RSS

Stuxnet

09 ago
Der Spiegel
Holger Stark
A Mossad, agência de inteligência exterior de Israel, atacou o programa nuclear iraniano com um vírus de computador altamente sofisticado chamado Stuxnet. A primeira arma digital de importância geopolítica pode mudar a forma como as guerras são travadas –e não será o último ataque deste tipo.

O complexo em um morro perto de um cruzamento na estrada de Tel Aviv para Haifa é conhecido em Israel simplesmente como “O Morro”. O local, que tem o tamanho de vários campos de futebol, é cercado por muros altos e arame farpado –uma fortaleza moderna que simboliza a luta de Israel pela sobrevivência no Oriente Médio. Como sede da agência de inteligência exterior de Israel, a Mossad, esta fortaleza é estritamente vedada a políticos e jornalistas. Em geral, quem faz visitas é a Mossad, e não o contrário.

A política rígida de proibição de visitantes foi temporariamente relaxada em uma quinta-feira no início de janeiro, quando um micro-ônibus com janelas escuras parou em um estacionamento na frente de um cinema próximo. Os jornalistas tiveram que entregar telefones celulares e gravadores de áudio. Meir Dagan, o poderoso diretor da Mossad, os havia convidado a visitar as instalações. Era seu último dia, após sete anos no cargo. Naquele dia de janeiro, os jornalistas estavam ali para documentar seu legado: a luta da Mossad contra o programa nuclear iraniano.

Ele falou apaixonadamente sobre os riscos de um possível ataque militar contra o Irã, dizendo que acreditava que tal ataque levaria a uma conflagração na região que incluiria uma guerra com a Hezbollah e o Hamas e possivelmente a Síria. E se alguém acredita que um ataque militar pode deter o programa nuclear de Teerã, essa pessoa está errada, disse Dagan. Ia retardar o programa, mas apenas temporariamente, acrescentou. Por esta razão, o chefe da Mossad que se despedia do cargo era contra as bombas –mas a favor de qualquer coisa que atrapalhasse o programa nuclear iraniano sem começar uma guerra convencional.

O retardamento do programa tornou-se a nova palavra mágica. E com este fim, o diretor da Mossad havia criado uma arma milagrosa que todos na sala naquele dia de janeiro conheciam, mas que Dagan não mencionou pelo nome: Stuxnet.

Stuxnet é um vírus de computador que pode se infiltrar em computadores altamente seguros não conectados à Internet. Um feito que antes se acreditava impossível, entrou na arena política global há mais de um ano, em junho de 2010. O vírus atacou computadores nas instalações nucleares de Natanz, no Irã, onde especialistas estão enriquecendo urânio, e manipulou as centrífugas para que se autodestruíssem. O ataque penetrou no coração do programa nuclear iraniano.

O Stuxnet é a primeira arma cibernética de significância geopolítica. Frank Rieger, da lendária organização hacker alemã Chaos Computer Club, chama-o de “destruidor digital de bunkers”. O vírus representa uma adição fundamentalmente nova ao arsenal de guerra moderno. Permite um ataque militar usando um programa de computador fabricado com alvo específico.

Um ano depois, não há firma de segurança em Internet ou governo de país importante que não esteja avaliando o Stuxnet e suas consequências, e tomando as medidas cabíveis. Para saber mais sobre o Stuxnet e compreender o que está por trás do vírus, o “Spiegel” foi a Israel –o país onde a arma virtual foi inventada.

Seguir a trilha
O ramo israelense da firma de segurança de computadores norte-americana Symantec fica em um complexo moderno e discreto em Tel Aviv, a 15 minutos do Aeroporto Internacional de Ben Gurion. Sam Angel, diretor da Symantec Israel, recebe os visitantes na garagem subterrânea e os leva para a sala de conferências, no quarto andar. No início de sua apresentação de Power Point, ele diz: “Stuxnet é o ataque mais sofisticado que já vimos. Esse tipo de ataque, em um sistema industrial maduro e isolado é completamente incomum”. Ele projeta um mapa na parede, mostrando os países que já sofreram tal ataque: Irã, Indonésia, Malásia e Belarus, onde um homem chamado Sergey Ulasen descobriu o Stuxnet.

Ulasen, que trabalha em um departamento de pesquisa e desenvolvimento da firma de segurança VirusBlokAda, em Minsk, recebeu o que parecia ser um e-mail relativamente mundano no dia 17 de junho de 2010. Uma firma iraniana estava reclamando que seus computadores estavam se comportando de forma estranha, desligando e se religando sozinhos.

