Os hackers avançam – e o Brasil abre a guarda

Países como Coreia do Norte investem como nunca para hackear as democracias. Mas os brasileiros, incluindo seu presidente, continuam na era da inocência

A divulgação do número de celular do presidente Michel Temer, na segunda-feira, e a revelação de que ele ainda usa uma conta do Gmail ilustram o desleixo dos brasileiros com a proteção de seus dados pessoais.

O país continua na inocência, depois que o gmail da ex-presidente Dilma Rousseff já foi bisbilhotado pelo serviço secreto americano, que o escândalo pelo uso de uma conta pessoal de email contribuiu para a derrota da candidata democrata Hillary Clinton, que a Rússia usou as redes sociais para se intrometer nas eleições americanas, que a China e a Coreia do Norte empregam legiões de hackers para invadir bancos de dados, desviar dinheiro e fazer pressão política.

O aparelho de celular do ex-ministro da Secretaria de Governo da Presidência Geddel Vieira Lima, apreendido pela Polícia Federal, continha o número de celular e o endereço de email pessoal de Temer. As informações, incluindo centenas de outros documentos, foram entregues à Câmara dos Deputados, que as tornou públicas.

Um repórter do jornal O Globo ligou para o número e Temer atendeu. Três dias depois, no mesmo telefone, Temer voltou a atender uma chamada. E ainda confirmou que continua usando o mesmo gmail de quando era vice-presidente, justificando no entanto que as mensagens são recebidas por sua secretária. E afirmou “pode ligar de novo, viu”.

“As pessoas se colocam em vulnerabilidade porque não existe uma consciência da proteção dos dados pessoais”, constata Marco Konopacki, coordenador de projetos do Instituto de Tecnologia e Sociedade do Rio de Janeiro.

“A população do Brasil é a que menos se preocupa com proteção de dados. Dá o número do CPF ou qualquer informação a qualquer um a toda hora. Clica em links de emails sem checar a fonte. Coloca-se em risco por conta de falta de cuidado.”

No Brasil, até quando se vai pagar uma simples compra em uma loja, o caixa pede os números dos documentos pessoais, endereço, telefone e email, para preencher um “cadastro”.

Em geral, as pessoas informam tudo isso, sem se darem conta de que estão dando de graça algo que vale ouro no mercado: a associação de hábitos de consumo, renda e estilo de vida com a forma de localizar o consumidor.

É tudo de que as empresas precisam para traçar suas estratégias de vendas direcionadas ao consumidor e, no jargão do marketing, oferecer algo que seja “relevante” para ele, explica Konopacki. Além de entregar isso de graça, o consumidor está abrindo o flanco para golpes de criminosos, que se aproveitam também da impulsividade com que as pessoas clicam em qualquer link que lhes enviem.

Como parte da falta de cultura de proteção de dados, pessoas físicas, empresas privadas e entidades públicas não investem em segurança da informação.

Segundo Konopacki, esse tipo de investimento vai desde a atualização de sistemas operacionais, que vão incorporando novas proteções para novas ameaças, até a contratação de especialistas em segurança, passando por campanhas internas de conscientização. O uso de softwares piratas também não ajuda, porque eles não recebem as atualizações fornecidas pelo fabricante.

Em junho, os sistemas do Hospital do Câncer e da Santa Casa de Barretos saíram do ar por causa de um ataque global do ransomware (programa de resgate) Petya. O programa travava os computadores e cobrava 300 dólares na moeda virtual bitcoin para fornecer uma senha para desbloqueá-los. Cerca 2.000 computadores foram afetados em todo o mundo.

Ataque semelhante em maio, com o ransomware WannaCry, havia paralisado o atendimento do Serviço Nacional de Saúde do Reino Unido. A Microsoft desenvolveu um sistema de proteção para o WannaCry. Mas muitas empresas e indivíduos não haviam atualizado ainda seus sistemas operacionais, tornando seus computadores vulneráveis.

Konopacki foi assessor de Novas Tecnologias e Participação na Secretaria de Assuntos Legislativos do Ministério da Justiça entre 2014 e 2016, período em que coordenou as consultas públicas para a elaboração do Marco Civil da Internet. O Marco instituiu princípios de proteção dos dados, como por exemplo a proibição da venda de cadastros. Entretanto, diz o especialista, faltam leis para regulamentar esses princípios. Como está, depende ainda da avaliação subjetiva dos juízes.

“Há um projeto de lei que cria regras para a gestão de dados pessoais, e o instituto monitora a tramitação”, diz Konopacki. “Mas ainda não passou no Congresso e não sabemos se vai passar tão cedo. Isso coloca o Brasil num atraso tremendo.” A Espanha, por exemplo, além de leis, tem uma agência de proteção de dados pessoais, que fiscaliza seu uso adequado. “Nenhum dado pessoal deve ser coletado além do necessário para o serviço específico”, explica o especialista.

Em 2013, Edward Snowden, ex-funcionário da Agência Nacional de Segurança, dos EUA, revelou, entre muitas outras coisas, que o gmail de Dilma e também dados e trocas de mensagens na Petrobrás tinham sido grampeados. Konopacki lembra que, na “ressaca” desses vazamentos, formou-se uma comissão interministerial, com a missão de criar “canais robustos de comunicação segura, com criptografia, dentro do governo federal”.

Entre essas medidas estava o presidente — ou, na época, a presidente — usar telefone e email protegidos. Os sistemas criptografados, no entanto, são chatos e demorados de usar. Você não pega simplesmente o celular e liga, ou redige um email e manda. É preciso digitar uma série de senhas. “Há sempre um balanço entre segurança e liberdade”, observa o especialista.

