As prioridades de cibersegurança do Pentágono são as mesmas há uma década

Essa matéria foi originalmente publicada na página War is Boring.

Um documento recém-liberado pelo governo norte-americano revela o quão pouco as políticas do Pentágono quanto às ameaças no ciberespaço mudaram na última década. Enquanto os legisladores do país decidem o futuro da cibersegurança militar dos EUA, especialistas afirmam que esse é, ao mesmo tempo, um bom e mau sinal.

Em 2006, o Pentágono organizou uma simulação inédita envolvendo um "ataque profissional" à rede de computadores das forças armadas. A simulação, conhecida como "Bulwark Defender", tinha como objetivo avaliar a comunicação entre diferentes setores das forças armadas durante um ataque à sua rede de computadores.

O exercício confirmaria, segundo um relatório oficial, "a importância de defender essas redes". Tivemos acesso a esse documento — anteriormente classificado como "material sigiloso" — por meio da Freedom of Information Act.

*

Tendo em vista o conteúdo desse relatório, o Pentágono parece bem "preocupado com o futuro", diz Samuel Visner, especialista em cibersegurança e vice-presidente sênior da ICF International. Segundo ele, o Departamento de Defesa "fez um bom trabalho em caracterizar as ameaças a suas redes".

A "equipe vermelha", time de falsos hackers criado especialmente para a simulação, recebeu a missão de atacar a Força Aérea Americana, o Exército, a Marinha e os Fuzileiros Navais em mais de vinte centrais de comando espalhadas por todo o país. Ao longo de duas semanas, os falsos criminosos tentaram invadir, danificar ou desmantelar a rede de computadores dessas instituições.

A equipe vermelha usou toda forma de ataque possível para danificar impressoras, roubar senhas e desacelerar ou derrubar redes.

Em uma das fases da simulação, os invasores conseguiram invadir a rede da sede da Força Aérea responsável pelas operações no Pacífico e na Europa. Eles também invadiram e derrubaram outras oito redes.

Em outra fase do exercício, a equipe vermelha teve acesso a informações confidenciais de nove bases americanas localizadas nos EUA e na Turquia por meio de um tipo de ataque conhecido como phishing. O phishing consiste no envio de mensagens falsas — normalmente disfarçadas de algum tipo de mensagem oficial — a fim de obter senhas e outras informações pessoais. Três dos ataques de phishing lançados pela equipe vermelha resultaram em acesso total às redes atacadas.

O Pentágono gastou cerca de US$290.000 na simulação, quantia retirada do Fundo de Iniciativa dos Comandantes Operacionais. De acordo com um relatório publicado em 2008, esse dinheiro é destinado à "circunstâncias inesperadas".

Apesar dos resultados preocupantes, o Comando Estratégico Americano afirmou que a simulação revelou quais procedimentos de segurança eram ou não eficazes. Em muitos casos, proteções físicas e respostas imediatas bloquearam os ataques antes que eles pudessem causar qualquer dano.

Alguns grupos "identificaram os ataques em minutos", aponta o relatório. Mesmo assim, "muitos… se preocuparam em restaurar o serviço em vez de defendê-lo".

A simulação "não deu tanta atenção à resiliência — a capacidade de operar num ataque — durante o processo de defesa e recuperação quanto hoje seria recomendado", acrescenta Visner. Para completar, os ataques não incluíram computadores privados de empresas que fornecem serviços ao governo ou conduzem programas importantes.

Visner salientou que a ligação entre o setor militar e o chamado "setor industrial de defesa" ainda era um conceito novo em 2006.

Hoje, em 2016, parece que nem o Pentágono nem seus opositores mudaram muito. "O relatório indica que muitas das preocupações de 2016 já existiam em 2006", disse o Dr. Jeffrey Richelson, que atualmente gerencia o projeto Cyber Vault, do Arquivo de Segurança Nacional.

O Pentágono tem sido consistente em sua abordagem quanto à cibersegurança. Mas a verdadeira eficácia dessa abordagem tem instigado discussões em Washington.

Pelo terceiro ano consecutivo, membros do Congresso acusaram a China e outros países de hackear redes do exército e de empresas terceirizadas ligadas ao setor de defesa nacional.

Em um caso particularmente preocupante, hackers de Pequim teriam roubado dados do programa de caças F-35 Joint Strike Fighter. Os legisladores têm criticado a falta de reação do Pentágono frente a essas invasões.

"Eles podem roubar nossos segredos de Estado mais importantes só porque vivemos paralisados pelo medo?", perguntou John McCain, um senador republicano do Arizona, a Bob Work, Vice-Secretário de Defesa, durante uma audiência ocorrida no dia 29 de setembro de 2015. McCain havia criticado Work após o Pentágono se recusar a apontar a China como mentora de alguns dos piores ciberataques.

