18 de julho de 2011

EXÉRCITO PODERÁ RECRUTAR HACKERS, DIZ GENERAL

“Podemos recrutar hackers”
O comandante na guerra cibernética conta como o Brasil está se armando contra os ataques na rede
O livro Cyber War, de Richard A. Clarke, sobre a mesa do escritório dá a pista das funções exercidas pelo general José Carlos dos Santos, no Quartel-General do Exército, em Brasília. Santos é o comandante do Centro de Defesa Cibernética do Exército. Criado no ano passado, o centro se propõe a ser um núcleo de defesa e ataque para conflitos pela internet. A guerra travada por vírus e hackers, em vez de armas físicas, é uma realidade. No mês passado, sites do governo sofreram ataques por hackers. A maioria dos países desenvolvidos teve problemas assim e criou divisões militares para atuar no meio digital. "No espaço cibernético a fronteira não existe", afirma Santos. "O inimigo é difícil de identificar."



QUEM É
Paulista, 58 anos, casado, dois filhos, torcedor do Santos
O QUE FAZ
General de divisão (três estrelas), é o comandante do Centro de Defesa Cibernética do Exército, em Brasília
O QUE FEZ
Oficial de comunicações, é especialista em gestão de tecnologia da informação e estratégia da informação. Foi adido militar na Itália

ÉPOCA – A defesa cibernética será um novo campo nas Forças Armadas?
José Carlos dos Santos – É uma nova governança. Eu diria que diversos países estão na mesma situação. Os Estados Unidos criaram seu comando cibernético em 2009. A Alemanha ativou seu centro de defesa cibernética neste ano, a Inglaterra no ano passado. O Brasil criou o Centro de Defesa Cibernética em agosto do ano passado.
ÉPOCA – Quantas pessoas trabalham hoje no Centro de Defesa Cibernética?
Santos – O centro tem hoje 20 militares. Até o fim do ano, esperamos ter 30 e poucos. Pretendemos montar uma Sala de Consciência Situacional, semelhante às salas de controle que existem nas grandes operadoras de telefonia. Com esse centro, eu teria especialistas em análise de dados. Eu poderia ter uma ferramenta automatizada de coleta de informações na rede. Nada ilegal. A informação está disponível na rede, no Twitter, no Facebook. Você tem uma captura de tendências. Vamos supor que haja um movimento como o que ocorreu no Egito. Você passa a ter instrumentos para detectar isso antes que aconteça. Pelo menos podemos informar os chefes: "Olha, está acontecendo uma tentativa de organização de uma passeata em tal local, pelo Twitter". Você informa. A decisão se a passeata vai ser acompanhada, se alguns dirigentes vão ser contatados, é uma decisão política. A parte técnica, de levantar o dado, seria nossa. Nesse centro, teríamos algumas ferramentas desse tipo.
ÉPOCA – O centro monitora ou pretende monitorar redes sociais?
Santos – Fazer isso com analistas sem ter uma ferramenta automática de pesquisas não é possível. Imagine a quantidade de informações que circulam nessas redes sociais. Temos sido contatados por empresas que oferecem esse tipo de serviço. O mercado nacional tem várias dessas empresas especializadas em análise de redes sociais. Essas empresas oferecem monitoramento de redes sociais no sentido de perceber tendências ou movimentos que sejam de interesse da defesa.
ÉPOCA – Não há risco de violação de privacidade?
Santos – Você trabalha com estatísticas. Você customiza o filtro para verificar a incidência de determinadas palavras. Há certos instrumentos disponíveis para determinar tendências, movimentos, mas sempre numa base estatística. Um instrumento desses pode ser útil, não só para a defesa, mas também para empresas comerciais. O Neymar (atacante do Santos), por exemplo, foi contratado para fazer comerciais. Isso, provavelmente, é decorrência da leitura do que circula nas redes sociais. Com um instrumento desses, uma empresa descobre que o penteado do Neymar, entre a garotada, está causando sensação no Twitter.
ÉPOCA – Quanto custa montar um centro como esse?
