Cobeligerância digital

Por Pedro Paulo Rezende

Empresas de segurança da informação ocidentais que operam a partir de cidades da União Europeia desenvolveram ferramentas para atacar páginas russas. A ação envolve, principalmente, segundo o Centro para Estudos de Segurança (CSS — ETH Zürich), a Hacken.io, com sede na Estônia. A companhia era especializada em validação de moedas digitais por meio de Blockchain e um de seus pontos fortes estava nas ferramentas que protegiam de ações de negação de serviços (DDoS, na sigla em inglês).

Por encomenda do Exército Cibernético Ucraniano, mantido pelos ministérios da Transformação Digital e da Defesa da Ucrânia, a Hacken desenvolveu uma versão de ataque DDoS chamada Liberator. As ações de negação de serviço, basicamente, sobrecarregam os servidores com demandas falsas colocando-os fora do ar.

Sem disfarces

O envolvimento da empresa fica claro nas páginas mantidas por Kyiv. Todos os líderes da equipe de ataque do Exército Cibernético são executivos e cofundadores da Hacken: Serhii Dovhopolyi, líder tecnológico; Oleksandr Horlan, líder de operações e testador de penetração e analista de segurança; Dyma Budorin, consultor, e Denis Ivanov, chefe do Grupo de Especialistas do Ministério da Transformação Digital. O aviso de privacidade do site disBalancer confirma: “somos a Hacken OÜ, localizada em Kaitn 1-5M, cidade de Tallinn, condado de Harju, 10111 , Estônia.”

É bom ressaltar que Estônia integra a União Europeia e a Organização do Tratado do Atlântico Norte (OTAN). Inicialmente, a empresa instalou suas equipes de ataque em Kyiv, mas transferiu o grupo por razões de segurança para a cidade de Barcelona, Espanha antes, de lançar o Liberator como ferramenta de ataque. No dia 20 de abril de 2022, o site disBalancer, mantido pela Hacken, publicou seu primeiro vídeo de recrutamento no Youtube. A mensagem do vídeo dizia: “as instruções são claras até para um bebezinho. O aplicativo DDoS mais eficaz contra o agressor russo. Execute ataques 24 horas por dia, sete dias por semana, onde quer que esteja.”

Cerca de 306 mil assinantes baixaram o programa.

Oito dias depois, Boxmining, um influenciador digital americano que mantém um canal sobre criptomoedas no YouTube, publicou um vídeo de 8 minutos incentivando seus 268 mil assinantes a instalar o Liberator em sites russos. Não foi mera coincidência, ele tem ligações estreitas com a Hacken. Ele visitou o escritório da empresa em Kiev em 2020 e entrevistou o CEO da companhia, Dyma Burodin, em seu canal em 2021.

Na campanha de lançamento do Liberator, ninguém informou seus usuários (em sua maioria jovens) sobre as possíveis consequências legais e os efeitos colaterais da execução de DDoS e de interferência em um conflito armado internacional. Nos Estados Unidos, a Lei de Abuso e Fraude Informática classifica os ataques DDoS como crime federal. Na Estônia – onde a sede da Hacken está fisicamente localizada – os ataques de negação de serviço são puníveis com até três anos de prisão.

Em meados de maio de 2022, o Wall Street Journal informou que a equipa disBalancer/Hacken de Kiev se mudou de Barcelona, Espanha, para Lisboa, Portugal, outro estado membro da OTAN e da União Europeia, provavelmente para fugir de processos legais

Ação dual

A cooperação entre Hacken e o governo ucraniano não para por aí. HackenProof, que é a plataforma de recompensas de bugs da Hacken, executa dois programas de relatórios de vulnerabilidades em resposta à guerra na Ucrânia: um defensivo e um ofensivo. O programa defensivo funciona sob o nome Call for cyber defense for Ukraine. O objetivo é encontrar “vulnerabilidades críticas” no governo e na infraestrutura ucranianos.

Embora o programa não pague nenhuma recompensa, é importante entender que, por muito tempo, hackers éticos poderiam enfrentar multas de até US$ 42 mil ou até três anos de prisão por tentarem detectar bugs nos sistemas de computador do parlamento ucraniano, ministérios ou empresas estatais.

Somente em 21 de abril de 2022, cerca de sete semanas após o HackenProof ter iniciado seu programa de recompensa, o Parlamento Ucraniano adotou a lei sobre “Emendas ao Código Penal da Ucrânia para aumentar a Eficácia da Luta contra o Crime Cibernético nas Condições da Lei Marcial”, que ajustou o código criminal para permitir programas de recompensas por bugs para o setor público.

A plataforma de ataque HackenProof foi iniciada em 27 de fevereiro de 2022 e é executada sob o nome Call for exploits. Semelhante ao sistema de defesa, procura apenas envios de vulnerabilidades críticas, incluindo vazamentos de dados, que são “colocados nas boas mãos das forças cibernéticas ucranianas.”

As áreas de foco são os provedores de hospedagem russos; provedores de serviço de internet; sistemas de controle aeroespacial e aéreo; sistemas de supervisão e aquisição de dados (SCADA); bancos; serviços públicos; energia (inclusive exploração e transporte de petróleo e gás); transportes e, até mesmo, varejo. Não está claro se as submissões relativas ao setor de saúde russo, ONGs humanitárias, escolas e universidades também são aceitas pelo HackenProof.

O site do programa tem um link direto para o canal do Exército Cibernético Ucraniano no Telegram com um alerta: “para referência, você pode usar os recursos compartilhados por voluntários cibernéticos ucranianos.”

Vazio legal

Surpreendentemente, a existência do programa ofensivo de recompensas combinada com o fato de ser organizado por uma empresa sediada na Estônia, não estimulou, até agora, quaisquer conversas legais, éticas ou políticas sobre a cobeligerância no ciberespaço, uma vez que as empresas operam a partir de estados membros da OTAN e da União Europeia.

O silêncio sobre estas questões em meio ao conflito na Ucrânia é certamente compreensível, mas os estados membros da OTAN/UE podem estar a estabelecer precedentes legais e éticos não intencionais que podem criar um retrocesso político significativo no futuro. Por exemplo, e se uma empresa russa localizada na Alemanha organizasse um programa ofensivo de recompensas por bugs que visasse a infraestrutura crítica ucraniana e partilhasse as vulnerabilidades descobertas com a comunidade de inteligência russa? Será que Berlim, Bruxelas e Washington considerariam este comportamento aceitável do sector privado?

É sob este dilema que o front cibernético opera. No mundo físico, é considerado como cobeligerância e pode atrair retaliação militar. Seria a hora de incluí-lo nas leis de guerra? O futuro dirá.

D	S	T	Q	Q	S	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

	Carlos Dantas em Relações perigosas
	fearless7922cb3851 em Compromisso
	Evandro Nascimento em O racismo em duas versões
	evandrofsa em Biden estabelece o esboço de s…
	Tomcat4,4 em Hipocrisia ambiental
	Adriano França em A hora e a vez do BRICS
	Mario Del Ferro em A militarização do Ártico
	Mario Del Ferro em Fim das trevas
	Mario Del Ferro em Biden estabelece o esboço de s…
	Mario Del Ferro em A volta do pragmatismo
	Mario Del Ferro em Impasse na OTAN
	Tomcat4,4 em Impasse na OTAN
	Pedro Paulo Rezende em A hora e a vez do BRICS
	davidro21 em A hora e a vez do BRICS
	Marcelo Nunes em A namorada do político e a exp…

Compartilhe isso: