É assim que me disseram que o mundo acaba: Hackers, mercenários e governos na disputa pelo controle cibernético global

De Nicole Perlroth

A premiada repórter de segurança cibernética do New York Times revela os bastidores do obscuro mercado internacional de armas digitais. A partir de sete anos de entrevistas com centenas de hackers, ativistas, dissidentes, acadêmicos, cientistas da computação, funcionários de governos, peritos e mercenários, Nicole Perlroth relata a expansão descontrolada de uma indústria clandestina que negocia zero-days, falhas de software ou hardware que permitem o acesso de invasores. A autora detalha episódios como a onda de ataques digitais russos à Ucrânia e alerta para a iminência de guerras cibernéticas a nível global, que ameaçam não apenas a privacidade individual, mas também o funcionamento de estruturas e serviços essenciais conectados à internet - governos, empresas, hospitais, escolas, transporte e abastecimento de energia. Em uma narrativa com ritmo de thriller, Nicole Perlroth joga luz sobre um mercado altamente secreto e convoca os leitores a pensar e discutir a questão, antes que seja tarde demais.

• Idioma: Português
• Editora: Arquipélago Editorial
• Data de lançamento: 6 de nov. de 2023
• ISBN: 9786589741329

Pré-visualização do livro

CAPA. Fundo preto. No canto superior direito "Best-seller do New York Times". Título "É assim que me disseram que o mundo acaba: hackers, mercenários e governos na disputa pelo controle cibernético global" em branco. A palavra 'mundo' tem um risco verde por cima. Nome do autor "Nicole Perlroth" em verde. Logo da Arquipélago no canto inferior esquerdo. Desenho de folhas em branco.

NICOLE PERLROTH

É ASSIM QUE ME DISSERAM QUE O MUNDO ACABA

Hackers, mercenários e governos na disputa pelo controle cibernético global

Tradução de

CHRISTIAN SCHWARTZ E

LILIANA NEGRELLO

Logo Arquipélago. Símbolo circular em preto com desenho de folhas em branco no centro. Arquipelago escrito abaixo.

© Nicole Perlroth, 2021

Esta tradução de This is how they tell me the world ends é publicada pela Arquipélago mediante acordo com Bloomsbury Publishing Inc. Todos os direitos reservados.

Capa

Brand&Book (Paola Manica e equipe)

Preparação

Débora Sander

Revisão

Fernanda Lisbôa de Siqueira

Adaptação para versão digital

Camila Provenzi

CIP-Brasil. Catalogação na Publicação

Sindicato Nacional dos Editores de Livros, RJ

---

P529e            

             Perlroth, Nicole 

                     É assim que me disseram que o mundo acaba : hackers, mercenários e governos 

na disputa pelo controle cibernético global / Nicole Perlroth ; tradução Liliana Negrello, 

Christian Schwartz, . - 1. ed. - Porto Alegre [RS] : Arquipélago, 2023. 

                     528 p. ; 23 cm.         

                     Tradução de: This is how they tell me the world ends     

                     Inclui índice     

                     ISBN 978-65-89741-31-2 (impresso)     

                     ISBN 978-65-89741-32-9 (e-book)     

                     1. Terrorismo cibernético. 2. Ciberterrorismo – Prevenção. 3. Violação de 

propriedade intelectual. 4. Segurança da informação. I. Schwartz, Christian. II. Negrello, 

Liliana. III. Título. 

                                                                         CDD: 005.8

23-86659                                                     CDU: 004.056.53)

---

Gabriela Faray Ferreira Lopes - Bibliotecária - CRB-7/6643

Todos os direitos desta edição reservados a

ARQUIPÉLAGO EDITORIAL LTDA.

Rua Marquês do Pombal, 783/408

CEP 90540-001

Porto Alegre — RS

Telefone 51 3012-6975

www.arquipelago.com.br

Para o Tristan, que sempre soube como me tirar dos meus esconderijos.

Para o Heath, que casou comigo mesmo sabendo ser impossível eu contar a ele onde me escondia.

Para o Holmes, que se escondeu na minha barriga.

Tem alguma coisa rolando aqui

Que coisa é essa não esclareci

Tem um cara com uma arma lá

Me dizendo pra eu ficar esperto

Acho que é bom parar por aí, crianças

[que foi esse estrondo,

Todo mundo olha e vê

[que está desmoronando

Buffalo Springfield

SUMÁRIO

Capa

Folha de rosto

Créditos

Nota da autora

Prólogo

PARTE 1 - MISSÃO IMPOSSÍVEL

1. Depósito de segredos

2. A porra do salmão

PARTE 2 - OS CAPITALISTAS

3. O caubói

4. O primeiro negociador

5. Zero-day Charlie

PARTE 3 - OS ESPIÕES

6. Projeto Gunman

7. O padrinho

8. O onívoro,

9. O Rubicão

10. A fábrica

PARTE 4 - OS MERCENÁRIOS

11. O curdo

12. Negócios sujos

13. Armas de aluguel

PARTE 5 - A RESISTÊNCIA

14. Aurora

15. Caçadores de recompensa

16. Tateando no escuro

PARTE 6 - A VIRADA

17. Cibergauchos

18. A tempestade perfeita

19. A rede

PARTE 7 - BUMERANGUE

20. Os russos estão chegando

21. Shadow Brokers

22. Os ataques

23. O quintal

Epílogo

Agradecimentos

Notas

Índice

NOTA DA AUTORA

Este livro é o resultado de mais de sete anos de entrevistas com mais de 300 indivíduos que tomaram parte na indústria clandestina das ciberarmas, seguiram seu rastro ou foram diretamente afetados por ela. Entre eles se incluem hackers, ativistas, dissidentes, acadêmicos, cientistas da computação, funcionários do governo americano e de governos de outros países, peritos e mercenários.

Muitos deles generosamente dedicaram horas, em alguns casos, dias, relembrando os detalhes de diversos eventos e conversas relatados nestas páginas. As fontes foram solicitadas a apresentar documentação, sempre que possível, na forma de contratos, e-mails, mensagens e outros vestígios digitais considerados sigilosos ou, muitas vezes, cobertos por cláusulas de confidencialidade. Quando possível, gravações de áudio, agendas e anotações foram usados para corroborar memórias sobre os eventos, as minhas próprias e as de minhas fontes.

Por conta de o tema ser muito sensível, muitos dos entrevistados para este livro concordaram em falar somente sob a condição de não serem identificados. Só duas pessoas toparam conversar comigo e ser nomeadas, mas por pseudônimos. Seus relatos foram, sempre que possível, cotejados com outros. Muitos concordaram em participar apenas na verificação de fatos que me haviam sido relatados por terceiros.

O leitor não deve presumir que qualquer indivíduo mencionado nestas páginas tenha sido a fonte específica daqueles eventos ou diálogos descritos. Em várias situações, os relatos vieram diretamente da pessoa, mas, em outras, de testemunhas oculares, de terceiros e, tanto quanto possível, de documentação escrita.

E, no entanto, quando se trata do comércio de armas cibernéticas, aprendi que hackers, compradores, vendedores e governos sempre farão de tudo para evitar qualquer tipo de documentação escrita. Muitos relatos e pequenas histórias acabaram omitidos das páginas que se seguem simplesmente porque não havia como sustentar aquela versão dos eventos. Espero que os leitores perdoem essas omissões.

Fiz o meu melhor, mas tanta coisa sobre o comércio de armas cibernéticas até hoje permanece de tal forma impenetrável que seria tolice da minha parte reivindicar total precisão no que escrevi. Quaisquer erros são, claro, minha responsabilidade.

Minha esperança é que este trabalho ajude a lançar um pouco de luz sobre uma indústria altamente secreta e em grande parte invisível, a das armas cibernéticas, de modo que nós, uma sociedade às vésperas desse tsunami digital chamado Internet das Coisas, possamos fazer algumas das discussões necessárias agora, antes que seja tarde demais.

Nicole Perlroth

Novembro de 2020.

PRÓLOGO

Kiev, Ucrânia

Quando meu avião pousou em Kiev — no auge do inverno de 2019 —, ninguém tinha certeza sobre se o ataque havia terminado ou se aquele era apenas um vislumbre do que estava por vir.

