CEDIS Working Papers | Direito, Segurança e Democracia | ISSN 2184-0776 | Nº 48 | setembro de 2016
1
DIREITO, SEGURANÇA E
DEMOCRACIA
SETEMBRO
2016
Nº 48
PRINCIPAIS AMEAÇAS NO CONTEXTO DA CIBERSEGURANÇA Main threats in the context of Cybersecurity FRANCISCO JOSÉ LUCAS RODRIGUES Mestrando em Direito e Segurança
RESUMO Tal qual já foi referido por estudiosos desta área temática, as Tecnologias da
Informação e da Comunicação em geral e a Internet em particular são instrumentos
essenciais no quotidiano dos cidadãos, das empresas e dos Estados e a sua protecção
coloca novos e grandes desafios. Estes desafios são emergentes e contínuos, tal qual as
ameaças cibernéticas que surgem constantemente de uma forma renovada. Como refere
Lino Santos na sua dissertação sobre este tema, o aumento dos ciberataques relacionados
com o crime económico e os ciberataques, em 2007 e 2008, à Estónia e à Geórgia, ilustram
uma ameaça há muito anunciada. Este especialista, discorre também, que o estudo desta
ameaça revela-nos uma diversidade de actores e de motivações.
PALAVRAS CHAVE
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
2
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Cibersegurança, ameaças, ataques, ciberataques, ciberespaço.
ABSTRACT As it was mentioned by scholars in this subject area, the Information and
Communication Technologies in general and the Internet in particular are essential tools in
the daily lives of citizens, businesses and the states and their protection poses new and
major challenges. These challenges are emerging and continuous, like cyber threats
constantly emerge in a new form. As it relates Santos in his thesis, the increase in
cyberattacks related to economic crime and cyber attacks in 2007 and 2008, Estonia and
Georgia illustrate a threat long announced. This expert also discusses that study of this
threat reveals a diversity of actors and motivations.
KEYWORDS Cybersecurity, threats, attacks, cyberattacks, cyberspace.
Siglas e Abreviaturas ARPA - Advanced Research Project Agency
CERN - Organisation Européenne pour la Recherche Nucléaire
CNCS - Centro Nacional de Cibersegurança
DEL - Decode, Encode, Language
DOS - Ataque de negação de serviços.
EUA – Estados Unidos da América
FTP - File Transfer Protocol
GNS - Gabinete Nacional de Segurança
HTML - Hyper Text Markup Language
IMP - Interface Message Processor
IPTO - Information Processing Techniques Office
NCP - Network Control Protocol
NIL - Network Interchange Language
PCM - Presidência do Conselho de Ministros
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
3
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
SRI - Stanford Research Institute
Introdução O Ciberespaço, uma das temáticas mais debatidas na actualidade tem sido alvo nos
últimos anos de uma profunda investigação por parte, não só das forças de segurança mas
também das agências de Intelligence, devido às novas ameaças de carácter transnacional
que começaram a surgir e a adquirir um certo relevo na comunidade internacional nos
últimos anos. Ameaças físicas estas que podem ser definidas, como o crime organizado, o
terrorismo, o tráfico de seres humanos, que se têm evidenciado em todo o mundo devido
às globalização e aos impactos que esta tem tido na vida em Sociedade dos Estados. Uma
referência também ao crime organizado, o caso das máfias (Cosa Nostra, as FARC), ao
terrorismo, o caso do 11 de Setembro e relativamente ao tráfico de seres humanos, o caso
da fronteira México/EUA, o qual se tem revelado como uma das maiores ameaças à
segurança nacional americana e também o caso do PCC, Primeiro Comando da Capital
com origem no Brasil. Todas estas organizações criminosas e terroristas utilizam os meios
cibernéticos mas, a acção é realizada por especialistas contratados para o efeito, sendo
que é no ciberespaço que tentam diluir virtualmente os seus lucros ilegais ganhos no mundo
físico
Neste trabalho pretendemos focalizar a nossa investigação nas principais ameaças
no contexto da área da Cibersegurança, focando não só a utilização do ciberespaço para
fins lícitos e ilícitos, mas também direccionando o trabalho para um discorrer sobre quais
as ferramentas utilizadas para concretizar as ameaças que se nos apresentam no ambiente
virtual.
CAPÍTULO I – O Ciberespaço
1.1 – Pertinência do tema da Cibersegurança e respectivas ameaças
Vivemos numa época dominada pelo virtual, contudo, as ameaças que esta
dimensão aparentemente inócua encerra, são bem reais. De espaço reservado a uns
quantos iniciados, o ciberespaço domina a vida de milhões de indivíduos, empresas e
instituições governamentais.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
4
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
De área reservada a discussões académicas, científicas ou outras, perfeitamente
banais, vê-se projectada a novo domínio da guerra, a par da terra, do mar e do ar.
