Nas últimas décadas, mais de 40 estados estabeleceram publicamente algum tipo de comando cibernético militar, com pelo menos mais uma dúzia planejando fazê-lo. No entanto, apesar dessa proliferação, ainda há pouca avaliação da quantidade absoluta de tempo e recursos que um comando cibernético eficaz requer.
No meu livro Sem atalhos: por que os Estados lutam para desenvolver uma força cibernética militar, divido os desafios de construir um comando cibernético eficaz em cinco categorias que chamo de estrutura PETIO: pessoas, façanhas , conjunto de ferramentas, infraestrutura e estrutura organizacional. O que isso significa para aspirantes a poderes cibernéticos? Em primeiro lugar, o elemento mais importante do desenvolvimento de uma capacidade cibernética ofensiva são as pessoas — não apenas as que têm conhecimento técnico, mas também linguistas, analistas, suporte de front-office, estrategistas, especialistas jurídicos e consultores específicos de operações. Em segundo lugar, muita atenção tem sido dada à implantação de exploits de dia zero, ou desconhecidos, pelos estados. No entanto, explorações e ferramentas conhecidas também podem ser altamente eficazes se o invasor tiver um conhecimento superior de seu alvo e de suas capacidades. Em terceiro lugar, os investimentos em infraestrutura – como o estabelecimento de um alcance cibernético para treinamento e teste – são um requisito essencial para desenvolver uma capacidade cibernética ofensiva e têm um alto custo.
Torne-se um membro
Pessoal técnico não é suficiente
Uma visão generalizada na gestão de negócios é que, à medida que as habilidades cognitivas de um trabalho aumentam, as pessoas - em vez da tecnologia - tornam-se mais importantes. Esses “trabalhos de pensamento”, como Daniel Pink os chama, exigem maiores habilidades de resolução de problemas e pensamento criativo, o que significa que as empresas só podem ser bem-sucedidas se cultivarem uma cultura que priorize o elemento humano. Para aspirantes a poderes cibernéticos, isso é verdade para mais do que apenas especialistas técnicos.
Claro, uma organização cibernética militar precisa de analistas de vulnerabilidade ou caçadores de bugs. Esses funcionários procuram vulnerabilidades de software. Eles também precisam de desenvolvedores, operadores, testadores e administradores de sistema para executar uma operação com sucesso e garantir que os recursos sejam desenvolvidos, implantados, mantidos e testados de maneira confiável.
Mas construir uma capacidade cibernética ofensiva também requer uma força de trabalho mais abrangente. Primeiro, a assistência de linha de frente é necessária para apoiar as atividades de operadoras e desenvolvedores. Isso pode incluir atividades como registro de contas ou recursos de compra de empresas privadas. Em segundo lugar, uma organização militar ou de inteligência com a melhor força cibernética do mundo está fadada ao fracasso sem orientação estratégica. O sucesso operacional ou tático não é igual à vitória estratégica. Uma operação pode ser perfeitamente executada e contar com um código impecável, mas isso não leva automaticamente ao sucesso da missão. Por exemplo, o Comando Cibernético dos EUA pode limpar com sucesso os dados do servidor de uma empresa petrolífera iraniana sem realmente garantir qualquer mudança na política externa iraniana. Uma organização só pode funcionar se houver uma compreensão clara de como os meios disponíveis alcançarão os fins desejados. Uma tarefa importante dos estrategistas é coordenar atividades com outras unidades militares e estados parceiros. Eles também estão envolvidos na seleção de pacotes-alvo, embora uma posição separada seja frequentemente criada para “alvos”. Os alvos indicam os alvos, avaliam os danos colaterais, gerenciam a resolução de conflitos e ajudam no planejamento do processo operacional.
