Os partidos brasileiros não estão preocupados com ciberataques — mas deveriam

Numa tarde de agosto, no aeroporto Santos Dumont, prestes a embarcar para São Paulo onde participaria do debate da Rede TV!, o candidato pelo PDT à presidência Ciro Gomes foi pego no contrapé por uma pergunta sobre sua estratégia de segurança da informação durante a campanha. “Ih, rapaz, a gente tá deixando isso meio de lado. Precisava até contratar alguém para olhar essa área, né?”, disse a um dos assessores que o acompanhavam.

Fake news, propaganda paga na internet, uso maciço de bots em redes sociais e comunicação direta via aplicativos de mensagens como WhatsApp se somam para criar um novo cenário de campanha nas eleições de 2018. Mas enquanto analistas, marqueteiros e a mídia debatem como esses fatores podem afetar o resultado da corrida eleitoral, outro aspecto do ambiente digital ficou de escanteio: o risco de ciberataques.

Foi o que aconteceu com Hillary Clinton durante a campanha presidencial americana em 2016 e Emmanuel Macron na francesa em 2017. Num primeiro contato, representantes dos seis presidenciáveis melhor colocados nas pesquisas de intenção de voto sequer parecem entender muito bem do que se trata o tema (veja as poucas respostas no fim do texto).

Para uma série de especialistas familiares com o área, isso é sintomático da maneira como o poder público brasileiro encara a segurança da informação como um todo.

“Se você avaliar os programas dos candidatos a presidente, apenas Boulos e Lula fazem referência a proteção de dados. E ainda assim dentro de um contexto maior de comunicação e não de prática de estado”, diz Paulo Rená, professor de Direito do UniCEUB e pesquisador do Instituto Beta para Internet e Democracia. “Eu sou cético com relação ao uso de proteção adequadas nas campanhas. Imagino candidatos correndo riscos tecnológicos por não terem percepção de que eles existem.”

Silvio Meira, professor emérito do Centro de Informática da UFPE, vai mais longe: crê que o problema se aplica em toda a política nacional. “Mesmo quando você pega sites do governo federal há um nível absolutamente incrível de falta de segurança”, afirma. “Com exceção dos sites transacionais, como o da Receita Federal, mas ainda assim há boatos de que vazam informações.”

É fácil achar exemplos para comprovar essa falta de cultura de segurança da informação. O grampo do telefonema entre Dilma Rousseff e Lula em 2016, no âmbito da Operação Lava Jato, é um deles. “Tudo bem que foi feito com autorização do judiciário, dentro do aparato oficial, mas parece fácil fazer o mesmo de forma privada, clandestina”, conta Rená.

Pouco mais de um ano depois, Michel Temer foi gravado pelo empresário Joesley Batista dentro da sua própria casa em Brasília, o Palácio do Jaburu. Independentemente de se indignar ou não com o conteúdo de ambos os áudios, é preocupante a facilidade com que conversas privadas de chefes de estado brasileiro se tornam públicas.

Para citar outro caso (que beira o ridículo), em janeiro de 2017 a equipe de comunicação da Presidência da República postou por engano no Twitter o link para uma planilha aberta do Google Drive. No arquivo, estavam às claras senhas para diversas redes sociais e contas de e-mail ligadas ao governo.

“Não dá para pensar em soberania nacional e ser tão mirim em determinados assuntos”, diz um profissional que trabalhou na equipe de tecnologia da campanha de Dilma Rousseff em 2014 e prefere não se identificar.

A bem da verdade, muito antes da Hillary e Macron, o Brasil foi pioneiro em hacks de eleição. Em abril de 2010, um rapaz chamado Douglas invadiu o site do PT e, por meio de informações coletadas ali, conseguiu acesso ao e-mail de Dilma Rousseff. Ao todo, ele juntou 600 mensagens enviadas e recebidas por ela durante a campanha presidencial daquele ano.

Desempregado e prestes a se tornar pai, Douglas tentou vender os e-mails para o PSDB, em seguida para o DEM e por fim para a Folha de São Paulo. Nenhum deles topou o negócio e a Polícia Federal acabou no caso. Na época, em entrevista para a IstoÉ, o deputado federal Alberto Fraga, então presidente do DEM no Distrito Federal, deu um gostinho do conteúdo. Segundo ele, se algumas das mensagens viessem à tona durante as eleições, teria sido desastroso para o PT. Dilma venceu o segundo turno em 2010 contra José Serra, do PSDB.

