Embora os hacktivistas provavelmente acreditam que estão fazendo a coisa certa ao contribuir com as suas habilidades para o lado que apoiam, no mínimo, estão cometendo cibercrimes.
A Avast começou a identificar pedidos de participação em atividades hackers – o hacktivismo – tão logo a guerra na Ucrânia começou. Alguns eram fraudulentos, procurando lucrar com a tragédia, mas outros eram um incentivo genuíno para “pessoas comuns” que quisessem contribuir com o esforço digital. Embora esta não seja a primeira vez que hacktivistas intervêm em eventos mundiais, há uma grande diferença entre as ações anteriores: isto é uma guerra e as regras são diferentes durante uma guerra.
É claro que todos esses eventos estão tendo um impacto altamente emocional em muitas pessoas: medo, raiva, impotência e muito mais. Essas são emoções complexas e, a partir delas, o desejo de alguns de atacar não surpreende ninguém. O que pode ser menos óbvio, porém, é que quando as pessoas aderem a uma guerra, os danos podem superar dramaticamente qualquer bem possível, o que não é facilmente visível sem uma análise detalhada.
Embora os hacktivistas provavelmente acreditam que estão fazendo a coisa certa ao contribuir com as suas habilidades para o lado que apoiam, no mínimo, estão cometendo cibercrimes. Onde as linhas ficam mais obscuras, porém, é determinar o ponto em que as ações hacktivistas de um indivíduo contra uma entidade de guerra passam de um crime para tornar essa pessoa um combatente ativo. Volumes inteiros de trabalhos jurídicos e acadêmicos foram escritos sobre este tópico. Um deles, o Manual de Tallinn, até olhou para quais leis e tratados que existem hoje já podem ser aplicados.
O Manual de Tallinn é um manual não juridicamente vinculativo que aplica as leis internacionais existentes às operações cibernéticas. O objetivo é tomar as leis que os países já concordaram e aplicá-las aos conflitos cibernéticos, em vez de criar todo um novo conjunto de leis para o mundo da guerra cibernética. A primeira edição do Manual* inclui 95 regras que se aplicam à guerra cibernética, enquanto a segunda edição se baseia na primeira e contém 154 regras que, se não chegam ao nível de guerra cibernética, são aplicáveis a “operações cibernéticas malévolas”.
De acordo com a Regra 6 do Manual de Tallinn, os governos podem ser responsabilizados por ataques cibernéticos conduzidos por cidadãos ou grupos privados caso “emitam instruções específicas, direcionem ou controlem um determinado grupo que se envolva”.
A Regra 6 também afirma que os Estados têm a obrigação de fazer diligências prévias (due diligence) para garantir que o seu território “não seja usado para causar danos a outros países”. Em outras palavras, se um governo sabe que hacktivistas em seu país estão atacando outra nação e causando “sérias consequências adversas”, ele é responsável por detê-los. Embora os estudiosos não sejam claros sobre o que constitui “dano adverso grave”, eles afirmam que não precisa incluir “dano físico a objetos ou ferimentos a indivíduos”.
Embora ainda não tenhamos visto instruções públicas de nenhum dos governos envolvidos na guerra Rússia/Ucrânia, houve um claro “encorajamento” de vários lados e, em alguns casos, seria difícil argumentar que os governos não sabiam que os ataques estavam ocorrendo em seu território e em seu nome.
Por exemplo, o vice-primeiro-ministro da Ucrânia, Mykhailo Fedorov, tuitou um link para um canal público do Telegram e encorajou os hackers a se juntarem à luta contra a Rússia*. Da mesma forma, o governo russo – sendo considerado um líder mundial em guerra cibernética e realizou ataques cibernéticos na Ucrânia ao longo do passado – tem estado relativamente quieto na frente cibernética*, mas hackers russos individuais começaram a derrubar sites ucranianos* e o Conti, um dos sindicatos de criminosos cibernéticos mais conhecidos que prometeu defender a Rússia* e foi rapidamente derrubado. Em um nível mais distribuído, o grupo de hackers Anonymous assumiu a responsabilidade por ataques DDoS* em sites de notícias russos.
Como a guerra cibernética é tão nova na história da humanidade, “mesmo os estudiosos do direito não têm uma compreensão abrangente e completa dela”, diz o chefe global de segurança da Avast, Jeff Williams. Por isso, pode ser difícil determinar exatamente quais atos de hacktivismo poderiam ser considerados atos de guerra e, quando ocorrem, que tipo de retaliação seria aceitável. Isso tem a ver em grande parte com a questão da responsabilidade do Estado quando os “soldados” – também conhecidos como hackers, neste caso – são amplamente distribuídos e muitas vezes agem por conta própria. Como os governos decidem quais atos “não estatais” exigem retaliação? Como é essa retaliação? Estas são, infelizmente, questões para as quais ainda não temos respostas. Williams faz a pergunta hipotética: “Se um ato de guerra é digno de uma resposta proporcional, como é a proporcionalidade para um ataque de ransomware contra hospitais? Eles são uma infraestrutura crítica e vidas estão em risco. Onde seria traçada a linha nos métodos de retaliação? Seria razoável para um estado-nação em uma guerra atingir hacktivistas diretamente com uma resposta cibernética?”
Mesmo deixando de lado os aspectos legais, vale a pena considerar a eficácia de tais ataques. Existem muitos cenários em que um ataque de um indivíduo isolado não teria efeito, como um ataque DDoS contra um site que não estiver em uso. Outras considerações, como um ataque hacktivista interrompendo inconscientemente uma operação militar planejada ou coleta de informações, representam casos em que a ação teve o efeito oposto ao pretendido. Outro caso é um ataque que usa uma nova abordagem ou vulnerabilidade anteriormente desconhecida, que passa a ser então usada para retaliar aqueles que o hacktivista esperava apoiar. O que poderia dar errado? Praticamente tudo. Em primeiro lugar, porém, é um crime. Isso por si só deveria ser um desincentivo para as pessoas.
No entanto, independentemente das (às vezes, ambíguas) leis internacionais em torno da guerra cibernética, a Avast desencoraja fortemente os indivíduos de se envolverem em iniciativas de hacktivismo. Além de ilegal, é difícil conseguir uma boa segurança operacional, colocando em risco hackers potencialmente bem-intencionados. Essas ações também podem levar a danos colaterais, tanto online quanto offline. Já estamos vendo malwares serem adicionados em algumas dessas ferramentas e qualquer ataque à infraestrutura afeta negativamente todas as pessoas, não apenas aqueles que apoiam a guerra.
Finalmente, conforme descrito aqui, existe uma possibilidade muito real de retaliação por ataques cibernéticos na forma de ataques físicos. E a vida dos outros não é um risco que nenhum de nós deveria estar disposto a correr.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.