Com o amanhecer de cada dia, surgem novos ataques cibernéticos. Ninguém está imune a esses ataques; governos, empresas e indivíduos estão todos vulneráveis a essas investidas, e elas parecem estar se acelerando à medida que nosso mundo se torna cada vez mais dependente de meios digitais. Em uma era em que quase todos os aspectos de nossas vidas têm um componente digital, isso não deveria surpreender.
Apesar do fato de nossas defesas terem se tornado cada vez mais robustas (firewalls de próxima geração, sistemas de detecção de intrusões, etc.), o número e a gravidade desses ataques continuam a aumentar.
Esses ataques provavelmente continuarão e se intensificarão por várias razões:
(1) As enormes somas de dinheiro envolvidas;
(2) Esta é a forma de guerra cibernética e espionagem do século XXI;
(3) Cada vez mais partes de nossas vidas se tornam digitais.
Na indústria de segurança da informação, o tema da legalidade e legitimidade de “hackear o hacker” durante ou após um ataque tem sido discutido nos últimos anos. Alguns argumentam que isso equivale legalmente à legítima defesa. Neste artigo, gostaria de explorar esse conceito de “hackear o hacker” como o equivalente digital da legítima defesa.
A Lei Natural da Autodefesa
Provavelmente, desde o tempo em que os seres humanos se reuniram em clãs e comunidades, existe uma lei natural reconhecida de autodefesa. Em termos simples, essa lei diz: “se você me atacar ou atacar os meus, tenho o direito de me defender, o que pode incluir o uso da violência contra você”. Essa lei natural foi codificada em praticamente todas as culturas e sistemas legais ao redor do mundo. Ela existia na Roma antiga (no conceito de proteger a domus ou o lar) e no sistema legal comum da Inglaterra por séculos. Existiu por séculos antes de ser codificada, já que os juízes simplesmente reconheciam o “bom senso” inerente a essa lei natural. William Blackstone, o mais notável e estimado estudioso jurídico da Inglaterra e do mundo de língua inglesa, escreveu em seus Comentários (1765-1769):
“A autodefesa, portanto, como é justamente chamada a lei primordial da natureza, não pode ser, de fato, retirada pela lei da sociedade. Na lei inglesa, em particular, ela é considerada uma desculpa para violações da paz, e até mesmo para homicídios: mas deve-se tomar cuidado para que a resistência não exceda os limites da mera defesa e prevenção.”
Observe que Blackstone afirma que essa é uma “lei primordial da natureza” que não pode ser “retirada pela lei da sociedade”.
Fora do mundo ocidental, o princípio da autodefesa também foi reconhecido e, em alguns casos, com muito mais flexibilidade. Em alguns casos, o direito à autodefesa pode ser limitado à quantidade mínima de força necessária para deter o crime, mas na China, em 2009, um caso foi considerado homicídio justificável quando um ladrão em fuga foi morto. O tribunal considerou o homicídio justificável como “autodefesa” porque “o roubo ainda estava em andamento”.
Portanto, acredito que é óbvio que o direito à autodefesa é um princípio bem estabelecido em quase todas as culturas.
Apesar de esta lei natural ser reconhecida quase universalmente, ela é limitada por alguns princípios. Estes são:
(1) Inocência – só é possível invocar a autodefesa se você não for o agressor.
(2) Iminência – o ataque deve ser iminente ou estar acontecendo agora. Não são permitidos ataques preventivos.
(3) Proporcionalidade – a resposta deve ser proporcional ao ataque.
(4) Evitação – a vítima tem o dever de se afastar, se possível.
(5) Razoabilidade – tudo isso é abrangido pela regra do “homem razoável”, que os tribunais usam para decidir o que um homem razoável faria nessas circunstâncias.
A pergunta que desejo abordar aqui é: “Podemos aplicar essa lei universal e esses princípios ao nosso mundo digital do século XXI?”
O Argumento a Favor da Autodefesa Digital
Alguns argumentam que, uma vez que essa lei natural é reconhecida quase universalmente, “podemos aplicá-la aos nossos domínios digitais e isso teria um efeito positivo na segurança”.