Um toque de leve pânico, de paranoia vigilante, tomou conta do avião desde o momento em que adentramos o espaço aéreo ucraniano. A turbulência nos jogou para cima tão de repente que pude ouvir arroubos de náusea vindos dos assentos do fundo. Ao meu lado, uma modelo ucraniana cujo corpo era um fiapo agarrou meu braço, fechou os olhos e começou a rezar.

Trezentos pés abaixo, a Ucrânia entrara em alerta laranja. Uma tempestade de vento abrupta arrancava telhados de prédios de apartamentos e lançava destroços no meio do tráfego. Cidadezinhas nos arredores da capital e no oeste do país ficavam sem energia elétrica — de novo. Quando descemos aos trancos na pista e seguimos para o desembarque no Aeroporto Internacional Boryspil, até os jovens e desengonçados guardas de fronteira ucranianos pareciam estar se perguntando, nervosos: tempestade maluca? Ou outro ataque cibernético russo? Àquela altura, ninguém podia ter certeza.

Um dia antes, eu havia me despedido do meu bebê e viajado para Kiev como uma espécie de peregrinação das trevas. Vinha vasculhar os escombros do marco zero do mais devastador ataque cibernético jamais visto. O mundo ainda estava se recuperando das consequências de um ciberataque russo à Ucrânia que, menos de dois anos antes, paralisara agências governamentais, ferrovias, caixas eletrônicos, postos de gasolina, os correios e até mesmo os monitores de radiação na antiga instalação nuclear de Chernobyl, para em seguida extrapolar os limites ucranianos e ziguezaguear ao léu ao redor do globo. Uma vez solto, o código hacker fechou fábricas nos confins da Tasmânia, destruiu vacinas numa das maiores empresas farmacêuticas do mundo, infiltrou-se em computadores da FedEx e derrubou o maior conglomerado marítimo do mundo, tudo em questão de minutos.

Habilmente, o Kremlin havia programado o ataque para o Dia da Constituição da Ucrânia em 2017 — o equivalente ao Quatro de Julho americano — de modo a enviar um aviso sinistro aos ucranianos. Eles podiam comemorar sua independência o quanto quisessem, mas a Mãe Rússia nunca os deixaria em paz.

Foi o clímax de uma série de ataques cibernéticos traiçoeiros da Rússia, vingança pela revolução que, em 2014, levou centenas de milhares de ucranianos a protestar, na Praça da Independência de Kiev, contra o governo paralelo do Kremlin na Ucrânia e, por fim, a derrubar seu presidente, e fantoche de Putin, Viktor Yanukovych.

Poucos dias após a queda de Yanukovych, Putin o repatriou a Moscou e mandou seus homens invadirem a Península da Crimeia. Antes de 2014, aquele era um paraíso no Mar Negro, um diamante coroando o litoral sul ucraniano. Churchill certa vez se referiu à Crimeia como a Riviera de Hades. Agora ela pertencia à Rússia, epicentro infernal do confronto entre Vladimir Putin e a Ucrânia.

Desde então, o exército digital de Putin vinha interferindo no país. Hackers russos praticavam o esporte sangrento de atacar qualquer pessoa ou coisa viva no ambiente digital da Ucrânia. Por cinco longos anos, bombardearam os ucranianos com milhares de ataques cibernéticos por dia e rastrearam as redes do país incessantemente em busca de sinais de vulnerabilidade — uma senha fraca, uma brecha de segurança, softwares pirateados e falhos, um firewall erguido às pressas — qualquer coisa que pudesse ser explorada para criar digitalmente o caos. Qualquer coisa que semeasse a discórdia e minasse as lideranças pró-Ocidente na Ucrânia.

Putin estabeleceu apenas duas regras para os hackers russos. A primeira, não hackear dentro das fronteiras nacionais. E, em segundo lugar, se o Kremlin pedisse um favor, atendê-lo. De resto, os hackers teriam total autonomia. E, ah, como Putin os amava.

Os hackers russos são como artistas que acordam de bom humor de manhã e começam a pintar, disse Putin a um bando de repórteres em junho de 2017, apenas três semanas antes da devastação causada aos sistemas ucranianos. Se tiverem inclinações patrióticas, eles podem tentar dar sua contribuição à luta contra aqueles que falam mal da Rússia.

A Ucrânia havia se tornado sua cozinha de testes digital, um refúgio infernal e fumegante onde era possível testar todos os truques e ferramentas de hackeamento do arsenal digital russo sem medo de represálias. Em 2014, apenas o primeiro ano dos ataques, a mídia estatal e os trolls russos bombardearam a eleição presidencial ucraniana com uma campanha de desinformação que alternadamente atribuiu a um golpe ilegal, a uma junta militar ou a mecanismos do deep state norte-americano e europeu a culpa pelos levantes pró-Ocidente de massa ocorridos na Ucrânia. Hackers roubaram e-mails de campanha, vasculharam dados dos eleitores, invadiram os domínios da autoridade eleitoral da Ucrânia, excluíram arquivos e, implantando malwares no sistema que gera os relatórios de votação no país, teriam permitido que um candidato da extrema-direita reivindicasse a vitória nas urnas. Os ucranianos descobriram a trama pouco antes de os resultados serem divulgados à mídia do país. Especialistas em segurança eleitoral consideraram essa a tentativa mais descarada de manipular uma eleição nacional na história.

Em retrospecto, tudo isso deveria ter acendido alertas mais visíveis nos Estados Unidos. Mas, em 2014, os olhos dos americanos estavam voltados para outros lugares: a violência em Ferguson, Missouri; os horrores do ISIS, que parecia ter surgido do nada; e, no meu quadrado, a invasão cibernética da Sony Pictures pelos norte-coreanos naquele mês de dezembro, quando os hackers de Kim Jong-un se vingaram do estúdio de cinema por uma comédia de Seth Rogen e James Franco na qual seu Líder Supremo era assassinado. Os hackers devassaram os servidores da Sony com um código e, em seguida, divulgaram e-mails selecionados para humilhar os executivos do estúdio, num ataque que ofereceu a Putin o manual perfeito para 2016.

Para a maioria dos americanos, a Ucrânia ainda parecia ficar a um mundo de distância. Tínhamos visto aqui e ali cenas de ucranianos protestando na Praça da Independência e, mais tarde, celebrando quando uma nova liderança pró-Ocidente substituíra o fantoche de Putin. Algumas pessoas prestavam atenção às batalhas no leste da Ucrânia. A maioria talvez se lembre do avião da Malásia — lotado de passageiros holandeses — que separatistas russos derrubaram com um míssil.

Mas, se todos estivéssemos prestando mais atenção, possivelmente enxergássemos o ofuscante alerta vermelho, os servidores comprometidos em Cingapura e na Holanda, os blecautes, o código hacker despontando por toda parte.

Possivelmente enxergássemos que o objetivo final não era a Ucrânia. Éramos nós.

A INTERFERÊNCIA DA Rússia nas eleições ucranianas de 2014 foi apenas o pontapé inicial para o que se seguiria — uma campanha de agressões cibernéticas e destruição nunca antes vista.

Aquilo parecia tirado de uma página de seus antigos manuais da Guerra Fria, e, enquanto meu táxi fazia o percurso de Boryspil até o centro de Kiev, a Praça da Independência, coração sangrento da revolução ucraniana, eu me perguntava qual seria a página seguinte que consultariam e se algum dia estaríamos em posição de poder prever isso.

O ponto crucial da política externa russa era minar o controle do Ocidente sobre os temas globais. A cada campanha de hackeamento e desinformação, o exército digital de Putin procurava manter os adversários da Rússia ocupados com seus próprios problemas políticos e distraí-los da real ambição russa: fraturar o apoio à democracia ocidental e, em última análise, à OTAN — a Organização do Tratado do Atlântico Norte, única instância a manter Putin sob controle.

Quanto mais desiludidos os ucranianos ficassem — onde estavam seus protetores ocidentais, afinal? —, maior era a chance de se afastarem do Ocidente e aceitarem o abraço frio da Mãe Rússia.

