como atos de guerra. Em outras palavras, a guerra não é simplesmente um ato político, mas também um instrumento da política real, a continuação do comércio político, uma realização dela por outros meios.23
Atualmente, a guerra em geral envolve vários domínios: o ar, a terra, o mar, o espaço e o espaço cibernético. Dificilmente a guerra seria realizada somente no domínio cibernético sem a intervenção de outros domínios, pois, a guerra cibernética é uma modalidade de guerra. Assim sendo, invadir computadores ou redes de outros países com o escopo de causar prejuízo ou alteração são táticas de guerra. Sob este raciocínio, o termo guerra cibernética caracteriza-se por ser um conflito entre países que se dá no espaço cibernético e que por consequência disso, tem táticas próprias para seu espaço. Como a atribuição dos ataques cibernéticos a um país é essencial para que um ataque cibernético se caracterize como um ato de guerra, portanto, observa-se que ainda não existiu uma guerra cibernética porque não foi possível atribuir a nenhum país os ataques cibernéticos ocorridos até hoje.
Com a possibilidade de existência da guerra no espaço cibernético, Fred Schereir ressalta cinco características essenciais deste novo domínio de combate: a primeira característica é o fato de este espaço cibernético ser um espaço aberto a qualquer cidadão e, por conseguinte, é mais vulnerável que os outros domínios porque permite a condução mais simples e rápida do usuário, dificultando a identificação dos seus movimentos; a segunda característica crítica é a falta de barreiras ou fronteiras no espaço cibernético, sua enorme extensão dificulta a monitoração; a terceira característica é que o tempo e a distância no espaço cibernético é diferente dos parâmetros convencionais, portando, a defesa cibernética tem que ser rápida devido à instantaneidade do tempo cibernético; a quarta característica é que o espaço cibernético favorece mais o ataque que a defesa, pois, como se trata de um espaço sem fronteiras, os ataques podem vir de qualquer local, enquanto que a defesa deve ser efetuada com maior precisão para conter os ataques, os ataques necessitam somente atingir seus objetivos; por fim, sua última característica é a inovação, pois, é muito constante neste espaço e a cada momento são criadas novas armas.
Para concluir, observa-se que a guerra cibernética se molda conforme as características do espaço cibernético, e tem como principal ator o Estado e se caracteriza por suas motivações políticas. Como os sistemas de informação são essenciais na infraestrutura crítica de um país, o país se torna cada vez mais impotente diante dos ataques cibernéticos. Por infraestrutura crítica consideram-se os sistemas bancários, econômicos, de transporte, de defesa, de telecomunicação etc. Deste modo, o computador é uma arma muito potente na Era da Informação permitindo que um ator, seja estatal ou não estatal, inicie um conflito cibernético que cause danos às infraestruturas críticas de um país.