Ulasen e um colega passaram uma semana examinando as máquinas. Aí encontraram o Stuxnet. A VirusBlokAda notificou outras empresas da indústria, inclusive a Symantec.

Quando os engenheiros da Symantec começaram a estudar o assunto, encontraram dois computadores que lançaram os ataques. Um dos servidores estava na Malásia e o outro na Dinamarca e eram alcançáveis pelos endereços http://www.todaysfutbol.com e http://www.mypremierfutbol.com. Eles tinham sido registrados sob um nome falso e com um cartão de crédito forjado, por meio de uma das maiores empresas de registro de domínio na Internet, uma firma do Estado do Arizona nos EUA. A Symantec redirecionou a comunicação dos dois servidores para seu centro computacional em Dublin, o que permitiu a empresa monitorar a atividade do vírus. As pessoas por trás do ataque de Stuxnet haviam escapado, mas ao menos a Symantec poderia seguir a trilha que ficou para trás.

O redirecionamento das comunicações tornou possível obter uma visão mais ampla dos países nos quais o vírus estava ativo. De acordo com essa análise, o Stuxnet havia infectado cerca de 100.000 computadores no mundo todo, inclusive mais de 60.000 no Irã, mais de 10.000 na Indonésia e mais de 5.000 na Índia. Os inventores programaram o Stuxnet para que o vírus, como primeiro passo, avise aos dois servidores de comando e controle se o computador infectado tem o Step 7, um programa industrial desenvolvido pela empresa de engenharia alemã Siemens. O Step 7 é usado para controlar as centrífugas de Natanz no Irã.

A usina perto de Natanz, localizada em um deserto 250 km ao sul de Teerã, é protegida por segurança militar. As centrífugas de alumínio são abrigadas em bunkers e têm 1,8 metros e 10 cm de diâmetro. Seu propósito é aumentar gradualmente a proporção de urânio-235, o isótopo físsil do urânio. Há um rotor dentro das centrífugas que roda 1.000 vezes por segundo. No processo, o gás de hexafluoreto urânio é centrifugado, de forma que o urânio-235 se acumula no centro. O processo é controlado por um programa da Siemens que usa o sistema operacional Windows, da Microsoft.

Falhas de segurança e iscas
O estratagema que torna o ataque possível é tão simples quanto inteligente. O Stuxnet tira vantagem de uma falha no Windows que torna possível manipular o sistema. Como resultado desse erro de programação, o vírus pode ser introduzido no sistema por meio de um “pen-drive” USB, por exemplo. Assim que ele é conectado a um computador no sistema, a instalação começa sem ser notada.

O Stuxnet inicialmente procura por programas antivírus. O código é formulado para ultrapassá-los ou, se não for possível, se desinstalar. Por um longo tempo, uma das prioridades era não deixar traços.

Em um segundo passo, o Stuxnet se aloja na parte do sistema operacional que administra os “pen-drives”, onde estabelece uma soma de verificação, cujo propósito exato não está claro. A infecção para quando essa soma atinge ao valor de 19790509. A Symantec especula que é uma espécie de código. Quando lido ao contrário, o número pode representar o dia 9 de maio de 1979, dia em que Habib Elghanian, empresário judeu, foi executado em Teerã. Seria coincidência? Provocação? Ou uma forma de desviar a atenção?

Ainda não está claro exatamente como os israelenses conseguiram levar o vírus a Natanz. No jargão dos especialistas em computação, as falhas de segurança antes desconhecidas, como o furo no sistema operacional do Windows, são chamadas explorações do dia zero. Buscar esse tipo de vulnerabilidade é tanto um desafio para hackers quanto um empreendimento lucrativo. O conhecimento é valioso, e há um mercado negro no qual uma vulnerabilidade antes desconhecida pode valer US$ 100.000 ou mais. O Stuxnet explora nada menos do que quatro dessas joias digitais.

“Uma operação azul e branca”
O gerente da Symantec, Sam Angel, acredita que é impossível escrever um código como o Stuxnet sem ter conhecimento íntimo do sistema da Siemens. “Não há mercado negro para explorações de dia zero envolvendo software da Siemens”, diz ele. “Não é um programa tão usado assim”. Então como a Mossad adquiriu a informação sobre a tecnologia em uso em Natanz?

Foi abertamente especulado que os americanos talvez tenham ajudado a Mossad. Há uma instituição de pesquisa norte-americana em Idaho na qual os pesquisadores estudam a tecnologia de controle da Siemens usada no Irã; a pesquisa básica para o Stuxnet pode ter acontecido ali. Depois disso, o vírus pode ter sido testado no centro de pesquisa nuclear de Israel perto de Dimona, no deserto de Negev.