Nove meses depois, terroristas ligados ao Estado Islâmico controlaram por alguns minutos a conta de Twitter do Comando Central dos EUA. Em outro setor do governo, o Departamento de Administração anunciou que hackers haviam roubado milhões de dados pessoais de seus servidores.

"Não acho que o problema seja a falta de foco em questões mais específicas", disse Richelson. "Mas, sim, o fato das etapas das ciberoperações serem sempre as mesmas, posto que elas seguem sempre uma mesma lógica."

Resumindo, o foco do Pentágono não é necessariamente o problema. Como a simulação de 2006 revelou, defender redes e reforçar defesas são objetivos de longa data. Na verdade, o problema é como as forças armadas estão implementando — ou não — essas políticas.

Independentemente da dimensão das possíveis melhorias, as forças armadas "amam se parabenizar", afirma Robert lee, um ex-oficial de cibersegurança da Air Force e membro da New America, uma think tank de Washington.

Em 2009, o Pentágono criou o Comando Cibernético, uma central destinada a corrigir esses problemas. Mas depois de quase sete anos, a instituição não foi capaz de resolver os infortúnios identificados ainda em 2006.

Com relação à cibersegurança, as forças armadas americanas "sofreram grandes mudanças culturais", explica Lee. Mesmo assim, ele acrescenta que "o Comando Cibernético ainda não está pronto".

Desde o final da Segunda Guerra Mundial, o Pentágono vem buscando soluções tecnológicas para desafios militares. Se seu inimigo tem tanques, é preciso comprar mais tanques e armas apropriadas. Se seu adversário tem mísseis e radares poderosos, você compra caças stealth.

Essa lógica não se aplica ao ciberespaço, diz Lee. Embora o objetivo ainda seja proteger uma rede específica, as ferramentas mudam constante e dramaticamente.

O Pentágono tem um "foco excessivo em malwares", diz Lee, referindo-se aos softwares que podem danificar as funções de um computador. "Essa é apenas uma entre várias ferramentas."

*

Os hackers estão sempre aperfeiçoando suas tecnologias e buscando novas formas de invadir computadores. De certa forma, as tropas norte-americanas estão tentando fazer o mesmo — mas apenas em alguns casos. Um relatório lançado em 2016 pela Secretaria de Responsabilidade Governamental determinou que a Força Aérea ainda utiliza disquetes e computadores de 40 anos atrás para administrar parte de seu programa nuclear.

O mais importante, acrescenta Lee, é que a Força Aérea "ainda está tentando entender porque isso importa". Outra questão é o fato de que a Casa Branca, o Pentágono e o Congresso não conseguem decidir se os Estados Unidos devem ocupar uma posição ofensiva ou defensiva — ou talvez ambas — na guerra cibernética.

Com objetivos confusos e por vezes contraditórios, os orgãos vêm tentando implementar suas próprias políticas de cibersegurança. Para piorar, o treinamento das "ciber-tropas" é muitas vezes "insuficiente", conta Lee.

O plano do Pentágono de construir um "centro" comum de treinamento cibernético, onde as tropas praticariam táticas de ciberdefesa, "tem, com base nos relatórios, menos êxito do que o previsto", disse Visner. Esse sistema de treinamento unificado poderia ajudar a padronizar as táticas militares de ciberdefesa.

Mas as forças armadas temem que esse treinamento possa se tornar, ironicamente, um belo alvo para hackers. Esse também é o perigo de envolver a cibersegurança sob camadas e mais camadas de classificações, o que prejudica a padronização do treinamento entre as diversas divisões das forças armadas. Lee conta que, atualmente, é mais fácil organizar um ataque aéreo do que comprar um novo roteador para um escritório das forças armadas.

É por isso que Lee concorda em "tirar as rodinhas da bicicleta" e transformar o Comando Cibernético em um orgão independente. Hoje, o Comando Cibernético faz parte do Comando Estratégico, mas seu diretor é o chefe da Agência de Segurança Nacional — em outras palavras, uma organização desnecessariamente complicada.

Essa hierarquia confusa significa que o Comando Cibernético nunca é obrigado a arcar com seus próprios erros. Em momentos de crise, ele pode pedir ajuda de ambas instituições.

Ambos o diretor da NSA, Michael Rogers, e Ashton Carter, Secretário de Defesa, apoiam a proposta de expandir o Comando Cibernético e torná-lo mais independente. O Congresso considera financiar essa expansão com o orçamento do Pentágono para o ano fiscal de 2017.

Para realmente consertar os ciberproblemas do Pentágono, o Congresso precisa criar políticas de cibersegurança mais claras, diz Lee. Só então as forças armadas poderão desenvolver planos viáveis.

De qualquer forma, é improvável que os objetivos do Pentágono mudem num futuro próximo, acrescentou Richelson. Embora as ferramentas e as táticas possam evoluir, as forças armadas podem, daqui uma década, ainda enfrentar essas mesmas ameaças à sua segurança digital.

Tradução: Ananda Pieratti