Santos – Já estamos recebendo recursos financeiros para implementar esse centro. Hoje, com funcionalidades mínimas, é estimado em R$ 1,5 milhão. Já contatamos várias empresas para fazer a arquitetura desse centro. Acredito que ele estará operando até o final do ano, início do ano que vem. No ano passado, foram investidos R$ 10 milhões para algumas ações, como a criação de um laboratório de formação de especialistas. Nesse laboratório você vai poder simular, identificar ataques. O laboratório está quase pronto.
ÉPOCA – O trabalho do Exército é defender ou atacar também?
Santos – Uma empresa americana, a Ofensive Security, veio com sua equipe ministrar cursos de segurança ofensiva. Está coerente com aquilo que imaginamos que seja nosso modo de operar. Numa situação de ataque, se você tiver condições de identificar um atacante que está na rede, seria lícito neutralizar esse ataque.
ÉPOCA – O centro vai trabalhar apenas com militares ou poderá contratar civis?
Santos – Essa era digital é um contexto novo. Na Cúpula de Defesa Cibernética e Segurança, em Washington, no mês passado, um palestrante americano disse que eles não tinham nenhuma restrição para contratar "rapazes de trancinhas, brinco, piercing", desde que fossem especialistas. É uma política que estamos discutindo. Podemos, sim, contratar civis. Está dentro de nossas previsões a contratação de especialistas em regime de prestação de serviços. Basicamente estamos cuidando da formação do nosso pessoal. A partir de 2012, a matéria tecnologia para informação e comunicação se tornará obrigatória para todos os nossos futuros oficiais. Nas escolas de formação dos nossos sargentos, o assunto também será introduzido.
ÉPOCA – Entre esses especialistas, o Exército pode contratar hackers?
Santos – É uma possibilidade contratar. Li declarações de representantes do Ministério da Ciência e Tecnologia dizendo que temos de fazer com que os hackers trabalhem para o bem, sejam usados para o lado bom da força. Acho que isso é possível. Temos formas de recrutar, mostrando o trabalho, dando a perspectiva de uma carreira desafiadora, interessante. A imprensa diz que os Estados Unidos já fazem isso. Eles teriam até um grupo de hackers que trabalharia em prol do governo americano. Eles não se identificam como tal, mas trabalham.
"São registrados milhares de incidentes na rede do exército por dia. Um porcentual é de tentativas de invasão"
ÉPOCA – A lógica militar pressupõe a luta contra um inimigo visível. Como é lutar contra um inimigo invisível?
Santos – Terá de haver uma mudança no mundo todo. No conflito convencional, as fronteiras estão bem definidas. No espaço cibernético, essa fronteira não existe, uma vez que a arquitetura da internet é livre. Os dados fluem de forma natural, sem muitos controles, de modo que o dado trafega pelo canal mais livre. O inimigo é difícil de identificar. Um dos aspectos dessas associações de hackers é a defesa dessa arquitetura livre da internet. Eles defendem que instituições governamentais não devem se meter a controlar esse tráfego. Que a internet deve continuar como espaço livre de circulação de ideias. Os exemplos recentes são as insurreições no Egito e na Líbia, que ocorreram por meio do espaço cibernético. Essas associações, como Anonymous, LulzSec, advogam que a internet tem de ser um espaço livre, não um espaço controlado e policiado. Essas ações contra sites do governo, instituições militares, são justamente uma tentativa de mostrar a oposição deles à ideia de controle.
ÉPOCA – Os ataques a sites do governo ocorridos no mês passado foram graves?
Santos – Graves, não. Nenhum serviço essencial foi paralisado. Não foi atingido nenhum serviço como distribuição de energia, controle de espaço aéreo, do sistema bancário. Mas imagine uma ação dessas de negação de serviço (quando o serviço na internet fica indisponível ao cidadão) na semana de entrega da declaração de Imposto de Renda? A Receita Federal teria de prorrogar prazo e haveria prejuízos. Como não tipificar ações nesse sentido? Alguém tem de ser responsabilizado. Tem de mudar essa mentalidade. Ações erradas têm de ser punidas. Agora, no campo cibernético isso é difícil. Hoje você pode adquirir dez chips de operadoras (de telefonia) diferentes, mas tem de vinculá-los a seu CPF. A mesma forma poderia ser feita em relação aos usuários da internet. Hoje os provedores de internet têm condições de determinar que cidadão mandou qual mensagem. Mas e os cibercafés, as salas de internet? O cidadão pode introduzir um vírus. Como você vai identificar?
