“Isso não é legal e não é uma boa norma”, diz Schneider. Ela diz que grande parte da abordagem lenta do governo dos EUA aos ataques cibernéticos decorre do seu cuidado em garantir que evita atingir civis involuntariamente, bem como violar a lei internacional ou desencadear reações adversas perigosas.
Ainda assim, Schneider admite que Cáceres e Angus têm razão: os EUA poderiam estar a utilizar mais as suas forças cibernéticas, e algumas das explicações para a razão pela qual isso não equivale a burocracia. “Existem boas e más razões”, diz Schneider. “Tipo, temos políticas organizacionais complicadas, não sabemos como fazer as coisas de maneira diferente, somos ruins em usar esse tipo de talento, fazemos assim há 50 anos e funcionou bem para lançar bombas .”
Ao que tudo indica, o hacking ofensivo dos Estados Unidos tornou-se menos agressivo e menos ágil ao longo da última meia década, salienta Schneider. A partir de 2018, por exemplo, o General Paul Nakasone, então chefe do Comando Cibernético, defendeu uma estratégia de “defesa avançada” destinada a levar o conflito cibernético para a rede do inimigo, em vez de esperar que ocorresse no território dos Estados Unidos. Naqueles anos, o Cyber Command lançou operações de hacking disruptivas destinadas a paralisar a fazenda de trolls da Agência de Pesquisa da Internet da Rússia, que jorrava desinformação, e derrubar a infraestrutura do grupo de ransomware Trickbot, que alguns temiam na época que pudesse ser usado para interferir nas eleições de 2020. Desde então, no entanto, o Comando Cibernético e outros hackers militares dos EUA parecem ter ficado relativamente quietos, muitas vezes deixando a resposta aos hackers estrangeiros para agências de aplicação da lei como o FBI, que enfrentam muito mais restrições legais.
Cáceres não está totalmente errado ao criticar essa postura mais conservadora, diz Jason Healey, que até fevereiro atuou como estrategista sênior de segurança cibernética na Agência de Segurança Cibernética e de Infraestrutura dos EUA. Ele responde aos argumentos do cyberhawk de Cáceres citando o Trilema Subversivo, uma ideia exposta em um artigo de 2021 do pesquisador Lennart Maschmeyer: As operações de hackers precisam escolher entre intensidade, velocidade e controle. Mesmo em anos anteriores e mais agressivos, o Comando Cibernético dos EUA tendia a aumentar o controlo, diz Healey, dando-lhe prioridade sobre essas outras variáveis. Mas ele observa que pode de facto haver certos alvos – como gangues de ransomware ou hackers que trabalham para a agência de inteligência militar GRU da Rússia – que podem justificar a redefinição desses indicadores. “Para esses alvos”, diz Healey, “você realmente pode libertar os cães”.
P4x está morto, Viva P4x
Quanto ao próprio Cáceres, ele diz que não se opõe a que as agências de hackers americanas adotem uma abordagem conservadora para limitar os seus danos ou proteger os civis – desde que tomem medidas. “Existe ser conservador”, diz ele, “e depois existe fazer tudo merda”.
Partindo do argumento de que ataques cibernéticos mais agressivos levariam a uma escalada e a contra-ataques de hackers estrangeiros, Cáceres aponta para os ataques que esses hackers estrangeiros já estão a realizar. O ataque catastrófico do grupo de ransomware AlphV à Change Healthcare em fevereiro, por exemplo, paralisou plataformas de reclamações médicas para centenas de prestadores de serviços e hospitais, com efeitos tão perturbadores para os civis quanto qualquer ataque cibernético pode ser. “Essa escalada já está acontecendo”, diz Cáceres. “Não estamos fazendo nada e eles ainda estão aumentando.”
Cáceres diz que não desistiu totalmente de convencer alguém do governo dos EUA a adoptar a sua abordagem mais discreta. Abandonar o identificador P4x e revelar seu nome verdadeiro é, em certo sentido, sua última tentativa de chamar a atenção do governo dos EUA e reiniciar a conversa.
Mas ele também diz que não esperará pela aprovação do Pentágono antes de continuar essa abordagem por conta própria. “Se eu continuar sozinho ou com apenas algumas pessoas em quem confio, posso avançar muito mais rápido”, diz ele. “Posso foder tudo para as pessoas que merecem e não preciso me reportar a ninguém.”
O identificador P4x pode estar morto, em outras palavras. Mas a doutrina P4x da guerra cibernética continua viva.