“artigo retirado do AVG Official Blogs”

por Siobhan MacDermott

 

Em 30 de setembro de 2012, o editor do Washington Free Beacon, Bill Gertz informou que hackers “ligados ao governo da China invadiram uma das mais sensíveis redes de computadores do governo dos EUA, violando um sistema usado pelo Escritório Militar da Casa Branca (White House Military Office – WHMO) para os comandos nucleares”. De acordo com Gertz, o sistema violado inclui o “futebol nuclear”, o controle do presidente para lançamento de armas nucleares. (Em 01 de outubro, a Casa Branca confirmou o ataque, mas não confirmou a China como sua fonte.)

 

Embora os ataques chineses cibernéticos tenham sido caracterizados como “persistentes“, aspectos de uma política militar e uma estratégia comercial contínua, é tentador especular que esse incidente foi uma resposta à implantação da Marinha dos EUA e ativos marinhos em águas perto das inabitadas Ilhas Senkaku do Japão, cuja posse a China está agora ativamente discutindo com o Japão. Se o ataque cibernético contra o WHMO é de fato uma resposta, ilustra dramaticamente o efeito de alavanca da guerra cibernética. Sem o risco de um confronto armado no mar, a China pode ser notada ao entregar uma forte mensagem no espaço cibernético: a penetração de uma rede que termina na Pennsylvania Avenue, nº 1600. Voltando na era da Guerra Fria, as superpotências empenharam-se (embora de forma sangrenta) em guerras de proxy em lugares como Coréia e Vietnã, em vez do risco  termonuclear Armageddon confrontando diretamente um ao outro. Nestes dias, cada vez mais, o campo de batalha preferido é o espaço cibernético.

 

Gertz informou que uma “administração nacional de segurança oficial do Obama” caracterizou o incidente como “um ataque de phishing contra uma rede sem classificação” e que “o ataque foi identificado, o sistema foi isolado, e não há qualquer indicação de vazamento de dados”. Neste comentário, há uma boa notícia, uma má notícia e uma notícia valiosa. A boa notícia é que o ataque (aparentemente) não resultou no roubo (“vazamento”) de dados. A má notícia é que o ataque (aparentemente) ficou desconfortavelmente perto do santo dos santos: os códigos de lançamento nuclear do presidente. A notícia valiosa é que o truque foi um “ataque de phishing“, uma espécie de fraude de e-mail que busca enganar os destinatários em uma organização específica, persuadindo-os a clicar em um link que resulta em infecção por malwares de rede que produz o acesso não autorizado a dados confidenciais. Assim, qualquer que seja o nível de sofisticação tecnológica envolvida na montagem do ataque, o sucesso ou o fracasso do ataque, em última análise não dependia de tecnologia, mas da engenharia social e da resposta humana. A arma utilizada não foi apenas uma string de código de software, mas também a fé na fragilidade humana.

 

E isso é uma notícia importante, de fato.

 

Ela nos diz que, embora seja importante desenvolver e fornecer as melhores medidas defensivas de alta tecnologia possíveis para proteger o alto valor de dados e redes, o espaço cibernético é nada  mais além do que um ser humano, em vez de um empreendimento tecnológico. O hardware pode ser à base de silicone, mas na parte da frente e de trás das extremidades de uma rede de computadores estão entidades à base de carbono conhecidas como pessoas e, portanto, se você quer proteger os dados em seu castelo digital, treine o seu pessoal. As fortaleça contra o ataque astuto dos engenheiros sociais. Entenda que uma tecnologia baseada em defesa anti-hacking, embora absolutamente crítica, é uma Linha Maginot do século 21. É um obstáculo para os atacantes, mas também potencialmente um perigo ainda maior para os defensores, se eles se permitem tornar-se complacentes em sua dependência passiva em proteção exclusivamente tecnológica. Como a Linha Maginot da Segunda Guerra Mundial, a tecnologia sempre pode ser contornada pela tecnologia. A maior ameaça para a segurança de dados é a susceptibilidade humana. A defesa mais potente contra a susceptibilidade é também humana. Consiste das faculdades altamente treináveis ​​de consciência, vigilância e do julgamento informado.