Hackers vendem brechas a governos interessados em ciberespionagem

Da África do Sul à Coreia do Sul, o negócio de descobrir brechas de seguranças e bugs em sistemas está crescendo para os hackers, segundo reportagem do The New York Times. As falhas encontradas pelos programadores podem dar acesso a sistemas como o Windows, da Microsoft, e permitir ao comprador do segredo acesso ao computador de qualquer companhia ou governo que use o sistema.

Até alguns anos atrás, os bugs descobertos eram vendidos às próprias fabricantes do software defeituoso. Microsoft e Apple, por exemplo, pagam por essas informações - e Redmond inclusive aumentou o valor máximo por erro para US$ 150 mil no mês passado. O Facebook gastou US$ 1 milhão desde 2011, quando iniciou seu programa de recompensas, e o Google paga até US$ 20 mil por falhas encontradas no navegador Chrome. A Apple não tem uma iniciativa de recompensa, e diz-se no ramo que uma falha no iOS uma vez foi vendida por US$ 500 mil.

Notícias relacionadas

Espionagem da NSA mostra como metadados podem expor segredos

Espionagem destaca urgência de o Brasil ter seu satélite, diz Defesa

Angela Merkel defende regulação europeia contra espionagem

Mas atualmente os governos pagam por esse tipo de informação do que as companhias desenvolvedoras dos softwares, uma vez que países podem explorar os dados para conseguir estar à frente - ainda que por tempo limitado - de nações rivais com que travam disputas. De acordo com companhias do setor, uma falha custa hoje, em média, entre US$ 35 mil e US$ 160 mil. Um dos modelos de negócio exige US$ 100 mil de assinatura anual, para olhar o "catálogo" de falhas e, uma vez escolhida a brecha desejada, cobra por cada item separadamente.

Os profissionais do ramo chamam essas falhas de "zero days" - algo como "tempo zero", em tradução livre -, em referência ao fato de que o usuário não tem tempo nenhum de se proteger: a falha vendida pode ser usada imediatamente por quem a comprar.

"Governos estão começando a dizer, 'para proteger meu país, preciso encontrar vulnerabilidades em outras nações'", afirma Howard Schmidt, ex-coordenador de cibersegurança da Casa Branca. "O problema é que estamos essencialmente ficando menos seguros", contrapõe.

O jornal americano cita dados da Symantec de que falhas 'zero days' persistem por cerca de 312 antes de ser detectada - nesse tempo, a brecha pode ser explorada por golpistas ou governos. Os Estados Unidos seriam um dos países compradores desse tipo de informação, de acordo com os dados vazados pelo ex-agente da CIA Edward Snowden sobre o esquema de vigilância em massa do governo americano através da agência nacional de segurança ianque (NSA).

Mas os EUA não estariam sozinhos. Israel, Reino Unido, Rússia, Índia e Brasil investiriam pesado na compra desses bugs. A Coreia do Norte e agências de inteligência em alguns países do Oriente Médio também, segundo Luigi Auriemma e Donato Ferrante, dois profissionais do ramo que moram em Malta e falaram ao NYT. De acordo com o Centro para Estratégias e Estudos Internacional, de Washington, países da Ásia como Malásia e Singapura, completam a lista.

A negociação entre hackers e governos é feita por corretores, que cobram 15% do valor do negócio em comissão. Em alguns casos, o programador que descobre a falha ganha um adicional por cada mês em que o bug não é arrumado - ou seja, em que a brecha continua aberta ao invasor.

Mas o lado confidencial é essencial ao negócio desses corretores. Um dos mias famosos, que atua de Bangcoc e atende na conta Grugq do Twitter, deu entrevista à revista Forbes no ano passado e viu as transações diminuírem, porque os clientes ficaram desconfiados.

Apesar disso, de acordo com o jornal americano, a abordagem não precisa ser discreta. A reportagem cita quatro startups que anunciam que vendem vulnerabilidades para fins de ciberespionagem e, em alguns casos, ciberataque.

Uma delas, onde atua um ex-gerente da NSA, afirma que oferece suas ferramentas para encontrar brechas primeiramente ao governo americano. Outra, diz que todos os seus clientes são americanos. Uma terceira alega que não vende a países com os quais a União Europeia, os EUA ou a ONU têm embargo.

O mercado, alegam todos os players, começou a crescer em 2010, quando Estados Unidos e Israel compraram falhas para atacar o sistema iraniano de enriquecimento de uranio. Agora, mais países pagam, e pagam melhor, para obter essas informações. Hackers afirmam que não é possível escolher os clientes, ou o profissional acaba "escanteado". Alguns, inclusive, defendem que não se deve entregar de graça conhecimento profissional. "Há sempre alguém interessado em pagar", lamenta Schmidt, ex-Casa Branca.