O autor cita a execução da lei como uma das principais ¡¦eas nas quais a seguran¡¦ global de informação pode ser fortalecida. Ele pede "a harmonização das leis nacionais contra os ataques aos computadores, a cooperação multinacional quando se tratar de rastrear ataques de um pa¡¦ para outro, acordos internacionais para a extradição das pessoas respons¡¦eis pelos ataques, e disposição para impor sanções ¡¦ pessoas que protegerem os autores dos ataques." Ele acredita que a boa vontade para compartilhar informações sobre pesquisa e desenvolvimento, sobre indicações e advert¡¦cias de ataques, e sobre a ocorr¡¦cia e a reação a ataques "tamb¡¦ pode refor¡¦r a efic¡¦ia das medidas de proteção de cada nação."

Quem estiver procurando novos motivos para preocupação n¡¦ precisa ir muito longe. Em todos os lugares, os computadores e outros aparelhos digitais entraram nas nossas vidas. O que era manual, agora ?autom¡¦ico; o que era anal¡¦ico, agora ?digital; e o que, no passado, funcionava isoladamente, agora est?ligado a todas as outras coisas. A cada dia que passa, n¡¦ temos escolha: temos que contar com essas m¡¦uinas. Se elas falharem, naufragaremos.

A f?resultante da depend¡¦cia seria merecida se esses dispositivos somente fizessem o que devem. Alguns falham por conta pr¡¦ria, e n¡¦ seguimos em frente. Mas tamb¡¦ existe a possibilidade de eles falharem por terem ca¡¦o nas m¡¦s daqueles que querem agir de modo a nos prejudicar. Em tais circunst¡¦cias, eles podem n¡¦ apenas deixar de funcionar, mas podem tamb¡¦ revelar segredos a eles confiados, ou produzir informações corrompidas -- ¡¦ vezes de tal forma que o fato s?pode ser percebido quando j??tarde demais para reverter as ações que j?se encontram em andamento.

Por que existe essa vulnerabilidade? Os equipamentos digitais s¡¦ r¡¦idos, baratos, precisos, e raramente esquecem o que dizemos a eles. Mas eles s¡¦ absurdamente literais e geralmente n¡¦ possuem o discernimento para compreender as implicações das ordens que recebem e nem a integridade das pessoas que d¡¦ essas ordens.

As conseqüências em potencial de falhas ou corrupção de sistemas, deliberadamente induzidas, s¡¦ enormes. Assumindo o controle dos principais sistemas que d¡¦ suporte ?sociedade, os atacantes da inform¡¦ica podem, em teoria, escutar ligações telef¡¦icas, fazer ligações para os lugares errados, e tornar os servi¡¦s de telefonia totalmente inoperantes; interromper o fornecimento de energia el¡¦rica; interferir na realização de neg¡¦ios da ordem de, literalmente, trilh¡¦s de d¡¦ares por semana; prejudicar os servi¡¦s de emerg¡¦cia; impedir as for¡¦s armadas dos Estados Unidos de reagir a crises no exterior rapidamente; revelar informações m¡¦icas de car¡¦er pessoal e secreto; criar confus¡¦ nos sistemas de transporte, e criar situações de perigo para os viajantes; e muito mais. A vida, como a conhecemos, poderia ficar paralisada.

Os ataques a computadores, se forem suficientemente sistem¡¦icos, podem ser uma guerra por outros meios -- essa ?a origem do termo "guerra de informação" como um conceito abrangente. Mas a guerra de informação no sentido mais amplo -- atacar as informações e o processo de tomada de decis¡¦s de um advers¡¦io -- ?t¡¦ antiga quanto a guerra propriamente dita. Tais t¡¦icas abrangem operações psicol¡¦icas, ataques ?estrutura de comando de um inimigo, espionagem e contra-espionagem, e operações contra as infra-estruturas e os sistemas de vigil¡¦cia do advers¡¦io. Durante a Guerra Civil dos Estados Unidos (1861-1865) houve incidentes de operações de propaganda, atiradores de elite alvejando generais inimigos e observadores em bal¡¦s de ar quente, sabotadores destruindo linhas telegr¡¦icas, piquetes de cavalaria e manifestações contra a cavalaria -- todas essas coisas constituem guerra de informação. Na Segunda Guerra Mundial surgiu a guerra eletr¡¦ica sob a forma de radar, despistamento eletr¡¦ico, bloqueio de radiofreqüência, elaboração de c¡¦igos, e a decifração de c¡¦igos auxiliada por computador.

