"Babás eletrônicas" podem virar armas na internet

Quando as câmeras de vigilância começaram a surgir, nos anos 1970 e 1980, foram recebidas como instrumentos de combate ao crime, depois como uma forma de monitorar o tráfego, as linhas de produção industrial e até quartos de bebês. Mais tarde, foram adotadas com fins mais obscuros, quando governos autoritários como o da China as usaram para evitar contestações ao poder, mantendo guarda sobre manifestantes e dissidentes.

Mas hoje essas câmeras --e muitos outros dispositivos que estão conectados à internet-- são usadas para um objetivo totalmente diferente: como arma de distúrbios maciços. A lentidão da internet que varreu a costa leste dos EUA na última sexta-feira (21), quando muitos americanos já estavam nervosos com a possibilidade de que hackers interferissem nos sistemas eleitorais, ofereceu uma visão de uma nova era de vulnerabilidades que ameaça a sociedade altamente conectada.

O ataque à infraestrutura da internet, que tornou praticamente impossível às vezes verificar feeds no Twitter ou as principais notícias, foi um lembrete notável de que os bilhões de dispositivos comuns conectados à web --muitos deles altamente inseguros-- podem ser desviados para finalidades viciosas. E as ameaças continuarão muito depois do dia da eleição num país que cada vez mais mantém seus dados na nuvem e, com frequência, a cabeça enfiada na areia.

Restos do ataque continuaram emperrando alguns sites no sábado (22), mas os problemas principais haviam diminuído. Para a comunidade tecnológica, porém, os acontecimentos de sexta-feira foram tão inevitáveis quanto um terremoto junto à falha geológica de Santo André, na Califórnia. Um novo tipo de software malicioso explora uma antiga vulnerabilidade nessas câmeras e em outros equipamentos baratos que hoje se somam ao que ficou conhecido como a internet das coisas.

A vantagem de colocar todos os dispositivos na internet é óbvia. Significa que sua geladeira pode encomendar leite para você quando o produto estiver acabando e a impressora da sua casa pode informar ao vendedor que precisa de tinta. As câmeras de segurança podem ligar para seu telefone celular quando alguém se aproximar de sua casa, seja um entregador ou um ladrão. Quando o Google e os fabricantes de carros de Detroit puserem seus carros sem motorista nas ruas, a internet das coisas se tornará seu motorista.

Mas centenas de milhares, e talvez milhões, dessas câmeras de segurança e outros equipamentos foram infectados com um programa bastante simples que adivinha suas senhas de fábrica --geralmente "admin" ou "12345" ou mesmo "senha"-- e, depois de invadi-los, os transforma em um exército de robôs simples. Cada um deles recebeu o comando, em um momento coordenado, para bombardear uma pequena empresa em Manchester, no Estado de New Hampshire, chamada Dyn DNS, com mensagens que sobrecarregaram seus circuitos.

Poucas pessoas ouviram falar na Dyn, mas ela essencialmente atua como um dos painéis de transferência gigantes da internet. Se ela parar, os problemas se espalham instantaneamente. Não demorou para reduzir a lesmas os sites Twitter, Reddit e Airbnb, assim como o feed de notícias de "The New York Times".

Não está claro quem é o culpado, e, talvez, leve dias ou semanas para detectá-lo. Mas a resposta provavelmente não importa muito, afinal.

A vulnerabilidade para a qual o país despertou na manhã de sexta-feira pode ser facilmente explorada por uma nação-Estado como a Rússia, que o governo americano acusou de invadir o Comitê Nacional Democrata e as contas dos membros da campanha de Hillary Clinton. Também poderia ser explorada por um grupo criminoso, que foi o foco da maior parte do trabalho de adivinhação sobre o ataque ou mesmo por adolescentes. As oportunidades para os imitadores são infinitas.

A advertência mais dura veio em meados de setembro, de Bruce Schneier, um especialista em segurança da internet, que postou um breve ensaio intitulado "Alguém está aprendendo a derrubar a internet". A técnica não era novidade: entidades como o governo da Coreia do Norte e extorsionistas há muito usam ataques de "negação de serviço distribuído" para dirigir uma enxurrada de dados para sites de que eles não gostam.