Tanto Hillary quanto Macron foram hackeados por um grupo russo conhecido por Fancy Bear ou APT28 (entre outros nomes). Só que as invasões estavam menos para Mr. Robot e mais para príncipe nigeriano. Os ataques foram feitos por meio de phishing: mensagens de e-mail e redes sociais que tentam enganar o alvo para que caia num golpe. O objetivo é fazer com que baixe um programa malicioso ou entre em um site falso que imita o Gmail, por exemplo, para descobrir sua senha.

(Vale a ressalva que o Fancy Bear continua firme e forte. No dia 20 de agosto, a Microsoft anunciou que conseguiu uma ordem judicial para derrubar seis domínios ligados ao grupo que poderiam ser usados para phishing nos Estados Unidos. Um exemplo era o ‘senate.group’. Por e-mail, um representante da Microsoft afirmou que o escopo de um programa da empresa chamado Defending Democracy é global e que há perspectiva de se engajar com outros países de regimes democráticos para proteger suas instituições e processos nos próximos anos.)

No caso da Hillary, um dos motivos do sucesso do ataque foi o descaso da sua equipe. Segundo investigações sobre o caso, a campanha dela usava o GSuite, que oferece configurações de segurança robustas. Mas muitas pessoas ligadas ao partido Democrata preferiam usar seus Gmails pessoais e, pior, se recusavam a adotar autenticação de dois fatores para fazer o login. Assim, quando os hackers russos conseguiram as senhas do e-mail, foi só sentar na mesa e comer o jantar.

“Isso deixa claro como, mesmo na campanha do partido Democrata dos Estados Unidos, a gestão de ciclo de informação é ingênua”, afirma Silvio Meira. “Qualquer pessoa que usa um @gmail.com está fazendo um convite para alguém tentar ir lá e fazer alguma coisa, inclusive com ferramentas prontas que são encontradas na internet.”

Silvio ressalta, no entanto, que um ciberataque exige um alvo. “Não tenho certeza se os partidos brasileiros estão organizados o suficiente para alguém saber onde está o diretório digital de e-mails. Essa rede de informação pode estar tão bem distribuída, tão bem desorganizada, que não há um centro para ser atacado e portanto não há ataque possível”, explica ele.

Para tentar entender como isso se deu durante as eleições de 2014, o Motherboard Brasil conversou com três pessoas que trabalharam na área de tecnologia na campanha daquele ano. Dois deles em um site ligado a Dilma Rousseff e terceiro ao PSDB de forma geral. Todos pediram para não terem seus nomes revelados.

Em comum, ambos os lados relatam que sofriam ataques diários de força bruta (quando uma ferramenta automatizada tenta milhares de combinações de senha para ganhar acesso ao sistema) e negação de serviço (tráfego em excesso para derrubar um servidor).

Do lado da Dilma, houve uma invasão. Os atacantes encontraram uma vulnerabilidade e aproveitaram essa porta para fazer inúmeros requisições ao servidor. “Nós ficamos tentando algumas alternativas para que esse ataque não derrubasse o site. Quando percebemos que tinha um login que não era nossa, vimos que tinha dado merda”, conta um deles.

“Tinha a possibilidade de comprometer inclusive dados da campanha, então a gente derrubou o servidor, tirou do ar, para subir outro.” O site ficou algumas horas fora do ar.

Apesar do clima de guerra política, a percepção é de que esses ataques nem sempre estavam ligados a candidatos adversários. Quando um conteúdo sobre igualdade racial foi lançado, por exemplo, a tentativa de tirá-lo do ar veio de um grupo de supremacistas brancos. Da mesma maneira, a cultura da ownage (fazer algo só para mostrar que é capaz) é parte essencial da cultura hacker.

André Pontes, que trabalha com marketing político há mais de 10 anos e participou da equipe de Marina Silva em 2010, avalia que estratégias do tipo não são orquestradas pelo núcleo duro da campanha. “São militantes do partido, grupos pagos diretamente pelo candidato. Também é comum, conforme um candidato começa a despontar, aparecer muita gente querendo doar coisas. E nem sempre é financeiro, às vezes é esse tipo de serviço. O marqueteiro não tem controle”, explica ele.

Entre os ataques contra Dilma identificados por meio de rastreamento de IP, grande parte vinha do Sul e Sudeste. Também havia um volume grande da China e Ucrânia, respectivamente. O entendimento, no entanto, é que era mais provável que redes desses países foram usados por atores brasileiros (ou os IPs mascarados) do que se tratar de tentativa de interferência externa.

O caso mais curioso foi um ataque cuja origem foi identificada como a sede de um grande escritório de advocacia. A magnitude da ação foi tamanha que parecia impossível isso ter acontecido sem a concordância dos donos.

