Brasil precisa incrementar pesquisas sobre segurança digital, defende Jeroen van de Graaf

“Talvez o caso do Snowden acorde a comunidade para o fato de que alguma coisa importante está acontecendo e temos que dedicar mais tempo e energia à questão da segurança cibernética”, afirma o professor Jeroen van de Graaf, do Departamento de Ciência da Computação (DCC) da UFMG. Ele se refere às denúncias do americano Edward Snowden sobre atividades de espionagem da agência americana National Segurity Agency. Jeroen van de Graaf fará palestra sobre o tema nesta quarta, 16, às 15h, no auditório 3 do ICEx, no campus Pampulha.

Nesta entrevista ao Portal UFMG, o pesquisador, que tem formação em matemática com doutorado em criptografia (técnicas matemáticas para proteção de informação) no Canadá, afirma também que o Brasil está vulnerável ao que ele chama de cibersabotagem e defende a criação no país de um centro de pesquisas sobre segurança digital.

Que mudanças provocam as revelações de Edward Snowden sobre as atividades da NSA, especialmente com relação à privacidade de pessoas físicas e à segurança de informações de instituições e governos de países?
Uma forma de ver essa questão é a seguinte: adoramos a internet, mas ela é muito insegura. A internet não foi projetada com foco em segurança. Quinze, 20 anos atrás o desafio era deixar as coisas funcionarem. Segurança ficou para depois. As revelações de Snowden mostraram que a gente realmente vai ter que se preocupar com segurança e privacidade.

Na verdade, eu sempre falei desse assunto. Agora, de certa forma, confirmou-se que as minhas preocupações eram justificadas. Temos que discutir o que fazer. Não se trata apenas do que o Snowden denunciou. Muitas empresas também não estão respeitando nossa privacidade, isso vai contra o modelo de negócios deles. Os provedores de email são de graça porque através dos nossos dados pessoais eles conseguem fazer propaganda dirigida. Ou seja, a privacidade do cibercidadão está muito ameaçada. Muitas pessoas vão ao supermercado e preenchem dados para concorrer a um DVD. Todo mundo fornece dados pessoais para empresas por bobagens. Essa é outra questão. Talvez possa haver outro serviço de email que respeite nossa privacidade, mas que cobre algo por isso. Se o usuário não quer propaganda, paga 50 reais por ano, algo assim. Uma empresa na Suíça, Threema, garante privacidade para uma aplicação equivalente ao What’s App e cobra quatro reais para se ter uma conta. Não é muito dinheiro, mas será que vai pegar? Elas usam tecnologia de ciframento mais sofisticado.

O senhor tem se dedicado a fenômenos como a ciberguerra, a cibersabotagem…
Dois anos atrás ministrei uma disciplina sobre segurança digital aqui na UFMG e comecei a estudar essas questões. Entrei recentemente na Universidade, queria entender o que é ciberguerra. Surgiram várias coisas que eu não sabia. Por exemplo, um vírus de computador supersofisticado, chamado Stuxnet. Foi descoberto por uma empresa antivírus, mas levou muito tempo até que fosse decifrado. Ele só atacava determinados computadores, em particular com Windows, no Oriente Médio. O vírus se multiplicava por pen drives. Quando o computador estava conectado à internet, havia a comunicação com o centro de comando para mais instruções, para ser reprogramado.

Descobriu-se que o objetivo do vírus era primeiro infectar no Windows para depois infectar equipamentos específicos da Siemens. E esses equipamentos eram usados para enriquecimento de urânio. Ou seja, foi um ataque contra o programa nuclear do Irã. Este foi um exemplo muito claro, talvez o primeiro exemplo de vírus usado para objetivos estratégicos de um país. Não está assinado, mas todo mundo sabe que foi uma cooperação entre Israel e Estados Unidos para atingir o Irã. É o primeiro exemplo clássico da ciberguerra.

E a cibersabotagem?
Toda a nossa infraestrutura crítica está conectada à internet. Uma usina de eletricidade, de água, equipamentos de telecomunicações. Por exemplo, fiquei sabendo de fontes confiáveis que o apagão de três anos atrás no Nordeste foi causado por hackers. Eles teriam invadido algumas centrais de controle de eletricidade e o resultado foi o apagão que parou alguns estados do Nordeste durante uma noite inteira. Então, você pode imaginar que isso seja uma arma de guerra. Outro exemplo: a Estônia foi atacada provavelmente por russos protestando contra o tratamento à sua comunidade naquele país. A internet na Estônia parou completamente por um dia. As pessoas estavam fazendo homebanking e tiveram medo que seu banco tivesse quebrado. O ataque criou grande pânico. A cibersabotagem é uma parte da guerra, assim como outras formas de sabotagem antes das tecnologias mais modernas.

Eu acho preocupante porque o Brasil está muito vulnerável. Não seria difícil derrubar grande parte de serviços críticos no Brasil. Se conseguem parar eletricidade, água e telecomunicação de um país, nem é preciso mandar o exército. Todo mundo fica preocupado simplesmente em sobreviver.

O que pode ser feito para diminuir essa vulnerabilidade?
Foi criada uma entidade do Exército brasileiro, CD Ciber, responsável por estudar esse tipo de possibilidade, avaliação de riscos e contramedidas. Mas é processo demorado. Os Estados Unidos começaram antes por causa do 11 de Setembro.

Onde entram a pesquisa e as universidades? A pesquisa já está se aplicando de alguma forma a essa preocupação? 
Não tanto que eu gostaria. O DCC tem agora dois professores, eu e o Leonardo Barbosa, da área de criptografia. Estamos criando um grupo de pesquisa chamado Segurança Digital, Criptografia e Privacidade aqui na UFMG. Faço parte também de um projeto de comunicação segura usando óptica quântica. É uma colaboração da Física, Engenharia Elétrica e Computação. Talvez o caso do Snowden acorde a comunidade para o fato de que alguma coisa importante está acontecendo e que temos que dedicar mais tempo e energia à questão da segurança cibernética.

Há outros grupos em universidades brasileiras?
É precário no Brasil, tudo está começando. E acho que se abre uma janela de oportunidade na UFMG. Podemos pegar esse nicho, mas precisamos ter um plano, recursos, para ocupar esse espaço. É preciso dizer que segurança hoje é muito abrangente. Para entrar nos detalhes, é preciso conhecer sistemas operacionais, linguagens de programação, matemática, protocolos de redes etc. Luxemburgo tem uma universidade em que metade da estrutura é dedicada a temas em torno dessa questão. Na Alemanha, no Center of Advanced Security Darmstadt são 50 pessoas só estudando segurança. O Brasil precisa disso, de um centro desse tipo. Não apenas um projeto do Exército, que tem uma visão particular, muito válida. Precisamos construir algo para se somar a iniciativas como a do Exército.

Como a NSA espiona pessoas e países? 
O papel da NSA é grampear e fazer escutas nas telecomunicações no mundo. Os programas que eles têm relacionados à internet são muito mais abrangentes, mais poderosos do que foi pensado antes. Eles têm especialistas, equipes que são capazes de fazer um vírus para esse meu celular, e para qualquer equipamento. Outro ponto é que a agência obrigou empresas como a Google a repassar dados, inclusive emails. Se você manda uma mensagem, o governo americano tem uma cópia.

Por que essas empresas aceitam?
Elas não têm escolha, são obrigadas pela lei a cooperar. E há uma ordem de sigilo, elas nem podem divulgar que são obrigadas a fazer isso. Além disso, a NSA estava espionando as conexões entre os vários data centers da Google e Yahoo! no mundo. Na verdade, estas empresas foram atingidas pelo governo de duas maneiras distintas: pelo caminho judicial e por meio de grampo.

Sarah Dutra/UFMG

Como agiu o Snowden?
Ele conseguiu 58 mil documentos internos da NSA, todos confidenciais, que comprovam a atuação da agência. Ele era contratado terceirizado, administrador de rede. Tinha privilégios de acesso, e deve ter feito também algum tipo de hackeamento para não ser descoberto, porque obviamente os empregados são rastreados pela NSA. Foi uma falha de segurança incrível, como é possível um terceirizado ter acesso a tantos documentos? O Snowden é brilhante, não há dúvidas. Muito poucos teriam conseguido fazer o que ele fez. Ele enfrentou o governo americano e por enquanto está se dando bem.

Qual foi a motivação dele?
Acho que ele só teve motivações nobres. O que me impressiona é que a maioria das pessoas não seria capaz de lidar com tanta pressão. Ele diz que realmente defende a Constituição dos EUA e a liberdade de expressão. Só quis mostrar aos concidadãos que o governo americano está fazendo algo que não é legal, não é do interesse do povo. Pelo menos os americanos deveriam saber mais sobre o que estava acontecendo para poder tomar uma decisão. O governo oculta tantas informações que o Senado não tem como fazer controle efetivo sobre o que fazem as agências secretas. Acho que ele não fez pelo dinheiro, se fosse assim não teria vindo a público da forma que fez. Poderia ter vendido todos os documentos de forma secreta para a Rússia ou a China. E estaria milionário. Deu todos os documentos para jornalistas de confiança para divulgarem o que achassem que deviam. Ele não tem mais os documentos, estou completamente convencido disso. Por isso, o governo da Rússia não pode obrigá-lo a entregar os documentos.