Os ataques a computadores se encaixam muito bem nesse tipo de guerra. Se ?poss¡¦el destruir o quartel-general do inimigo com bombas e tiros, o que h?de errado em utilizar meios menos violentos de invadir e neutralizar os sistemas de computação que gerenciam as batalhas do futuro? Em 1920, havia noções de guerra estrat¡¦ica segundo as quais o uso da for¡¦ a¡¦ea contra alvos civis reduziria ou talvez evitaria a carnificina da guerra de trincheiras. A guerra estrat¡¦ica pela informação vai um passo al¡¦ disso.

As sociedades modernas s¡¦ vulner¡¦eis? A maioria dos sistemas de informação tem muito menos seguran¡¦ do que poderiam; muitos t¡¦ menos do que deveriam ter. Redes e sistemas de muitos tipos j?foram atacados -- o servi¡¦ da Internet, o servi¡¦ de telefonia, alguns servi¡¦s de transporte, instituições financeiras, e redes corporativas.

Os ataques a computadores s¡¦, de qualquer maneira, um problema s¡¦io. Na verdade, o Federal Bureau of Investigation [FBI -- pol¡¦ia federal americana] recentemente estimou que eles t¡¦ um custo, para a economia americana, que varia entre meio bilh¡¦ e cinco bilh¡¦s de d¡¦ares por ano -- uma estimativa com uma ampla, e de certa forma, muito reveladora, margem de erro. Ningu¡¦ sabe, realmente, quantos ataques acontecem. Muitas provas s¡¦ baseadas em relatos verbais, e portanto as pessoas t¡¦ que extrapolar usando conceitos populares como "somente os amadores deixam impress¡¦s digitais, os profissionais nunca o fazem", e, "as pessoas nunca querem dizer com que gravidade foram atingidas." Portanto, os ataques a computadores s¡¦ comparados aos icebergs, e o pa¡¦, supostamente, faz o papel do Titanic.

De qualquer maneira, esta ?a teoria. Mas essa teoria ?uma perspectiva? Ao contr¡¦io de todas as outras formas de guerra, n¡¦ se entra no espa¡¦ cibern¡¦ico ?for¡¦. Se os hackers penetram em um sistema, eles invariavelmente o fazem usando caminhos residentes no pr¡¦rio sistema: alguns s¡¦ caracter¡¦ticas e alguns s¡¦ "bugs" (isto ? caracter¡¦ticas n¡¦ documentadas), que nunca s¡¦ removidos. De qualquer forma, o deslocamento ao longo desses caminhos est?totalmente sob o controle de quem quer que esteja operando o sistema. Assim, a vigil¡¦cia ?tudo o que ?necess¡¦io para a proteção.

De fato, existem proteções. Muitos sistemas de informação operam em v¡¦ios n¡¦eis: h?maneiras de estabelecer uma distinção entre os usu¡¦ios leg¡¦imos e os ileg¡¦imos, barreiras para impedir que os usu¡¦ios leg¡¦imos assumam o controle dos sistemas de computação, intencionalmente ou n¡¦, e dispositivos de seguran¡¦, para que nem mesmo a usurpação do controle crie um perigo para o p¡¦lico.

Os atacantes, por sua vez, precisam, antes de mais nada, enganar o sistema, fazendo com que ele acredite que eles s¡¦ usu¡¦ios leg¡¦imos (por exemplo, roubando ou adivinhando uma senha) e em seguida, adquirir privil¡¦ios de controle (freq¡¦ntemente explorando falhas end¡¦icas) que s¡¦ negados ?maioria dos usu¡¦ios comuns. Com esses privil¡¦ios de "super-usu¡¦ios", os atacantes podem eliminar arquivos-chave, escrever coisas sem nexo em outros, ou instalar uma "porta dos fundos" para poderem entrar novamente mais tarde.

