​A Reação à Invasão da Sony Está “Além da Esfera da Estupidez”

Tem sido uma grande semana para as notícias em torno do grande vazamento da Sony.

Primeiro, grandes cadeias de cinema anunciaram que não vão passar A Entrevista depois de uma ameaça não específica dos Guardiões da Paz, o coletivo h​acker que atacou a Sony. Então, a empresa anunciou que estava c​ancelando o lançamento do filme, inclusive no Brasil. Agora, o governo dos EUA está s​ugerindo que é realmente a Coreia do Norte por trás do ataque.

Então, sim, eita nois, que dias malucos.

Para ajudar a dar sentido a tudo, eu liguei para Peter W. Singer, um dos principais experts em cibersegurança e guerra cibernética. Singer é autor de Cy​bersecurity and Cyberwar: What Everyone Needs to Know (Cibersegurança e Guerra Cibernética: O Que Todo Mundo Precisa Saber, em português) e Wire​d for War (Tensão para Guerra, em português) e é um estrategista da New America Foundation.

Motherboard: Vamos direto ao ponto — Esses hackers são terroristas? Eles são ciberterroristas?

Peter W. Singer: Há duas camadas disso agora. Há a definição de terrorismo e a reação a isso, que tem disso uma combinação de ser tanto insípida e encorajadora de atos futuro.

O primeiro é o que já aconteceu. A Sony rotulou o que aconteceu com ela como ciberterrorismo e várias mídias também descreveram com​o ciberterrorismo. A realidade é que ter seus roteiros postados online não constitui um ato terrorista. O FBI descreve isso como um "ato que resulta em violência". Perder seu roteiro do próximo filme do James Bond que fala sobre violência não é a mesma coisa que um ato de violência.

O que aconteceu com a Sony até agora não entra nessa definição. Eles estão dizendo "isso é um ato de guerra". Nós não vamos entrar em guerra com a Coreia do Norte por causa disso só porque a Angelina Jolie agora está brava com um executivo da Sony. Atos de guerra têm padrões diferentes.

Literalmente, estamos em uma esfera além da estupidez com isso.

E então temos as reais ameaças de violência.

Esse mesmo grupo ameaçou incidentes ontem no estilo 11/9 em qualquer cinema que passasse esse filme. Aqui, nós temos que distinguir entre ameaça e capacidade – a habilidade de roubar emails de fofocas de uma rede de computadores não tão bem protegida não é a mesma coisa que ser capaz de carregar outros ataques do tipo 11/9 em 18 mil lugares ao mesmo tempo. Eu não acredito que estou falando isso. Não acredito que tenho que dizer isso.

Esse grupo não mostrou capacidade de fazer isso. A Sony está lamentando qualquer associação que isso tem com o filme agora. Não estamos no mesmo clima do 11/9. As redes de cinema olharam para a realidade da ameaça? Ou elas totalmente cederam? Isso está além dos sonhos mais loucos desses atacantes.

Eu conversei com Bruce Schneier ontem, e ele disse que a Sony está jogando a carta de vítima. A Sony pegou um evento infortúnio como esse e transformou-o em um incidente internacional?

Agora chegamos à parte que sai de piadas e besteiras à seriedade, que é: isso não é agora só estudo de caso sobre como não reagir a ameaças cibernéticas e um estudo de caso sobre como não defender suas redes, é também um estudo de caso sobre como não responder ameaças de terrorismo.

Nós só temos que comunicar a qualquer provável atacante que faremos o que quiserem.

É incompreensível para mim, particularmente quando se compara a coisas reais que realmente aconteceram. Alguém matou 12 pessoas e atirou em outras 70 na estreia de Batman: O Cavaleiro das Trevas. Eles mantiveram o filme nos cinemas. Você emite uma ameaça anônima que você não tem a capacidade de manter? Nós tiramos um filme de 18 mil cinemas.

Certo – do começo, a Sony e a mídia pegaram o que foi descrito como um grande ataque hacker e assustaram todo mundo além da credibilidade. O que aconteceu aí?

Os atacantes maravilhosamente entenderam a psicose americana. Isso foi uma invasão, mas chamar isso de "ciber" e "terrorismo" é perder as estribeiras. Não há outro jeito de colocar isso.

Schneier sugeriu que a Sony tem chamado isso de ciberterrorismo porque faz soar pior – faz parecer que a empresa não tinha como se defender. Os executivos estão fazendo isso para salvar seus empregos?