Qualquer agência militar ou civil que conduza operações cibernéticas como parte de um governo com uma estrutura legal também lidará com um exército de advogados. Esses especialistas jurídicos estarão envolvidos no treinamento, aconselhamento e monitoramento. A conformidade com a lei da guerra, a lei dos conflitos armados e quaisquer outros mandatos legais requer operadores de treinamento legal, desenvolvedores e administradores de sistemas para evitar violações. Os especialistas jurídicos fornecem suporte de planejamento enquanto aconselham, revisam e monitoram os planos operacionais. Por exemplo, no planejamento da Operação Glowing Symphony do Comando Cibernético dos EUA em 2016, que buscava interromper e negar o uso da Internet pelo ISIL, esses especialistas ajudaram a especificar o plano de notificação, a lista de verificação da missão e o processo de autorização.
Integrar especialistas jurídicos nos vários estágios de uma operação cibernética é difícil. Na verdade, provavelmente requer várias conversas críticas com a liderança e as equipes operacionais para garantir que eles entendam suficientemente o que está sendo proposto antes que possam dar a aprovação. Além disso, a forma como certas operações são executadas dificulta a verificação legal. Por exemplo, no caso de malware autopropagado como o Stuxnet, uma vez que você se compromete, é difícil voltar atrás.
Um grupo diversificado de analistas técnicos é então necessário para processar informações durante e após as operações. Analistas não técnicos também são essenciais, principalmente para entender como as pessoas na rede de destino responderão a uma operação cibernética. Isso requer analistas com conhecimento específico sobre o país, cultura ou organização-alvo. Há também a necessidade de pessoal remoto. Como disse o pesquisador de segurança e ex-funcionário da NSA, Charlie Miller, “a guerra cibernética ainda é auxiliada por seres humanos localizados em todo o mundo e realizando ações secretas”. No caso dos ataques do Stuxnet, por exemplo, uma toupeira holandesa, se passando por mecânico, ajudou os Estados Unidos e Israel a coletar informações sobre centrífugas nucleares iranianas que foram usadas para atualizar e instalar o vírus.
Finalmente, um comando cibernético precisa de administradores para recursos humanos, fazendo a ligação com outras instituições nacionais e internacionais relevantes e falando com a mídia. Como Jamie Collier observa, “[G]one vão os dias em que as agências de espionagem não existiam oficialmente” e mantinham “seu pessoal e atividades guardados sub-repticiamente longe da vista do público”. A comunicação pode ajudar a superar o ceticismo público. Isso se aplica não apenas às agências de inteligência, mas, até certo ponto, também aos comandos cibernéticos militares, especialmente quando seu conjunto de missões está se expandindo e as preocupações com escalada, deterioração de normas ou fricção aliada estão crescendo. Além disso, ser mais voltado para o público pode ajudar para fins de recrutamento em um mercado de trabalho altamente competitivo.
É mais do que apenas zero dias
O elemento mais falado no desenvolvimento de uma capacidade cibernética ofensiva são os exploits. Eles se enquadram em três categorias diferentes: exploits de dia zero, exploits de dia N não corrigidos e exploits de dia N corrigidos. Uma exploração de dia zero é aquela que expõe uma vulnerabilidade desconhecida do fornecedor. Uma exploração de dia N não corrigida é aquela que expõe uma vulnerabilidade em software ou hardware que é conhecido pelo fornecedor, mas não possui um patch para corrigir a falha. Uma exploração corrigida de dia N é aquela que expõe uma vulnerabilidade em software ou hardware que é conhecido pelo fornecedor e possui um patch para corrigir a falha. Muitas vezes, os invasores devem combinar várias vulnerabilidades em uma cadeia de ataque, conhecida como cadeia de exploração, para atacar um determinado alvo.
Muita atenção política é dedicada ao acúmulo de zero-days pelos estados. Jason Healey, pesquisador sênior da School for International and Public Affairs da Columbia University, conduziu um estudo em 2016 para entender quantas vulnerabilidades de dia zero o governo dos EUA retém. Healey afirma com grande confiança que em 2015/2016 o governo dos EUA reteve “[n]ão centenas ou milhares por ano, mas provavelmente dezenas”. Isso corresponde amplamente a outros relatórios. Organizações militares e de inteligência mais maduras se beneficiam de procedimentos cuidadosamente elaborados para usar suas façanhas da forma mais eficiente possível.
Não devemos, entretanto, exagerar a importância dos zero-days. “[As] pessoas pensam, os estados-nação, eles estão funcionando com esse motor de zero dias, você sai com sua chave mestra, destranca a porta e entra. Não é isso”, Rob Joyce, então -chefe do Escritório de Operações de Acesso Adaptado da NSA, durante uma apresentação na Conferência Enigma. Ele continuou: “Pegue essas grandes redes corporativas, essas grandes redes, qualquer grande rede - vou lhe dizer que a persistência e o foco o levarão, alcançarão essa exploração sem os dias zero. Há muito mais vetores que são mais fáceis, menos arriscados e muitas vezes mais produtivos do que seguir esse caminho.”
De fato, para organizações cibernéticas militares em particular, a corrida por N-dias costuma ser tão importante. Em exploits de implantação N-day, os ataques podem aproveitar o tempo que leva para desenvolver um patch e o tempo que leva para adotar um patch. O atraso médio na correção de uma exploração difere com base no tamanho do fornecedor, na gravidade da vulnerabilidade e na origem da divulgação. Embora leve em média pouco mais de um mês para aplicativos da Web em produção corrigirem “vulnerabilidades de gravidade média”, os fornecedores levam em média 150 dias para corrigir vulnerabilidades em sistemas de controle de supervisão e aquisição de dados. Adotar o patch também pode levar um tempo considerável — especialmente em ambientes que carecem de padronização, como sistemas de controle industrial. Parcialmente devido ao longo tempo de espera na correção do sistema de controle industrial, testemunhamos vários ataques proeminentes contra esses dispositivos e protocolos. Por exemplo, em dezembro de 2016, um grupo de hackers apoiado pelo Kremlin, conhecido como Sandworm, usou um malware chamado CrashOverride ou Industroyer para escurecer grandes partes da Ucrânia. Para fazer isso, os invasores contornaram os sistemas protegidos automatizados em uma subestação de transmissão elétrica ucraniana usando uma vulnerabilidade conhecida em seus relés Siemens SIPROTEC.
Questões de teste e infraestrutura
Existe uma crença generalizada de que lançar ataques cibernéticos é barato, enquanto se defender contra eles é caro. Mas, como Matthew Monte observou, com base em sua experiência na comunidade de inteligência dos EUA, "os invasores não tropeçam em 'certos uma vez'. Eles dedicam tempo e esforço para construir uma infraestrutura e depois trabalham com as alegadas '10.000 maneiras de Thomas Edison que não vai funcionar.'” Isso requer infraestrutura, um elemento absolutamente crucial da capacidade cibernética sobre o qual não se fala o suficiente. A infraestrutura pode ser amplamente definida como os processos, estruturas e instalações necessárias para realizar uma operação cibernética ofensiva.
A infraestrutura se divide em duas categorias: infraestrutura de controle e infraestrutura preparatória. A infraestrutura de controle refere-se aos processos usados diretamente para executar uma operação. Estes são geralmente queimados após uma operação com falha. Esse tipo de infraestrutura pode incluir nomes de domínio de sites de phishing, endereços de e-mail vazados ou outras tecnologias de abuso. Também inclui infraestrutura de comando e controle usada em operações conduzidas remotamente que mantêm comunicações com sistemas comprometidos dentro de uma rede de destino. Essa infraestrutura pode ser usada, por exemplo, para rastrear sistemas comprometidos, atualizar malware ou exfiltrar dados. Dependendo do objetivo e dos recursos de uma operação, a infraestrutura de comando e controle pode ser tão básica quanto um único servidor operando na rede externa.
Atores mais maduros, no entanto, tendem a usar infraestrutura e técnicas mais complexas para se manterem furtivos e resilientes contra quedas. Por exemplo, a Fancy Bear, com sede na Rússia, gastou mais de US$ 95.000 na infraestrutura que usou para atingir as pessoas envolvidas nas eleições presidenciais de 2016 nos EUA. E isso geralmente é muito mais do que apenas alugar infraestrutura: uma organização pode executar todo um conjunto de operações apenas para comprometer servidores da Web legítimos para usá-los para executar operações futuras.
