História(s) por trás de um minúsculo chip chines

http://www.pedro.jmrezende.com.br/sd.php > Ciberguerra : guerra híbrida

História(s) por trás de um minúsculo chip chines

Pedro Antonio Dourado de Rezende
Departamento de Ciência da Computação
Universidade de Brasília
17 de outubro de 2018

Nota editorial: Este artigo foi escrito em co-autoria com a desta matéria, publicada em inglês no blog "Moon of Alabama", com tradução, comentários e adição da última seção autorizados pelo autor e editor do referido blog.

No dia 4 de outubro, vários países da OTAN coordenaram uma escalada na campanha de propaganda contra a Rússia. O contexto para deflagração da escalada foi uma reunião de cúpula, na qual os EUA pressionaram por uma intensificação na guerra cibernética contra o inimigo preferido dessa organização militar.
No mesmo dia, outra vertente dessa campanha coordenada apontou como alvo a China. Esta, voltada contra o desenvolvimento e fabricação de chips eletrônicos avançados na cadeia de valor das arquiteturas de computadores. Relacionado a isso, há também pressão dos EUA sobre Taiwan, um dos principais fornecedores de chips ao ocidente, para cortar seus laços com a China continental nessa área. [Em relação a nossas eleições, leia até o fim.]
A campanha anti-Rússia é tematizada com suposições sobre hacking, influência e operações de espionagem. A Grã-Bretanha, Holanda e Bélgica saíram na frente. A Grã-Bretanha acusou o serviço de inteligência militar da Rússia (GRU) de espionagem contra a Organização para a Proibição de Armas Químicas (OPCW) em Haia, na Suíça, de tentativas de espionagem contra seu Ministério das Relações Exteriores (Foreign Office), de campanhas de influência relacionadas às eleições européias e americanas, e de hackear a agência internacional anti-doping WADA. A mídia corporativa britânica voluntariamente apoiou, ajudando a exagerar as alegações. Citando o The Gardian:

O Foreign Office atribuiu seis ataques específicos a hackers apoiados por GRU e identificou 12 nomes de grupos de hackers como frentes do GRU - Fancy Bear, Voodoo Bear, APT28, Sofacy, Pawnstorm, Sednit, CyberCalipato, Cyber Berku, BlackEnergy Actors, STRONTIUM, Tsar Equipe e Sandworm.

Tal "ajuda" se revela uma farsa quando se percebe que os codinomes dos "grupos de hackers" que a matéria do Guardian tenta vender como russos, não se referem a grupos de hackers, mas a métodos de ataque. Após se tornarem conhecidos, qualquer desses métodos pode ser usado por qualquer grupo ou indivíduo competente. E os métodos cujos codinomes foram citados são quase impossíveis de se rastrear até o ponto de atribuição de autoria. Além disso, Fancybear, ATP28, Pawn Storm, Sofacy Group, Sednit e Strontium são apenas nomes diferentes para um mesmo método, conhecido já há bastante tempo.
Outros codinomes listados se referem a ferramentas antigas, utilizadas por grupos de hackers para praticarem crimes comuns. A Blackenergy, por exemplo, tem sido usada por cibercriminosos desde 2007. Alega-se que um grupo pró-russo chamado Sandworm a teria usado na Ucrânia, mas a evidência dessa origem é no mínimo duvidosa [até porque na Ucrânia também se fala russo]. Lançar mão de uma tal lista de codinomes sem qualquer diferenciação, cheira a FUD [-- tipo de operação midiática planejada para desinformar e assustar o público espalhando medo, incerteza e dúvida].
A Holanda, por sua vez, promoveu uma litania sobre supostas tentativas de espionagem contra a OPCW em Haia. A história começa com quatro supostos agentes do GRU viajando para Haia com passaportes diplomáticos oficiais russos, alegadamente para farejar a rede WiFi da OPCW. Ocorre que as redes WiFi são notórias pela facilidade de hackear. Se a OPCW estiver usando essa tecnologia para comunicações sensíveis, a OPCW estaria violando não só as melhores práticas de cibersegurança, como também as mínimas. Mas a litania holandesa volta sua atenção é para as práticas dos russos apontados como suspeitos.
Suspeitosamente muito reservados, limpavam o próprio lixo no quarto do hotel, enquanto ao mesmo tempo transportavam laptops com dados privados, inclusive recibos de táxi mostrando sua viagem de uma sede da GRU em Moscou para o aeroporto. Da mesma forma que na saga Skripal/Novichok, os suspeitos são pintados, nas mesmas pinceladas, como formidáveis supervilões e ao mesmo tempo como amadores trapalhões. Espiões de agências que se prezam não são nem uma coisa nem outra. [O cheiro que emana aqui, é o de honeypot.]
De sua parte, o Departamento de Justiça dos EUA ampliou o ataque com novos indiciamentos contra supostos agentes do GRU, duvidosamente conectados a vários alegados incidentes de cibersegurança. Como nenhum desses russos jamais se apresentará em um tribunal nos EUA, as acusações genéricas e vagas nesses indiciamentos nunca terão sua veracidade publicamente testada.
Conchavo na OTAN

