| Foto: JIM WILSON/NYT

Quando as câmeras de segurança começaram a aparecer nos anos 70 e 80, foram bem recebidas como um dispositivo de combate ao crime, depois como uma maneira de controlar o tráfego, fábricas e até berços de bebês. Mais tarde, foram adotadas para propósitos mais escusos, quando governos autoritários como o da China as usavam para prevenir ameaças ao poder, marcando dissidentes e pessoas em protestos.

CARREGANDO :)

Porém agora, essas câmeras – e muitos outros dispositivos que estão hoje conectados à internet – são controlados com um propósito totalmente diferente: como armas de perturbação em massa. O travamento da internet ocorrido na Costa Leste, no dia 21 de outubro, quando muitos americanos já estão aflitos com a possibilidade de que hackers interfiram nos sistemas eleitorais, deu uma ideia da era de vulnerabilidades que a sociedade altamente conectada enfrenta.

Publicidade

O ataque à infraestrutura da internet, o que chegou a impossibilitar até uma simples conferida no Twitter, foi um lembrete impressionante sobre como bilhões de dispositivos conectados a ela, muitos deles altamente inseguros, podem ser usados com propósitos prejudiciais. E as ameaças vão continuar muito tempo depois do dia das eleições para uma nação que cada vez mais mantém seus dados na nuvem e que muitas vezes está com a cabeça enfiada na areia.

Remanescentes do ataque ainda deixam alguns sites lentos, embora os maiores problemas já tenham diminuído. Mesmo assim, para a comunidade de tecnologia, os eventos de 21 de outubro eram tão inevitáveis quanto um terremoto na falha de San Andreas. Um novo tipo de software malicioso explora uma vulnerabilidade há muito tempo conhecida nas câmeras e outros aparelhos baratos que estão agora se juntando ao que se tornou conhecido como a internet das coisas.

A vantagem de se colocar todos os dispositivos na internet é óbvia. Isso significa que sua geladeira pode encomendar o leite quando ele estiver acabando e a impressora de sua rede doméstica pode informar à loja que precisa de mais tinta. Câmeras de segurança podem alertar seu celular quando alguém passa por sua calçada, quer seja o carteiro ou um ladrão. Quando o Google e as montadoras de Detroit puserem seus carros sem motorista na estrada, a internet das coisas vai ser seu chofer.

Mas centenas de milhares, talvez milhões, de câmeras de segurança e outros dispositivos foram infectados com um programa bastante simples que descobriu suas senhas configuradas na fábrica – muitas vezes “admin” ou “12345” ou até mesmo, sim, “password” [“senha”, em inglês] – e, uma vez lá dentro, os transformou em um exército de robôs simples.

Cada um recebeu um comandado cronometricamente coordenado para bombardear uma pequena empresa em Manchester, New Hampshire, chamada Dyn DNS, com mensagens que sobrecarregaram seus circuitos.

Publicidade

Pouca gente já ouviu falar da Dyn, mas ela essencialmente atua como um dos centros gigantes de distribuição da internet. Basta fazê-la parar e os problemas se espalham instantaneamente. Não demorou muito para brecar o Twitter, o Reddit e o Airbnb – assim como os feeds de notícias do New York Times.

Não se sabe ainda quem é o culpado, e pode levar dias ou semanas para detectá-lo. No final, porém, a resposta provavelmente não será algo muito significativo.

Escritório da Dyn em Manchester, New Hampshire. Empresa sofreu ataque hacker que usou a internet das coisas como meio  

Vulnerabilidade

A vulnerabilidade que os EUA descobriram, em 21 de outubro, pode ser facilmente explorada por outro país, como a Rússia, a quem a administração responsabilizou pela invasão do Comitê Nacional Democrata e das contas de e-mail da equipe de campanha de Hillary Clinton. Também pode ser explorada por um grupo criminoso, que foi o foco de grande parte das conjecturas sobre o ataque, ou até mesmo por adolescentes. As oportunidades para imitadores são infinitas.

O aviso veio em meados de setembro, de Bruce Schneier, perito em segurança da internet, que postou um breve ensaio intitulado “Alguém está aprendendo como derrubar a internet”. A técnica não é novidade: entidades como o governo norte-coreano e chantagistas há muito tempo utilizam ataques de “negação de serviço” para direcionar uma enxurrada de dados para sites dos quais não gostam.

Publicidade

“Se o invasor tiver um fluxo de dados maior que o do atacado, ele ganha”, escreveu.

Mas nos últimos tempos, os hackers vêm explorando as vulnerabilidades de empresas que compõem a espinha dorsal da internet – assim como os estados recentemente descobriram checagens dos sistemas que contêm dados sobre o registro de seus eleitores. “Os ataques contra empresas aumentaram como se estivessem procurando o ponto fraco exato”, escreveu Schneier. Pense na poderosa Linha Maginot em 1940, testada inúmeras vezes pelo exército alemão, que acabou encontrando o ponto fraco e invadiu Paris.

A diferença com a internet é que, nos Estados Unidos, não está claro quem é o responsável por sua proteção. A rede não pertence ao governo, ou a quem quer que seja. Em vez disso, cada organização é responsável pela defesa de seu próprio pedaço. Bancos, lojistas e mídia social devem investir na proteção de seus sites, mas isso não ajuda muito se as conexões entre eles forem rompidas.

O Departamento de Segurança Interna deve fornecer as bases da defesa da internet nos Estados Unidos, mas está constantemente defasado. Nas últimas semanas, enviou equipes aos estados para ajudá-los a localizar e sanar as vulnerabilidades em seus sistemas de registro de eleitores e suas redes que divulgam os resultados.

Publicidade

O FBI investiga brechas, algo que leva tempo; enquanto isso, as pessoas querem usar o banco on-line e assistir a filmes em streaming na televisão. Em 8 de novembro, os americanos procuraram seus locais de votação e, em alguns casos, votaram pela internet. No entanto, o sistema eleitoral não é considerado parte da “infraestrutura crítica” da nação.

O chefe da Agência de Segurança Nacional, Almirante Michael Rogers, disse recentemente que especialistas estavam examinando o problema da maneira errada. “Estamos excessivamente focados em lugares e coisas, mas temos que nos concentrar nos dados e em como eles fluem – ou não”, disse ele em uma palestra em Harvard.

Mais aparelhos, mais brechas

É aí que entra a internet das coisas. A maioria dos dispositivos está sendo conectada à web nos últimos anos com pouca preocupação com segurança. Peças baratas, algumas provenientes de fornecedores chineses, não têm proteção de senha, ou têm uma fácil de decifrar, e não é tão óbvio assim o método de alterá-la.

E o problema está se expandindo rapidamente: a Cisco estima que o número desse tipo de dispositivo, atualmente em 15 bilhões, possa chegar a 50 bilhões até 2020. A Intel estima aproximadamente 200 bilhões de dispositivos no mesmo período. (Supondo-se que a população global seja de cerca de 7,7 bilhões de pessoas em 2020, isso daria entre 6 e 26 dispositivos por pessoa.)

Publicidade

Pesquisadores de segurança avisam sobre esse problema há anos, mas essa cautela foi em grande parte vista como exagero ou como tendo por objetivo espalhar o temor. Então, Brian Krebs, que dirige um site popular sobre segurança na internet, foi atingido por um ataque pesado há algumas semanas. A empresa que o protegia, a Akamai, entregou os pontos. O malware por trás do ataque, chamado Mirai, tinha um built-in de dicionário de senhas comuns e as usou para sequestrar dispositivos e transformá-los em invasores.

Chester Wisniewski, líder de pesquisa de computadores na empresa de segurança Sophos, disse que ataques como o da Dyn “podem ser o início de uma nova era de ataques na internet, realizados através de objetos ‘inteligentes’”.

“Há dezenas de milhões de aparelhos ‘smart’ pouco seguros que poderiam causar problemas incríveis caso alguém resolva controlá-los”, acrescentou Wisniewski por e-mail.

Segundo os investigadores, é possível que o ataque à Dyn tenha sido conduzido por um grupo criminoso tentando extorquir a empresa. Ou poderia ter sido feito por “hacktivistas”. Ou uma potência estrangeira que queria lembrar os Estados Unidos de sua vulnerabilidade. A resposta pode não surgir até o dia das eleições, mas a próxima onda de ataques, sim.