outubro 19, 2010

[Segurança] Guerra Cibernética

Nesta semana eu irei participar do Congresso Latino Americano de Auditoria de TI, Segurança da Informação e Governança (CNASI), onde vou apresentar uma palestra sobre Guerra Cibernética no dia 20 de outubro e também vou ministrar um curso sobre os riscos de Cloud Computing, no último dia do evento. O CNASI acontece de 19 a 21 de outubro no Centro de Convenções Frei Caneca, em São Paulo.

A guerra cibernética nada mais é do que a adaptação da doutrina de guerra para a Internet, ou seja, uma evolução natural do comportamento bélico do ser humano, que se adapta de acordo com o surgimento de novas tecnologias e novas fronteiras. A internet é considerada, hoje em dia, como o quinto "domínio" da guerra, após a terra, o mar, o ar e o espaço.

Durante a palestra "Prepare-se para a Guerra Cibernética", eu vou apresentar os principais conceitos sobre o assunto e vou comentar sobre as estratégias dos principais governos ao redor do mundo para enfrentar esta nova ameaça e dentro de um cenário que eu e alguns outros especialistas na área chamamos de "Guerra Fria Cibernética". Hoje, vários países estão investindo em desenvolver uma capacidade de ataque e defesa voltado para o cyber espaço, ao mesmo tempo que algumas instituições, como a ONU e a OTAN, estão discutindo a necessidade de se criar tratados de proteção e cooperação específicos para este cenário. Esta apresentação é uma evolução do debate que eu e minha amiga Kristen Dennesen preparamos para a edição do ano passado da Hackers to Hackers Conference (H2HC).

Há excelentes materiais e artigos online que ajudam a explicar o conceito de guerra cibernética, e quero listar a seguir alguns deles que tenho utilizado como base para minhas apresentações.
No dia 16 de Maio de 2011, o governo americano anunciou sua nova política para o Cyber Espaço, que inclui alguns pontos específicos sobre estratégia de guerra e defesa cibernétic. O documento, chamado "International Strategy for Cyberspace", foi anunciado no Blog da Casa Branca, no post entitulado "Launching the U.S. International Strategy for Cyberspace".

O governo brasileiro também possui uma estratégia específica para tratar o assunto da guerra cibernética, desde que o Ministério da Defesa aprovou a "Estratégia Nacional de Defesa", que definiu três prioridades estratégicas para as forças armadas: o espaço (sob responsabilidade da Aeronáutica), a tecnologia nuclear (sob os cuidados da Marinha) e o Ciber Espaço, sob responsabilidade do Exército. A coordenação das estratégias de segurança está a cargo do Departamento de Segurança da Informação e Comunicações, em conjunto com as forças armadas, ABIN, Ministério da Justiça e Polícia Federal. O Exército Brasileiro está desenvolvendo um centro de guerra cibernética, chamado CDCiber (Centro de Defesa Cibernética), sob responsabilidade do "Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEX)", comandado pelo general Antonino dos Santos Guerra Neto.

Além do material citado acima, o Coronel João Rufino de Sales, do Exército Brasileiro, apresentou recentemente uma palestra excelente sobre o assunto, que está disponível online e reproduzo abaixo.


Atualizado em 23/11: O vídeo abaixo é bem interessante, mostra uma apresentação do security guru Bruce Schneier sobre guerra cibernética e cyber crime, onde ele comenta sobre as principais novidades e assuntos sobre o tema.



Atualizado na madrugada de 30/11: Eu achei no blog Café com Italo Adriano um vídeo curto, porém muito interessante, que mostra os cadetes da academia militar americana de West Point realizando um treinamento para Guerra Cibernética, junto com outras academias e a NSA. Os militares simulavam um um país sob cyber ataque e treinavam técnicas de defesa e identificação dos ataques realizados pelos especialistas da NSA. O vídeo é bem interessante:


Atualizado em 01/12/2010: Publiquei no SlideShare a minha apresentação utilizada no CNASI-SP em Outubro de 2010.


Atualizado em 04/02/2011: Eu recomendo também a leitura do artigo "World leaders meet to discuss cyberwar rules of engagement"

Atualizado em 01 de Abril/2011: adicionei os artigos "Virtual war a real threat" e "Quando bits viram mísseis"

Atualizado em 20 de Abril de 2011: Adicionei os papers "Beyond Cyber Doom" e "Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy", além da notícia "U.S., Russian Officials Work to Define Cybersecurity Terms".

Atualizado em 25 de Maio: incluí o link para a nova política americana para o Cyber Espaço ("Launching the U.S. International Strategy for Cyberspace"). No dia 28/05 incluí o artigo "Did the US write Stuxnet? Deputy Defense Secretary won't deny it".

Em 01 de Junho, adicionei os artigos sobre a capacidade de guerra cibernética da Coréia do Norte e da Inglaterra, o artigo "a guerra virtual… pra valer", o "Cyber Combat: Act of War" e o artigo "Ciberpatriotas de 14 años" sobre o programa Cyberpatriot.

Atualizado em 09/06/2011, com dois artigos sobre os planos de lançar o Centro de Defesa Cibernética (CDCiber) Brasileiro no segundo semestre de 2011 e um artigo sobre o "centro de defesa cibernética Alemã"

Atualizado em 22/06/2011: A BT divulgou o vídeo abaixo, com um trecho curto de uma apresentação do security guru Bruce Schneier com pontos muito interessantes sobre guerra cibernética, ghostnet, wikileaks e afins. Gostei especialmente do trecho em que ele comenta se as pessoas devem ter mais medo de um ataque através de bombas e aviões ou de um ataque por pendrives ("USB sticks"). Também aproveitei para adicionar dois artigos recentes sobre a estratégia do governo brasileiro.


