RESUMO Diretor da empresa de segurança F-Secure, o finlandês Mikko Hyppönen, 45, atuou em uma força-tarefa de especialistas que revelou o vírus Stuxnet –instalado pelos Estados Unidos em uma usina iraniana. A descoberta parece histórias de espião, com pistas em fotos e paranoia por parte dos pesquisadores. Hyppönen esteve em São Paulo na segunda (25), para evento de cibersegurança, quando falou à Folha.
Quando conseguimos o código, não nos demos conta da importância. Percebemos que era um caso interessante, mas não tínhamos ideia de que havia infectado um sistema de enriquecimento nuclear –nem sabíamos que havia sido encontrado no Irã.
Foi em 2010, quando tivemos acesso ao Stuxnet original. Ele foi encontrado por uma pequena empresa de antivírus da Bielorrússia. As companhias do leste europeu prestam muitos serviços de segurança para o Irã porque não têm restrições em fazer negócios com aquele país, ao contrário do resto da Europa.
Começamos a prestar mais atenção porque o vírus explorava uma falha de dia zero –vulnerabilidade de um sistema, como o Windows, que não haviam sido notadas antes. Falhas de dia zero são raras, valiosas e interessantes.
Só então encontramos outras falhas dia zero sendo exploradas. Não havíamos nunca, jamais, visto malware que explorava mais de uma falha dia zero. O Stuxnet explorava três. O que é completamente único. E isso imediatamente diz que não é normal.
Então começamos a nos dar conta de que o que tínhamos na mão era tão grande e complicado, e provavelmente foi tão caro para ser desenvolvido, que a fonte era um governo. Também encontramos dicas de que o vírus fora encontrado no Irã e tinha a ver com o programa nuclear.
Um amigo meu da empresa Computer Associates, da Austrália, foi o primeiro a declarar em uma lista de e-mails que, com base no que havia sido descoberto até então, era seguro dizer que tratava-se de uma operação do governo dos Estados Unidos contra o programa nuclear iraniano.
Ele enviou esse e-mail e, dois minutos depois, enviou outro dizendo que gostaria que todos soubessem que ele nunca teve tendências suicidas –só para o caso de ser encontrado morto. Isso é o quão paranoicos estávamos.
CONFIGURAÇÃO
A não ser que a rede infectada esteja configurada de forma específica, o código não faz nada. A rede precisa de um modelo específico de conversores de energia que precisam estar conectados em grupos específicos.
É a digital do sistema. É assim que o vírus sabe que está na usina certa. Se não encontrar essa configuração, não faz nada. Se o terminal de uma fábrica de alimentos em São Paulo for infectado, nada acontecerá porque a configuração é outra.
A pergunta passou a ser: "Há alguma instalação iraniana com essa configuração?". Procuramos fotos no site da Presidência do Irã.
Encontramos uma do então presidente, Mahmoud Ahmadinejad, olhando o monitor de uma usina. Demos zoom. O computador à frente mostra a disposição da usina –que casa exatamente com a do Stuxnet. Foi assim que provamos. Depois, descobrimos por meio de outras fontes que estávamos certos.
O governo americano restringiu o vírus porque não queria causar dano, por exemplo, dentro do próprio país ou em outro lugar. Quando um sistema é infectado, a primeira coisa que o vírus faz é checar a data. Se passou de junho de 2012, não faz nada. O Stuxnet expirou.
Reprodução da Folha de São Paulo.
Nenhum comentário:
Postar um comentário