Modo Noturno:

Operação Jogos Olímpicos: Geopolítica, Engenharia de Software e Stuxnet

Página anterior

Jogos Olímpicos

zerodays5Usando como fonte funcionários ou ex-funcionários da NSA que participaram ou estavam muito próximos do desenvolvimento do Stuxnet, o terceiro ato do filme abre com uma afirmação categórica: “A NSA desenvolveu o Stuxnet. Isso é um fato.” É claro que o nome usado internamente não era Stuxnet. A operação era chamada Jogos Olímpicos (talvez uma alusão ao ataque sofrido pela delegação israelense nos Jogos Olímpicos de 1972) e internamente o software era conhecido como O.G., abreviação de Olympic Games. O presidente Bush autorizou o desenvolvimento da ciberarma, mas deixou claro que só autorizaria seu uso se ficasse claro que o worm era capaz de atrasar o programa nuclear iraniano sem causar danos colaterais.

A equipe de desenvolvimento decidiu que a melhor forma de sabotar as operações da usina nuclear seria mexer na velocidade das centrífugas a ponto de causar sua danificação. Isso foi implementado de duas formas: primeiro, fazendo as centrífugas girarem várias vezes mais rápido que a velocidade operacional normal (que já era tão rápida quanto a velocidade do som); segundo, fazendo-as girar muito lentamente, o que elas também não estavam preparadas para suportar.

Uma vez implementado o código, ele foi testado em um PLC ainda na NSA. Depois disso, o programa foi testado em centrífugas vindas da Líbia, que eram do mesmo modelo que as iranianas, também compradas do Paquistão. O Coronel Muammar Gaddafi havia desistido de seu programa nuclear em 2003 e as centrífugas estavam armazenadas nos EUA. Um ambiente de testes foi montado e os testes realizados. Depois de várias tentativas, eles obtiveram sucesso. Quando o restos de uma das centrífugas destruídas durante os testes foram levados para a Casa Branca e espalhados sobre a mesa da Situation Room (que pode ser traduzida como Sala de Controle ou Sala de Situações Especias), o presidente Bush finalmente autorizou a utilização da arma cibernética.

Eles tinham então que vencer o próximo obstáculo: a usina de Natanz estava completamente desconectada da Internet ou qualquer outra rede pública. Os sistemas das centrífugas teriam que ser fisicamente acessados para serem contaminados. Entram então os israelenses e sua rede de espiões.

Na verdade, os israelenses participaram remotamente de todo o processo de desenvolvimento por meio da Unidade 8200, uma parte das forças armadas israelenses tão capaz quanto a NSA de desenvolver esse tipo de arma. E os americanos faziam questão dessa proximidade com os israelenses, pois um dos objetivos da operação era convence-los de que ataques militares convencionais não eram necessários para comprometer o programa nuclear iraniano. Os israelenses precisavam confiar no software o suficiente para abandonarem as loucas ideias de guerra contra o Irã.

A responsabilidade de penetrar na instalação e contaminar a usina ficou com os israelenses. Por meio de espiões disfarçados de prestadores de serviço ou mesmo de autênticos prestadores de serviço que não sabiam o que estavam carregando, o worm foi inserido na rede interna da usina. Inicialmente, os resultados foram exatamente os esperados.

A “beleza” desse ataque estava não apenas na destruição física causada pela arma virtual. Havia também o efeito psicológico: sem saber que estavam sendo sabotados, os iranianos acharam que as centrífugas estavam explodindo devido à própria incompetência. E o worm foi implementado com isso em mente.

Como detectado pelos engenheiros da Symantec, o software realizava vários testes e outras atividades antes de efetivar um ataque. O que eles não sabiam era que os testes eram para detectar a presença dos drivers dos PLCs no sistema operacional infectado. Uma vez que um PLC era detectado, o worm passava vários dias apenas coletando dados das atividades realizadas pelos cientistas iranianos. Quando tinha dados o suficiente e lançava o ataque, o worm alterava a velocidade das centrífugas enquanto enviava para os sistemas de monitoramento os dados normais coletados nos dias anteriores.