Adicionados mais três artigos em 23/08/2011.

Atualização em 29/11/2011: adicionada a entrevista com o jornalista Misha Glenny

Atualizado pela última vez em 26/12/2013 15/12/2014 19/02/15 01/07/15 22/07/15.

Atualização em 09/09/15: que tal uma ótima charge sobre Guerra Cibernética?



Atualizado em 20/06/16.

Atualização em 23/07/16 para incluir algumas notícias e a palestra abaixo, apresentada no TED Global de Londres, em 2015, com o título "Governments don't understand cyber warfare. We need hackers".



Atualização em 16/08/16, 02 e 08/12/16.

Atualização em 20/02:2017: eu vi dois vídeos interessantes (e curtos) no canal da RSA Conference sobre guerra cibernética:




Atualização em 02/03/2017: Incluí uma notícia sobre os esforços de guerra cibernética da Rússia. Eu gostei da palestra "Cyberwar", apresentada pela Amy Zegart no TEDxStanford em Junho de 2015 (abaixo), embora em alguns momentos ela misture um pouco de guerra cibernética com ciber ataques em geral. O slide abaixo resume os principais pontos da palestra.



Post atualizado em 15/05/2017. Atualizado em 19/06/2017 e aprovei para separar as notícias genéricas em português das notícias e reportagens específicas sobre a capacidade de guerra cibernética do Brasil. Atualizado em 08/07 e 18/07/17. Atualizado em 08/09/17. Nova atualização em 11 e 14/10/17.

Atualização em 26/10/17: Recentemente eu assisti as três apresentações abaixo, que achei bem legais: "Cyberwar in 2020" (fala mais sobre política e sociedade do que guerra cibernética, mas é bem interessante), "Cyber-Apocalypse and the New Cyberwarfare" (meio obvia e, como o título sugere, é cheia de Buzzwords, mas como ela é curtinha, não chega a ser uma perda de tempo) - ambas são vídeos curtos da RSA Conference - e "The Militarization Of The Cyberspace And Why We Should Care About It", do Julio Cesar Fort.




Atualizado em 08/12/17. E em 11/03/18. Em 06/06/18 também.

Atualizado em 25/09/18. Atualização em 17/10/18, com mais alguns artigos e aproveitei para colocar todas as notícias específicas sobre os EUA em um bullet específico. Nova atualização em 21/11/18 e 14/12/2018.

Post atualizado em 29/12/18, para trazer aqui a nova Política Nacional de Segurança da Informação do governo Brasileiro (Decreto nº 9.637, de 26 de dezembro de 2018).

Atualizado em 14/01/2019.

Atualização em 18/01/19: O vídeo é de 2017, mas esse depoimento do Mikko Hypponen resume, de uma forma bem curta e objetiva, o que seria a próxima corrida cibernética. Artigo: "An internet security expert says a cyber arms race has just begun – and the big players might surprise you".


Post atualizado em 07/03/19, 02/05/19. Atualização em 09/05 para incluir a notícia do ataque de Israel em resposta a um ciber ataque do Hamas, e aproveitei para colocar um item específico para as notícias sobre Israel. Atualizado em 15/07/2019. Atualizado em 06, 07, 08, 09 e 14/01/2020.

Post atualizado em 22/01/2020 para citar o excelente verbete na Wikipedia sobre Cyberwarfare e o artigo sensacional da Wired "The WIRED Guide to Cyberwar". Ambos são muito completos e detalhados, leitura obrigatória. Atualizado novamente em 28/01, 18/04, 23/06 e 12/08.

Atualização em 13/08: A Compugraf criou um pequeno vídeo com uma timeline dos principais ataques relacionados a guerra cibernética e ciber espionagem. Eles também tem um pequeno vídeo que explica didaticamente o que é guerra cibernética.


Post atualizado em 03 e 04/09, em 02/12/2020.

Atualização em 22/10: O vídeo abaixo mostra de uma forma clara e objetiva quais são os 7 principais países no campo da guerra cibernética ("Top 7 Most Elite Nation State Hackers"):


Post atualizado em 09/02/2021, 12, 13, 25 e 30/04. Atualizado em 03 e 13/05, em 19/07, 24 e 26/08/2021. Atualizado em 21/03 e 01/04/2022. Atualizado em 06/09, em 06 e 14/10/2022, em 07/11 e em 14+20/12. Atualizado em 09 e 11/04/2023, em 10+12/06 e 24/07, 03/08, 01+12+20+29/09 e 27/11. Atualizado em 09/01/2024.

Atualização em 09/04/21: Essa tese do Mohan B. Gazula M.S. em Computer Science da Boston University, apresentada em 2017 no MIT, traz uma visão dos principais conflitos de guerra cibernética que já aconteceram: "Cyber Warfare Conflict Analysis and Case Studies".

Atualização em 06/09/22: Em 2022 o mundo presenciaou um cenário de guerra cibernética associado ao conflito entre a Rússia e Ucrânia. Eu fiz um apanhado do assunto nesses posts, aqui no blog:
Atualização em 18/12/2023: Veja essa palestra do Mikko Hypponen, sobre a ciber guerra na Ucrânia: "Ctrl-Z". (NOVO)

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.