E haveria jeito melhor de irritar os ucranianos e fazê-los questionar seu novo governo do que desligar o aquecimento e a energia elétrica do país no auge do inverno? Em 23 de dezembro de 2015, pouco antes da véspera de Natal, a Rússia cruzou um Rubicão digital. Os mesmos hackers russos que, ao longo de meses, vinham armando alçapões e explosivos virtuais nos meios de comunicação e agências governamentais ucranianos agora silenciosamente se infiltravam nas centrais elétricas do país. Naquele dezembro, devassaram os computadores que controlavam a rede elétrica da Ucrânia, desligando meticulosamente um disjuntor após o outro até que centenas de milhares de ucranianos ficassem sem energia. Como garantia adicional, derrubaram os números para chamadas de emergência. E, apertando mais o torniquete, desligaram os geradores de reserva nos centros de distribuição, obrigando os encarregados da manutenção do sistema a trabalhar se debatendo no escuro.

A falta de energia não durou muito — menos de seis horas —, mas o que aconteceu no oeste da Ucrânia naquele dia não tem precedentes na história. As Cassandras digitais e a multidão de teóricos da conspiração vinham alertando havia muito tempo que um ataque cibernético afetaria a rede, mas até aquele 23 de dezembro de 2015, nenhum Estado-nação com os meios para fazê-lo tivera a coragem de realmente lançar o ataque.

Os responsáveis pelo estrago fizeram de tudo para ocultar sua verdadeira localização, agindo por meio de servidores comprometidos em Cingapura, na Holanda e na Romênia, empregando níveis de disfarce que os peritos investigadores nunca haviam visto. Tinham descarregado suas armas nas redes ucranianas em fragmentos de aparência benigna, de modo a enganar a detecção de invasores, e meticulosamente randomizaram o código para escapar dos softwares antivírus. Mesmo assim, as autoridades ucranianas souberam imediatamente quem estava por trás do ataque. O tempo e os recursos necessários para realizar uma ofensiva com aquele nível de sofisticação simplesmente não estavam ao alcance de um hacker qualquer pesando 180 quilos e trabalhando da própria cama.

Um desligamento de energia não oferecia recompensa financeira. Era um trabalho de impacto político. Nos meses seguintes, pesquisadores da área de segurança confirmaram isso. Rastrearam como origem do ataque uma conhecida unidade de inteligência russa e revelaram seus motivos. Aquilo tivera como propósito lembrar aos ucranianos que seu governo era fraco, que a Rússia era forte, que as forças digitais de Putin dominavam a tal ponto cada recanto digital ucraniano que seriam capazes de deixá-los no escuro quando quisessem.

E, caso a mensagem não tivesse sido clara, os mesmos hackers russos repetiram a dose um ano depois, desligando a energia da Ucrânia novamente em dezembro de 2016. Só que desta vez cortaram o aquecimento e a energia no coração da nação — Kiev — numa demonstração de audácia e habilidade que até mesmo seus pares na sede da Agência de Segurança Nacional, em Fort Meade, Maryland, estremeceram.

POR ANOS, ESTIMATIVAS sigilosas da inteligência nacional consideraram a Rússia e a China como os adversários mais poderosos dos Estados Unidos no reino cibernético. A China absorvia a maior parte dos esforços, não tanto por sua sofisticação, mas simplesmente por ter hackers tão contumazes em roubar segredos comerciais americanos. Ficou célebre a declaração do ex-diretor da NSA, Keith Alexander, de que a ciberespionagem chinesa seria a maior transferência de riqueza da história. Os chineses estavam roubando até o último naco de propriedade intelectual americana que valia a pena roubar para entregar a suas empresas estatais, as quais se dedicavam a criar imitações de originais.

O Irã e a Coreia do Norte também estavam no topo da lista de ameaças cibernéticas. Ambos demonstravam disposição a prejudicar os Estados Unidos. O Irã havia derrubado sites de bancos americanos e bloqueado computadores no cassino Las Vegas Sands, depois que o CEO do Sands, Sheldon Adelson, incitara publicamente Washington a bombardear o país do Oriente Médio, e — numa onda de ataques de sequestro de dados — cibercriminosos iranianos mantiveram reféns de seus códigos hackers, mediante pagamento de resgate, hospitais, empresas e cidades inteiras nos Estados Unidos. A Coreia do Norte devassara servidores americanos simplesmente porque Kim Jong-un tinha se sentido ofendido por Hollywood em suas preferências cinematográficas, e mais tarde os asseclas digitais do ditador norte-coreano conseguiram roubar 81 milhões de dólares de um banco em Bangladesh.

Mas não havia dúvida de que, em termos de sofisticação, a Rússia sempre estivera no topo da lista. Hackers do país tinham conseguido se infiltrar no Pentágono, na Casa Branca, no Estado-Maior Conjunto, no Departamento de Estado, e o Nashi, um grupo de jovens russos, por ordens diretas do Kremlin ou simplesmente por sentimento patriótico, atacou a Estônia, tirando do ar o país inteiro depois que os estonianos ousaram remover uma estátua da era soviética. Em outro ataque cibernético, hackers russos, fazendo-se passar por fundamentalistas islâmicos, derrubaram uma dúzia de canais de televisão franceses. Foram pegos desmantelando os controles de segurança de uma empresa petroquímica saudita — o que os colocaria a um passo de desencadear uma explosão cibernética. Bombardearam o referendo do Brexit, hackearam a rede elétrica americana, intrometeram-se nas eleições de 2016 nos Estados Unidos, nas eleições francesas, infiltraram-se na Agência Mundial Antidoping e até na organização das sagradas Olimpíadas.

Mas, por volta de 2016, no geral, a comunidade de inteligência americana ainda pressupunha que seu poderio excedia de longe o do adversário. Enquanto o Kremlin testava o melhor de seu arsenal cibernético na Ucrânia, os especialistas em contraespionagem americanos avaliavam que a Rússia ainda estava longe de ter a capacidade cibernética dos Estados Unidos.

E isso talvez continuasse assim por algum tempo. Por quanto tempo, exatamente, ninguém conseguiria prever; mas, entre 2016 e 2017, a distância entre o poderio cibernético dos Estados Unidos e o de todas as outras nações e atores agindo de má-fé no planeta diminuiu substancialmente. A partir de 2016, o próprio arsenal cibernético da Agência de Segurança Nacional — única razão para que os Estados Unidos mantivessem vantagem competitiva no ciberespaço — foi neutralizado online por um grupo enigmático cuja identidade permanece desconhecida até hoje. Durante um período de nove meses, o misterioso hacker — ou hackers; ainda não se sabe quem submetia a NSA à tortura — sob a autodenominação de Shadow Brokers passou a vazar ferramentas e códigos hackers da agência para serem usados por qualquer Estado-nação, cibercriminoso ou terrorista em suas próprias cibercruzadas.

Os vazamentos dos Shadow Brokers chegaram às manchetes, mas, como a maior parte das notícias entre 2016 e 2017, também essa não se fixou por muito tempo na cabeça dos americanos. A compreensão do público acerca do que estava acontecendo era — para dizer o mínimo — incompatível com a gravidade da situação e com o impacto que aqueles vazamentos teriam em breve sobre a NSA, nossos aliados e algumas das maiores corporações dos Estados Unidos, impactando até a menor das cidadezinhas.

Tratou-se do primeiro vislumbre, para o mundo, do arsenal cibernético mais poderoso e invisível do planeta. O que aqueles hackers enigmáticos expuseram foi o maior programa governamental de que jamais se ouvira falar, uma operação em ciberarmas e espionagem tão altamente secreta que por décadas foi mantida completamente à parte de documentos oficiais, escondida do público por meio de empresas de fachada, mercenários, orçamentos clandestinos, cláusulas de confidencialidade e, nos primeiros tempos, sacolas gigantes de dinheiro.

