O governo dos EUA destruiu US$ 170 mil em hardware à toa para parar um malware

Esta é uma história sobre incompetência governamental em escala grosseira e imperdoável. Veja como a EDA (Economic Development Administration), agência do Departamento de Comércio dos EUA responsável por fomentar a criação de empregos e o fortalecimento da indústria, gastou desnecessários US$ 2,75 milhões para combater um tipo comum de malware. Alerta: um monte de equipamentos inocentes foram perdidos. Até mesmo o pobre mouse.

Em dezembro de 2011, a EDA foi notificada pelo Departamento de Segurança Nacional sobre uma infestação de malware que se alastrava por sua rede interna. Coisas assim acontecem, mas o que veio na sequencia foi um tanto surpreendente. O pessoal de TI da EDA, incluindo seu CIO, surtou.

O setor de TI determinou que a rede havia sido infectada por um ataque a seus sistemas persistente e de grande escala. Então eles isolaram todo o hardware do departamento de outras redes governamentais, cortaram o email dos funcionários, contrataram uma empresa de segurança externa e começaram a destruir sistematicamente cerca de US$ 170 mil em computadores, câmeras, mouse etc. E a coisa piora. Do relatório, preparado para o Departamento de Comércio:

O CIO da EDA concluiu que o risco, ou o risco potencial, de malware extremamente persistente e atividade de alcance nacional (que não existia) era grande o bastante para exigir a destruição física de todos os componentes de TI da EDA. O gerente da EDA ratificou a avaliação de risco e a EDA inicialmente destruiu mais de US$ 170 em equipamentos de TI, incluindo desktops, impressoras, TVs, câmeras, mouses e teclados. Em 1º de agosto de 2012, a EDA exauriu os fundos destinados a essa iniciativa e, por isso, interrompeu a destruição dos equipamentos remanescentes, avaliados em mais de US$ 3 milhões. A EDA pretende terminar essa atividade quando novos fundos estiverem disponíveis. Entretanto, a destruição de componentes foi claramente desnecessária porque apenas malwares comuns estavam presentes nos sistemas de tecnologia da EDA.

Destruir câmeras? E mouses? Por causa de malware? Sério?

Pior, a EDA continuou destruindo componentes até não poder mais bancar o processo. Na realidade, a agência pretendia continuar a destruição do maquinário tão logo o recebimento de mais fundos para tal fosse aprovado. Ok…

E não, essa história não termina aqui. Descobriu-se, por fim, que a infecção era rotineira. Tudo que a EDA tinha que fazer era isolar os componentes afetados, remover o malware, reconectar o hardware então limpo à rede e… e acabou. A NOAA, outra agência do governo dos EUA responsável em monitorar oceanos e a atmosfera, recebeu a mesma notificação que a EDA, na mesma época, e completou a limpeza em um mês.

Custo total da incompetência da EDA? US$ 2,75 milhões — mais ou menos metade do orçamento da agência. Veja o gráfico:

Malwares são assustadores, entendemos o ataque de pânico que deve rolar em uma agência governamental quando um ataque do tipo se dá. Mas essa compreensão desapareceu ao descobrirmos que a resposta à ameaça não levou em conta o básico do básico sobre como um malware funciona — e as formas de neutralizá-lo. Se você achava que era só no Brasil há gastos enormes e desnecessários do dinheiro público em coisas nonsense, talvez essa história sirva de consolo. [Department of Commerce via Federal News Radio via The Verge]