Ningu¡¦ duvida de que as defesas, se necess¡¦io, podem ser melhores do que a pr¡¦ica comum atual.

A maioria dos sistemas usa senhas para limitar a entrada, mas as senhas apresentam muitos problemas que s¡¦ bem conhecidos: muitas delas podem ser facilmente adivinhadas; elas podem ser roubadas ao flu¡¦em pelas redes, e al¡¦ disso, elas freq¡¦ntemente ficam armazenadas em partes do servidor onde se espera que elas possam ser encontradas. Os m¡¦odos de encriptação como assinaturas digitais contornam esses problemas (a captura e a reprodução de mensagens de acesso n¡¦ funciona) . As assinaturas digitais at?ajudam a garantir que qualquer mudan¡¦ em um banco de dados ou programa, uma vez assinada eletronicamente, pode ser usada para localizar o seu autor -- o que tamb¡¦ ?¡¦il, se o atacante for algu¡¦ que pertence ?organização e que possua privil¡¦ios para utilizar os sistemas.

Os sistemas operacionais de computadores e redes s¡¦ vulner¡¦eis a programas inseridos pelos hackers, como v¡¦us (software que infecta software e faz com que ele infecte outro sofware), cavalos de Tr¡¦a (Trojan horses) (software aparentemente ¡¦il, que cont¡¦ armadilhas ocultas) e bombas de l¡¦ica (software que fica latente at?ser acionado por um sinal). Os programas de proteção contra v¡¦us podem funcionar, mas se as preocupações persistirem, por que n¡¦ colocar todos os arquivos cr¡¦icos em uma m¡¦ia que n¡¦ possa ser alterada (por exemplo, um CD-ROM)? Uma m¡¦ia desse tipo pode, tamb¡¦, impedir que informações sejam apagadas ou corrompidas pelas pegadas digitais de um atacante em potencial. Na verdade, devido ao baixo custo de tais dispositivos, j?n¡¦ existe mais uma desculpa leg¡¦ima para perder informações.

Os sistemas podem tamb¡¦ ser colocados em uma situação de risco por causa de outros sistemas que s¡¦ considerados confi¡¦eis. Duas precauções podem ser tomadas contra esse perigo: reduzir a lista de sistemas confi¡¦eis e limitar o n¡¦ero de mensagens ¡¦ quais um determinado sistema reage. Nos sistemas banc¡¦ios, por exemplo, isso ?feito para impedir que os computadores sejam corrompidos por caixas autom¡¦icas localizadas em alguma esquina. O computador ignora qualquer coisa oriunda de uma caixa autom¡¦ica que n¡¦ seja uma transação leg¡¦ima. Nenhuma transação leg¡¦ima pode causar danos ao computador do banco.

Uma ¡¦tima precaução ?puxar a tomada. Em casos extremos, muitos sistemas (por exemplo, as usinas at¡¦icas) funcionam quase perfeitamente se forem desconectadas do resto do mundo.

At?que ponto os propriet¡¦ios de um sistema devem ir? Uma proteção de baixo custo (por exemplo, paredes de fogo [firewalls] e detectores de invas¡¦) podem parecer o suficiente para o ambiente atual. Afinal, talvez n¡¦ valha a pena gastar uma quantia muito alta para proteger o sistema de um escrit¡¦io se, por exemplo, um ataque somente causar?uma interrupção tempor¡¦ia no seu funcionamento. Muitas empresas n¡¦ consideram a amea¡¦ s¡¦ia e investem proporcionalmente. Elas podem estar certas. Mas e se elas estiverem erradas? Se e quando as amea¡¦s crescerem, os propriet¡¦ios dos sistemas podem elevar o n¡¦el de seguran¡¦ -- at?mesmo a curto prazo (por exemplo, impedindo que os usu¡¦ios se conectem de suas casas ou que executem certas ações quando estiverem conectados).