No momento em que os Shadow Brokers começaram a neutralizar as armas cibernéticas da NSA, eu vinha acompanhando de perto o programa de ataques da agência por quatro anos — desde que tivera um vislumbre privilegiado da situação em documentos vazados pelo ex-funcionário terceirizado da agência Edward J. Snowden. Eu havia recuperado a história de três décadas do programa. Tinha me encontrado com seu padrinho. Mantivera contato com seus hackers, seus fornecedores, seus mercenários. Conhecia intimamente seus imitadores à medida que eles surgiam em todo o mundo. Cada vez mais tinha acesso aos homens e mulheres mesmos cujas vidas haviam sido arruinadas pelo programa.

Na verdade, a única coisa que eu não tinha visto — de perto — foi o que aconteceu quando as armas cibernéticas mais poderosas da NSA caíram nas mãos do adversário.

Aí, em março de 2019, fui à Ucrânia investigar eu mesma as ruínas que resultaram disso.

OS ATAQUES DA Rússia à rede elétrica da Ucrânia lançaram o mundo num novo capítulo da guerra cibernética. Mesmo aqueles ataques de 2015 não se comparavam, porém, ao que aconteceu quando os russos puseram as mãos nas mais bem guardadas ferramentas de hackeamento da NSA, dois anos depois.

Em 27 de junho de 2017, eles empregaram as armas cibernéticas da NSA contra a Ucrânia, naquele que se tornou o ataque do gênero mais destrutivo e caro da história mundial. Naquela tarde, os ucranianos se depararam de repente com telas pretas por toda parte. Não conseguiam tirar dinheiro de caixas eletrônicos, pagar pela gasolina em postos, enviar ou receber correspondência, comprar uma passagem de trem, fazer o supermercado, receber pagamentos ou — talvez o mais assustador de tudo — monitorar os níveis de radiação em Chernobyl. E isso apenas na Ucrânia.

O ataque afetou qualquer empresa que tivesse negócios no país. Bastava que houvesse um único funcionário ucraniano trabalhando remotamente para que redes inteiras fossem derrubadas. Computadores na Pfizer e na Merck, da indústria farmacêutica; no Maersk, o conglomerado de navegação; na FedEx e numa fábrica de chocolates da Cadbury na Tasmânia, foram todos invadidos. O ataque chegou a respingar de volta na Rússia, destruindo dados da Rosneft, a gigante estatal de petróleo do país, e da Evraz, siderúrgica de propriedade de dois oligarcas russos. O código roubado da NSA foi usado como foguete propulsor do malware que se espalhou ao redor do mundo. Esse hackeamento de alcance global custaria um bilhão de dólares só à Merck e à FedEx.

Na altura da minha visita a Kiev, em 2019, a contabilidade dos danos causados por aquele único ataque russo ultrapassava os dez bilhões de dólares, com as estimativas continuando a subir. Os sistemas de transporte marítimo e ferroviário ainda não haviam se recuperado totalmente. Por toda a Ucrânia, as pessoas seguiam tentando encontrar pacotes extraviados quando o sistema de rastreamento de remessas caiu. Continuavam sem receber pagamentos de aposentadoria retidos durante o ataque. Os registros do que era devido a quem tinham sido apagados.

Especialistas em segurança tinham batizado o incidente com um nome infeliz: NotPetya. Presumiram, inicialmente, que fosse o agente malicioso chamado Petya, para em seguida descobrir que os hackers russos haviam especificamente planejado o NotPetya para parecer um ataque de sequestro de dados comum, embora não se tratasse disso. Ainda que se pagasse o resgate, não havia chance de se obterem quaisquer dados de volta. Aquela era a arma de um Estado-nação projetada para causar destruição em massa.

Passei as duas semanas seguintes na Ucrânia evitando rajadas de ar gelado da Sibéria. Conversei com jornalistas. Circulei pela Praça da Independência com manifestantes que reconstituíam para mim os dias mais sangrentos da revolução. Fiz incursões à zona industrial para encontrar detetives digitais que me guiaram pelos escombros virtuais do NotPetya, e com ucranianos cuja empresa familiar — responsável por um software de relatórios fiscais usado por todas as principais agências e empresas do país — havia sido a primeira vítima dos ataques. Os russos tinham habilmente disfarçado seu malware como uma atualização do software da empresa, e agora tudo o que seus donos podiam fazer era rir para não chorar da parte que lhes coubera na ciberguerra entre Estados-nações. Falei com o chefe da força policial cibernética da Ucrânia e com todo e qualquer ministro ucraniano que aceitou me receber.

Visitei diplomatas americanos na embaixada dos Estados Unidos pouco antes de eles se verem enredados no impeachment do presidente Donald Trump. No dia da minha visita, estavam sob o impacto da mais recente campanha de desinformação da Rússia: trolls russos vinham inundando as páginas de Facebook frequentadas por jovens mães ucranianas com propaganda antivacinação. Isso num momento em que o país se recuperava do pior surto de sarampo da história moderna. A Ucrânia exibia, então, uma das mais baixas taxas de vacinação do mundo, um caos sobre o qual o Kremlin tentava capitalizar. O surto na Ucrânia já alcançava os Estados Unidos, onde os trolls agora disseminavam memes antivacina entre os americanos. As autoridades americanas pareciam não saber como conter a situação. (E não estavam mais bem preparadas quando, um ano depois, os russos aproveitaram a pandemia para promover teorias da conspiração de que a Covid-19 era uma arma biológica americana, ou histórias sobre o plano sinistro de Bill Gates para lucrar com as vacinas.) Parecia não haver limites para o que a Rússia estava disposta a fazer em sua estratégia de dividir para conquistar.

Mas, naquele inverno de 2019, a maioria concordava que NotPetya fora a investida mais ousada do Kremlin até então. Entre as pessoas que conheci em Kiev durante aquelas duas semanas, não houve quem não se lembrasse do ataque. Todos souberam dizer onde estavam e o que estavam fazendo no momento em que os computadores apagaram. Era a Chernobyl do século 21. E, na velha usina nuclear, menos de 150 quilômetros ao norte de Kiev, nas telas só se via preto, preto, preto, me disse Sergei Goncharov, o ríspido gerente de tecnologia de Chernobyl.

Goncharov estava voltando do almoço quando o relógio marcou 13h12 e 2.500 computadores apagaram num intervalo de sete minutos. As ligações não paravam; o sistema todo tinha caído. Enquanto Goncharov tentava reativar as redes de Chernobyl, recebeu a informação de que os computadores que monitoravam os níveis de radiação — exatamente no mesmo local da explosão, mais de três décadas antes — haviam apagado. Ninguém sabia se os níveis de radiação eram seguros, ou se aquilo era algum tipo de sabotagem sinistra.

Na hora estávamos tão ocupados em fazer nossos computadores voltar a funcionar que não ficamos pensando muito sobre a origem daquilo, Goncharov me contou. Mas, assim que a coisa acalmou e vimos a velocidade com que o vírus tinha se espalhado, soubemos que se tratava de algo maior, que estávamos sob ataque.

Goncharov assumiu os alto-falantes e instruiu qualquer pessoa que ainda pudesse ouvi-lo para tirar seus computadores da tomada. Mandou que outras fossem monitorar manualmente os níveis de radiação no topo da Zona de Exclusão Nuclear.

Goncharov era um homem de poucas palavras. Mesmo ao descrever o pior dia de sua vida, falava em tom monótono. Não tendia a expressar vivamente suas emoções. Mas, conforme me disse, no dia do ataque, sofri um choque psicológico. Dois anos depois, não se podia dizer que estivesse recuperado.

A gente está vivendo numa era totalmente diferente, falou ele. Tivemos a Vida Antes do NotPetya, e agora a Vida Depois do NotPetya.

Em todos os lugares onde estive naquelas duas semanas, os ucranianos sentiam o mesmo. Num ponto de ônibus, conheci um homem que estava prestes a comprar um carro, e a concessionária suspendeu a venda — primeira vez na história do comércio de carros usados? — quando os sistemas de registro saíram do ar. Num café, conheci uma mulher cuja pequena loja online de artigos de tricô, seu ganha-pão, faliu com o extravio de suas encomendas pelos correios. Muitos compartilhavam histórias sobre ter ficado sem dinheiro ou gasolina. Mas, em sua maioria, assim como Goncharov, todos se lembravam apenas da velocidade com que tudo se passara.

