Opinião | Quantas de nossas redes os russos controlam?
No pior momento possível, quando os Estados Unidos estão mais vulneráveis, durante uma transição presidencial e uma devastadora crise de saúde pública, as redes do governo federal e muitos dos negócios americanos são comprometidos por uma nação estrangeira. Precisamos entender a escala e a importância do que está acontecendo.
Na semana passada, a firma de segurança cibernética FireEye disse que foi hackeada e que seus clientes, que incluem o governo dos Estados Unidos, estão em risco. Esta semana, soubemos que a SolarWinds, uma empresa de capital aberto que fornece software para dezenas de milhares de clientes governamentais e corporativos, também foi hackeada.
Os invasores obtiveram acesso ao software SolarWinds antes que as atualizações desse software estivessem disponíveis para seus clientes. Em seguida, os clientes desavisados baixaram uma versão corrompida do software, que incluía uma porta dos fundos oculta que dava aos hackers acesso à rede da vítima.
Isso é chamado de ataque à cadeia de suprimentos, o que significa que o caminho para as redes alvo depende do acesso a um provedor. Os ataques à cadeia de suprimentos requerem recursos significativos e, às vezes, anos para serem executados. Quase sempre são o produto de um estado-nação. As evidências do ataque da SolarWinds apontam para a agência de inteligência russa conhecida como S.V.R., cuja nave está entre as mais avançadas do mundo.
De acordo com SolarWinds S.E.C. arquivos, o malware estava no software de março a junho. O número de organizações que baixaram a atualização corrompida pode chegar a 18.000, incluindo a maioria das redes não classificadas do governo federal e mais de 425 empresas da Fortune 500.
É difícil exagerar a escala desse ataque em andamento.
Os russos tiveram acesso a um número considerável de redes importantes e sensíveis por seis a nove meses. O S.V.R. russo ele certamente terá usado seu acesso para continuar operando e obter controle administrativo sobre as redes que considerava alvos prioritários. Para esses fins, os hackers terão passado muito tempo atrás de seu ponto de entrada, ocultado seus rastros e obtido o que os especialistas chamam de “acesso persistente”, ou seja, a capacidade de se infiltrar e controlar redes de uma forma que é difícil detectar ou eliminar.
Embora os russos não tenham tido tempo de obter o controle total de todas as redes que hackearam, eles provavelmente tiveram sucesso em centenas delas. Levará anos para saber com certeza quais redes os russos controlam e quais eles simplesmente ocupam.
A conclusão lógica é que devemos agir como se o governo russo tivesse o controle de todas as redes que penetrou. Mas não está claro o que os russos pretendem fazer a seguir. O acesso que os russos agora desfrutam poderia ser usado para muito mais do que apenas espionar.
O controle real e percebido de tantas redes importantes poderia ser facilmente usado para minar a confiança do público e do consumidor em dados, comunicações escritas e serviços. Nas redes que os russos controlam, eles têm o poder de destruir ou alterar dados e se passar por pessoas legítimas. As tensões domésticas e geopolíticas podem aumentar muito facilmente se eles usarem seu acesso para influenciar e desinformar maliciosamente, ambas características do comportamento russo.
O que deveria ser feito?
Em 13 de dezembro, a Cybersecurity and Infrastructure Security Agency, uma divisão do Departamento de Segurança Interna, ela mesma uma vítima, emitiu uma diretiva de emergência ordenando que as agências civis federais removessem o software SolarWinds de suas redes.
A extração tem como objetivo estancar o sangramento. Infelizmente, a medida é lamentavelmente insuficiente e, infelizmente, tarde demais. O estrago já foi feito e as redes de computadores já estão comprometidas.
Também é impraticável. Em 2017, o governo federal foi obrigado a remover de suas redes o software de uma empresa russa, a Kaspersky Lab, que foi considerado muito arriscado. Demorou mais de um ano para tirá-lo da rede. Mesmo se dobrássemos esse ritmo com o software SolarWinds, e mesmo que não fosse tarde demais, a situação permaneceria terrível por muito tempo.
O esforço de remediação por si só será incrível. Exigirá a substituição segregada de enclaves inteiros de computadores, hardware de rede e servidores em vastas redes federais e corporativas. De alguma forma, as redes sensíveis do país devem permanecer operacionais, apesar dos níveis desconhecidos de acesso e controle da Rússia. “Refazer” é obrigatório, e redes completamente novas precisam ser criadas e isoladas das redes comprometidas.
Os caçadores de ameaças cibernéticas que são mais furtivos do que os russos devem se lançar nessas redes para procurar controles de acesso ocultos e persistentes. Esses profissionais de segurança da informação procuram, isolam e removem ativamente códigos maliciosos avançados que fogem das proteções automatizadas. Será um trabalho difícil, pois os russos estarão observando cada movimento de dentro.
A Lei de Autorização de Defesa Nacional, que a cada ano dá ao Departamento de Defesa e outras agências a autoridade para realizar seu trabalho, está envolvida em disputas partidárias. Entre outras disposições importantes, a lei autorizaria o Departamento de Segurança Interna a conduzir buscas em redes federais. Se ainda não foi, agora é uma lei que precisa ser assinada e não será a última ação parlamentar necessária antes de ser resolvida.
Os operadores de rede também devem tomar medidas imediatas para inspecionar com mais cuidado seu tráfego de Internet para detectar e neutralizar anomalias inexplicáveis e comandos remotos óbvios de hackers antes que o tráfego entre ou saia de sua rede.
A resposta deve ser mais ampla do que aplicar patch em redes. Embora todos os indicadores apontem para o governo russo, os Estados Unidos, e idealmente seus aliados, deveriam atribuir publicamente e formalmente a responsabilidade por esses ataques. Se for a Rússia, o presidente Trump deve deixar claro para Vladimir Putin que essas ações são inaceitáveis. A comunidade militar e de inteligência dos EUA deve estar em alerta elevado; todos os elementos do poder nacional devem ser colocados na mesa.
Embora devamos reservar nosso direito à autodefesa unilateral, os aliados devem se juntar à causa. A importância das coalizões será especialmente importante para punir a Rússia e navegar nesta crise sem uma escalada descontrolada.
O presidente Trump está prestes a deixar para trás um governo federal, e talvez uma série de grandes indústrias, comprometidas pelo governo russo. Ele deve usar qualquer influência que puder reunir para proteger a América e punir severamente os russos.
O presidente eleito Joe Biden deve começar seu planejamento para enfrentar esta crise. Você deve presumir que a Rússia está lendo comunicações sobre este assunto e que quaisquer dados governamentais ou e-mail podem ser falsificados.
Nesse ponto, as duas equipes devem encontrar uma maneira de cooperar.
O presidente Trump deve superar suas reclamações sobre as eleições e governar pelo resto de seu mandato. Este momento requer unidade, propósito e disciplina. Uma intrusão tão flagrante desse tamanho e escopo não pode ser tolerada por nenhuma nação soberana.
Estamos doentes, distraídos e agora sob um ataque cibernético. A liderança é essencial.
Thomas P. Bossert, ex-conselheiro de segurança nacional do presidente Trump e vice-conselheiro de segurança nacional do presidente George W. Bush, é presidente da Trinity Cyber, empresa que fornece serviços de segurança de rede para governos e empresas privadas.
The Times concorda em publicar uma diversidade de letras para o editor. Gostaríamos de saber sua opinião sobre este ou qualquer um de nossos artigos. Aqui estão alguns dicas. E aqui está nosso e-mail: [email protected].
Siga a seção de opinião do New York Times sobre Facebook, Twitter (@NYTopinion) e Instagram.