Por coincidência, o profissional que trabalhou com o PSDB disse que o partido também sofreu um ataque significativo a partir dos computadores de um escritório de advocacia famoso (nenhum deles revelou o nome dos escritórios envolvidos).

Ao contrário do site ligado a Dilma, do lado de Aécio Neves não houve incidente tão grave. Mas o esforço era cotidiano para garantir a integridade dos sistemas. Entre os IPs utilizados nos ataques, havia muitos russos e chineses. A avaliação era que se tratavam também de ações domésticas.

Por mais que as estratégias de segurança estivessem azeitadas, tanto no PT quando no PSDB havia vacilos das pessoas. Não raro ataques de phishing por redes sociais com o link para uma foto incrível do último comício, por exemplo, inutilizavam alguns computadores com vírus.

Outra hábito comum que dava dor de cabeça era o compartilhamento de senhas por várias pessoas da equipe que acessavam os sites. “Não adianta nada articular uma boa estratégia de hardware e software para inibir ataques se as pessoas acabam falhando em práticas simples”, diz uma das que trabalhou na campanha da Dilma.

Em maio, o site do diretório mineiro do PSDB foi hackeado. Ao entrar no endereço, o visitante era redirecionado para uma página com críticas à política em geral e a Michel Temer em particular. O responsável pelo ataque fez isso a partir de um desleixo do administrador.

A despeito de ter sido hackeado, Emmanuel Macron ganhou com facilidade na França. Para Hillary Clinton, por outro lado, o golpe foi duro. O tema foi um dos mais discutidos na mídia na prévia das eleições americanas, alguns analistas dizem que o vazamento foi fundamental para a derrota de Hillary e Donald Trump até hoje incita seus fãs contra ela por conta disso.

Aqui no Brasil, no entanto, o entendimento é que seria difícil um ataque do tipo causar um impacto tão grande.

“Vale lembrar que a Hillary teve esse baque por usar e-mails privados para comunicação de fatos ligados ao governo, o que ela não poderia fazer lá”, diz Paulo Rená. “Aqui no Brasil é o contrário, o padrão é órgãos públicos se valerem de ferramentas privadas.”

É consenso que um ataque direto a um site, ou o roubo pontual de um perfil no Facebook ou Twitter, não traria grandes prejuízos. O problema surgiria se isso servisse de porta de entrada para informações mais sensíveis, como comunicação da equipe ou planejamento da campanha.

Num cenário em que uma invasão fosse obra de um adversário, Silvo Meira acredita que a estratégia seria manter sigilo e aproveitar o acesso privilegiado para ter vantagem competitiva. “Certas coisas tem tempo e estratégia para serem ditas numa campanha, se você sabe antes o que o adversário está planejando, vê um vídeo antes de ser lançado, consegue se planejar para jogar na defesa ou ataque.”

Fato é que o jogo feito às claras com fake news, bots e mensagens de WhatsApp impossíveis de serem monitoradasm deve pesar mais. “Para muita gente a internet é espontânea, bonitinha. Quando você olha por trás da cortina vê que não é bem assim. Galera mais preparada tecnologicamente vai dominar e, para isso, vão usar tanto ferramentas sadias, como conteúdo engajado, quanto ferramentas para mascarar acesso, robôs, sites com fake news e por aí vai”, diz uma das fontes que trabalhou na campanha petista em 2014.

Apesar disso, Paulo Bená acredita que a cibersegurança merecia mais atenção dos presidenciáveis. “Minha preocupação não é com interferência, mas com a falta de visão estratégica sobre isso. Não afeta só candidatura. Alguém vai ganhar essa eleição, e se não tiver uma preocupação com isso, nós teremos um problema no futuro.”

Dias depois da conversa no aeroporto, o assessor de imprensa de Ciro Gomes (PDT), Vicente Gioielli, ressaltou que a campanha tem sim uma estratégia de prevenção contra ataques de hackers. “Não é uma preocupação dele, o candidato tem que pensar em outras coisas, a segurança cibernética e de dados cabe a organização do comitê e do PDT”, disse Vicente.

José Crispiniano, assessor de imprensa da campanha petista, disse que a “primeira medida de segurança que a gente tem é não falar sobre isso”. Até segunda ordem, o candidato do PT é Lula.

O PSDB, de Geraldo Alckmin, seguiu uma linha semelhante. Por e-mail, o partido afirmou que “para assegurar a segurança, não falamos sobre o sistema de segurança”.

As campanhas de Jair Bolsonaro (PSL), Marina Silva (Rede) e Álvaro Dias (Podemos) não se posicionaram sobre o tema.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter , Instagram e YouTube .