Essa nova onda na campanha anti-Rússia veio bem a tempo da reunião dos Ministros da Defesa da OTAN em 4 de outubro, na qual os EUA 'se ofereceram' para usar suas ferramentas cibernéticas malignas sob disfarce ou à guisa da OTAN:

Katie Wheelbarger, a principal subsecretária adjunta de defesa para assuntos de segurança internacional, disse que os EUA estavam se comprometendo a executar operações cibernéticas ofensivas e defensivas para aliados da OTAN, mas com os Estados Unidos mantendo o controle sobre seu próprio pessoal e capacidades.

Se os aliados europeus da OTAN, sob pressão dessa escalada de propaganda, concordarem com isso, os resultados óbvios serão mais controle dos EUA sobre as redes e cidadãos de seus países, além de mais ameaças e provocações contra a Rússia:

O chefe da OTAN prometeu nesta quinta-feira [4 de outubro] fortalecer as defesas da aliança contra ataques a redes de computadores que, segundo a Grã-Bretanha, são dirigidas pela inteligência militar russa, também conclamando a Rússia a parar com seu comportamento "imprudente".
Essas alegações contra a Rússia, em decorrência de nefastas operações de espionagem e campanhas contra policiais, são altamente hipócritas. As dimensões e imenso alcance da espionagem americana e britânica reveladas por Edward Snowden e, através do vazamento do Wikileaks Vault 7, de ferramentas de hacking da CIA, são bem conhecidas.
O Pentágono realiza grandes campanhas de manipulação de mídias sociais. O agência britânica GHCQ hackeou a maior empresa de telecomunicações da Bélgica para espionar os dados de muitas organizações internacionais que tem sede em Bruxelas. Organizações internacionais como a OPCW têm sido alvo de espiões e operações dos EUA. O Serviço de Segurança Nacional dos EUA (NSA) tem invadido regularmente a OPCW pelo menos desde setembro de 2000:

De acordo com o vazamento do Shadow Brokers da semana passada, a NSA comprometeu um servidor DNS da Organização para a Proibição de Armas Químicas em setembro de 2000, dois anos depois da Lei de Libertação do Iraque e da Operação Raposa do Deserto, mas antes da eleição de Bush.

Contra neutralidade na OPCW

Foi o governo dos EUA que em 2002 expulsou o dirigente da OPCW porque ele não concordava em propagandear as imaginárias armas químicas iraquianas:

José Mauricio Bustani (foto), um diplomata brasileiro que foi reeleito por unanimidade no ano passado [2001] como diretor geral da Organização para a Proibição de Armas Químicas, composta por 145 nações, foi eliminado do cargo hoje depois de recusar repetidas exigências dos Estados Unidos de que renunciasse por causa de seu "estilo de gestão". Nenhum sucessor foi selecionado.
Os EUA organizaram a votação contra Bustani ameaçando deixar a OPCW. John Bolton, [também conhecido na cultura americana como] o atual "Eufrazino Puxa-Briga" [personagem de desenho animado ilustrado abaixo], agora Conselheiro de Segurança Nacional de Donald Trump, ameaçou atingir os filhos de José Bustani para pressioná-lo a renunciar:

"Recebi um telefonema de John Bolton - foi a primeira vez que tive contato com ele - e ele disse que tinha instruções para me dizer que eu teria que renunciar à organização e perguntei por que", disse Bustani à RT. "Ele disse que [meu] estilo de gestão não estava de acordo com Washington". ... Bustani disse que "não devia nada" aos EUA, apontando que ele foi nomeado por todos os estados membros da OPCW. Com um tom mais sinistro, Bolton disse: "OK, então haverá retaliação. Prepare-se para aceitar as consequências. Sabemos onde estão seus filhos." [Segundo Bustani, dois de seus filhos estavam em Nova York na época, e sua filha estava em Londres]

Pelo visto, o governo da Rússia precisará de décadas de trabalho duro para alcançar o nível de hipocrisia, hacking e mentiras praticados pelos dos EUA e da Grã Bretanha.
O Chip Chines

Essa atual onda de propaganda contra a Rússia e a China teve sua largada com a publicação, bem cronometrada, de uma história no portal de notícias econômicas Bloomberg, que estava sendo preparada há mais de um ano. Com o título "The Big Hack: Como a China usou um chip minúsculo para se infiltrar nas empresas dos EUA", a matéria afirma que empresas chinesas manipulam o hardware que fabricam para a empresa norte-americana SuperMicro, hardware que é depois vendido para a Apple, Amazon e outras, para seus negócios de servidores em nuvem. A matéria alega:

Aninhados nas placas-mãe dos [computadores que irão funcionar como] servidores, os testadores encontraram um pequeno microchip, não muito maior que um grão de arroz, que não fazia parte do design original das placas.
Tanto a Apple quanto a Amazon negaram a história com declarações categóricas. Eis que a história da Bloomberg tem grande problemas. Para começar, ela é completamente baseada em fontes anônimas, a maioria funcionários do governo dos EUA:

As negativas das empresas [supostamente afetadas] são contraditadas por seis ex ou atuais altos funcionários nacionais de segurança, que, em conversas iniciadas durante o governo Obama e continuadas sob o governo Trump, detalharam a descoberta dos chips e a investigação das agências do governo.
A forma como a alegada manipulação [desse minusculo chip] e seu funcionamento são descritos, é teórica possível, mas não é plausível. Na opinião instruída do autor, seriam necessárias múltiplas manipulações, e não apenas um minúsculo chip, para se alcançar os resultados descritos. Também os especialistas da confiança do autor consultados não estão convencidos da veracidade da história. [Ou, do tradutor, como por exemplo Joel Uchill]. Por sinal, é especialmente curioso que essas placas-mãe de servidores ainda estejam sendo usadas em operações relevantes para a segurança dos EUA:

Assumindo que a história da Bloomberg esteja correta, isso significa que a comunidade de inteligência dos EUA, durante um período que abrangeu duas administrações, percebeu uma ameaça estrangeira mas permitiu que essa ameaça se infiltrasse nas forças armadas. Se a história for falsa, ou incorreta em seus aspectos técnicos, então faria sentido que a Supermicro estivesse durante esse tempo equipando as forças armadas dos EUA.

Também pode haver motivos financeiros por trás da história:

Os repórteres da Bloomberg recebem bônus baseados indiretamente no quanto eles influenciam mercados com suas matérias. Esta história, sem dúvida, fez isso.
Quando a história saiu, o preço das ações da SuperMicro caiu de US $ 21,40 para menos de US $ 9,00 por ação. E estavam sendo negociadas a US $ 12,60 [quando o artigo original foi escrito]:
Essa história pode também ser uma camuflagem para algum hack da NSA que teria sido acidentalmente detectado por potenciais vítimas. O mais provável é que contenha meias-verdades, baseadas em um incidente mais antigo, buscando dissuadir a indústria ocidental de escolher fornecedores de componentes eletrônicos na China. Esta última hipótese seria consistente com outros movimentos do governo dos EUA contra a China, que coincidentemente (ou não) aconteceram no mesmo dia em que circulou a história da Bloomberg.
Ciberfront na guerra híbrida

Um desses movimentos foi traçado em um discurso muito belicoso do vice-presidente dos EUA, proferido em 4 de outubro [na sede de um think tank, o Instituto Hudson]:

O vice-presidente dos Estados Unidos, Mike Pence, acusou a China na quinta-feira [4 de outubro] de tentar minar o presidente Donald Trump no momento em que o governo lança uma nova e dura retórica sobre o comércio chinês, a política econômica e a política externa. ... Soando o alarme, Pence advertiu outras nações a serem cautelosas em fazer negócios com a China, condenando a "diplomacia da dívida" do país asiático que permite atrair nações em desenvolvimento para sua órbita. Pence também alertou as empresas americanas a serem vigilantes contra os esforços chineses para alavancar o acesso a seus mercados, para modificar o comportamento corporativo de acordo com o gosto deles.

Outro traço aparece em um novo relatório do Pentágono, alertando contra a compra de equipamentos chineses. O relatório foi "lançado" [vazado] via agência Reuters, em apoio à vertente anti-China dessa campanha psicológica:

A China representa um “risco significativo e crescente” para o suprimento de materiais vitais para os militares dos EUA, de acordo com um novo relatório liderado pelo Pentágono, que visa melhorar as deficiências das principais indústrias norte-americanas, vitais para a segurança nacional. O relatório de quase 150 páginas, divulgado pela Reuters na quinta-feira [4 de outubro], antes de seu lançamento oficial na sexta-feira, concluiu que existem cerca de 300 vulnerabilidades que podem afetar materiais e componentes essenciais para os militares norte-americanos. ... "Uma das principais conclusões deste relatório é que a China representa um risco significativo e crescente para o fornecimento de materiais e tecnologias consideradas estratégicas e críticas para a segurança nacional dos EUA", disse o relatório.

A história da Bloomberg, o discurso de Pence, e o relatório do Pentágono "vazado" no mesmo dia, parecem planejados para assustar a todos que contemplem usar fornecedores ou equipamentos chineses, ou peças fabricadas na China, em suas cadeias de suprimentos. As alegações de ataques chineses via cadeia de suprimentos são tão hipócritas quanto as alegações contra a Rússia. A começar pelo primeiro caso conhecido de manipulação de equipamento na cadeia de suprimentos de tecnologia digital, que remonta a 1982:

Uma operaão da CIA para sabotar a indústria soviética, ludibriando Moscou a usar software contaminado com uma armadilhada para a sabotagem, foi espetacularmente bem-sucedida quando [o uso desse software no controle de fluxos] desencadeou uma enorme explosão em um gasoduto siberiano, ocorrida ontem. [junho de 1982] ... O Sr. Reed escreve que o software "foi programado para redefinir as velocidades da bomba e as configurações da válvula para produzir pressões muito além daquelas aceitáveis para juntas de tubulações e soldas".
O Wikileaks lista 27 casos de manipulação de hardware e/ou software pelos EUA em cadeia de suprimentos. Uma busca por "supply chain" nos arquivos de Snowden mostra 18 documentos descrevendo tais "projetos".
O atual governo dos EUA -- e com John Bolton numa posição de liderança -- copiou o estilo brutal de campanha de Trump e o emprega como instrumento em sua política externa. A vitória de Trump na eleição de 2016 prova que tais campanhas são bem sucedidas, mesmo quando os elementos construintes são duvidosas ou falsos. Em sua escala e coordenação, as campanhas atuais são comparáveis às de 2002 para "vender" a guerra contra o Iraque.
Então, seja na campanha eleitoral de Trump ou nessa escalada de propaganda anti-meio-mundo, [o apoio dos veículos d]a mídia corportativa é crucial para que o efeito psicológico planejado seja incutido no público. Esses veículos tentarão investigar as alegações nas histórias dessa campanha? Eles as colocarão no contexto mais amplo da espionagem e manipulação global dos EUA? Eles explicarão o real propósito dessas campanhas?
Não aposte nisso.

[fim da tradução]

E o Brasil? Ei, TSE!...

