Uma porta para a espionagem

Meio seguros, meio inseguros. Começam assim todas as explicações para a segurança informática nos computadores com acesso a redes – como a internet – quer de uso pessoal em casa, quer dos órgãos de soberania: "ao contrário dos militares que procuram usar sistemas informáticos específicos para o controlo de radares ou de mísseis, a Presidência da República e o Governo não utilizam programas diferentes dos domésticos. Versões normais do Microsoft Windows, de e-mail e browsers" – aponta Paulo Laureano Silva, empresário que nos anos 80 foi hacker (pirata informático). "Consequente e obviamente estão expostos ao mesmo que o comum dos mortais: vírus, malware e spam. O Windows não serve para missões críticas."

Do outro lado, defendendo-se do ataque de "falta de vontade política" para se melhorar a segurança dos dados informáticos do Estado, Alexandre Caldas, director do Centro de Gestão da Rede Informática do Governo (Ceger), explica que "a rede que trata a informação mais sensível está completamente segregada da internet". Toda a informação classificada segue o seu percurso por uma via rápida menos permeável à espionagem.

Só estão totalmente seguros os computadores que não estão ligados à internet. Para todos os outros, adverte Lino Santos, responsável pela equipa do Serviço de Resposta a Incidentes de Segurança Informática (CERT.PT), "é preciso proteger com um antivírus, com a firewall e com todas as actualizações de software, mas também é necessário estar alerta quando se usa o correio electrónico ou se navega na web".

Nuno Loureiro, por ter sido gestor de e-mail do portal Sapo desde 2004 até ao ano passado, quando iniciou o mestrado em Segurança Informática (Master of Science in Information Technology – Information Security), afirma com propriedade que, na generalidade, "o protocolo de e-mail em termos de segurança é muito mau, desde que a pessoa envia um e-mail até ao destinatário". É susceptível de ser espiado. À cautela, o correio electrónico profissional deve ser cifrado, para que só o destinatário possa descodificar essa informação. "No meu e-mail, se a comunicação for em claro [não cifrada] e se alguém conseguir as comunicações, pode escutar essa ligação e ler as minhas credenciais [domínio e palavra passe]" – explica – e assim aceder, indevidamente, à caixa de correio electrónico."

No caso dos grandes provedores de e-mail, como o Gmail, Hotmail, Yahoo ou mesmo Sapo, a recuperação de password é baseada numa pergunta/resposta definida pelo dono do e-mail, que muitas vezes é facilmente adivinhada por terceiros.

O estudo ‘Não é segredo: medir a segurança e grau de confiança através de perguntas secretas’ revelou que, num casal, 25% dos parceiros conseguiram adivinhar a password do e-mail do outro.

Notório é o caso de Sarah Palin. A conta de e-mail no Yahoo da antiga governadora do Alasca e última candidata republicana a vice-presidente dos EUA foi invadida por hackers. A descoberto ficaram os seus contactos, fotografias e ainda se descobriu que ela usava esta conta pessoal para troca de informação do Estado.

Para já, fica a dúvida: terá Cavaco Silva razões para anunciar ao País que está preocupado com a segurança da sua correspondência electrónica? "Estará a informação confidencial contida nos computadores da Presidência da República suficientemente protegida?" – questionou o Presidente da República.

Apesar de Nuno Loureiro não estar em condições para responder a estas dúvidas, certo é que será bem diferente se Cavaco, "no Algarve [durante as férias], teve acesso a uma ligação comum à internet, ou se esteve ligado directamente à rede da Presidência, que é certamente menos vulnerável". Mais importante: mesmo que se garanta elevada segurança na troca de e-mails, se o computador estiver permeável a ataques do exterior, e se essa correspondência estiver guardada no disco rígido, a informação deixa de estar a salvo. É igual a guardar o dinheiro no porta-moedas, fechado, à vista numa mala aberta.

PJ COMBATE HACKERS

Paulo Laureano Silva deixou de ser hacker quando, no final da década de 80, ingressou na vida profissional – e não é de estranhar que o tenha feito como especialista em segurança na internet. "Atacava bases de dados de pessoas e de sistemas financeiros. Tenho a plena noção de que ainda hoje o que fiz não seria crime, porque não movimentei esses dados nem fiz uso indevido deles." Mesmo garantindo que teve acesso a informação privilegiada, Paulo desvaloriza a capacidade que um pirata informático tem para obter informação confidencial. "As actividades infelizes de hackers que cometeram crimes não são a regra, são uma excepção. Assim como a maior parte deles são engenheiros informáticos e pessoas especializadas que se dedicam a procurar falhas nos sistemas. Não são miúdos de 12 ou 15 anos", como no filme ‘WarGames’, onde um adolescente fura o sistema informático militar dos EUA e, na confusão entre a realidade e um jogo, provoca um estado de alerta que quase dá início à III Guerra Mundial.

Segundo um estudo recente da Panda Security, 67% dos jovens inquiridos, entre os 15 e 18 anos, admitiu já ter experimentado, pelo menos uma vez, piratear contas de amigos em instant messaging (programas de troca de mensagens instantâneas como o MSN) ou redes sociais (como Hi5, MySpace, Facebook). Mais: 20% destes jovens garante ter conhecimentos suficientes para encontrarem na internet ferramentas de hacking.

Mais crítico, Lino Santos, responsável do CERT.PT – órgão que gere a rede académica nacional –, é peremptório ao afirmar que "o objectivo hoje em dia deixou de ser o gozo pessoal do hacker ou a experimentação do ‘script-kiddie’ [miúdos à procura de alvos fáceis]. O objectivo é ganhar dinheiro fácil, seja com o chamado roubo de identidade ou ‘phishing’, seja com o aluguer de ‘botnets’ para o envio de correio electrónico não solicitado (spam) ou para ataques de sabotagem".

Uma das formas mais comuns de intrusão no computador das vítimas é através de e-mails enviados por desconhecidos, em que a vítima é convidada a seguir uma hiperligação maliciosa.

Segundo fonte da PJ, "há um conjunto de mecanismos que permite às autoridades identificar quem eventualmente comete infracções e quem eventualmente tem acesso a informação indevida." Apesar de a internet ser uma ferramenta importante, também oferece os seus "perigos". A protecção faz-se com a correcta informação, com a utilização de dispositivos de segurança e não esquecendo as regras básicas de segurança, como não dar dados pessoais nem passwords a desconhecidos. Aliás, "há um crescimento exponencial do ‘phishing’ em Portugal" – as tais artimanhas para pescar códigos pessoais – alerta a mesma fonte da PJ.

OS SEGREDOS DO GOVERNO

Em Março foi noticiado que uma rede de espionagem internacional – a GhostNet [‘rede fantasma’, em tradução livre do inglês] – se infiltrou na rede do Governo português. Mas o responsável pela gestão da rede do Estado garante que isso nunca chegou a acontecer. "Nós não encontrámos evidências de qualquer ataque. Contactámos os autores do estudo da universidade canadiana, no sentido de nos fornecerem o IP [que, genericamente, é o endereço de onde se localiza um determinado computador] da máquina atacada, mas não obtivemos qualquer resposta", lembra Alexandre Caldas, director do Ceger.

Para comunicar internamente o Governo utiliza uma rede própria, de fibra óptica, com 55 km de extensão, e "100% fiável. O que pode ser perigoso é enviar comunicação para o exterior da rede", explica Alexandre Caldas. "A matéria classificada [e existem vários níveis de secretismo] pode não ser enviada electronicamente. Se o for, é enviada através de uma rede específica, administrada pela NATO, com terminais próprios." Já os e-mails que circulam para fora desta redoma de segurança, dependendo da sua importância, podem ser protegidos através de um certificado de assinatura digital ou uma cifra, descodificável só pelo destinatário.

Face aos ataques, o Ceger desvaloriza a necessidade de usar sistemas próprios. "Não é só a segurança que conta, é também a usualidade, a portabilidade e a disponibilidade das aplicações. São três factores que contam para que, para além da segurança, se escolha o Windows."

O cibercrime nem sempre se vê, nem sempre se ouve. A ameaça na internet só se detém com trancas à porta e muitas vezes só depois da tentativa de intrusão.

CIBERCRIME MAIS APERTADO COM NOVA LEGISLAÇÃO

Para harmonizar a legislação nacional com a dos demais países da União Europeia e de outros países que ratificaram a convenção do cibercrime do Conselho da Europa, Portugal alterou a sua legislação, tendo sido criada a Lei 109/2009. "Vem introduzir mecanismos processuais até à data inexistentes e que melhoram a eficácia da investigação criminal como são os casos da injunção ou de prevenção expedita de dados", explica Lino Santos, responsável pela equipa do Serviço de Resposta a Incidentes de Segurança Informática (CERT.PT).

"Sendo um grande passo, ficam algumas pontas soltas por resolver: a sua ligação à Lei 32/2008 relativa à preservação de dados de tráfego e respectivo acesso para efeitos de investigação criminal ou a criminalização da recolha de informação (target fingerprinting) usada na preparação de ataques."