Neste quinto espaço de conflito, vidas são estruturadas ou destruídas consoante a
vontade de cada indivíduo. E existem muitos indivíduos a encararem o ciberespaço como
área livre de controlo e de castigo, lançando-se em actividades criminosas, que vão da
simples invasão de privacidade, à venda de drogas e de armas, à encomenda de
assassinatos e ao ciberterrorismo.
As sociedades, totalmente mergulhadas numa lógica de funcionamento em rede,
encontram-se dependentes do ciberespaço. Com a “Internet of things”, com o
desenvolvimento das redes de comunicações, com a globalização económica, com o
conceito de “cidades inteligentes”, esta tendência tende a crescer, tal como os riscos daí
resultantes.
Às ameaças, muitos contrapõem a visão de um ciberespaço como espaço de
liberdade e de oportunidade. Mas a História ensina-nos que “sem segurança, não há
liberdade”, o que aliado à dimensão altamente disruptiva das novas ameaças, torna
altamente pertinente e actual, a problemática da Cibersegurança.
A Cibersegurança tornou-se um tema de tal modo incontornável, que se torna quase
redundante justificar a sua pertinência. Perante a selva inicial, as sociedades começaram
a organizar-se. Primeiro de uma forma algo reactiva, seguindo-se um período de maior
reflexão e abordagens estratégicas e no sentido de uma maior colaboração internacional.
Algumas franjas de utilizadores opõem-se a estes novos mecanismos de controlo,
escudando-se no argumento da censura. Esta existe, particularmente em sociedades de
natureza autoritária e ditatorial, mas os níveis de risco tornaram-se incomportáveis, mesmo
para as sociedades democráticas – e, diríamos nós, sobretudo para estas últimas.
Deste modo, com a Cibersegurança, a selva ainda não dará lugar a um espaço de
civilização, mas o ciberespaço, progressivamente, tenderá a tornar-se num lugar mais
seguro, em vez de ficar à mercê dos seus habitantes mais selvagens, como sucedeu até
aqui.
A Cibersegurança será tão pertinente, quão pertinentes forem as medidas tomadas
para torná-la, não num conceito, mas numa realidade.
1.2 – História do Ciberespaço
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
5
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Após a Segunda Guerra Mundial, ou seja, logo no início da Guerra Fria, as
actividades conduzidas pelas duas grandes potencias na altura, a Rússia e os Estados
Unidos, estiveram na origem do meio de comunicação mais utilizado nos dias de hoje ao
nível mundial, a Internet.
Em Outubro de 1957, o Presidente dos Estados Unidos, Eisenhower, no seguimento
do lançamento do satélite russo Sputnik e como forma de reacção ao mesmo, criou a ARPA
(Advanced Research Project Agency), que tinha como principal objectivo, desenvolver os
programas relacionados com os satélites e com o espaço. Contudo, em 1961, a doação por
parte da Força Aérea dos EUA, de um moderno computador IBM, designado por Q-32, à
Universidade da Califórnia, vem provocar uma alteração na linha de orientação da sua
pesquisa, visto que passa a dedicar-se em pleno à Informática.
Para tal contrata um dos grandes nomes na área, Joseph Licklider, para liderar o
Command and Control Research. Neste o trabalho realizado, não era destinado à
comunicação interactiva com computadores e á transmissão de dados entre eles,
assentando essencialmente no processamento de dados por lotes e em tempo diferido.
De modo a orientar a sua pesquisa para a comunicação interactiva e transmissão de
dados, Licklinder cria o Information Processing Techniques Office. Esta nova orientação foi
deveras importante para o desenvolvimento da ARPA visto que, este novo sistema
conduzido por Licklinder iria visar a criação de uma rede, possibilitando assim uma
comunicação mais rápida entre as equipas de investigadores.
Em 1965, Licklinder deixa a ARPA, sendo substituído por Robert Taylor que continua
o seu projecto. Todavia eram vários os obstáculos ao seu sucesso, visto que não existia
uma linguagem comum entre as redes de computadores já existentes, a transmissão das
mensagens deveria ser segura para que permanecesse intacta até chegar ao seu
destinatário. A solução apresentada para este problema passava pela utilização de redes
de tipo distribuído que possibilitavam a utilização de vários canais de modo a evitar a não
recepção da mensagem pelo destinatário.
Para que este trabalho de emissor, receptor fosse mais fácil, foi criado o Interface
Message Processor, que servia de intermediário, e através do qual qualquer computador
se poderia ligar à rede. Porém, estes novos intermediários, apesar do seu contributo eram
somente uma parte da solução, visto que era também necessário criar um protocolo de
comunicações que regulasse o intercâmbio de mensagens, para que todos os
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
6
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
computadores pudessem comunicar entre si. Os primeiros a serem construídos foram
designados por Telnet, a ligação interactiva de um terminal com um computador remoto, e
o FTP (File Transfer Protocol), a transferência de ficheiros entre dois computadores. As
denominações originais dos protocolos eram DEL (Decode, Encode, Language) e NIL
(Network Interchange Language). A primeira rede de computadores construída foi entre a
Universidade da Califórnia de Los Angels, o SRI (Stanford Research Institute), a
Universidade de Utah e a Universidade da Califórnia de Santa Barbara. Esta entrou em
funcionamento a 1 de Dezembro de 1969, sendo designada por ARPANET, utilizava a rede
telefónica através do sistema de aluguer de circuitos. Em 1972 os iniciais quatro nós da
rede foram alargados para trinta, e ao seu nome é acrescentado um D, visto se encontrar
na dependência do Pentágono, de Defense, passando a ser designado de DARPANET.
Entre 1973 e 1978, uma equipa de investigadores sobre a coordenação de Vinton
Cerf no SRI, hoje em dia considerado o pai da Internet, e de Robert Kahn na DARPANET,
desenvolveram o protocolo TCP/IP que veio possibilitar a interoperacionalidade e a
interconexão entre as diversas redes de computadores existentes, e acabou por substituir
totalmente em 1983 o anterior protocolo existente desenvolvido quando esta rede teve
inicio, o NCP (Network Control Protocol).
Em Julho de 1977 os coordenadores atrás indicados levaram ao público uma
demonstração do protocolo TCP/IP, utilizando três redes, ARPANET, RPNET e STATNET,
considerando-se hoje que foi nesta demonstração que nasceu a Internet.
No ano de 1990, o Departamento de Defesa dos Estados Unidos, desmantelou a
ARPNET, a qual foi substituída pela rede da NSF, que passou a ser conhecida em todo o
mundo como Internet. Relativamente à sua expansão e utilização foi deveras importante o
contributo de dois engenheiros do CERN (Organisation Européenne pour la Recherche
Nucléaire), Robert Caillaiu e Tim Berners-Lee, com a criação da World Wide Web, mais
conhecida por www, do HTML (Hyper Text Markup Language) e dos Browser. Destes
últimos, o primeiro a surgir foi o LYNX que permitia apenas a transferência de textos,
seguindo-se o MOSAIC, que já possibilitava também a transferência de imagens, e mais
tarde, derivado deste, o Netscape e o Internet Explorer.
As primeiras utilizações da Internet em Portugal começaram a ser observadas no
inicio da década de 80, nas Universidades e em algumas empresas. A partir de 1991 a
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
7
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
utilização da Internet é alargada a todas as Universidades Portuguesas através da criação
da RCCN (Rede da Comunidade Cientifica Nacional).
A criação em 1994 do ISP (Internet Service Provider) em Portugal, vem difundir a
Internet por toda a população, passando a ser utilizada pela mesma com maior intensidade
a partir de 1995, altura em que os média passaram a difundir a sua existência e utilidade.
A partir desse momento marcante, a adesão à Internet registou um crescimento tão
elevado que as organizações tanto publicas como privadas não conseguiram dar resposta
nesses primeiros anos.
Em Portugal, somente passados decénios, cerca de vinte anos, mais concretamente
em 2015, é que vem a ser criado o CNCS (Centro Nacional de Cibersegurança), o qual
funciona numa dependência do GNS (Gabinete Nacional de Segurança), sob a supervisão
directa do PCM (Presidência do Conselho de Ministros).
1.3 – O Ciberespaço de Gibson
O termo, numa perspectiva epistemológica, terá sido utilizado pela primeira vez por
William Gibson em 1982, num conto intitulado “Burning Chrome”e, já posteriormente no seu
romance de ficção cientifica “Neuromancer”. Segundo Mestre Lino Santos1, nessa ultima
obra literária, Gibson refere-se ao ciberespaço como “uma alucinação consensual vivida
diariamente por milhares de milhões de operadores, em cada nação, por crianças a quem
se ensina conceitos matemáticos… Uma representação gráfica de dados abstraída a partir
dos bancos de computadores em cada sistema humano, Complexidade impensável. Linhas
de luz do não espaço da mente, grupos e constelações de dados.”
