OPINIÃO
27/02/2014 09:41 -03 | Atualizado 26/01/2017 21:12 -02

O Careto e a nossa insegurança digital

O Brasil acaba de ser alvo do mais novo programa espião para infiltrar e vazar informações confidenciais governamentais, batizado de Careto (ou "The Mask") -- que atinge Windows, Mac OS, iOS e Android.

Ao irmos nos aproximando da Copa, o Brasil torna-se o centro das atenções não apenas dos apaixonados por futebol, mas também dos criminosos digitais. O Brasil acaba de ser alvo do mais novo programa espião para infiltrar e vazar informações confidenciais governamentais, batizado de Careto (ou "The Mask"). Mas por que fomos o segundo mais atacado, depois do Marrocos? Estamos tão vulneráveis assim na nossa "segurança digital"?

Descoberto pela Kaspersky Lab (empresa de softwares russa com sede em Moscou), o Careto vem realizando um ataque silencioso, sem ser detectado, desde 2007 até ser descoberto agora em fevereiro de 2014, infectando mais de 380 alvos em 31 países. Por isso, foi considerado mais eficiente que o Duqu, programa que burlou a segurança de usinas nucleares do Irã.

Há suspeitas de que ele foi desenvolvido por "um país de língua espanhola", o que seria algo novo, já que em geral as operações mais sofisticadas de espionagem digital têm sido associadas aos Estados Unidos, China, Rússia e Israel. Este tipo de ataque que tem se tornado mais comum desde 2010, com o surgimento do Stuxnet, expõe dados de cidadãos e segredos de segurança nacional, em especial os relacionados aos órgãos públicos, embaixadas e setores estratégicos da economia, como energia, telecomunicações, infra-estrutura e financeiro.

O Careto representa uma ameaça ainda maior por mirar não apenas computadores com sistemas operacionais padrão Windows da Microsoft mas também Mac OS da Apple e dispositivos móveis com iOS e Android e por aproveitar uma falha presente no software Flash da Adobe que permite que os atacantes entrem na maquina através do navegador web do Google Chrome. Então, após a invasão, ele busca documentos, senhas, chaves criptográficas e assume controle do equipamento infectado transformando-o em um agente de contaminação.

Existe todo um mercado paralelo na web de venda e compartilhamento de falhas não reveladas de softwares chamado mercado "zero-day" ou "do dia zero", que é quando um vírus se espalha na internet sem ter ainda vacina de antivírus. Isso traz a tona novamente a discussão sobre o padrão atual da indústria de software, que é uma das únicas indústrias em que liberar produto ainda na versão beta (com falhas) não gera responsabilização do fabricante. Na indústria automobilística, uma falha gera pelo menos recall.

Na indústria de software uma falha descoberta gera uma atualização, ou pior, um upgrade para uma nova versão (que nem sempre é gratuita). Ou seja, todos nós viramos cobaias de laboratório da indústria de software que não tem agência reguladora, nem regras claras, nem padrão de qualidade e de segurança mínima a cumprir. Não está sujeita a controles, como ocorre com a farmacêutica pela Anvisa, nem a testes de produto, como ocorre com todas as demais pelo Inmetro.

Somos todos reféns de uma indústria que descobriu como alcançar o pote de outro do outro lado do "arco-íris" que são os dados dentro dos nossos dispositivos. E ainda pagamos por isso. Podemos dizer que são os novos Tycoons, os intocáveis da era digital, como foram na época os gigantes do início da indústria americana Rockefeller e Carnegie, até se depararem com o Sherman Act - Lei Anti-truste Norte Americana de 1890 e outras leis que passaram a normatizar questões trabalhistas e de consumidor. Por enquanto, no que diz respeito a segurança digital, estamos a mercê e expostos. E o Brasil ainda mais vulnerável aos ataques que já estão programados para ocorrer na Copa.

Fonte: link original da matéria da Reuteurs