Na verdade, ?justamente a falta de boas caracter¡¦ticas de seguran¡¦ em toda a infra-estrutura nacional de informação, na atualidade, que d?margem a uma certa confian¡¦ de que os sistemas de computação poderiam, se necess¡¦io, se tornar seguros. (Em comparação, boas defesas contra a guerra nuclear foram tecnicamente imposs¡¦eis de conseguir durante d¡¦adas, e se poss¡¦eis hoje, t¡¦ um custo muito elevado.) Mesmo se muitos sistemas puderem ser neutralizados temporariamente, mant?los fora do ar por muito tempo j?n¡¦ ser?t¡¦ f¡¦il, enquanto os administradores dos sistemas estiverem trabalhando freneticamente para fazer com que os servi¡¦s essenciais voltem a funcionar. Qualquer um que queira colocar a infra-estrutura de informação dos Estados Unidos em uma situação de risco deve compreender que a simples amea¡¦ de fazer isso -- se for levada a s¡¦io -- ser?neutralizada pouco tempo depois de ser anunciada, ?medida que as pessoas reagirem.

Qual deve ser o papel do governo? As pessoas respons¡¦eis pela proteção da nação em terra, na ¡¦ua e no ar, e no espa¡¦ exterior tamb¡¦ podem proteger a nação no espa¡¦ cibern¡¦ico? Ser?que elas devem fazer isso?

O governo pode ajudar, mas h?muita coisa que o governo n¡¦ pode fazer -- ou n¡¦ deve fazer. Sim, a eletricidade ?essencial, mas a proteção do fornecimento da energia el¡¦rica contra a ação dos hackers depende quase inteiramente da maneira pela qual as empresas de energia administram os seus sistemas de computação: isso inclui o software de rede e o sistema operacional que elas compram, a maneira pela qual esse software ?configurado, como os privil¡¦ios de acesso s¡¦ atribu¡¦os e protegidos, e como os v¡¦ios mecanismos ?prova de falha e de sobrepujamento manual est¡¦ instalados nos sistemas de geração e distribuição da empresas. ?inadmiss¡¦el que qualquer empresa de energia queira que o governo a "proteja" dizendo-lhe como fazer essas coisas. Em termos mais gerais, o governo n¡¦ pode construir uma parede de proteção em torno dos Estados Unidos -- at?porque muitas redes internas se estendem pelo mundo inteiro.

O governo pode fazer cumprir leis contra ataques a computadores, e faz isso. Ele tem sido muito bem sucedido, levando-se em consideração que os atacantes podem ser t¡¦ an¡¦imos e t¡¦ distantes. At?agora, a maioria dos ataques de hackers mais comentados foram executados n¡¦ por profissionais, mas por amadores.

O governo deve tentar inibir a guerra de informação amea¡¦ndo se vingar dos culpados? Vamos assumir que eles possam ser identificados. O governo dos Estados Unidos pode amea¡¦r agir da mesma forma, mas muitas nações n¡¦ confi¡¦eis t¡¦ poucos sistemas compar¡¦eis aos nossos (por exemplo, a Cor¡¦a do Norte n¡¦ tem uma bolsa de valores para ser neutralizada). Por outro lado, ?problem¡¦ico reagir violentamente a um ataque de guerra de informação que tenha causado perdas ?v¡¦ima, em termos de tempo e dinheiro, mas que n¡¦ tenha ferido ningu¡¦.

Embora muitas coisas que o governo pode fazer para fortalecer a seguran¡¦ sejam indiretas, a Comiss¡¦ Presidencial Sobre a Proteção ?Infra-Estrutura Cr¡¦ica, e outras entidades, fizeram as seguintes recomendações:

Certifique-se de que os pr¡¦rios sistemas do governo estejam protegidos, porque eles s¡¦ importantes para a seguran¡¦ nacional e para estabelecer um padr¡¦ para outras organizações.

Utilize pesquisa, desenvolvimento, e aquisição de primeiro usu¡¦io para promover o desenvolvimento r¡¦ido das ferramentas de seguran¡¦.

Divulgue avisos sobre ataques iminentes relacionados ?guerra de informação (se eles puderem ser detectados -- essa n¡¦ ?uma tarefa f¡¦il).

Promova uma estrutura legal que induza os usu¡¦ios privados a proteger os seus sistemas o m¡¦imo poss¡¦el dentro das suas possibilidades.

Promova um ambiente neutro de coleta, seleção e distribuição de informações que estimule os usu¡¦ios privados para que eles compartilhem as suas experi¡¦cias e contramedidas, confidencialmente.