Parece que a liberdade tem falado mais alto. Mas às vezes ela também fica ameaçada. Foi o caso da tentativa de alguns deputados de enfiar na reforma política a possibilidade de obrigar as plataformas de internet a tirar do ar uma informação considerada caluniosa por um político, mediante simples notificação.

“A intenção de combater informações falsas na internet era nobre, mas a forma foi desastrosa, porque é uma violação grave da liberdade de expressão”, avalia Konopacki. “Era um debate já superado pelo Marco Civil da Internet. Viraria uma guerra entre escritórios de advocacia. E a campanha seria morna, porque os eleitores não teriam a informação completa sobre os candidatos. Nem tudo o que desabona alguém é necessariamente calúnia.”

Conexão Moscou-Pyongyang

Em contrapartida, o “calor” que a Rússia conseguiu colocar na eleição presidencial americana do ano passado pode se repetir no Brasil, embora não partindo das mesmas fontes. Com o país muito polarizado politicamente, já têm proliferado na rede notícias falsas com aparência de verdadeiras, que se espalham à medida que confirmam os preconceitos e desejos de usuários, que por isso também pouco se interessam em verificar sua origem.

O Facebook está desenvolvendo programas de verificação de notícias falsas, com “robôs” que rastreiam sua origem e elaboram listas negras de endereços dos quais elas costumam partir. Isso é tecnicamente possível e ajuda. Mas as pessoas precisam estar interessadas na verdade.

No campo militar, a defesa cibernética do Brasil está a cargo do Exército. O governo publicou em dezembro de 2008 a Estratégia Nacional de Defesa, que definiu essa área como uma das três de importância estratégica. No ano seguinte, o Exército criou seu setor de Defesa Cibernética.

Segundo reportagem publicada no domingo pelo jornal The New York Times, agentes de segurança americanos e britânicos afirmam que a Coreia do Norte recrutou mais de 6.000 hackers. Suas ações são destinadas tanto a desviar dinheiro para o empobrecido país quanto a exercer pressões políticas contra os críticos do regime.

O país é suspeito de estar por trás do WannaCry e de outros ataques semelhantes, por meio dos quais já teria obtido centenas de milhões de dólares. Além das extorsões, os ataques visam entrar em computadores de pessoas e de empresas, em especial bancos, para roubar senhas e desviar dinheiro.

A partir de 2012, segundo agentes de segurança e detetives privados ouvidos pelo Times, as equipes de hackers passaram a ser distribuídas para outros países. Os ataques começaram então a se originar da Índia (que hoje responde por um quinto deles), Malásia, Nova Zelândia, Nepal, Quênia, Moçambique e Indonésia.

Em alguns casos, os hackers continuam fisicamente na Coreia do Norte, e apenas redirecionam os ataques pelos computadores norte-coreanos localizados em outros países.

Em dezembro de 2014, a Coreia do Norte mostrou seu poder de fogo em um ataque contra os computadores da Sony Pictures Entertainment, que estava prestes a lançar o filme A Entrevista, uma ficção narrando o assassinato do ditador norte-coreano, Kim Jong-un. Ao abrir seus computadores pela manhã, muitos funcionários encontraram uma imagem do CEO da companhia, Michael Lynton, degolado.

O FBI apurou que os hackers, auto-intitulados “Guardiães da Paz”, haviam roubado as senhas de um administrador com o máximo de acesso ao sistema da empresa. Eles pegaram as informações do banco de dados e ameaçaram publicá-las, se a Sony não abortasse o lançamento do filme. A empresa cedeu, tornando-se alvo de críticas do governo de Barack Obama e da indústria do cinema americana.

No ano passado, hackers norte-coreanos tentaram desviar 1 bilhão de dólares do Banco Central de Nova York. Eles tentaram a operação fazendo-se passar pelo Banco Central de Bangladesh. Entretanto, os funcionários do banco desconfiaram por causa de um erro de digitação: em vez de foundation (fundação), os criminosos escreveram “fandation.”

Segundo investigadores, há indícios de parceria entre a Coreia do Norte e o Irã — que também se ajudam mutuamente em seus programas de mísseis e nucleares.

Um ataque atribuído a hackers iranianos em 2012, contra a estatal do petróleo saudita Aramco, usou um malware (programa criminoso) para roubar dados e paralisar operações também usado por norte-coreanos, a partir de computadores na China, contra três bancos e as duas maiores emissoras de TV da Coreia do Sul.

Claro que nem todos os ataques originários da China são feitos por norte-coreanos. Pelo contrário. Artigo publicado em março de 2010 pela revista Foreign Policy citava uma estimativa segundo a qual os chineses teriam entre 50.000 e 100.000 hackers civis.

O ataque mais impressionante atribuído aos chineses foi o roubo das informações de 21,5 milhões de pessoas no banco de dados do Escritório de Gestão de Pessoal do governo americano, em 2015. O presidente Donald Trump, ao se defender das acusações de ter sido beneficiado pelas invasões do banco de dados e emails da campanha democrata, citou esse caso, como muito mais grave que o da Rússia.

Na verdade, quanto mais se sabe sobre a imensa gama de ameaças, mais atônito — e paranóico — se fica. Talvez seja dessa realidade que muitos brasileiros estejam se protegendo. Mas, quanto mais se adia o contato com a realidade, mais traumático ele se torna.