A revista Superinteressante (do qual sou SuperFã) de fevereiro trás uma reportagem fantástica intitulada "O vírus que salvou o mundo". A matéria tratava de apresentar o mais poderoso vírus de computador do mundo já concebido, e ainda em atividade: Stuxnet.
Como o tema é da minha área fiquei obviamente mais interessado pelo assunto e resolvi pesquisar um pouco mais na Web. O que achei quero dividir com vocês através desse post.
Pois bem...O tal Stuxnet não roubou dados, não congelou sites, não derrubou sistemas nem desviou dinheiro de grandes sistemas de bancos ou financeiras. Ele é um vírus chato e enjoado, só ataca instalações nucleares. Isso mesmo!
O Stuxnet infectou instalações nucleares do Irã e da Índia por meio de brechas desconhecidas no Windows.
O vírus foi detectado em junho deste ano, mas só ganhou notoriedade por forçar a Microsoft a lançar uma correção de emergência no início de agosto. Porém, mesmo há meses sendo pesquisado, o vírus ainda tem origem desconhecida. Os principais alvos são sistemas de controle de automação e monitoramento industrial, conhecidos pela sigla SCADA, da empresa alemã Siemens.
"Um ataque como esse pode infectar milhares de máquinas no mundo todo, especialmente em países que trabalham com a tecnologia SCADA. O Stuxnet foi criado para sabotar ou restringir o funcionamento dessas infraestruturas", explica Dimitry Bestuzhev, Analista Regional de Malware da Kaspersky Lab para a América Latina.
O Stuxnet é, portanto, um programa malicioso, ou malware, que ataca sistema de controle industrial amplamente utilizados e criados pela empresa alemã. Especialistas afirmam que o vírus pode ser usado para espionagem ou sabotagem. Também acreditam que os hackers tenham optado por distribuir o vírus por pen drives pois muitos sistemas SCADA não estão conectados à internet, mas têm portas USB.
A empresa de soluções de segurança para informática, Kaspersky Lab, iniciou uma cooperação com a Microsoft para combater uma série de vulnerabilidades do Windows. Desde julho deste ano, os especialistas em segurança da informação têm acompanhado a evolução deste malware e detectaram que, além de processar arquivos de extensão LNK e PIF (arquivos de acesso direto), o vírus também usa outras quatro vulnerabilidades no Windows.
Dados da Kaspersky indicam que a Índia é o país com mais atividade do Stuxnet, seguido da Indonésia e do Irã. Já dados da Symantec, um pouco mais antigos, apontam o Irã como sendo o país com o maior número de computadores infectados.
Mas afinal, o que o vírus fez?
O Stuxnet mostrou que um vírus de computador pode destruir máquinas fisicamente, causando mais danos do que se um grupo de vândalos entrasse nas instalações e qubrasse tudo no porrete. O primeiro passo para entender como ele conseguiu isso é visualizar uma bomba atômica. Para enriquecer o urânio, precisam das centrífugas desse material que são cilindros que giram a mais de 1.000 rotações por segundo. E foi aí que o Stuxnet agiu: as centrífugas rodam a 1.064 giros por segundo e quando o sistema invadiu ele manda a rotação aumentar em 40%, mas só por 15 minutos para não levantar suspeitas. Enquanto isso ele ainda manda o sistema de segurança das instalações dizer que está tudo bem e ninguém vê nada de errado. Aí passam mais de algumas semanas e tome 40% a mais outra vez. O alumínio dos rotores não aguenta o esforço e racha ferrando com as centrífugas. Foi o que ocorreu no Irã.
O governo do Irã negou tudo de início mas só se manifestou em junho de 2010 depois que o vírus foi descoberto na Bielo-Rússia. Na ocasião Ahmadinejad disse que o Stuxnet só tinha atingido computadores pessoais dentro das usinas. Apenas em novembro que admitiram: o vírus tinha denificado "uma quantidade limitada de centrífugas".
Tática de Guerra
Interessante foi a estratégia de contaminação. O SCADA não se conecta a à internet por pura questão de segurança. Então como invadí-lo?
