UOL Notícias Internacional
 

30/05/2007

Estônia faz a limpeza após sobreviver à sua primeira ciberguerra

The New York Times
Mark Landler e John Markoff

Em Tallinn, Estônia
Quando as autoridades estonianas começaram a remover uma estátua de bronze de um soldado soviético da época da Segunda Guerra Mundial de um parque nesta movimentada cidade portuária do Mar Báltico, elas esperavam protestos de rua violentos dos estonianos descendentes de russos.

Elas também sabiam por experiência que "se há combates nas ruas, haverá combates na Internet", disse Hillar Aarelaid, diretor da Equipe de Resposta de Emergência de Computadores da Estônia. Afinal, para as pessoas daqui a Internet é quase tão vital quanto água corrente; ela é usada rotineiramente para votar, entregar declarações de imposto de renda e, com os celulares, para compras ou pagamento do estacionamento.

O que se seguiu foi o que alguns aqui descreveram como a primeira guerra no ciberespaço, uma campanha de um mês que forçou as autoridades estonianas a defenderam sua pequena nação báltica de uma enxurrada de dados que disseram ter sido ordenada pela Rússia ou fontes de etnia russa em retaliação à remoção da estátua.

Os estonianos afirmam que um endereço de Internet envolvido no ataque pertence a um funcionário que trabalha no governo do presidente da Rússia, Vladimir Putin.

O governo russo negou qualquer envolvimento nos ataques, que chegaram perto de derrubar toda a infra-estrutura digital do país, tiraram do ar os sites do presidente, primeiro-ministro, Parlamento e outros órgãos do governo, abalaram o maior banco da Estônia e sobrecarregaram sites de vários jornais.

"Acabou virando uma situação de segurança nacional", disse o ministro da Defesa da Estônia, Jaak Aaviksoo, em uma entrevista. "Pode ser comparado a quando o acesso aos seus portos fica bloqueado."

Especialistas em segurança de computadores da Otan, União Européia, Estados Unidos e Israel seguiram para Tallinn para oferecer ajuda e aprender o que pudessem sobre uma ciberguerra na era digital.

"Isto pode se tornar um divisor de águas em termos de conscientização da vulnerabilidade da sociedade moderna", disse Linton Wells II, o principal vice-secretário assistente de Defesa para integração de redes e informação do Pentágono. "Isto recebeu a atenção de muita gente."

Quando os primeiros intrusos digitais penetraram no ciberespaço estoniano às 22 horas de 26 de abril, Aarelaid imaginou que estava pronto. Ele levantou firewalls ao redor dos sites do governo, ativou servidores adicionais e colocou seu pessoal sob plantão para a semana agitada.

As autoridades antecipavam que haveria alguma reação à remoção da estátua, que se tornou motivo de mobilização para a grande minoria de língua russa da Estônia, particularmente por ter sido removida para um cemitério militar de difícil acesso.

Em 29 de abril, as ruas de Tallinn estavam novamente calmas após duas noites de tumultos causados pela remoção da estátua, mas a Linha Maginot eletrônica da Estônia estava caindo. Em um dos primeiros ataques, uma enxurrada de mensagens indesejadas foi endereçada ao servidor de e-mail do Parlamento, o derrubando. Em outro, hackers invadiram o site do Partido da Reforma, postando uma carta falsa de desculpas do primeiro-ministro, Andrus Ansip, por ter ordenado a remoção da estátua altamente simbólica.

Ao final da primeira semana, os estonianos, com a ajuda das autoridades de outros países, se tornaram razoavelmente aptos em filtrar os dados maliciosos. Ainda assim, Aarelaid sabia que o pior ainda estava por vir. O feriado russo, o Dia da Vitória, era em 9 de maio. É a data que marca a derrota da Alemanha Nazista pela União Soviética e homenageia os soldados mortos do Exército Vermelho. A Internet estava repleta de planos para marcar a ocasião derrubando a rede estoniana. Aarelaid se reuniu com os chefes de segurança dos bancos, pedindo para que mantivessem seus serviços em funcionamento. Ele também tinha ordens de proteger um importante site de comunicação do governo. Outros sites, como o do presidente estoniano, foram sacrificados como prioridades menores.

Os agressores usaram uma rede gigante de "bots" (programas que infectam computadores e agem de maneira autônoma sem o conhecimento de seu proprietário) - talvez até um milhão de computadores em lugares tão distantes como Estados Unidos e Vietnã - para amplificar o impacto de seu ataque. Em um sinal de seus recursos financeiros, há evidência de que alugaram tempo em outras chamadas "botnets" (redes de computadores infectados por bots e que podem ser operados remotamente).

"Quando você combina pacotes de dados muito grandes com milhares de máquinas, você tem uma receita para ataques muito danosos de negação de serviço", disse Jose Nazario, um especialista em bots da Arbor Networks, uma firma de segurança de Internet em Ann Arbor, Michigan.