Infelizmente, as restrições do governo dos Estados Unidos, vigentes ou poss¡¦eis, a respeito de criptografia segura, inibiram o uso de uma das melhores ferramentas para a proteção de sistemas, e al¡¦ disso, reduziram a credibilidade das ações do governo na ¡¦ea da guerra de informação.

Atividades Internacionais

A extens¡¦ da maioria dessas ações governamentais para o cen¡¦io internacional sugere a criação de uma agenda para orientar as atividades internacionais contra a guerra da informação.

A execução da lei ?uma ¡¦ea muito abrangente. H?uma s¡¦ie de atitudes que podem contribuir para a seguran¡¦ da informação em n¡¦el global: a harmonização das leis nacionais contra o ataque a computadores, a cooperação multinacional para que se possa rastrear os ataques atrav¡¦ das fronteiras, os tratados internacionais para a extradição de atacantes, e uma disposição para impor sanções ¡¦ pessoas que protegem os atacantes.

A boa vontade para compartilhar informações sobre pesquisa e desenvolvimento, sobre indicações e avisos sobre ataques, assim como a ocorr¡¦cia e a reação a ataques, tamb¡¦ pode melhorar a efici¡¦cia das medidas de proteção de cada nação. No entanto, essas ¡¦eas freq¡¦ntemente est¡¦ no territ¡¦io dos ¡¦g¡¦s de intelig¡¦cia, que historicamente n¡¦ t¡¦ se distinguido pela transpar¡¦cia nesses assuntos.

Conclus¡¦s e Previs¡¦s

No per¡¦do posterior ?Guerra Fria, ocorre um aumento na quantidade de amea¡¦s novas e n¡¦-convencionais (por exemplo, terroristas que possuem armas nucleares) que s¡¦ assustadoras, mas que at?o momento, constituem, na verdade, um conceito. A guerra da informação ?uma dessas amea¡¦s. Quanto mais os sistemas de inform¡¦ica fizerem parte da sociedade -- nas suas defesas, no com¡¦cio, e na vida quotidiana -- mais importante, para n¡¦, se tornar?o bom funcionamento desses sistemas. O potencial para ações nocivas em grande escala existe, particularmente se essas ações forem executadas de forma sistem¡¦ica por um advers¡¦io bem financiado. Mas o que tamb¡¦ surpreende ?o fato de que embora a guerra da informação seja relativamente barata, at?o momento o n¡¦ero de incidentes que realmente causaram danos tem sido relativamente pequeno.

Dois indicadores podem ser muito reveladores no que diz respeito ao verdadeiro perigo de um ataque a sistemas de inform¡¦ica. Um ?a maneira pela qual as pessoas reagir¡¦ ao problema dos computadores no ano 2000. Vamos assumir que uma grande parte dos sistemas de inform¡¦ica do mundo v¡¦ se tornar inoperantes ?meia-noite no dia 31 de dezembro de 1999. Haver?p¡¦ico e paralisação das atividades, ou ser?que as pessoas encontrar¡¦ meios de contornar o problema ou viver sem a inform¡¦ica por algum tempo? Se ocorrerem ações legais, que precedentes ser¡¦ estabelecidos para atribuir responsabilidade ¡¦ pessoas, por danos causados se os seus sistemas falharem?

A outra previs¡¦ ?de origem mais recente. Se fosse poss¡¦el imaginar o autor mais prov¡¦el de s¡¦ios atos de terrorismo relacionados ?guerra de informações, esse autor seria algu¡¦ que n¡¦ tivesse nada correndo riscos (isto ? n¡¦ seria um pa¡¦), v¡¦ias centenas de milh¡¦s de d¡¦ares escondidos, em dinheiro, algum conhecimento tecnol¡¦ico, uma rede internacional de nefastos amigos, e s¡¦ias contas (reais ou imagin¡¦ias) a acertar com os Estados Unidos ou alguma outra nação. Isso parece familiar? Se parece, os acontecimentos do pr¡¦imo ano podem revelar se indiv¡¦uos ou grupos poderosos podem ou n¡¦ tentar subjugar um pa¡¦ por meio da guerra de informação -- ou se eles v¡¦ agir em outras frentes.