O barco de caracteres ASCII, marca deixada pelos hackers do grupo ativista Lulz Security nos sites atacados em 2011

Na semana passada, enquanto eu fazia pesquisa para uma reportagem sobre a proliferação dos robôs na internet, conversei com uma pessoa que protagonizou um capítulo interessante na história recente da computação: Matthew Prince, executivo de uma empresa de segurança digital, contou como foi parar no meio do fogo cruzado durante a maior batalha entre hackers já vista no planeta.

Não inclui em meu texo original, porém, a história que conto aqui. O episódio relatado por Prince, executivo da empresa de segurança digital Cloudflare, é o de quando ele teve a chance de ajudar a desmascarar o grupo de hackers mais perseguido do mundo, mas não o fez.

Ciência da computação não é um dos assuntos primordiais deste blog, mas decidi trazer a história para cá, pois acho o episódio um exemplo interessante de como o jogo de informação se tornou uma disputa de inteligências artificiais. Explico.

O Lulz se tornou um grupo famoso após conseguir perpetrar inúmeros ataques contra sites de emissoras de TV americanas, como a Fox, a PBS e a Sony. Também invadiu o site da HBGary, empresa que presta serviços de segurança para o governo americano, e reivindicou autoria de um ataque que derrubou o site da CIA em junho de 2011. Mais tarde até deu origem a um braço brasileiro, que chegou a derrubar sites do governo federal.

Na hora de colocarem seu próprio website no ar, porém, os hackers que ganharam fama e reconhecimento mundial recorreram à terceirização. Para garantirem proteção, assinaram um serviço gratuito da Cloudflare, uma empresa relativamente pouco conhecida até então.

O truque do Lulz era tentar se beneficiar da maneira como a empresa funciona. Nascida com o intuito de criar segurança na web por meio do colaboração, o que a Cloudflare faz é redirecionar para seus servidores todo o tráfego de acesso de seus clientes. Se um usuário clica num link e pede uma informação, a empresa verifica sua reputação antes de redirecioná-lo para o site do cliente.

O serviço básico é de graça, e a Cloudflare vive do dinheiro de uma parcela dos clientes que pagam por um suporte mais personalizado. A vantagem de concentrar todo o fluxo em um único servidor por região é que é preciso apenas uma equipe de segurança para proteger diversos sites. Com uma única “lista negra” de hackers, é possível identificá-los rapidamente e banir seu acesso a todos os outros sites clientes da empresa.

O Lulz não despejou nenhum centavo no caixa da Cloudflare, mas alguns dias após os primeiros ataques do Lulz, a vida da empresa virara um inferno. “O que aconteceu foi que todos os hackers do planeta começaram a tentar derrubar o Lulz”, conta Prince. “White hats e black hats [hackers do bem e do mal] tentavam explorar todas as brechas que encontravam para tentar descobrir quem estava por trás dos ataques.”

A Cloudflare, porém, não podia ser acusada de cumplicidade, pois não havia fornecido recursos para os ataques do Lulz. A empresa apenas protegia as mensagens que o grupo deixava em seu site.

Pressionado a baixar a guarda para segurança dos hackers, porém, Prince se recusou a fazê-lo. “Não somos os censores da internet”, afirma. “Não é nosso papel determinar quais sites podem ser visitados ou não.”

A atitude foi bastante questionada e debatida na época, principalmente por empresas grandes como as que haviam sido atacadas pelo Lulz. Mas a decisão de Prince acabou se revertendo em benefício dos clientes, por fim.

Ao testemunhar um fluxo gigantesco de tentativas de ataque, a empresa conseguiu fazer crescer sua “lista negra” e criou amplo catálogo de novos truques que os hackers usam para invadir diversos sites e roubar informação.

“Uma coisa irônica é que, quando o Lulz estava tentando atacar alguns sites que estavam na rede do Cloudflare, nós fomos capazes de detê-los” diz Prince. “Parte da razão pela qual pudemos para-los é que o ataques lançados contra o Lulz securitiy tinham ‘ensinado’ nosso sitema a se defender melhor. Ao longo dos 23 dias em que o Lulz esteve ativo na nossa rede, nosso sitema gerou automaticamente mais de 1 milhão de regras que foram propagadas e ajudam a proteger outros sites.”

Isso só aconteceu porque a maior parte da briga foi na verdade travada por robôs e não por humanos. Nesta guerra, softwares criados por equipes de segurança tentam identificar os programas automatizados que os hackers usam para entrar em outros sites. Será que esse conflito entre inteligências artificiais pode dar origem a novos fenômenos e sair do controle? O que vai acontecer se os hackers tentarem explorar as fraquezas do Cloudflare e de serviços similares em vez de atacarem os servidores dos sites? A empresa já inspirou a criação de serviços similares por parte de concorrentes, como a Incapsula, e hoje uma parte boa do tráfego da web está começando a se afunilar nesses pontos. Isso vai ser uma coisa boa a longo prazo?

Em todo caso, por enquanto, o resultado da úlitma guerra dos hackers é que ela acabou ajudando a internet a ficar mais segura. E para a Cloudflare, o conflito acabou servindo como uma grande peça de marketing.

“Se eu pudesse, eu não teria escolhido o Lulz como nosso principal cliente de referência”, diz Prince. “O fato de nós termos termos sido a primeira opção dos ‘caras do mal’ é um reconhecimento meio estranho de se obter, mas acabou sendo um endosso eficiente.”