Dado o momento do ataque — na véspera do Dia da Independência da Ucrânia —, não demorou muito para que ligassem os pontos. Era a velha, amarga e infame Mãe Rússia de novo lhes causando transtornos. Mas os ucranianos são um povo resiliente. Ao longo de 27 anos de tragédias e crises, o humor negro tinha se tornado remédio para tudo. Alguns brincaram que, como nada podia funcionar, Vova — apelido pelo qual Putin é chamado — lhes dera dias extras de feriado da Independência. Outros contaram que só o ataque para fazê-los se desconectar do Facebook pela primeira vez em anos.

Apesar do choque psicológico e do custo financeiro dos eventos de junho de 2017, os ucranianos pareciam reconhecer que as coisas poderiam ter sido muito piores. Os sistemas na linha de frente tinham sido gravemente danificados. Registros importantes jamais seriam recuperados. Mas o ataque não avançou o sinal das calamidades fatais, como desorientar aviões de passageiros ou provocar uma explosão mortal de algum tipo. À parte os monitores de radiação em Chernobyl, as estações nucleares da Ucrânia continuaram a operar plenamente.

No fim, Moscou economizara nos golpes. Assim como nos ataques anteriores à rede elétrica — quando as luzes se apagaram apenas tempo suficiente para que o recado fosse dado —, os danos causados por NotPetya foram incomensuravelmente pequenos diante do que a Rússia poderia ter feito, dado o nível de acesso que conseguira e as armas americanas à sua disposição.

Alguns conjeturaram que a Rússia havia usado o arsenal roubado da NSA para debochar da agência. Mas os especialistas em segurança ucranianos com quem falei tinham uma teoria alternativa perturbadora: o ataque de NotPetya e aqueles anteriores, à rede elétrica, tinham sido apenas um ensaio.

Foi o que Oleh Derevianko, um sujeito loiro, empresário ucraniano do setor de segurança cibernética, me disse certa noite, enquanto comíamos bolinhos vareniki ucranianos de carne envoltos por uma espécie de gordura gelatinosa. A empresa de Derevianko esteve na linha de frente dos ataques. Repetidas vezes os peritos demonstraram o caráter experimental do que os hackers estavam fazendo. Empregavam uma versão cruel do método científico: testavam uma habilidade aqui, um método ali, aprimorando suas técnicas na Ucrânia, exibindo aos chefões russos do que eram capazes, construindo sua reputação.

Havia um motivo para o ataque de NotPetya ter sido tão destrutivo, para ter apagado 80% dos computadores da Ucrânia, Derevianko me explicou. Eles estavam apenas limpando os próprios rastros. Essas são novas armas numa nova guerra. A Ucrânia foi apenas o campo de testes. Como eles planejam usá-las no futuro? Não sabemos.

O país, porém, não sofria um ataque cibernético daquela magnitude fazia dois anos e, embora houvesse alguma evidência de que a Rússia planejava interferir nas eleições ucranianas de 2019, dali a apenas duas semanas, a destruição cibernética, antes uma onda, agora acontecia a conta-gotas.

Isso significa que eles partiram pra outra, disse meu entrevistado.

Beliscamos nossos bolinhos em silêncio, pedimos a conta e saímos. Era a primeira vez que as violentas tempestades de vento pareciam ter diminuído. Mesmo assim, as ruas de paralelepípedos tipicamente animadas da Velha Kiev estavam vazias. Descemos a Andriyivskyy, equivalente de Kiev a Montmartre em Paris, célebre ladeira estreita e sinuosa de paralelepípedos, ao longo da qual ficam galerias, lojas de antiguidades e estúdios de arte, na direção da Igreja de Santo André, um marco cintilante em branco, azul e dourado, originalmente projetado para ser a residência de verão da imperatriz russa Elizabeth no século 18.

Ao chegarmos à igreja, Derevianko parou. Mirou o brilho amarelo do poste acima das nossas cabeças.

Sabe, tateou, se desligarem as luzes aqui, podemos ficar sem energia por algumas horas. Mas se fizerem a mesma coisa com vocês...

Ele não terminou a frase. Mas não precisava. Eu já tinha ouvido o mesmo comentário, repetidamente, de seus conterrâneos e de minhas fontes nos Estados Unidos.

Todos sabíamos o que viria em seguida.

O QUE SALVARA a Ucrânia era precisamente o que tornava os Estados Unidos a nação mais vulnerável do planeta.

A Ucrânia não funcionava sob automatização total. Na corrida para conectar tudo à internet, o país estava bem atrás. O tsunami conhecido como Internet das Coisas, que ocupara os americanos durante a maior parte da última década, ainda não havia chegado à Ucrânia. Estações nucleares, hospitais, indústrias de produtos químicos, refinarias de petróleo, gasodutos e oleodutos, fábricas, fazendas, cidades, carros, semáforos, casas, termostatos, lâmpadas, geladeiras, fogões, babás eletrônicas, marca-passos e bombas de insulina ainda não eram habilitados via web.

Nos Estados Unidos, porém, conveniência era tudo; ainda é. Estávamos conectando tudo o que podíamos à internet, a uma taxa de 127 dispositivos por segundo. Tínhamos acreditado na promessa do Vale do Silício de uma sociedade sem conflitos. Não havia uma única área de nossas vidas que não tivesse sido migrada para a web. Agora éramos capazes de controlar inteiramente nosso cotidiano, nossa economia e nossa rede de energia remotamente via web. E em momento algum paramos para pensar que, ao fazermos isso, estávamos criando o mais exposto alvo de ataques do planeta.

Na NSA — cuja dupla missão é coletar informações de inteligência ao redor do globo e defender os segredos dos Estados Unidos — fazia muito tempo que atacar havia se sobreposto a defender. Para cada cem agentes cibernéticos trabalhando no ataque, havia apenas um analista solitário jogando na defesa. O vazamento dos Shadow Brokers foi de longe o mais danoso da história da inteligência americana. Se Snowden vazara um PowerPoint com uma lista de pontos, os Shadow Brokers entregaram aos nossos inimigos os próprios pontos: o código.

O maior segredo da guerra cibernética — aquele que nossos adversários agora conhecem muito bem — é que a mesma nação que ocupa a posição mais privilegiada do planeta para uma ofensiva cibernética também está entre as mais vulneráveis.

A Ucrânia tinha outra vantagem sobre os Estados Unidos: seu senso de urgência. Após cinco anos sendo agredida e derrubada por um dos maiores agentes predadores do mundo, sabia que seu futuro dependia de uma defesa cibernética vigilante. NotPetya significou, em muitos sentidos, uma chance de recomeçar, de construir novos sistemas a partir do zero e de impedir que as redes mais sensíveis do país fossem migradas para a web. Nas semanas que se seguiram à minha partida, os ucranianos iriam às urnas para votar em papel nas eleições presidenciais. Não haveria máquinas sofisticadas de registro dos votos; cada voto seria preenchido à mão. As cédulas seriam contadas manualmente. O que, claro, não evitaria alegações sobre compra de votos em todo o país. Mas a ideia de rodar aquelas eleições na Ucrânia em computadores sobressaltava a todos que conheci durante meu tempo lá como pura insanidade.

Repetidas vezes os Estados Unidos não foram capazes de chegar a essas mesmas alarmantes conclusões. Não conseguimos enxergar que o terreno de uma guerra em potencial mudara da terra para o mar, do ar para o ambiente digital. Alguns meses depois de eu deixar a Ucrânia, não eram os ataques russos ao país que se fixavam na memória dos americanos, mas a influência russa no impeachment iminente de Trump. Parecíamos de alguma forma ter esquecido que, além das campanhas de desinformação em 2016 — vazamento de e-mails democratas, russos que se faziam passar por separatistas texanos e ativistas do Black Lives Matter para semear a discórdia —, a Rússia também havia posto à prova a programação de nossos sistemas eleitorais e os dados de registro eleitoral em todos os 50 estados. Seus hackers podem até ter se refreado a interferir no cômputo final dos votos, mas, concluíram as autoridades americanas, tudo o que demonstraram ser capazes de fazer sugeria um ensaio para algum ataque futuro às nossas eleições.