Segundo fonte da PJ, os crimes na internet "são passíveis de investigar tal como os seus autores. E é também possível fazer prova". A título de exemplo, segundo a Lei, a falsidade informática é punida com pena de prisão até 5 anos ou multa de 120 a 600 dias; se implicar dados bancários a pena é de prisão de 1 a 5 anos.

TERRORISMO NA INTERNET É IMPREVISÍVEL

"Nenhum país pode afirmar que está preparado para um ataque de grande escala. Até porque não se pode prever a dimensão ou o alvo desse tipo de ataque", afirma Lino Santos, responsável pelo CERT.PT, considerando a possibilidade de ciberterrorismo. Quem poderia adivinhar os ataques às Torres Gémeas? Na internet, a imprevisibilidade é semelhante. "Num cenário deste tipo, é necessário ter os pontos de contacto de segurança funcionais e a confiança necessária entre estes para agir com rapidez e eficácia de forma a minimizar o impacto de tal incidente".

PERFIL

Paulo Laureano Silva Director técnico da Mr.Net foi hacker até finais dos anos 80. Na sua opinião, os sistemas informáticos dos órgãos de soberania estão vulneráveis a ataques por usarem software doméstico.

GUIA PARA PROTEGER O SEU PC

Estar menos vulnerável a ataques informáticos significa fomentar uma cultura de segurança. Qualquer computador deve estar protegido com antivírus, firewall e deve ter todas as actualizações de software. É importante que não siga hiperligações ou descarregue ficheiros de e-mails e sites pouco seguros.

Quanto à utilização de dados secretos de acesso a páginas bancárias ou contendo dados confidenciais, evite fazê-lo quando o seu computador estiver ligado a redes wireless públicas. Outra dica é marcar nos seus ‘Favoritos’ páginas seguras, por exemplo, do banco – sites esses que deverão sempre começar por ‘https’ em vez do habitual prefixo ‘http’.

FOI EM 1992: PRIMEIRO CASO PORTUGUÊS

Em 1992 a PJ levou a cabo a primeira operação contra pirataria informática. Como resultado dessa investigação, a polícia identificou três dezenas de rapazes, todos com menos de 18 anos. Nessa operação foi apreendido diverso material informático.

MULTA DE 195 MIL EUROS: HACKER ROMENO CONDENADO

O hacker romeno ‘Sir Vic’, entre Setembro de 2005 e Novembro de 2006, apagou e roubou dados dos sistemas da NASA. Vítor Faur foi condenado pelo tribunal romeno a 16 meses de cadeia com pena suspensa e a multa de 195 mil euros.

VISITAS A MAIS: SITES DA ESTÓNIA PARALISADOS

A partir de Abril de 2007, vários sites oficiais da Estónia, como o governo, parlamento, ministérios, televisões, entre outros, foram atacados por piratas que sobrecarregaram as visitas a estas páginas, provocando uma paralisação geral na web estónia.

REDE CHINESA: GHOSTNET ATACA 103 PAÍSES

Foi descoberta em Março último uma rede internacional de espionagem, ao que tudo indica com origem na China, chamada GhostNet, que invadiu 1295 computadores em 103 países. O Governo português nunca confirmou o ataque ao nosso País.

SOFTWARE VULNERÁVEL: ROUBOU DADOS DE 800 MIL

Um dos maiores ataques da História foi cometido por um hacker norte-americano que conseguiu entrar no sistema informático da Universidade da Califórnia e aceder à base de dados de 800 mil pessoas. Ele descobriu vulnerabilidades no software.

O PROJECTO MAIS CARO: PENTÁGONO PERDE AVIÃO

O Departamento de Defesa dos Estados Unidos foi invadido por hackers que copiaram informações sobre a construção do caça F-35 Lightning II, o projecto mais caro alguma vez feito pelo Pentágono. Suspeita-se que os atacantes sejam chineses.

VIOLAÇÃO DE E-MAIL: HACKERS ATACAM SARAH PALIN

Hackers entraram no e-mail do Yahoo de Sarah Palin, a ex-candidata republicana à vice-presidência dos EUA. O ataque revelou que Palin usava o seu e-mail pessoal para trocar informação de Estado. Foram tornadas públicas as suas conversas.

NOTAS

SPAM

O Spam registado em Portugal entre Julho e Agosto foi de 96,62%, diz a Anubis Network.

VÍRUS

Em Setembro, o vírus mais difundido no Mundo foi o Net-Worm.Win32.Kido.ih, diz a viruslist.com.

INTERNET

Segundo a Anacom, no final de 2008 havia 3,98 milhões de ligações à internet em Portugal.