p Relatos de ataques cibernéticos mal-intencionados e direcionados estão se tornando cada vez mais comuns em todo o mundo. No início de fevereiro, por exemplo, As agências de segurança da Austrália revelaram que estavam investigando uma tentativa de hack do parlamento do país, e não descartou outro país por trás disso. p À medida que ataques mais complexos e potencialmente prejudiciais aos sistemas críticos de infraestrutura nacional são descobertos, Os apelos estão cada vez mais altos para que regras internacionais governem essa frente de batalha emergente.

p Os esforços para o controle de armas cibernéticas têm-se centrado predominantemente em um modelo em que as "armas" se relacionam a ferramentas de hacking específicas de código como arma ou às vulnerabilidades de software que as habilitam. Foram feitas tentativas para restringir a proliferação e disseminação do que é chamado de "exploits de dia zero" - as falhas no código de um programa que permitem que atacantes maliciosos interfiram nos sistemas que os executam.

p Uma recente exposição da Reuters sobre as operações de uma ala clandestina da Autoridade de Segurança Eletrônica Nacional (NESA) dos Emirados Árabes Unidos (EAU) expôs outro componente dos ataques cibernéticos ofensivos - a perícia. Esta questão atraiu mais atenção internacional quando o FBI anunciou acusações em meados de fevereiro contra Monica Witt, um ex-analista da Força Aérea dos EUA, acusado de espionagem e desertar para o Irã.

p Mercenários cibernéticos

p A investigação da Reuters detalhou como alguns ex-funcionários da Agência de Segurança Nacional dos Estados Unidos (NSA), operativos com experiência em técnicas de penetração digital, coleta de inteligência online e operações cibernéticas ofensivas, foram contratados por meio de uma empresa sediada em Maryland para trabalhar para os Emirados Árabes Unidos.

p A investigação faz menção específica a uma das ferramentas - Karma - que esses empreiteiros empregaram em nome dos Emirados Árabes Unidos contra alvos específicos. Essa ferramenta de hacking permitiu que seus operadores obtivessem acesso remoto e não solicitado ao telefone Apple de um alvo por meio de uma falha não especificada que agora se acredita ter sido corrigida pela Apple. A Reuters relatou que os alvos desses ataques foram desde ativistas de direitos humanos, para jornalistas americanos.

p O artigo levantou questões sobre se esses contratados poderiam ter fornecido a seus funcionários da NESA recursos cibernéticos avançados desenvolvidos por seu antigo empregador, a NSA. Mas o subtexto da investigação da Reuters é que a experiência desses ex-oficiais de inteligência é tão atraente para seus novos empregadores quanto quaisquer ferramentas que possam trazer com eles.

p Em um artigo separado, examinando especificamente o Karma, A Reuters alega que foi comprado pelo governo dos Emirados de um vendedor de fora do país. Com efeito, os Emirados Árabes Unidos contrataram uma equipe de engenheiros especializados desempregados que não puderam trazer consigo as ferramentas que usaram nos EUA, então, comprou-lhes as ferramentas de que precisavam para fazer o trabalho. Isso sugere que há dois componentes necessários para equipar qualquer estado ou grupo com capacidade cibernética avançada:as ferramentas e a experiência.

p Ferramentas e experiência

p Esforços globais estão em andamento para controlar as ferramentas usadas em ataques cibernéticos, como a Comissão Global sobre a Estabilidade do Ciberespaço, que introduziu uma série de normas internacionais sobre o uso do ciberespaço para promover a estabilidade da Internet e as boas práticas de todos os envolvidos. Outros esforços foram no nível legislativo, tais como adições específicas ao Acordo de Wassenaar, um arranjo de controle de exportação que visa restringir a disseminação de tecnologias civis que podem ser colocadas em uso militarizado. Mas a experiência dos ciberoperativos até agora recebeu atenção limitada.

p No cenário descrito pela Reuters, A NESA e seu Projeto Raven não poderiam ter operado sem as ferramentas ou a experiência. A ferramenta em si - Karma - e a expertise e experiência necessárias para usá-la e treinar outros para fazê-lo, ambos requerem um investimento significativo.

p Os perigos do investimento estatal na coleta de falhas de software e na criação de ferramentas poderosas que exploram essas fraquezas até então desconhecidas foram dolorosamente demonstrados pelo vazamento da vulnerabilidade armazenada pela NSA, EternalBlue. Essa foi a espinha dorsal do ataque WannaCry, que ganhou as manchetes internacionais em 2018 por meio de seu impacto no NHS britânico e em outros negócios internacionais e serviços governamentais.

p Mas as preocupações devem estar crescendo sobre a capacidade que os estados investem no conjunto de habilidades das pessoas que descobrem e então armam as falhas no software que potencializam nossas vidas cada vez mais interconectadas e dependentes da Internet. Governos em todo o mundo estão se preparando para o que consideram o próximo domínio da guerra, tentando recrutar talentos existentes para projetos governamentais ou por meio do treinamento da próxima geração de especialistas em segurança cibernética que, segundo eles, lhes proporcionarão uma vantagem.

p Existe o risco de que nos esforços globais que se concentram no uso de ferramentas cibernéticas pelos estados e na exploração de vulnerabilidades no código de programação, há uma lacuna legislativa e de governança em desenvolvimento. Isso pode levar os estados a investir no treinamento de espiões cibernéticos, saboteurs or soldiers of the future only to find those critical skills and the capability they provide being snapped up by the highest bidder. p Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.