Bem, nosso PC pode estar com o Stuxnet nesse momento, mas sem estresse. O tareco é inofensico para Windows, MacOS, Linux ou qualquer sistema operacional que possamos usar em casa, pois ele foi feito para ferrar mesmo com o SCADA responsável pelas ditas centrífugas de urânio.
E mais: ele não detona qualquer sistema SCADA, Cada tipo de usina de enriquecimento de urânio usa esse sistema numa configuração particular e o vírus foi programado para atacar só a configuração que as usinas do Irã usam. E ainda foi programado para infectar apenas computadores que estão localizados geograficamente no Irã. Alguém duvida que o Stuxnet seja uma arma de guerra?
Embora o SCADA não tenha conexões com a Internet, a estratégia de contaminação estava clara: contaminar em massa os computadores pessoais do país contando com que algum funcionário tivesse seu pen drive infectado em casa e acabasse levando o vírus para as instalações nucleares. Deu certo!
Especialistas ainda garantem que o Stuxnet só infecta computadores que possuem uma placa de rede específica. Além disso, ele tenta impedir sua propagação para mais de três computadores e por mais de três semanas. Especulações indicam que os criadores do Stuxnet não queriam que ele tivesse se disseminado tanto. O objetivo do Stuxnet não era obter informações, e sim a sabotagem de determinados elementos. O Stuxnet é prova clara de que uma nova era começou: a era da ciberguerra.
E de quem foi a encomenda?
Definitivamente o Stuxnet não foi gerado num quarto de uma república de estudantes geeks de computação. Ele é uma arma de guerra. Algum grupo muito poderoso e com interesses na indústria nuclear dos países está envolvido, pode crêr!
Especialistas calculam, segundo a Super, que seria necessária uma equipe de 6 a 10 pessoas trabalhando por 6 meses para criar um vírus tão sofisticado, além da coleta de informações através da espionagem. O Stuxnet sabia como as centrífugas iranianas funcionavam. Isso aí é coisa de governos.
Fontes ligadas ao governo dos EUA disseram ao jornal New York Times que a CIA estudou como invadir os sistemas da Siemens usados nas instalações iranianas. Esssa informações, segundo eles, foram passadas para Israel, que teria testado a eficácia do Stuxnet nas suas próprias centrífugas de urânio. Também há uma evidência de que um dos arquivos do Stuxnet se chama Myrtus ("Esther", em hebraico). Seria uma referência à personagem Esther do Antigo Testamento. Esther está envolvida na história em que há um complô persa para destruir os judeus (onde ficava a Pérsia?...).
Siemens, Microsoft e outros especialistas em segurança que estudaram o vírus ainda não determinaram sua origem.
A guerra do futuro está aí, se apresentando: é a Guerra Cibernética. E não menos letal que todo e qualquer modelo de guerra já registrado nos livros de história.
Especulações indicam que os criadores do Stuxnet não queriam obter informações, e sim a sabotagem de determinados elementos. O Stuxnet é prova clara de que uma nova era começou: a era da ciberguerra.
É aí que está a diferença e o marco para um novo mundo. A década de 90 foi marcada pelos vândalos cibernéticos e os anos 2000 pelos cibercriminosos. Agora estamos entrando na década do terrorismo cibernético.
Para o engenheiro americano John Weiss, um dos primeiros a estudar o Stuxnet, a ameaça de ciberataque vale para todos. Recentemente, ele reuniu evidencias de 180 casos de grandes sistemas de infraestrutura danificados em diferentes partes do mundo. E considera que boa parte aconteceu de propósito.
"Houve um caso em que uma usina de energia americana ficou duas semanas parada e ninguém sabia o que era. Ninguém avisou as autoridades, nem o FBI, porque acreditavam, como sempre, que era só um problema técnico. Mas quem garante que não foi um ataque virtual?"
Vou escrever alguns post sobre ciberataques que ficaram consagrados pela mídia. Sem dúvida nenhuma um tema pertinente.