Quando um desastre cibernético como o de sexta-feira, 12, acontece, a primeira coisa a se fazer é entender de onde ele vem e tomar as precauções para se defender. A segunda é distribuir a culpa para quem merece.
Neste caso específico, o cibercrime é, claro, o principal culpado, mas existem pelo menos três outras partes envolvidas no mega-ataque que também são responsáveis, por negligência e por não fazerem o necessário para impedir que o estrago acontecesse.
Culpado número 1: governo dos EUA
A NSA tem a função clara de espionagem. Para isso, a agência acumula falhas de segurança em serviços, sistemas e aplicativos populares que possam dar acesso a informações dos usuários sob o pretexto de investigar suspeitos de planejarem atentados terroristas e poder agir antes do desastre.
Independentemente de você concordar ou não com esse método, o problema dessa abordagem é simples. Uma porta aberta pode ser usada tanto para o bem quanto para o mal. O modo ético de ação hacker ao descobrir uma vulnerabilidade é o de revelá-la aos responsáveis para que a solucionem antes que o cibercrime possa aproveitá-la. Se você descobre uma brecha para uso próprio e ela permanece aberta, é muito provável que o cibercrime também vá descobri-la.
No caso do WannaCrypt0r 2.0, ou WannaCry, a brecha só foi descoberta quando foi vazada por um grupo identificado como Shadow Brokers, e nada disso teria acontecido se a agência tivesse alertado a Microsoft antes.
Culpado número 2: Microsoft
Existem dois pontos contra a Microsoft. O primeiro é simplesmente ter permitido essa falha em seus sistemas operacionais. Claro que não existe software perfeito ou à prova de hackers, e é por isso que essa é a menor das culpas.
O segundo ponto é mais importante. O Windows Update, sistema de atualizações do Windows, oferece uma experiência terrível para o usuário, e não é surpresa que muitos simplesmente evitem atualizar seus computadores e procurem formas de evitar a instalação dos pacotes de correção.
O sistema frequentemente interrompe o usuário, exigindo uma reinicialização do computador em momentos inoportunos. A empresa até tem tomado medidas com o Windows 10 para dar maior controle para o usuário definir horas em que o computador pode ser atualizado, mas outras versões não ganharam esse recurso.
Para completar, não é incomum que atualizações do Windows causem problemas de compatibilidade. Há pouco tempo, um update do Windows 10 gerou transtornos a quem usa dois monitores. Em 2013, o pacote KB2823324 aparentemente entrou em conflito com um plugin para internet banking usado por vários bancos, causando a famosa tela azul da morte.
Culpado número 3: empresas e profissionais de TI
A Microsoft pode ter várias falhas na forma que distribui suas atualizações, mas as empresas também precisam tomar as devidas precauções. Se a Microsoft liberou um pacote de correção considerado crítico, é responsabilidade da empresa e do setor de TI fazer as devidas atualizações, mesmo que elas sejam um transtorno temporário para funcionários.
Sim, é possível adiar uma atualização por alguns dias ou talvez até mesmo algumas semanas para garantir que não haja incompatibilidade. No entanto, o pacote de correção que evitaria o WannaCry, definido claramente pela Microsoft como “crítico”, estava disponível desde março, totalizando quase dois meses de exposição. É tempo demais para uma brecha desse nível permanecer aberta; a precaução passa a ser negligência.