E, no entanto, Trump continuava a atribuir a interferência russa nas eleições de 2016 ora àquele hacker pesando 180 quilos e trabalhando da própria cama, ora à China. Com Putin fazendo cara de quem estava feliz da vida ao lado do presidente americano numa entrevista coletiva em Helsinque, em 2018, Trump não apenas menosprezava as descobertas de sua própria comunidade de inteligência — Tenho aqui o presidente Putin; ele me garante que não foi a Rússia. Só digo isto: não vejo nenhuma razão para que tenha sido — como recebeu de bom grado a oferta de Putin de que a Rússia se juntasse à caçada dos Estados Unidos em busca dos intrometidos de 2016. E, com a eleição seguinte cada vez mais próxima, Putin e Trump se encontraram mais uma vez, desta vez em Osaka, em junho de 2019, onde riram juntos como velhos amigos de faculdade. Quando um repórter perguntou a Trump se ele alertaria a Rússia para que não se intrometesse em 2020, Trump zombou e, jovial, deu de dedo no amigo: Não vá se meter na nossa eleição, presidente.

Agora cá estamos. No momento em que escrevo, a eleição de 2020 ainda está sendo contestada, atores estrangeiros se aproveitam de nosso caos doméstico, nossas armas cibernéticas vazaram, com hackers russos dentro de nossos hospitais, agentes do Kremlin infiltrados na rede elétrica americana, agressores determinados pondo à prova nossas redes de computadores milhões de vezes ao dia, enquanto lutamos contra uma pandemia que levou nossas vidas virtuais a extremos antes inimagináveis e nos deixou mais vulneráveis ao tipo de Pearl Harbor cibernético sobre o qual especialistas em segurança me alertaram ao longo dos sete tumultuados anos anteriores.

De volta a Kiev, os ucranianos não me deixavam esquecer. Só faltava me agarrarem pelas orelhas para gritar: Vocês são os próximos!. Eram os alertas vermelhos piscando de novo. E não estávamos mais bem preparados do que da última vez.

No mínimo tínhamos ficado mais expostos. Pior: seríamos atacados com nossas próprias armas cibernéticas. Os ucranianos sabiam disso. Nossos inimigos certamente também. Os hackers sempre souberam.

É assim que me disseram que o mundo acaba.

PARTE 1

MISSÃO IMPOSSÍVEL

Cuidado. O jornalismo é mais viciante do que crack. Você pode ficar desequilibrado na vida.

DAN RATHER

1. DEPÓSITO DE SEGREDOS

Times Square, Manhattan

Eu ainda estava coberta de pó quando meus editores me disseram para entregar os meus equipamentos eletrônicos, fazer um juramento de silêncio e entrar no depósito de Arthur Sulzberger em julho de 2013.

Apenas dias antes, estivera dirigindo pelo parque Maasai Mara em um jipe aberto, finalizando uma aventura de três semanas pelo Quênia. Esperava que algumas semanas desplugada do mundo me ajudassem a remendar meus nervos desgastados por dois anos cobrindo ciberterrorismo. Minhas fontes insistiam que era apenas o começo — que as coisas ainda iam piorar muito.

Eu tinha só 30 anos, mas já sentia o imenso fardo que o tema que me fora designado representava. Quando recebi a ligação para me juntar à equipe do New York Times em 2010, estava reportando do Vale do Silício para capas de revista sobre empreendedores de risco que, fosse por mera sorte ou habilidade, haviam investido no início do Facebook, do Instagram e do Uber e agora estavam cientes de seus status de celebridade. A matéria chamou a atenção do pessoal do Times, e eles quiseram me contratar, mas para uma editoria diferente. "Vocês são o The New York Times, eu disse. Cubro o que vocês quiserem. O que pode ser tão ruim?" Quando me disseram que estavam me considerando para a editoria de segurança cibernética, achei que era brincadeira. Não só não sabia nada sobre cibersegurança, como nunca tinha me interessado em saber nada sobre cibersegurança. Com certeza eles podiam encontrar repórteres de cibersegurança mais qualificados para o trabalho.

Já entrevistamos essas pessoas, eles disseram. Não entendemos nada do que estavam dizendo.

Poucos meses depois, participei de uma dúzia de entrevistas de meia hora com editores sêniores na sede do Times, tentando não deixar meu pânico transparecer. Quando as entrevistas acabaram naquela tarde, marchei pela rua até a loja de conveniência mais próxima e comprei o vinho sem rolha mais barato que encontrei e dei um golão direto da sacola de compras. Pensei comigo que pelo menos um dia poderia dizer aos meus filhos e netos que o sagrado New York Times tinha certa vez me convidado para entrar no prédio.

Mas, para minha surpresa, fui contratada. E três anos depois ainda estava tentando não deixar meu pânico transparecer. Naqueles três anos, cobri hackers chineses que tentavam se infiltrar por termostatos, impressoras e cardápios de comida comprada no balcão. Cobri um ciberataque iraniano que substituiu dados da empresa de petróleo mais rica do mundo pela imagem de uma bandeira americana em chamas. Acompanhei hackers militares chineses contratados para entrar em milhares de sistemas americanos em busca do que quer que conseguissem, de detalhes para a construção de um bombardeiro Stealth até a fórmula da Coca-Cola. Cobri uma escalada de ataques russos a empresas de energia e serviços públicos americanos. Juntei-me à própria equipe de segurança de TI do Times enquanto um hacker chinês, a quem passamos a nos referir como o estagiário de verão, aparecia em nossas redes todas as manhãs, às 10h, horário de Pequim, e ali ficava até as 17h em busca de nossas fontes.

Durante todo esse tempo, agarrava-me desesperadamente à ideia de que ainda poderia viver uma vida normal. Mas, quanto mais fundo me aventurava nesse mundo, mais ficava à deriva. Violações aconteciam o tempo todo. Passavam-se semanas em que eu raramente dormia; devia andar com um aspecto doentio. As jornadas imprevisíveis me custaram mais de um relacionamento. E não demorou muito para que a paranoia começasse a se infiltrar. Muitas vezes me peguei olhando desconfiada para qualquer coisa com um plug, preocupada que se tratasse de um espião chinês.

Em meados de 2013, estava determinada a ficar o mais longe possível de computadores. A África me pareceu o lugar mais óbvio. Depois de três semanas dormindo em barracas e correndo com girafas, e de terminar os dias com uma bebida na mão observando o sol se pôr por detrás de um desfile lento de elefantes e, um pouco mais tarde, me aquecer ao lado da fogueira feita pelo meu guia de safári, Nigel, que identificava para mim cada ruído de leão, enfim começava a sentir o bálsamo do isolamento.

Porém, quando voltei a Nairobi, meu telefone retomou seu zumbido incessante. Enquanto esperava do lado de fora de um orfanato de elefantes em Karen, Quênia, dei um último suspiro profundo e passei os olhos pelas milhares de mensagens não lidas na minha caixa de entrada. Uma me chamou mais atenção do que as outras: Urgente. Liga para mim. Era meu editor no Times. A conexão já estava irregular, mas mesmo assim ele insistia em sussurrar, enterrando suas palavras no barulho da redação. Quando você consegue chegar em Nova York?... Não posso dizer pelo telefone... Eles precisam contar a você pessoalmente... Apenas venha.

Dois dias depois, saí de um elevador no andar executivo do Times usando as sandálias tribais que tinha comprado de um guerreiro Maasai. Era julho de 2013 e Jill Abramson e Dean Baquet — o editor-executivo do jornal na época e seu sucessor — estavam esperando. Rebecca Corbett, editora investigativa do Times, e Scott Shane, nosso repórter veterano em segurança nacional, também tinham sido convocados. Havia outros três rostos que eu ainda não conhecia, mas viria a conhecer muito bem: James Ball e Ewen MacAskill, do jornal britânico The Guardian, e Jeff Larson, da ProPublica.