Que áreas de estudo estão mais envolvidas com a questão da segurança da internet?
O principal é segurança de sistemas, e as redes. Porque um computador isolado pode ser invadido, mas alguém tem que ir lá e fazer alguma coisa. Se todo mundo está conectado, as coisas ficam mais complexas e perigosas. O que a gente tem? Redes, dezenas de tipos de redes, wi-fi, os cabos de rede fixa. Temos também uma explosão de smartphones, sistemas como o Android, cada plataforma tem possibilidades de invasão diferentes. O núcleo seria redes, plataformas digitais, e mais para o lado da engenharia também pode-se pensar nos sistemas de controle. O conjunto de sistemas de controle das usinas fica tradicionalmente mais na Engenharia que na Computação.

Tudo indica que na verdade o que foi atacado não foi a criptografia, a matemática. Essa parte está em grande parte de pé. Nossa dificuldade hoje é qualidade de software. Todo programa tem furos de segurança. Se você sabe onde está o furo, é possível invadir o sistema. Fico mais preocupado porque a longo prazo, daqui a 25 anos, não vejo que a qualidade dos softwares vai melhorar.

Por quê?
Os sistemas estão muito complexos, há muita gente trabalhando nisso, mas você tem programas que têm um milhão de linhas de códigos, ninguém é capaz de verificar isso. E as ferramentas também deixam as coisas passarem. Na semana passada, por exemplo, foi descoberto um novo problema de segurança, com o software que está sendo usado por 60% dos servidores web do mundo. É um furo muito grave. Aquele protocolo, HTTPS, que manda para sites seguros, em que aparece o cadeadinho e sua conexão é cifrada, parece que conseguem invadir essa conexão.

É preciso saber que todo produto americano ou britânico está hackeado. Não se deve confiar em hardware e software estrangeiro. Os países latino-americanos deveriam cooperar mais para encontrar suas próprias soluções

Que outras lições o senhor tira desse episódio desencadeado pelo Edward Snowden? 
Estou há 30 anos nesse campo de pesquisa. Conheço a NSA há 30 anos, acho que eles devem ter um dossiê sobre mim, simplesmente pelo fato de que sou pesquisador na criptografia. Eles sempre mandavam alguém para os congressos, só para escutar. Aliás, acontecia comigo na Holanda, quando participava de grupos de estudos, e sempre tinha duas ou três pessoas do Exército da Holanda, nunca falaram nada. Faz parte. A NSA foi criada durante a Guerra Fria, a criptografia foi peça-chave tanto durante a primeira guerra quanto na segunda.

Um aspecto interessante é que os Estados Unidos sempre acusavam os chineses de fazer espionagem industrial, hackeavam os sites do governo e empresas americanas. Era um aspirador de pó que chupa todos os documentos e manda para a China. Duas semanas antes de estourar o caso do Snowden, o premier chinês estava em Washington e havia um atrito. E ficamos sabendo que a NSA faz a mesma coisa, ou dez vezes pior.

Toda essa discussão leva inevitavelmente à questão da democracia…
A democracia americana está em xeque. O governo americano usa tribunais secretos que usam critérios secretos de avaliação. Uma empresa pode ser obrigada a dar as cópias dos seus dados para governo, e não pode falar com ninguém. Apenas o governo pode argumentar a favor, mas a outra parte não pode. Comitês do senado deveriam supervisionar o trabalho das agências, mas é tudo segredo e não se sabe o que se deve perguntar para fazer essa supervisão. É kafkiano.

As revelações de Snowden mostram que as agências de inteligência dos Estados Unidos querem dominar a internet, no próprio país e no mundo inteiro. Para tanto, eles usam toda técnica possível para grampear todas as telecomunicações no mundo inteiro, e são capazes de invadir qualquer sistema computacional. Ou seja, ninguém tem privacidade, você está sendo tratado como se fosse um suspeito, sem direitos. A justificativa é poder rastrear as comunicações de terroristas. Mas um tal sistema de vigilância da população pode facilmente ser usado para reprimi-la, o sistema pode se virar contra ela. Por este motivo, a população deve saber o que está acontecendo para que haja um debate sobre a desejabilidade deste tipo de vigilância e a noção de privacidade no século 21.

(Texto: Itamar Rigueira Jr. / Foto: Sarah Dutra)