Infraestrutura preparatória diz respeito a um conjunto de processos que são usados para se colocar em estado de prontidão para conduzir operações cibernéticas. Raramente um invasor descartará essa infraestrutura após uma operação (com falha).
Uma das coisas mais difíceis de fazer ao criar boas ferramentas de ataque é testá-las antes da implantação. Como Dan Geer, um proeminente especialista em segurança de computadores, aponta: “Saber o que sua ferramenta encontrará e como lidar com isso é certamente mais difícil do que encontrar uma falha explorável por si só”. Grande parte da infraestrutura preparatória para um ataque geralmente consiste em bancos de dados usados no mapeamento de alvos. Um invasor precisará fazer muito trabalho para encontrar seus alvos. Os exercícios de mapeamento de rede podem ajudar uma organização a entender a variedade de alvos possíveis, às vezes também chamados de "aquisição de alvos". Portanto, os atores mais maduros nesse espaço investiram enormes recursos em ferramentas de mapeamento de rede para identificar e visualizar dispositivos em determinadas redes.
Também existem outros bancos de dados direcionados. Por exemplo, o GCHQ mantém um banco de dados especial que armazena detalhes de computadores usados por engenheiros e administradores de sistema que trabalham em “centros de operação de rede” em todo o mundo. A razão pela qual engenheiros e administradores de sistema são alvos particularmente interessantes é porque eles gerenciam redes e têm acesso a grandes volumes de dados.
Um caso ilustrativo e de destaque é o hack da Belgacom, um provedor belga de telefonia e internet parcialmente estatal com a Comissão Europeia, o Parlamento Europeu e o Conselho Europeu como parte de sua base de clientes. A agência de espionagem britânica GCHQ, possivelmente auxiliada por outros membros do Five-Eyes, usou um malware que havia desenvolvido para obter acesso aos roteadores GRX da Belgacom. A partir daí, poderia realizar “ataques Man in the Middle”, que permitiam interceptar secretamente as comunicações de alvos em roaming usando smartphones. Como os repórteres descobriram, o Belgacom Hack, codinome Operação Socialista, “ocorreu em etapas entre 2010 e 2011, cada vez penetrando mais profundamente nos sistemas da Belgacom, acabando por comprometer o próprio núcleo das redes da empresa”.
A preparação para ataques cibernéticos também requer a criação de um alcance cibernético. Esta é uma plataforma para o desenvolvimento e uso de ambientes de simulação interativos que podem ser usados para treinamento e desenvolvimento de capacidades. Nos últimos anos, as empresas têm investido cada vez mais em gamas cibernéticas, baseadas na tecnologia cloud. Esses intervalos são desenvolvidos em provedores de nuvem pública — como Amazon Web Services, Microsoft Azure ou Google — ou redes de nuvem privada implantadas no local. Os intervalos cibernéticos em nuvem geralmente fornecem ambientes de aprendizado prático flexíveis com cenários convenientes de clicar e jogar para treinamento. Para organizações cibernéticas militares, no entanto, os intervalos convencionais não baseados em nuvem ainda são preferíveis, dada a necessidade de ambientes de simulação altamente personalizáveis e testes e treinamento operacionais sob medida.
Ao tentar acompanhar o ritmo acelerado dos desenvolvimentos no conflito cibernético, muitos comentários de especialistas se concentraram em saber se as operações de efeito cibernético podem produzir vantagens estratégicas ou serem influenciadas por normas. No entanto, primeiro precisamos abordar uma questão mais fundamental: em primeiro lugar, quando os estados são realmente capazes de conduzir operações? Embora a proliferação de comandos cibernéticos militares sugira que grandes mudanças estão em andamento na guerra cibernética, fazer com que essas organizações funcionem continua sendo muito mais difícil e caro do que parece.
Torne-se um membro
Este ensaio é baseado em No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, publicado pela Oxford University Press e Hurst Publishers em maio de 2022.
Max Smeets é pesquisador sênior do Centro de Estudos de Segurança da ETH Zurich e diretor da European Cyber Conflict Research Initiative,
Imagem: Joseph Eddins, Airman Magazine
Comentário