Sim, você não quer estar na pele de culpar a vítima, mas a Sony já sofreu ataques antes. Foi hackeada antes de 2005 e os executivos de dentro ainda trocam emails como se fosse 1997 e fosse a primeira vez que eles tivessem emails.

Deixando tudo isso de lado, até as melhores empresas com as melhores ciberseguranças do mundo são invadidas. Os bancos com JP Morgan, o exército dos EUA, a Casa Branca. A realidade é que podemos escolher entre "perder as estribeiras" mentalmente ou podemos escolher uma mentalidade que traz muito mais sucesso, que é focar na superação.

É sobre aceitar o fato de que coisas ruins podem acontecer e você tem poder de superá-las. É sobre levantar-se rápido quando te abatem, o que tira o incentivo do atacante.

Sua reação pode ser tanto "eu desisto" ou "não, nós vamos mostrar o filme".

O que você acha da ideia que alguns levantaram de a Sony soltar o filme somente online, o mais rápido possível? Isso seria uma boa saída? 

Não, eu não acho. Mas estamos aprendendo sobre a Sony e sua abordagem sobre pirataria com MPAA, teria que colocar a Sony em uma posição fantasticamente interessante para dizer "isso é o que estamos lutando contra todos esses anos, mas olhem, aqui está o filme".

Mas o filme deveria sair.

Isso está trazendo tanta publicidade para esse filme que, até onde sabemos, não é assim tão bom. Definitivamente não teria tanta publicidade assim, paga ou não. O problema é que, se você não solta o filme, você não pode fazer a limonada com os limões. É aí que eles estão agora. Ao continuar, eles podem achar que estão cortando prejuízos, mas estão estabelecendo um absoluto precedente horrível que faz qualquer outra empresa menos segura ao seguir em frente.

Há um paralelo aqui à maratona de bombas em Boston. Eu vou tomar cuidado com isso. Os ataques de Boston foram reais e as pessoas morreram. Isso não é a mesma categoria. Mas, muito analistas de terrorismo falaram sobre como eles fecharam a cidade inteira de Boston, que foi a mensagem errada. Isso envia a mensagem a terroristas em qualquer lugar de que se dois caras não muito bem treinados com uma bomba improvisada numa panela de arroz podem fechar uma cidade americana inteira, o que podemos fazer se formos bons nisso?

Então nós não sabemos com certeza se foi a Coreia do Norte ou não. Mas você acha que foi? Isso importa?

É uma questão de atribuição. As vítimas sempre querem saber quem foi. No mundo cibernético, é particularmente difícil descobrir quem foi por razões técnicas, mas você também tem a questão de qual o ônus de prova que temos? É um ônus de prova legal? É um ônus de prova para a opinião pública ou uma prova para uma sala da Casa Branca?

Até agora, a informação a que tivemos acesso apontou o dedo para grupos de proxy na Coreia do Norte, mas foi baseado em contexto. Não encontraria o nível necessário em uma corte de lei. O contexto combina o fato de que eles cagaram sobre o filme e certas técnicas nele são similares ao que foi usado em outros ataques ligados não definitivamente à Coreia do Norte. É suficiente para a maioria das pessoas falar sobre [ser da Coreia do Norte], pelo menos.

Mas isso importa?

É, de muitas formas, além do ponto. Mesmo que a Coreia do Norte dê um passo à frente e diga orgulhosamente, "fomos nós", qual será o recurso da Sony? Quase nenhum, podem processar a Coreia do Norte, eu acho.

O governo deveria ajudar a defender essa empresa e prevenir ataques hackers, mas em termos de exatas punições à Coreia do Norte, o que pode ser feito? Não é um ato de guerra, é irritante para a Sony. Mas não é um ato de guerra.

Nós não partimos para a guerra com a Coreia do Norte quando eles assassinaram soldados americanos nos anos 1970 com mach​ados. Nós não entramos em guerra com a Coreia do Norte quando eles i​ncendiaram mísseis sobre nossos aliados. Nós não entramos em guerra com a Coreia do Norte quando um dos seus barcos atacou um parceiro aliado e matou alguns de seus ​marinheiros. Você vai me dizer que agora entraremos em guerra porque a Sony descreveu a Angelina Jolie como uma diva? Isso não vai acontecer.