No Brasil, temos o caso de um chip que, curiosamente a meu ver, não aparece no radar da mídia corportativa. Nem tampouco na campanha analisada aqui. Trata-se de um chip chamado MSD (Master Security Device, ou "Dispositivo Microprocessado de Segurança", destacado em vermelho no diagrama abaixo), que faz parte da placa-mãe das urnas que o TSE vem comprando desde 2015. Curiosamente porque o caso do MSD, que passo a explicar, me parece mais concreto que o do chip chines denunciado pela Bloomberg.
A função do chip MSD seria a de controlar a inicialização da BIOS na urna. Em tese, apenas isso, nas urnas que hoje compõem mais de 90% do estoque do TSE. O MSD foi projetado por pesquisadores do instituto Renato Archer, de Campinas (oriundos da Computação da Unicamp), como resultado de um projeto de pesquisa contratado para "melhorar a segurança da Urna Eletrônica", no qual o modelo para eleição informatizada do TSE não era para ser, nem foi, questionado. A "melhoria" proposta era para que o TSE pudesse controlar melhor o que pode inicializar ("dar boot") em sua plataforma DRE (maquina eletronica de votar sem scanner e sem impresssora de votos), ideia que isoladamente parece boa.

Porém, no contexto da implementação, outros aspectos passaram a ter importância no mapeamento de novos riscos, conforme o referencial de interesses e do modelo de votação "congelado" pelo TSE: a fabricação e montagem do chip MSD nas placas-mãe ficou a cargo da fornecedora das urnas, que então grava um blob na memória EPROM (não volátil) do chip e "atualiza" esse blob com "drivers de urna", entregues ao TSE -- ate onde se sabe, em formato binário -- às vésperas da compilação do software da urna (do seu Sistema Operacinal e aplicativos) para cada eleição.
Ocorre que a fornecedora de urnas para as últimas eleições brasileiras, com homônima transnacional que não se sabe se é matriz ou não, é uma empresa de nome Diebold. Cuja versão transnacional é a maior fabricante de máquinas de jogos de azar eletrônicos do planeta, a qual já foi banida como fornecedora de urnas eletrônicas em pelo menos dois estados norte-americanos, por mentir na fase de homologação dos seus produtos e suprimentos. E que atualmente é -- ela e/ou sua homônima/matriz -- ré em pelo menos cinco processos judiciais, por fornecer a clientes de bancos brasileiros software para home banking que funcionariam por trás da interface também como sorrateiros programas espiões. (Para quem?)
Ocorre também que a instalação do software e dados preparados para cada eleição, necessária nas milhares de urnas, ocorre em fase preparatória de cada turno, chamada "carga das urnas", que tem sido feita nos TREs e cartórios eleitorais -- pelo menos em recentes eleições -- por empresas terceirizadas, formando consórcios que envolvem empresa estrangeira de perfil estranho e contratos muito disputados e mal especificados, conforme explico em links no artigo "Alerta sobre os preparativos para a eleição de 2018", publicado no portal oficial de notícias da UnB.
Então, eis que para um nível de cautela compatível com conhecimento das formas possíveis de penetração e exploração da plataforma DRE do TSE, é plausível que uma controladora "defeituosa" (ou maliciosa) da BIOS possa, em tese, abrir passagem para software malicioso instalado no sistema de arquivos da urna poder executar com permissões administrativas, subvertendo os mecanismos de controle criptográfico que o TSE implementa na camada de aplicativos de sua plataforma DRE, pois de forma invisível a estes mecanismos.
Sendo esta a hipótese que melhor explica eventos estranhos encontrados no log da plataforma de carga do cartório eleitoral de uma zona de Londrina na eleição municipal de 2012, conforme documentado nos autos do processo 163.24.2012.6.160157. Para encerrar, reviso a recomendação final do autor inicial, para este caso no Brasil, em uma pergunta: No debate sobre essas urnas DRE, em quem estaria mesmo o complexo de vira-latas?

Tradutor e co-autor
Pedro Antonio Dourado de Rezende
Pprofessor no Departamento de Ciência da Computação da Universidade de Brasília, Advanced to Candidacy a PhD pela Universidade da California em Berkeley. Membro do Conselho do Instituto Brasileiro de Política e Direito de Informática, ex-membro do Conselho da Fundação Software Livre América Latina, e do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (ICP-BR). http://www.pedro.jmrezende.com.br/sd.php
Esta tradução recebeu autorização do autor original para publicação sob a licença disponível em http://creativecommons.org/licenses/by-nc/2.5/br