James e Ewen contaram que, dias antes, funcionários da inteligência britânica tinham invadido a sede do Guardian em Londres para destruir os discos rígidos com arquivos secretos de Snowden, mas não sem que uma cópia tivesse sido contrabandeada para o The New York Times antes. Juntos, Jill e Dean disseram que eu e Scott deveríamos trabalhar com os jornalistas do Guardian e da ProPublica em duas matérias que tivessem como base as informações vazadas por Edward Snowden, o infame funcionário da NSA que havia removido milhares de documentos secretos dos computadores da agência antes de fugir para Hong Kong e, depois, assumir o exílio em Moscou. Snowden havia repassado os documentos secretos para Glenn Greenwald, colunista do Guardian. Porém, fomos lembrados naquele dia, a Grã-Bretanha não tinha as mesmas garantias de liberdade de expressão dos Estados Unidos. Colaborar com um jornal americano, especialmente um que contava com um time de advogados especializados em Primeira Emenda, como o New York Times, dava ao Guardian certa segurança.

Mas o Guardian tinha algumas regras. Não deveríamos falar nenhuma palavra sobre o projeto com ninguém. Sem pescar, o que significava que estávamos proibidos de buscar nos documentos quaisquer palavras-chave que não estivessem diretamente relacionadas às nossas atribuições. Não haveria comunicação por telefone, nem internet, e não poderíamos trabalhar em ambientes com janelas.

Essa última parte se provou particularmente problemática. O arquiteto italiano Renzo Piano tinha projetado a sede do Times para ser um modelo de transparência total. O prédio todo — todos os andares, todas as salas de conferências, todos os escritórios — eram envolvidos do piso ao teto por vidro, com exceção de um espaço: o depósito de Arthur Sulzberger.

Essa última exigência me pareceu absurdamente paranoica, mas os ingleses foram insistentes. Havia a possibilidade de que a Agência de Segurança Nacional; sua homóloga britânica, a Central de Comunicações do Governo (Government Communications Headquarters, GCHQ, na sigla em inglês); ou alguma agência estranha de um país distante disparasse feixes de laser em nossas janelas para interceptar nossas conversas. Os mesmos técnicos do GCHQ que observaram enquanto o Guardian destruía os discos rígidos de Snowden disseram isso a eles.

E assim começou minha primeira experiência da realidade pós-Snowden.

Dia após dia, durante as seis semanas seguintes, eu dei adeus aos meus equipamentos, rastejei para esse estranho local secreto, espremida entre Scott, Jeff e os britânicos, e examinei os documentos ultrassecretos da NSA sem contar a ninguém.

Para ser honesta, minha reação aos documentos da NSA que vazaram foi provavelmente muito diferente daquela da maioria dos americanos — que ficaram chocados ao descobrir que nossa agência de espionagem estava realmente nos espionando. Depois de três anos cobrindo a espionagem chinesa sem descanso, uma grande parte de mim ficou feliz ao perceber que nossos próprios recursos excediam em muito os e-mails de phishing com erros ortográficos que os hackers chineses usavam para invadir as redes americanas.

A missão de Scott era escrever um relato abrangente da atuação da NSA. Já a minha tarefa era mais simples, porém — dado que não tinha nem telefone nem internet e estava proibida de falar com qualquer fonte — absurdamente tediosa: eu tinha que descobrir o quanto as principais agências de inteligência do mundo tinham avançado na quebra da criptografia digital.

Como ficou claro, não tinham precisado ir muito longe. Depois de várias semanas classificando os documentos, estava evidente que os algoritmos de criptografia digital do mundo estavam — na maior parte — segurando as pontas bastante bem. Porém também ficou claro que a NSA não precisava quebrar esses algoritmos de criptografia, porque tinha desenvolvido várias maneiras de hackear em torno deles.

Em alguns casos, a NSA estava fazendo back-channeling com as agências internacionais que definiam os padrões criptográficos adotados por empresas de segurança e seus clientes. Em pelo menos um caso, a NSA convenceu com sucesso burocratas canadenses a defender uma fórmula falha que gerasse números em esquemas de criptografia que os computadores da NSA poderiam facilmente quebrar. A agência estava até pagando grandes empresas de segurança americanas, como a RSA, para repassar fórmulas falhas e gerar números aleatórios e um método de criptografia padrão para produtos de segurança amplamente utilizados. Quando as empresas contratantes não caíam no esquema, os parceiros da NSA na CIA se infiltravam no chão da fábrica de líderes mundiais de fabricantes de chips de criptografia e colocavam backdoors nos chips que bagunçavam os dados. E, em outros casos, a agência invadia os servidores internos em empresas como Google e Yahoo para obter dados antes que fossem criptografados.

Snowden diria mais tarde que vazou os dados da NSA para atrair a atenção do público para o que considerava ser um estado de vigilância ilimitada. O mais preocupante de suas revelações parecia ser a coleção de metadados de chamadas telefônicas do programa da NSA — um registro de quem ligou para quem, quando e por quanto tempo se falaram — e os programas de interceptação legal que obrigavam empresas como Microsoft e Google a entregar secretamente dados de seus clientes. Mas, apesar de todo o choque e indignação que essas informações provocaram da televisão a cabo ao Capitólio, foi ficando claro que os americanos estavam perdendo algo mais importante.

Os documentos estavam repletos de referências a backdoors da NSA em quase todas as peças de hardware e software comercial disponíveis no mercado. A agência parecia ter adquirido uma vasta biblioteca de backdoors invisíveis presentes em praticamente qualquer aplicativo relevante, plataforma de mídia social, servidor, roteador, firewall, software antivírus, iPhone, telefone Android, telefone BlackBerry, laptop, desktop e sistema operacional.

No mundo do hackeamento, esses backdoors invisíveis têm nomes de ficção científica: eles são chamados de zero-days (ou o days), pronunciado oh-days. O zero-day é um daqueles termos cibernéticos como infosec e man-in-the-middle attack que os profissionais de segurança usam para tornar muito fácil para o resto de nós ignorá-los.

Para os não doutrinados: o zero-day oferece superpoderes digitais. Eles são um manto de invisibilidade e, para espiões e cibercriminosos, quanto mais invisível você é, mais poder você tem. No nível mais básico, um zero-day é uma falha de software ou hardware para a qual não existe patch, ou seja, um reparo.

Eles receberam esse nome porque, como no caso do Paciente Zero de uma epidemia, quando uma falha de zero-day é descoberta, as empresas de software e hardware têm zero dias para apresentar uma defesa. Até que o fornecedor descubra a falha em seu sistema, apresente uma correção, dissemine seu patch para usuários em todo o mundo e os usuários executem suas atualizações de software — Caro leitor: execute suas atualizações de software! — ou troque, ou de alguma outra forma atenue o hardware vulnerável, todos que dependem do sistema afetado são vulneráveis.

O zero-day é a ferramenta mais crítica no arsenal de um hacker. Descobrindo um é como descobrir a senha secreta para os dados do mundo. Um zero-day de primeira linha num sistema de software de telefones da Apple permite que espiões e hackers com as habilidades necessárias para explorá-lo possam invadir remotamente iPhones sem ser detectados e obter acesso a cada minúcia de nossas vidas digitais. Uma série de sete zero-days no software industrial do Microsoft Windows e da Siemens permitiu que espiões americanos e israelenses sabotassem o programa nuclear do Irã. Espiões chineses usaram um único zero-day da Microsoft para roubar parte do código-fonte mais restrito do Vale do Silício.

Se deparar com um zero-day é um pouco como entrar no God-Mode em um videogame. Uma vez que os hackers descobrem os comandos ou escrevem o código para explorá-los, eles podem percorrer as redes de computadores do mundo todo sem serem detectados até o dia em que a falha subjacente é descoberta. A exploração de um zero-day é a mais direta aplicação do clichê Conhecimento é poder, se você souber como usá-lo.