Nas primeiras horas de 9 de maio, o tráfego aumentou milhares de vezes acima do fluxo normal. Foi ainda maior em 10 de maio, forçando o maior banco da Estônia a desativar seu serviço online por mais de uma hora. Até hoje o banco, o Hansabank, está sob ataque e continua bloqueando o acesso a 300 endereços suspeitos de Internet. Ele já acumula prejuízos de pelo menos US$ 1 milhão.

Finalmente, na tarde de 10 de maio, o tempo dos agressores nos servidores alugados expirou e os ataques da botnet caíram abruptamente.

Ao todo, a Arbor Networks contou dezenas de ataques. Os 10 maiores ataques despejaram streams de 90 megabits de dados por segundo nas redes da Estônia, durando até 10 horas cada. Este é um volume de dados equivalente a baixar todo o sistema operacional Windows XP a cada seis segundos por 10 horas.

"Hillar e seu pessoal são bons", disse Bill Woodcock, um especialista americano em segurança de Internet que estava presente para observar a resposta. "Não há muitos outros países capazes de combater isto com seu nível de profissionalismo e calma."

A defesa da Estônia não foi impecável. Para bloquear os dados hostis, ela teve que fechar grandes partes de sua rede a pessoas de fora do país. "É realmente lamentável que um empresário estoniano em viagem ao exterior não tenha como acessar sua conta bancária", disse Linnar Viik, um professor de ciência da computação e líder da indústria de alta tecnologia da Estônia. "Para membros do Parlamento estoniano, significou quatro dias sem e-mail."

Ainda assim, Viik disse que o episódio servirá como uma experiência de aprendizado. O uso de botnets, por exemplo, ilustra como um ciberataque contra um único país pode envolver muitos outros.

Apesar da Estônia não ter certeza da identidade dos agressores, seus planos foram postados na Internet antes do ataque ter início. Em fóruns de língua russa e salas de bate-papo, os investigadores encontraram instruções detalhadas sobre como enviar mensagens disruptoras e que sites estonianos seriam alvo. "Nós acompanhamos os planos sendo organizados em tempo real", disse Aarelaid, que semanas depois pôde encontrar vários exemplos usando o Google.

Para a Otan, o ataque pode levar a uma discussão sobre a necessidade de modificação de seu compromisso com a defesa coletiva, segundo o Artigo 5º do Tratado do Atlântico Norte. Aarelaid disse que os especialistas em segurança da Internet da Otan disseram pouco, mas fizeram muitas anotações durante a visita.

Devido à escuridão da Internet - onde os atacantes podem mascarar suas identidades usando endereços de Internet de outros, ou programar remotamente computadores distantes para enviar dados sem o conhecimento de seus donos - vários especialistas disseram que os agressores provavelmente nunca serão pegos. Autoridades do governo americano disseram que a natureza dos ataques sugere que foram iniciados por "hacktivistas", técnicos especialistas que agem independente dos governos.

"No momento, nós não podemos provar ligações diretas com Estados", disse Aaviksoo, o ministro da Defesa da Estônia. "Tudo o que podemos dizer é que um servidor no gabinete de nosso presidente recebeu uma "query" (consulta) de um endereço IP no governo russo", ele acrescentou, usando a abreviação para protocolo de Internet. Moscou ofereceu ajuda para rastrear as pessoas que o governo estoniano acredita que possam estar envolvidas.

Um porta-voz do Kremlin, Dmitri S. Peskov, negou o envolvimento do Estado russo nos ataques e acrescentou: "O lado da Estônia precisa ser extremamente cuidadoso ao fazer acusações."

A polícia prendeu aqui e então liberou um estoniano de ascendência russa de 19 anos suspeito de ter ajudado a organizar os ataques. Enquanto isso, o Ministério das Relações Exteriores da Rússia circulou um documento que lista vários endereços de Internet dentro do governo russo que diz terem participado dos ataques.

Os ataques aos sistemas da Estônia não acabaram, mas seu volume e intensidade diminuíram e estão voltados principalmente contra os bancos. A última grande onda de ataques foi em 18 de maio.

Agora que o ataque diminuiu, Aarelaid está fazendo a limpeza. Há poucos dias, ele conseguiu ir à sauna com Jaan Priisalu, o chefe de segurança de computadores do Hansabank, e outros amigos da fraternidade de segurança da Internet da Estônia.

"Sou apenas um sujeito de tecnologia de Internet", ele disse, olhando para a tela do computador. "Eu sei muito sobre bits e pacotes de dados; eu não sei sobre as questões maiores. Mas alguém orquestrou isto..." George El Khouri Andolfato

Siga UOL Notícias

Tempo

No Brasil
No exterior

Trânsito

Cotações

  • Dólar comercial

    16h59

    0,38
    3,156
    Outras moedas
  • Bovespa

    17h22

    0,41
    65.277,38
    Outras bolsas
  • Hospedagem: UOL Host