Fontes israelenses envolvidas no assunto insistem, contudo, que o Stuxnet é uma “operação azul e branca”, uma referência às cores nacionais israelenses –em outras palavras, uma operação puramente israelense. Elas acreditam que uma unidade de elite secreta da agência militar de inteligência programou uma parte do código, deixando a Mossad fazer o resto. A Mossad também aparentemente foi responsável por contrabandear o vírus até Natanz. As mesmas fontes alegam que a Mossad tentou comprar uma série de centrífugas no mercado negro, sem sucesso. No final, um fabricante de armas israelense, com a ajuda de agências de inteligência estrangeiras, supostamente conseguiu construir um modelo de Natanz onde o Stuxnet foi testado.

A operação estava pronta para ser iniciada no verão de 2009. Os atacantes lançaram o Stuxnet às 16h31 do dia 22 de junho de 2009. O ataque teve como alvo cinco organizações iranianas e foi enviado em três ondas. Após a primeira onda, um segundo ataque ocorreu em março de 2010, que desferiu um duro golpe nos iranianos. A terceira onda foi lançada em abril. De acordo com a Symantec, os alvos não eram diretamente relacionados ao programa nuclear iraniano, mas algumas das organizações alvo estavam na lista de sanções da ONU. Cerca de 12.000 computadores foram infectados em apenas cinco organizações.

O Stuxnet é programado para se deletar do drive de USB após a terceira infecção, presumivelmente para que não se espalhe explosivamente, o que teria sido notado imediatamente. O objetivo da arma é sabotar seus alvos de forma sustentável, e não espetacular.

Outra característica que dá ao vírus uma aparência oficial mostra como é complexo seu desenho. Ele envolve certificados digitais, que são emitidos por empresas de Internet que testam a atividade de um servidor ou programa e o certificam como não malicioso. Se um programa tem esse tipo de certificado, ele recebe permissão para acessar o sistema. As firmas taiwanesas Realtek Semiconductor e JMicron Technology estão entre as empresas que emitem tais certificados.

Em janeiro de 2010, uma versão do Stuxnet apareceu assinada com um certificado digital da Realtek. Esta foi seguida, em julho de 2010, por uma versão assinada com um certificado da JMicron. Os dois certificados tinham sido roubados. Esse tipo de furto é uma operação que exige invasão da sede das empresas ou um tipo de ataque de hacker que pouquíssimos programadores no mundo todo são capazes de fazer, porque esses certificados são ainda mais seguros e codificados.

Somente um Estado poderia ter produzido o Stuxnet
Uma análise sigilosa de uma agência de inteligência europeia, à qual o Spiegel teve acesso, afirma que seria preciso ao menos dez anos para um programador desenvolver o Stuxnet, a um custo de mais de 10 milhões. A Symantec, de sua parte, estima que só os testes no modelo teriam ocupado de cinco a 10 programadores por meio ano. De acordo com a análise de inteligência, “atores não governamentais” podem “praticamente ser eliminados” como inventores do Stuxnet. Membros do Conselho de Segurança Federal da Alemanha, um comitê do governo para questões de defesa cujas reuniões são secretas, concluiu a mesma coisa quando o conselho se reuniu no dia 25 de novembro de 2010.

O Stuxnet mostra o que pode acontecer quando malfeitores entram em ação disse o ministro do interior da época, Thomas de Maizière, que hoje é ministro de defesa alemão. Qualquer um que deseje investir tal dinheiro e recursos sabe o que está fazendo, acrescentou. Os membros do conselho concordaram que um Estado soberano tinha que estar por trás do vírus.

A equipe de Maizière observou que 15 vulnerabilidades são encontradas em programas de computador todos os dias e que dezenas de milhares de sites são infectados no mundo todo diariamente. No final da reunião, o conselho decidiu estabelecer um centro de defesa do ciberespaço nacional. “As experiências com o vírus Stuxnet mostram que mesmo áreas cruciais de infraestrutura industrial não estão mais a salvo de ataques de IT”, afirmou um documento do gabinete.

O vírus fundamentalmente mudou a forma como olhamos para ataques digitais. O governo norte-americano recentemente emitiu uma nova doutrina de guerra ciberespacial, que define um ataque desse tipo como um ato de guerra convencional. O código do Stuxnet, que agora é acessível ao público, pode inspirar cópias, advertiu na semana passada Roberta Stempfley, do departamento de Segurança Interna dos EUA.

