O ataque informático sem precedentes que desde sexta-feira assola o mundo deve servir como um alerta a todas as entidades de segurança governamentais que exploram falhas de segurança com o intuito de espionagem eletrónica. O presidente da Microsoft, Brad Smith, fez uma boa analogia publicada no The Guardian, onde compara este ataque de ransonware ao “roubo de um míssil Tomahawk”. Quer ele dizer que a falha de segurança explorada em segredo pela NSA (Agência de Segurança Nacional dos Estados Unidos) e utilizada agora pelos piratas informáticos equivale, se estivéssemos a falar de armamento convencional, ao roubo de um míssil americano. Exagero? Sim, em parte. Mas na realidade não vamos saber quantos hospitais não funcionaram em todo o seu potencial devido a este ataque informático e quais os danos financeiros provocados às mais de 2 mil empresas afetadas. Sim, o presidente da Microsoft exagera, no entanto, hoje, segunda-feira, continuamos sem saber a verdadeira dimensão deste ataque e, pior, desconhecemos a sua origem – sendo que a Rússia já veio a público dizer que não tem nada a ver com ele.

Já escrevi no Expresso Diário sobre o negócio milionário da venda de falhas de segurança Também já aqui escrevi sobre as provas que indicam que há governos a comprar essas falhas e a utilizá-las para espiar cidadãos e empresas Aliás, a própria Wikileaks, na sua mais recente publicação de informações, mostrou, pela primeira vez, provas concretas dessas aquisições, como foi comentado AQUI por Edward Snowden.

Vamos por partes. Este ataque de ransonware é um claro exemplo de uma arma de espionagem que se virou contra o seu utilizador – na verdade a NSA não criou a falha, ter-se-á limitado a descobri-la ou a comprá-la a uma das muitas empresas que vende este tipo de vulnerabilidades informáticas. Não sabemos durante quanto tempo é que esta agência de segurança terá explorado a falha que afeta as versões XP e 8 do Windows. Sabemos, no entanto, que esta é uma das “armas” expostas, em parte, pela Wikileaks AQUI.

Não sei, acho que ninguém sabe, se os piratas informáticos se limitaram a ver o que a organização de Assange publicou e a perceber o resto da equação necessária para criar este maléfico WannaCry. O facto mais preocupante é de o sabermos ainda tão pouco sobre a origem desta ameaça informática e, até, qual a sua forma concreta de disseminação (sendo o e-mail o mais provável, mas pode não ser a único meio de entrada).

A Caixa de Pandora

A provar-se que a NSA sabia desta falha e que a explorou… que tipo de responsabilização deve ser pedida à agência americana? E é plausível fazê-lo tendo em consideração que, em última análise, a NSA utiliza estas ferramentas para proteger os cidadãos – ou deveria.

Num mundo ideal, esta agência de segurança (como todas as outras) deveria reportar qualquer falha de segurança descoberta numa aplicação ou sistema. Esse alerta seria endereçado diretamente à empresa que produziu o software em questão para que o problema fosse resolvido. No entanto, com a escalada na guerra ao terrorismo, as forças de segurança estão a valer-se de todas as armas que têm à disposição para conseguir antecipar cenários.

Com isso, estão a abrir uma Caixa Pandora de consequências imprevisíveis. Cada falha de segurança não resolvida é uma oportunidade disponível aos piratas informáticos. Por isso, voltamos ao título deste texto: habitue-se, os ataques informáticos vieram para ficar e podem extremar-se.

Infelizmente, como já aconteceu em outros ataques de grande relevância (como o perpetrado à campanha de Macron por hackers russos ou o que “vitimou” a caixa de e-mail pessoal de Hillary Clinton, alegadamente da autoria de um hacker romeno), os culpados acabaram por não ser identificados e levados à justiça.

Tudo indica que, também neste caso, não haverá consequências sobre os autores que vão permanecer desconhecidos. E assim continuaremos. De ataque em ataque até que a Internet pare como preconiza um dos maiores especialistas mundiais de cibersegurança. Bruce Schneier escreveu-o o ano passado: “Alguém está a aprender como pode desligar a Internet”. E quando isso acontecer, a quem vamos pedir responsabilidades?