Dessa forma, mesmo durante um ataque, os iranianos só saberiam que haviam algo errado quando ouvissem o barulho anormal provocado pelas centrífugas em altíssima velocidade, e sua subsequente explosão. Ainda que eles tentassem interromper o processo acionando algum comando de emergência, a instrução era interceptada pelo worm e simplesmente ignorada. Ou seja, em determinado momento as centrífugas iranianas começaram a explodir, e os cientistas não conseguiam nem entender nem interromper o que estava acontecendo. A partir de determinado momento, os inspetores da AIEA começaram a detectar que várias das centrais de centrífugas de Natanz estavam sendo desativadas ou mesmo desmontadas, e que pessoas estavam sendo demitidas.

Porém, os danos causados não estavam sendo suficientes para os israelenses.

Descontrole de danos

zerodays4Em 2009, Benjamin Netanyahu tornou-se primeiro ministro de Israel e seus discursos contra o programa nuclear iraniano mostravam que ele estava disposto a mostrar serviço. A situação para ele era insustentável, pois os americanos não pareciam capazes ou dispostos a lidar de forma energética com o programa nuclear iraniano. Em 2010 teve início um programa de assassinatos de cientistas nucleares do Irã, resultando em 4 cientistas mortos até 2012. Fora isso, Bibi (como Netanyahu é conhecido), colocava cada vez mais pressão no chefe da inteligência israelense, que precisava rapidamente mostrar resultados. Isso provavelmente levou a Unidade 8200 a tomar as decisões que mudariam o rumo de toda a operação.

As primeiras versões do worm Jogos Olímpicos eram pequenas e simples. O worm dependia ainda de alguma interação humana proposital para passar de uma máquina pra outra. Uma parte importante da operação era não permitir que a arma fosse detectada, para não cair nas mãos de inimigos. Porém, sem comunicar aos norte americanos, a Unidade 8200 modificou o worm para torná-lo mais agressivo, e pular de uma máquina para outra sem o usuário perceber. Várias outras modificações foram feitas, até chegarem na versão 1.1, que foi a versão “monstruosa” analisada pelos engenheiros da Symantec. Talvez o objetivo dos israelenses fosse que, uma vez dentro da instalação, o worm infectasse a maior quantidade possível de centrífugas.

Uma das características do Jogos Olímpicos é que ele mantém um log de todas as máquinas que ele infectou até chegar na máquina atual. Os engenheiros da Symantec analisaram os logs de versões do worm que chegaram de diversas partes do mundo e conseguiram rastrear todas elas para 5 empresas iranianas, todas fornecedoras de peças ou serviços para a usina de Natanz. Pode ser que funcionários dessas empresas tenham sido usados para infectar Natanz ou que eles tenham conectado pen drives em computadores contaminados da usina e depois os utilizaram em máquinas externas. O importante é que uma vez fora da usina, o worm é incontrolável.

O fato de que ele só entra em ação caso um PLC seja detectado o torna inofensivo para a grande maioria dos computadores pessoais. O problema é se o worm infectar alguma planta industrial que utilize o mesmo PLC da Siemens vulnerável ao ataque. A infraestrutura de fornecimento de energia elétrica, água ou qualquer outra aplicação poderia ser acidentalmente comprometida. Além dos danos materiais, um worm como esse coloca em risco a vida de muitas pessoas que dependem de sistemas industriais em seu dia-a-dia. Outro fator de risco é a possibilidade de outros hackers copiarem os exploits utilizados pelo Jogos Olímpicos, sejam hackers independentes ou forças de inteligência de outros países. Pode-se dizer que a Operação Jogos Olímpicos teve o pior resultado possível.

Em 2008, depois de assumir a presidência americana, Barack Obama permitiu que a operação continuasse depois de ter sido informado e de ter recebido algumas garantias. Dois anos depois, a palavra Stuxnet começou a aparecer em todos os jornais do mundo, seguida apenas da dúvida sobre quem exatamente o teria desenvolvido, Israel ou os EUA. Um grupo de oficiais de inteligência teve a difícil tarefa de informar ao presidente e ao seu vice Joe Biden na Situation Room que a arma havia vazado. “Vocês disseram que jamais saberiam que fomos nós. Eles sabem. Disseram que jamais iria sair da usina de Natanz. Saiu. Disseram que ela iria atrasar consideravelmente o programa nuclear iraniano. Não atrasou”, teria dito Obama, enquanto o vice xingava e culpava os israelenses pelo fiasco.