No ano passado, o governo britânico adotou uma nova estratégia de segurança, para a qual aprovou fundos de 650 milhões de libras (em torno de R$ 2 milhões). O mundo virtual vai se tornar “cada vez mais importante no conflito entre nações”, disse o vice-primeiro-ministro israelense Dan Meridor, em discurso em Jerusalém em fevereiro. “É um novo campo de batalha, por assim dizer, sem rifles, mas com outra coisa”.

Sucesso comparável à resolução do Enigma
A Mossad vê o Stuxnet como grande sucesso, comparável a quando os poloneses e britânicos decifraram o Código Enigma da Alemanha, na Segunda Guerra mundial. Os militares israelenses não estão tão eufóricos. Eles argumentam que o fato de o Stuxnet ter sido descoberto foi um preço alto a se pagar, apesar do golpe desferido ao regime liderado pelo mulá iraniano.

E foi realmente um baque doloroso. A centrífuga iraniana IR-1 normalmente gira a 1.064 hertz, ou ciclos por segundo. Quando os rotores começaram a enlouquecer, eles aumentaram sua frequência pra 1.410 hertz, por 15 minutos e depois voltaram à frequência normal. O vírus voltou a atuar 27 dias depois, mas desta vez reduziu a frequência dos rotores para algumas centenas de hertz por 50 minutos. A força centrífuga excessiva resultante levou os tubos de alumínio a se expandirem, aumentando o risco das partes entrarem com contato uma com as outras e assim destruindo as centrífugas.

Estima-se que seis cascatas de 164 centrífugas foram sido destruídas desta maneira. Especialistas no programa nuclear iraniano, como David Albright do Instituto de Ciências e Segurança Internacional de Washington (Isis), acreditam que o Stuxnet destruiu cerca de 1.000 centrífugas. O Irã admitiu que seu programa nuclear foi atrasado. De acordo com Gholamreza Jalali, diretor da organização de defesa civil do Irã, o programa sofreu um “dano potencialmente grande”.

O ex-diretor da Mossad, Dagan, alcançou seu objetivo de sabotar o programa nuclear sem gerar uma nova guerra no Oriente Médio. Mas o Irã ainda tem 8.000 centrífugas e, as mais modernas, de segunda geração, IR-2, estão equipadas com rotores de fibra de carbono, que podem operar suavemente mesmo a 1.400 hertz. Elas não são afetadas pela versão existente do programa de sabotagem. A Mossad pode precisar de um novo vírus em breve. Usá-lo constituiria outra rodada de guerra clandestina.

“As pessoas nunca tinham visto algo como o Stuxnet”
Dois jovens israelenses que trabalham indiretamente para o governo estão sentados em um dos cafés modernos de Tel Aviv. Os homens dirigem uma empresa que faz trabalhos para a Mossad e a Shin Bet, a agência de inteligência doméstica. Eles sorriem e dizem que sua disciplina é o ataque digital, não a defesa. Eles fazem parte da elite mundial de hackers. De acordo com rumores circulando em Jerusalém e Tel Aviv, eles fizeram parte do trabalho para a Mossad no desenvolvimento do Stuxnet.

“As pessoas nunca tinham visto nada como o Stuxnet antes, exceto nos filmes”, diz um dos hackers. “Agora elas podem ver que é real”. Sua voz está cheia de orgulho quando diz: “Na pequena comunidade de hackers, nada disso é muito novo”. Quase todas as vulnerabilidades já tinham sido usadas em ataques passados, diz ele, mas nunca tinham sido usadas ao mesmo tempo. Ele explica que o verdadeiro desafio de um ataque com um vírus como o Stuxnet é penetrar em um sistema que não está conectado à Internet.

Quais são as consequências do Stuxnet?
Os dois homens ficam em silêncio por um momento; eles veem as coisas da perspectiva de atacantes. “A descoberta do Stuxnet foi um duro golpe para nós”, diz um deles. “Achamos particularmente perturbadora porque um método de sucesso foi revelado.”

Os inventores do Stuxnet aparentemente tinham muitos outros planos para seu produto. A Symantec desde então descobriu outra versão do vírus do Stuxnet, que contém códigos ainda mais complexos, desenhado para ter como alvo a tecnologia de controle moderna da Siemens, mas que ainda não foi ativado. O Stuxnet, dizem pessoas da Symantec, “é o tipo de ameaça que esperamos não ver nunca mais”.

Esse desejo provavelmente não se realizará.

 
Deixe um comentário

Publicado por em agosto 9, 2011 em Israel

 

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: