O risco de transformar objetos do cotidiano em armas

Um dispositivo de rádio explode em Baalbek, Líbano, em 18 de setembro. (Fonte: Anadolu)

Os recentes ataques no Líbano por meio de pagers e walkie-talkies carregados de explosivos são uma nova tática e representam um grande desafio de segurança para todos os países ao redor do mundo .

O que torna essa tática única é que não se trata de sabotagem tecnológica direcionada ao inimigo. Historicamente, a tática do Cavalo de Troia tem sido usada para explorar comunicações ou equipamentos militares para, em seguida, atingir alvos específicos.

Segmentação de software

Os ataques no Líbano têm sido controversos porque utilizaram dispositivos explosivos amplamente utilizados na vida civil. Os ataques no Líbano mataram 37 pessoas, incluindo duas crianças, e vários comandantes do Hezbollah, e feriram quase 3.000.

Especialistas em direito internacional humanitário acusaram o ataque de violar o direito internacional por não distinguir entre alvos militares e civis e por utilizar armadilhas proibidas em dispositivos convencionais que poderiam colocar civis em perigo. Analistas de segurança, por sua vez, alertaram que o ataque pode sinalizar uma nova era de "armas" de objetos do cotidiano.

Ataques em que dispositivos de "internet das coisas" são sabotados ou desativados por meio da corrupção deliberada do software do dispositivo estão se tornando cada vez mais comuns. Como os fabricantes controlam o software que os produtos coletam e processam dados, essas empresas possuem recursos integrados para atualizar ou reduzir a funcionalidade. Isso também permite "ajustes de prevenção" quando as empresas reduzem intencionalmente essa funcionalidade, limitando estrategicamente as atualizações de software.

Um exemplo recente no mercado é uma disputa entre um fabricante de trens e uma empresa ferroviária na Polônia que deixou alguns trens recentemente reparados inutilizáveis ​​por meses em 2022 porque o fabricante usou fechaduras digitais remotas.

Esses exemplos ilustram a importância do controle de software em uma era em que cada vez mais produtos e infraestruturas estão conectados em rede. Em vez de usar sabotagem ou fabricar dispositivos explosivos clandestinamente usando empresas de fachada falsas, os criminosos podem ter como alvo o software. Eles podem se infiltrar em fabricantes para manipular suprimentos de produção de software, explorar vulnerabilidades ou simplesmente atacar redes.

As agências de inteligência de segurança há muito enfatizam a necessidade de proteger a infraestrutura crítica que depende cada vez mais de redes digitais, desde redes elétricas inteligentes até sistemas de comunicação de emergência e sistemas de controle de tráfego.

Em 2021, o Serviço Canadense de Inteligência de Segurança (CSIS) alertou que a exploração de sistemas de infraestrutura crítica por agentes hostis teria "sérios impactos financeiros, sociais, de saúde e segurança" no país.

Garantindo a segurança das pessoas

Para entender o impacto potencial, é importante começar com o trivial. Uma queda de energia de dois dias para clientes da Rogers Communications em julho de 2022 interrompeu o serviço de internet e celular para mais de 12 milhões de clientes em todo o Canadá devido a um erro de atualização do sistema.

Os ataques no Líbano representam uma potencial violação do direito internacional, pois visam civis e utilizam objetos do cotidiano como armadilhas. A utilização de equipamentos de comunicação como arma nos ataques está sob investigação rigorosa. O ex-diretor da CIA, Leon Panetta, descreveu os ataques como uma forma de terrorismo.

Quando vários fabricantes e distribuidores estão envolvidos na montagem de um produto, o consumidor final precisa poder confiar na integridade da cadeia de suprimentos que produziu e entregou o produto. No caso dos ataques no Líbano, os impactos econômicos e políticos estão sendo sentidos amplamente e será difícil reconstruir a confiança.

Além de considerar as consequências dos ataques às cadeias de suprimentos globais, há também implicações políticas para os fabricantes de produtos da “internet das coisas”, exigindo práticas aprimoradas de governança corporativa.

A Comissão Federal de Comunicações (FCC) aprovou recentemente um programa voluntário de rotulagem de “internet das coisas” em 2024, que permitirá que os fabricantes exibam o “Virtual Network Trustmark” do país. O objetivo é ajudar os consumidores a tomar decisões de compra informadas e incentivar os fabricantes a atender aos padrões de segurança cibernética cada vez mais elevados.

Os ataques no Líbano destacam a necessidade de governos em todos os níveis estabelecerem requisitos adequados para a aquisição e operação de infraestrutura digital. Isso deve incluir o esclarecimento de quem é responsável por operar e reparar a infraestrutura, a fim de garantir melhor a segurança pública em uma era de ameaças cibernéticas.