Na sexta-feira, uma espécie devastadora de malware contaminou computadores com Windows. O vírus continuou a se disseminar durante o fim de semana, deixando centenas de milhares de dispositivos praticamente inutilizáveis. A grande surpresa da história é que o vírus deve sua existência a hackers do governo norte-americano que trabalham na Agência de Segurança Nacional (NSA). Mas a caça às bruxas não termina aí – e nem deveria.

Agora que o vírus, que ficou conhecido como WannaCry, foi barrado, temos tempo de sobra para discutir e apontar mais culpados, além dos hackers anônimos que usaram códigos roubados da NSA para criar o vírus e de quem quer que tenha decidido transformá-lo num ransonware, um tipo de malware que sequestra dados do computador e cobra dinheiro pelo resgate.

A Microsoft não está nem preocupada em medir palavras. Em um comunicado mais audacioso e franco que o normal, o presidente Brad Smith acusou diretamente a NSA não só de criar e “armazenar” as falhas que viabilizaram o WannaCry, mas também de perder totalmente o controle sobre elas, como um Frankenstein cibernético:

“Ações como essa estão se tornando padrão em 2017. Já vimos vulnerabilidades identificadas pela CIA aparecendo no Wikileaks. Agora, uma falha que estava sendo armazenada pela NSA afetou consumidores do mundo inteiro. Brechas de segurança descobertas por órgãos do governo vazaram para o domínio público, causando danos em larga escala. Para fazer um paralelo com armas convencionais, é como se roubassem mísseis Tomahawk do Exército americano. O ataque mais recente sugere ainda um elo desconcertante, mesmo que involuntário, entre os dois tipos mais graves de ameaça à segurança digital: as ameaças que partem de um país e as que partem do crime organizado.”

Quando a NSA (ou a CIA, ou o FBI) detecta uma falha em um software e decide usá-la em benefício próprio sob total sigilo, empresas como a Microsoft obviamente não ficam sabendo. Do contrário, elas poderiam lançar uma atualização para manter seus clientes seguros. [Há quem considere isso uma coisa boa e necessária, há quem ache o contrário. Essas opiniões têm muito a ver com a forma como cada um enxerga a NSA: a agência prioriza demais seu potencial ofensivo em detrimento da privacidade e da segurança de cidadãos americanos e das pessoas em geral?]

A decisão de segurar ou divulgar a descoberta de uma falha é determinada por um procedimento chamado Vulnerabilities Equity Process (VEP), cujos princípios são bem pouco conhecidos. A função do VEP é pesar, de um lado, as vantagens do sigilo e, de outro, os potenciais riscos para o resto do mundo.

Quando a NSA adiciona ao seu arsenal de ataques uma falha do tipo “dia zero”, até então desconhecida, e não notifica o desenvolvedor do software, qualquer cibercriminoso que consiga descobri-la sozinho estará livre para explorar essa brecha na segurança como bem entender – às vezes, por anos a fio. Em muitos casos, as coisas até acontecem dentro do planejado pela NSA, mas o fato é que essa política de armazenamento de falhas prioriza o potencial ofensivo das áreas militar e de inteligência em detrimento da segurança digital de… bem, literalmente, do resto do mundo – e isso, claro, é bastante polêmico.

Só que, de acordo com a Microsoft, as coisas não têm saído conforme planejadas e o pessoal que guarda os segredos tem tido muita dificuldade em manter suas armas cibernéticas longe dos Shadow Brokers, Wikileaks e companhia. O argumento de Smith é válido e contundente: seja por conta de vazamentos internos ou de invasores externos, alguns dos melhores instrumentos de combate de duas das melhores agências secretas do mundo foram não só revelados como usados como armas contra hospitais britânicos, universidades chinesas e até contra a FedEx. O deputado Ted Lieu, um dos raros membros do Legislativo com algum conhecimento em ciência da computação, considera o WannaCry como uma oportunidade para reformular o VEP em prol de uma maior transparência: “Atualmente, o VEP não é transparente. Muito pouca gente entende como o governo toma decisões tão delicadas”, afirmou o deputado democrata da Califórnia num comunicado divulgado no dia em o WannaCry assolou o mundo. “O ataque global de hoje mostra o que acontece quando a NSA ou a CIA preferem desenvolver malware em vez de alertar o fabricante do software”.