O argumento segue mais ou menos assim: se os hackers acreditarem que podem enfrentar um contra-ataque, eles serão mais propensos a hesitar em atacar instituições, indivíduos e governos inocentes. Assim como no princípio amplamente aceito da autodefesa pessoal e da propriedade, um atacante precisa considerar não apenas como a autodefesa pode afetar a probabilidade de sucesso, mas também se a autodefesa pode levar ao uso da violência e ao dano à SUA pessoa e propriedade. Em nosso mundo físico, a autodefesa pode levar ao homicídio do agressor, e a vítima não terá responsabilidade legal por tal homicídio justificado. Em alguns casos, isso pode fazer o agressor hesitar… pelo menos, uma vez.
Vamos tentar tornar isso mais concreto em nosso mundo físico. Considere o caso de um ladrão de rua, por exemplo. Eles são muito menos propensos a atacar uma vítima grande e musculosa que aparenta estar armada do que uma vítima inocente, frágil e desarmada. Por quê? Por causa da possibilidade de que ELES próprios possam se tornar vítimas. Isso não é apenas uma estimativa da possibilidade de sucesso, mas também da possibilidade de que eles próprios possam ser prejudicados no ataque. Não poderia esse mesmo princípio se aplicar à segurança cibernética, assim como na rua?
Alguns argumentariam que a autodefesa se aplica apenas para interromper o ataque, mas se os hackers já entraram em nossa propriedade e roubaram nossos ativos, então o ataque ainda está “em andamento”, para usar as palavras do jurista chinês. Como tal, a autodefesa ainda seria uma defesa legítima, desde que os atacantes estejam na posse de nossa propriedade.
Aplicação da Autodefesa na Segurança Cibernética
Imagine um cenário no futuro próximo, em que nossa gangue de cibercriminosos do bairro está contemplando um ataque a uma instituição inocente. Eles sabem que essa mesma instituição tem à sua disposição um grupo de hackers bem armados e rápidos no gatilho. Essa mesma instituição foi recentemente hackeada, e os hackers de autodefesa não apenas responderam com seu próprio ataque, apagando dados nos discos rígidos dos criminosos cibernéticos, mas também realizaram ataques de negação de serviço (DoS) neles, tornando-os incapazes de acessar a Internet. Eles pensariam duas vezes antes de atacar?
Para aqueles que são estudiosos da história do Velho Oeste (ou pelo menos dos filmes de faroeste americanos), provavelmente estão cientes de que houve um tempo não muito distante em que o Velho Oeste era uma terra sem lei, frequentemente chamada de “Velho Oeste Selvagem”. Se você já assistiu a algum filme de faroeste americano então sabe do que estou falando. Naquela época, muitas empresas, principalmente as ferrovias, encontravam extrema dificuldade em operar seus negócios em um ambiente tão sem lei. Eventualmente, encontraram uma solução, os Pinkertons (Agência Nacional de Detetives Pinkerton). Os Pinkertons era uma agência de segurança privada que as ferrovias e outros contratavam para proteger seus ativos e operações. Com o tempo, esses Pinkertons conseguiram reduzir drasticamente a criminalidade no Velho Oeste sem lei. Talvez seja hora de termos o equivalente cibernético dos Pinkertons. Esses “cyber Pinkertons” desencorajariam os hackers de atacar empresas lançando contra-ataques cibernéticos.
Atribuição do Ataque
Mesmo que a indústria de segurança cibernética adote o conceito de “autodefesa cibernética” em que os contra-ataques são legitimados, ainda haverá a questão fundamental da atribuição. Em outras palavras, quem são os atacantes e onde estão. Se você já investigou a atribuição de um ataque, sabe do que estou falando. Os hackers/atacantes frequentemente usam proxies entre eles e a vítima, tornando o rastreamento de um endereço IP problemático. Isso por si só pode ser o maior impedimento para a autodefesa de “hackear o hacker”.