ÉPOCA – Há um projeto no Congresso para regular alguns procedimentos na internet. Ele é necessário?
Santos – A invasão de uma página, a pichação de uma página, a negação de um serviço, não há tipificação para esse tipo de ação. É a grande dificuldade. A partir do momento em que temos ações que prejudicam o cidadão, deve haver uma regulamentação. A partir do momento em que uma ação de grupos ou de pessoas passa a trazer prejuízos reais à sociedade ou a outras pessoas, tem de haver uma ordenação. É possível fazer isso com liberdade, velocidade. Vejo esses movimentos de hackers como uma reação de quem acha que uma regulamentação excessiva pode tirar a liberdade. Imagine se houvesse total controle no Egito? Será que aquela revolução teria acontecido se houvesse um controle das pessoas? Haveria essa liberdade? Eles têm alguma razão nesse aspecto, realmente tiraria a liberdade dos internautas. Mas, por outro lado, tem de ter algum instrumento de controle. O assunto realmente é complexo.
ÉPOCA – Há hackers tentando invadir o sistema do Exército?
Santos – Sim. São registrados milhares de incidentes de rede por dia. Logicamente um porcentual desses incidentes é de tentativas de intrusão em serviços internos do Exército. Recentemente, tivemos no Recife uma intrusão num serviço social, de distribuição de água. Um grupo, o FatalErrorCrew, conseguiu acessar um banco de dados dessa operação. Foi dado crítico? Bom, crítico, não. Mas mostrou uma vulnerabilidade. Eram dados de militares vinculados àquela operação. Está sendo feita uma auditoria interna para ver como evitar uma intrusão desse tipo, mesmo deixando o sistema disponível ao público.
ÉPOCA – Quais são as normas de segurança de informação do Exército?
Santos – Existe uma série de instruções reguladoras. Os especialistas apontam o homem como o elo mais fraco. Não adianta ter um sistema altamente sofisticado de monitoramento, um firewall de última geração, uma segurança lógica excelente, sem conscientizar o homem. Aqui, todo o acesso à rede é controlado. Temos a política de que não se deve usar o pen drive, arquivo pessoal na rede.
ÉPOCA – O senhor acha que, no futuro, teremos uma guerra na internet? Ou a internet será apenas mais um terreno de batalha numa guerra convencional?
Santos – Os principais autores e autoridades apontam para essa possibilidade. Richard Clarke (autor do livro Cyber war) cita exemplos de ações cibernéticas equivalentes a atos de guerra. O mais conhecido mundialmente é o desenvolvimento do Stuxnet. Foi um vírus desenvolvido com a finalidade específica de danificar uma determinada centrífuga para produção de energia nuclear. Especula-se que algum agente ou funcionário da usina introduziu, por meio de um pen drive, aquele programa malicioso, que atuou especificamente no sistema e fez com que as centrífugas fossem inutilizadas. Era um vírus muito bem elaborado. Ao mesmo tempo que mandava a máquina aumentar sua rotação, ele mandava parâmetros de normalidade para os controladores humanos. Quando se percebeu, as centrífugas já estavam inutilizadas.
ÉPOCA – Na guerra convencional, a lógica é que quem tem mais armamentos seja mais poderoso. No campo cibernético, equipamento é necessário, mas a inteligência prevalece. A guerra cibernética pode nivelar os países?
Santos – No jargão militar, chamamos isso de assimetria. No setor cibernético, quem tem pouco poder econômico pode ter uma ação contundente contra uma potência. Circula na imprensa especializada que a Coreia do Norte tem um exército cibernético de cerca de 3 mil homens. Puxa, quando estiver pronto o meu centro, vai ter cerca de 100 militares... Logicamente, será o núcleo. Existem outros setores, mas mesmo assim nós não atingiríamos 3 mil homens. E a Coreia do Norte, por incrível que pareça, é menos vulnerável, porque tem poucas redes. Como atacar uma rede que não existe?