"Se o atacante tiver uma mangueira de dados maior que a do atacado, o atacante ganha", escreveu ele. 

Mas em épocas recentes os hackers vêm explorando as vulnerabilidades das empresas que formam a espinha dorsal da internet --assim como os Estados americanos viram recentemente exames dos sistemas que contêm suas listas de eleitores. Os ataques a empresas cresceram, escreveu Schneier, "como se o ataque procurasse exatamente o ponto de falha". Pense na poderosa Linha Maginot, que foi testada repetidamente pelo Exército alemão em 1940, até que ele encontrou o ponto fraco e avançou para Paris.

A diferença da internet é que não está claro nos EUA quem deve protegê-la. A rede não pertence ao governo --nem a ninguém, na verdade. Cada organização é responsável por defender seu próprio pedaço. Bancos, lojas e polos de redes sociais devem investir na proteção de seus sites na web, mas isso não adianta muito se as conexões entre elas forem cortadas.

O Departamento de Segurança Interna deveria oferecer a linha básica para defesa da internet nos EUA, mas está constantemente brincando de pega-pega. Nas últimas semanas, enviou equipes aos Estados para ajudá-los a encontrar e remendar vulnerabilidades em seus sistemas de votação e suas redes de divulgação de resultados.

O FBI investiga brechas, mas leva tempo. Enquanto isso, as pessoas querem usar os bancos e assistir a programas de TV online. Em 8 de novembro, os americanos terão de procurar onde devem votar e, em alguns casos, votarão pela internet. Mas o sistema de votação não é considerado parte da "infraestrutura crítica" do país.

O chefe da agência de segurança nacional, almirante Michael Rogers, disse recentemente que especialistas estão procurando o problema da maneira errada. "Estamos nos concentrando demais em lugares e coisas", disse ele em uma palestra em Harvard. "Devemos nos concentrar nos dados" e como eles fluem --ou não fluem.

É aí que entra a internet das coisas. A maioria dos dispositivos foi conectada à web nos últimos anos com pouca preocupação sobre a segurança. Peças baratas, algumas vindas de fornecedores chineses, têm proteção de senhas fracas ou inexistentes, e não está claro como é possível modificar essas senhas.

E o problema está se expandindo rapidamente: a Cisco estima que o número desses equipamentos poderá passar dos atuais 15 bilhões a 50 bilhões até 2020. A Intel aponta o número em aproximadamente 200 bilhões de dispositivos no mesmo período. (Supondo que a população global seja de cerca de 7,7 bilhões de pessoas em 2020, isso seria de seis a 26 dispositivos por pessoa.)

Pesquisadores em segurança vêm advertindo sobre esse problema há anos, mas o aviso foi geralmente descartado como modismo ou promoção de medo. Então Brian Krebs, que dirige um site popular sobre segurança na internet, foi atingido por um ataque importante há algumas semanas. A companhia que o protege, a Akamai, desistiu. O programa malware que causou o ataque, chamado Mirai, continha um dicionário de senhas comuns e as usou para sequestrar dispositivos para se tornarem atacantes.

Chester Wisniewski, um importante cientista-pesquisador de computação na empresa de segurança Sophos, disse que ataques como o da Dyn "podem ser o início de uma nova era de ataques na internet praticados via coisas 'smart'".

"Há outras dezenas de milhões de coisas 'smart' inseguras que podem causar distúrbios incríveis, se forem controladas", acrescentou Wisniewski em um e-mail.

É possível, segundo investigadores, que o ataque à Dyn tenha sido realizado por um grupo criminoso que quisesse extorquir a companhia. Ou pode ter sido feito por "hacktivistas". Ou uma potência estrangeira que quisesse lembrar aos EUA sua vulnerabilidade. A resposta poderá não vir no dia da eleição, mas a próxima onda de ataques sim.