Explorando um zero-day, os hackers podem invadir qualquer sistema — de qualquer empresa, agência governamental ou banco — que depende do software ou hardware afetado e lançar um payload para atingir seu objetivo, seja de espionagem, financeiro, roubo ou sabotagem. Mesmo que o sistema esteja totalmente protegido. Não existe proteção contra um zero-day até que ele seja descoberto. É um pouco como ter uma chave sobressalente para um prédio trancado. Não importa se você é o administrador de TI mais vigilante da face da terra. Se alguém tem um zero-day para um software que roda em seu sistema de computador e sabe como explorá-lo, ele pode usá-lo para invadir seus computadores sem o seu conhecimento — o que torna a zero-day uma das ferramentas mais cobiçadas no arsenal de um espião ou de um cibercriminoso.

Por décadas, conforme a Apple, o Google, o Facebook, a Microsoft e outros introduziam mais criptografia em seus centros de dados e comunicações dos clientes, a única maneira de interceptar dados não criptografados era invadir o dispositivo de alguém antes que o conteúdo fosse embaralhado. Nesse processo, a exploração por meio de um zero-day se tornou o diamante de sangue do comércio de segurança, desejado por Estados, empresários de serviços de segurança e cibercriminosos de um lado e por defensores da segurança do outro. Dependendo de onde a vulnerabilidade é descoberta, a exploração de um zero-day pode conceder a capacidade de espionar invisivelmente usuários do iPhone em todo o mundo, desmontar controles de segurança em uma fábrica de produtos químicos ou até enviar uma nave espacial em direção à terra. Um dos melhores exemplos disso foi quando um erro de programação, um único hífen ausente, colocou a Mariner 1 — primeira espaçonave americana a tentar explorar Vênus — fora de curso, forçando a NASA a destruir sua espaçonave de 150 milhões de dólares 294 segundos após o lançamento para não correr o risco de que ela caísse em uma rota marítima do Atlântico Norte ou, ainda pior, em uma cidade densamente povoada. Em nosso mundo virtual, o equivalente ao erro do hífen está em toda parte, e eu estava testemunhando o quanto ele tinha se tornado crítico para os principais espiões de nossa nação. De acordo com as descrições espalhadas diante de mim, o extenso catálogo da NSA significava que eles podiam invadir e espionar dispositivos até quando estavam offline ou mesmo desligados. A agência podia contornar a maioria dos sistemas de detecção anti-invasão e usar os antivírus — os próprios softwares projetados para manter espiões e criminosos afastados — como uma ferramenta poderosa de espionagem. Os documentos de Snowden apenas aludiam a essas ferramentas de hackeamento. Eles não continham as próprias ferramentas, o código real e as inovações algorítmicas.

As empresas de tecnologia não davam à NSA permissão ilegal para entrar em seus sistemas. Quando os primeiros documentos de Snowden vieram à tona, minhas fontes nas principais empresas de tecnologia do país — Apple, Google, Microsoft, Facebook — juravam de pé junto que, sim, atendiam às solicitações legais para abrir informações do cliente, mas, não, nunca tinham concedido a NSA, ou qualquer outra agência governamental do tipo, uma porta de entrada para qualquer um de seus aplicativos, produtos ou softwares. (Descobriu-se mais tarde que algumas dessas empresas, como o Yahoo, estavam indo bastante longe para atender às solicitações legais da NSA.)

A NSA estava criando e aprimorando seus próprios zero-days dentro da unidade de Operações Customizadas de Acesso (TAO, na sigla em inglês) da agência. Mas, conforme eu examinava os documentos de Snowden, percebi que muitos desses zero-days estavam sendo obtidos fora da agência também. Os documentos sugeriram um animado comércio de terceirização com parceiros comerciais e parceiros de segurança, embora nunca mencionasse nomes ou explicitasse essas relações em detalhes. Há muito tempo existe um mercado clandestino para os cibercriminosos que procuram obter ferramentas de hackeamento da dark web. Porém, nos últimos anos, apareceram cada vez mais relatórios indicando um mercado cinza obscuro, mas legal, entre hackers e agências governamentais, seus corretores de zero-days e empreiteiros. Os repórteres tinham apenas arranhado a superfície. Os documentos de Snowden confirmavam que a NSA atuava nesse universo, porém, como muitos dos documentos vazados por Snowden, não eram ricos em contexto e detalhes.

Voltei a essa questão repetidas vezes. Havia apenas duas explicações que faziam algum sentido: ou o acesso de Snowden como funcionário não o levava longe o suficiente nos sistemas do governo para que aparecessem todas as informações necessárias, ou algumas das fontes e métodos do governo para adquirir o zero-day eram tão confidenciais, ou controversas, que a agência jamais ousou colocá-las por escrito.

De dentro daquele depósito eu teria meu primeiro vislumbre real do mais secreto, confidencial e invisível mercado do planeta terra.

O DEPÓSITO TORNAVA impossível pensar. Depois de um mês nos ventos áridos e na grandiosidade da savana da África, estava sendo especialmente difícil para mim ficar em um ambiente sem janelas.

Também estava se tornando dolorosamente claro que alguns documentos que se mostrariam essenciais para construir nossa matéria sobre criptografia estavam faltando naqueles documentos valiosos. No início do projeto, James e Ewen tinham feito referência a dois memorandos que expunham, em detalhes claros, as etapas seguidas pela NSA para quebrar, enfraquecer e hackear criptografia. Mas depois de semanas procurando, ficou logo óbvio que esses memorandos não estavam em nossas mãos. Os britânicos, enfim, assumiram o fato e prometeram recuperá-los com Glenn Greenwald, o jornalista do Guardian que estava vivendo no Brasil.

Tínhamos apenas uma parte dos documentos que Snowden havia roubado. Greenwald era quem estava com o tesouro todo, incluindo os dois memorandos que os britânicos nos disseram serem essenciais para nossa matéria sobre criptografia — porém, aparentemente, Greenwald mantinha os documentos reféns. Ele não era um fã do New York Times — para dizer o mínimo —, e Ewen e James contaram que ele estava furioso porque o Guardian incluiu o Times no projeto.

Greenwald ainda não tinha perdoado uma decisão do Times de uma década antes de adiar a publicação de uma matéria de 2004 que detalhava como a NSA estava fazendo escuta telefônica sem ter mandados aprovados pela justiça, o que era normalmente exigido para realizar qualquer tipo de espionagem doméstica. O Times segurou a matéria por um ano porque o governo Bush argumentou que isso poderia prejudicar investigações e alertar supostos terroristas. Como Greenwald, Snowden também estava furioso com o Times por ter segurado a matéria. Esse foi o motivo, Snowden contaria, de ele não ter levado os documentos roubados da NSA para o Times. Ele presumiu, erroneamente, que sentaríamos nos preciosos documentos ou ficaríamos de braços cruzados, enquanto o governo impedia a publicação. Então, quando Snowden e Greenwald souberam que havíamos sido trazidos para o projeto, segundo James e Ewen, eles ficaram apopléticos.

James e Ewen nos garantiram que Greenwald era bem mais razoável do que o estridente boquirroto que víamos no Twitter todos os dias. Mas, apesar de suas repetidas promessas de entregar os memorandos que estavam com Greenwald no Brasil, ficou claro que alguém não estava com humor para compartilhar seus brinquedos.

* * *

LEVARIA SEMANAS ATÉ que tivéssemos em mãos os memorandos que faltavam. Enquanto isso, esse joguinho perdeu importância rapidamente. Os aposentos apertados, a falta de oxigênio e o zumbido das luzes fluorescentes começaram a cobrar um preço.

Começava a se tornar dolorosamente óbvio que estávamos sendo usados. Para o Guardian, o Times era uma apólice de seguro contra seus problemas com os oficiais de inteligência britânicos. O Times lhes dava casa segura e almoço grátis todos os dias, mas eles não nos queriam como verdadeiros parceiros. Nós deveríamos estar trabalhando em conjunto, mas os britânicos começaram a publicar suas próprias matérias sem nos avisar. A certa altura, alguém vazou detalhes de nossa joint venture secreta ao Buzzfeed. Conforme a coisa foi ficando óbvia, o fato de estarmos todos escondidos em um depósito de armazenamento sem janelas nos pareceu particularmente absurdo.

Minha fé no Guardian, no jornalismo, estava