Uma vez cientes dos ataques, os iranianos passaram a tomar cuidado e aprenderam a identificar as máquinas infectadas. Nos anos seguintes, Natanz voltou a funcionar normalmente e outras instalações nucleares foram construídas, o que causou um aumento vertiginoso na quantidade de centrífugas iranianas. Aparentemente, o ataque apenas os deixou mais motivados e os tornou mais resilientes.

Outro grupo que ficou furioso com o vazamento foi a equipe de desenvolvimento da NSA. A arma que eles haviam cuidadosamente desenvolvido estava agora solta no mundo, colocando a economia e muitas vidas em risco. Mas não foi por isso que esses funcionários ou ex-funcionários resolveram revelar tantos detalhes sobre a Operação Jogos Olímpicos, o que pode resultar em punições penais caso sejam identificados. Ao contrário do que se pode imaginar, eles realmente acreditam na missão da agência e na importância da operação, e deixam claro que não são como Snowden e nem concordam com o que ele fez. O que os preocupa é o fato de tudo isso estar escondido e longe do escrutínio da sociedade.

Jogos de Espiões

Quando o Stuxnet vazou, o Diretor de Cibersegurança do Departamento de Segurança Interna dos Estados Unidos, que não sabia sobre a Operação Jogos Olímpicos, levantou todas as bandeiras vermelhas que ele podia. Ele comunicou o nível elevado de ameaça a várias outras agências de segurança e até a própria Casa Branca. Inúmeras equipes foram mobilizadas para tentar descobrir como o worm funcionava e o que se podia esperar dele. Por algum tempo, seu departamento esperava que algum mega ataque cibernético contra os Estados Unidos estava prestes a acontecer. Em nenhum momento a NSA ou a CIA, que estava ciente da operação, o informou que eles mesmos haviam desenvolvido o worm, ou o que podia ser esperado dele. O próprio Departamento de Segurança Interna estava sendo vítima do excesso de confidencialidade típicos da comunidade de inteligência.

No final da Segunda Guerra, depois que armas nucleares haviam sido desenvolvidas e usadas, era de conhecimento público sua existência e o estrago que poderiam causar. Isso gerou uma profunda e longa discussão na sociedade, sobre como e por quais motivos seria válido usar tais armas. Em outras palavras, nos países democráticos a sociedade civil pode discutir e se manifestar, seja nas ruas ou nas urnas, sobre esses assuntos. O mesmo não se aplica ao desenvolvimento de armas cibernéticas, que estão sempre envoltas em um alto grau de confidencialidade. O General Hayden, que considera exagerado o atual nível de confidencialidade dessas armas, diz que talvez isso seja consequência de seu desenvolvimento pela comunidade de inteligência, que tem o costume de manter tudo o que fazem em segredo.

Até hoje, o governo norte americano não assumiu publicamente a autoria do Stuxnet. Alguns dos entrevistados para o filme imaginam que isso tenha dois motivos: o primeiro seria o de evitar eventuais consequências legais do vazamento do worm; o segundo seria evitar que o poder legislativo tente estabelecer as regras de utilização desse tipo de arma.

Dentre os documentos vazados por Edward Snowden em 2013, encontra-se um memorando interno do poder executivo, assinado por Barack Obama, no qual são estabelecidas regras para o desenvolvimento e uso de ciber-armas. Um dos pontos principais é que uma ciber-arma só pode ser “disparada” por ordem direta do presidente. Curiosamente, apenas uma outra classe de armamento tem um uso tão restrito: as armas nucleares. Porém, enquanto essas já passaram por mais de 50 anos de debate público, as armas cibernéticas praticamente acabaram de surgir. A importância de se levantar toda essa confidencialidade e levar o discurso para a esfera pública é o principal argumento defendido pelo documentário Zero Days.

Por fim, as fontes da NSA revelam que Jogos Olímpicos era apenas uma pequena parte de uma operação muito maior. Caso os EUA realmente entrassem em guerra com o Irã, seria acionada a Operação Nitro Zeus. Segundo eles, Nitro Zeus já estaria infiltrado em toda a infraestrutura civil e militar do Irã e, se acionado, tem a capacidade de derrubar toda a infraestrutura do país. É justamente devido ao poder destrutivo dessa arma que um debate público é necessário. Uma vez autorizado um ataque, não tem como abortar a missão; não tem como controlar os danos; derrubada a infraestrutura, não é possível simplesmente “ligá-la” novamente. As possíveis perdas humanas são incalculáveis.