A NSA não criou o WannaCry. O que a agência fez foi descobrir falhas em várias versões do Windows e, a partir disso, desenvolver programas para que agentes norte-americanos pudessem invadir computadores que rodassem o Windows. Um desses programas, batizado de ETERNALBLUE, foi adulterado por hackers ainda não identificados, permitindo que o WannaCry se espalhasse de maneira rápida e incontrolável. Você pode ou não achar que a NSA tem algum tipo de responsabilidade moral nisso tudo, mas o que é certo é que sem o trabalho da agência, não existiria ETERNALBLUE; e sem ETERNALBLUE, não existiria a crise do WannaCry de maio de 2017. Desse ponto de vista, a Microsoft está certa – mas não para por aí.

A Microsoft também não criou o WannaCry. Mas criou algo quase tão ruim quanto: o Windows Vista, um sistema operacional tão inchado, defeituoso e irritante que muitos usuários pararam de vez de atualizá-lo, optando por manter o antigo Windows XP. Até hoje, muita gente continua usando o sistema desenvolvido uma década e meia atrás, para o qual a Microsoft não oferece mais atualizações.

A Microsoft respondeu às primeiras notícias sobre o vazamento do ETERNALBLUE dizendo que o Windows já estava protegido contra esse tipo de ameaça graças a um patch, um programa para consertar imperfeições de um software. Mas a empresa esqueceu de mencionar que os usuários do XP ficaram de fora. Continuar a usar um sistema operacional após a data de expiração é imprudente – mas, para ser justo com milhões de pessoas que ainda utilizam versões antigas do Windows, esperar que os consumidores comprem periodicamente um software caro e de qualidade duvidosa também é. Só recentemente que a Microsoft começou a dar uma melhorada no Vista (e no confuso Windows 8).

Os defensores da NSA sempre se apressam em culpar os donos dos computadores e os administradores de sistema por não manterem o software atualizado. Mas não costumam apontar o dedo para a Microsoft por escrever códigos poucos seguros, alienar clientes com sistemas operacionais fajutos e obsolescência planejada ou abandonar os muitos consumidores que ainda usam sistemas antigos. [Por sinal, o fato de a Microsoft ter lançado um patch específico para Windows XP no fim de semana do ataque WannaCry prova que é totalmente possível manter seguros os antigos softwares] É importante frisar que deixar as versões mais antigas do Windows num estado de permanente insegurança é uma estratégia de negócios e uma decisão de engenharia, uma opção por abandonar os clientes à própria sorte quando algo como o WannaCry surge. Para grandes organizações com grandes responsabilidades, como hospitais ou usinas, atualizar o Windows não é só uma questão de esperar a barra completar 100%. É um emaranhado aterrorizante de problemas de compatibilidade, hardware altamente especializado e softwares terceirizados. Manter uma rede de computadores no Windows XP pode até ser negligência, mas não tanto quanto perder uma arma cibernética ou abandonar clientes à própria sorte com seus computadores funcionando razoavelmente bem.

Claro que a NSA quer atuar em total sigilo, sem compromisso com mais nada ou mais ninguém – esse é o trabalho deles. E claro que a Microsoft quer continuar a vender versões sucessivas de Windows de tantos em tantos anos, esquecendo pouco a pouco as tentativas anteriores – é o trabalho deles, também. Mas esses dois propósitos (o sigilo militar absoluto e a maximização do lucro no mercado de softwares) criam um ambiente favorável à propagação de fenômenos como o WannaCry, que derrubam hospitais e estações de trem.

Tradução: Carla Camargo Fanha