Em termos funcionais, o ciberespaço disponibiliza um conjunto de aplicações, das
quais se destacam a rede global de comunicações, o media global e o espaço de interacção
social e a grande biblioteca digital. Para todas estas aplicações é essencial a rede global
de comunicações electrónicas, a qual é a espinha dorsal de tudo e sobre a qual os
indivíduos, as organizações e os Estados se ligam para comunicar a grande velocidade,
em grande quantidade, independentemente da distancia, de coordenadas geográficas ou
da tipologia e da estrutura física que o suporta.
1 LINO SANTOS. “Ciberespaço”, In Enciclopédia de Direito e Segurança. Coord. por Jorge Bacelar
Gouveia e Sofia Santos. Lisboa, Almedina. 2015. p. 61.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
8
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
1.4 – A Cibersegurança
Segundo Mestre Lino Santos, definir a Cibersegurança pode ser tanto ou mais
complexo que definir segurança2.
Este termo surgiu em 1990 para referir a segurança do ciberespaço, tendo como
finalidade abranger todo um novo conjunto de ameaças e actores. O facto de existir uma
elevada interdependência entre o ciberespaço e os restantes espaços físicos e sociais bem
como um consequente risco sistémico, levanta assim duas perspectivas que são
independentes de qual é o objecto e que são: a segurança do ciberespaço, na acepção
desta como entidade autónoma e a segurança da componente “ciber” de um qualquer
sistema enquanto segurança do ciberespaço desse sistema.
Na Cibersegurança, o objectivo principal também se torna em termos judiciai, o da
dissuasão da prática de crimes pela prevenção e, já no limite, pela condenação concreta
do autor do crime. Neste campo, os ciberataques representam actos criminalmente
relevantes, passíveis de acção penal, tais como os que são dirigidos contra as pessoas ou
contra interesses patrimoniais ou ainda, contra dados e informação. É neste último campo
que iniciamos o nosso seguinte capítulo, abordando as ameaças cibernéticas.
CAPÍTULO II – Principais Ciberameaças
2.1 – Natureza das Ameaças Cibernéticas
Independentemente da sua natureza, todas as organizações ou instituições estão
sujeitas a métodos similares de ataque. Para uma melhor compreensão dos mesmos,
iremos basear a política de classificação de incidentes do RCTS3 CERT, que se encontra
estruturada em duas vertentes fundamentais: as violações de segurança e os métodos de
ataque, do modo que se segue, em quadro retirado da página do Serviço de Resposta a
Incidentes de Segurança do referido RCTS. 4
2 LINO SANTOS. “Cibersegurança”, In Enciclopédia de Direito e Segurança. Coord. por Jorge Bacelar
Gouveia e Sofia Santos. Lisboa, Almedina. 2015. pp. 63-67. 3 Rede Ciência Tecnologia e Sociedade. 4 Disponível em: http://fe02.cert.pt/index.php/servicos/tratamento-de-incidentes?id=1525 consultado
a 30/06/2016
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
9
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Quadro n.º1 – Violações de Segurança
Violação de
segurança
Descrição
Falsidade
informática
Alegada intenção de provocar engano nas relações
jurídicas, introduzir, modificar, apagar ou suprimir dados
informáticos ou por qualquer outra forma interferir num
tratamento informático de dados, produzindo dados ou
documentos não genuínos, com a intenção de que estes sejam
considerados ou utilizados para finalidades juridicamente
relevantes como se o fossem. Inclui a mistificação de sites Web
para roubo de credenciais e a distribuição de mensagens de
correio electrónico de phishing
Interferência
em sistema
informático
Alegada acção intencional e não autorizada ou a
tentativa de impedir ou interromper gravemente o
funcionamento do sistema informático, introduzindo,
transmitindo, danificando, apagando, deteriorando, alterando,
suprimindo ou tornando inacessível qualquer componente de
software ou hardware. Inclui os ataques de negação de serviço.
Acesso
ilegítimo a sistema
informático
Alegado acesso ou tentativa de acesso intencional e não
autorizado à totalidade ou a parte do sistema informático. Inclui
roubo de informação, nomeadamente segredo comercial,
industrial ou dados confidenciais protegidos por lei.
Interferência
em dados
O acto intencional e não autorizado ou a tentativa de
apagar, danificar, deteriorar, alterar, suprimir ou tornar
inacessíveis dados do sistema informático. Inclui malware e
distribuição do mesmo por correio electrónico.
Recolha não
autorizada de
O acto intencional e não autorizado de reunir informação
sobre redes e sistemas informáticos.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
10
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
informação sobre
sistema informático
Violação de
direitos de autor
Alegada violação de direitos autorais,
independentemente dos conteúdos serem constituídos por
informação, código fonte, projectos gráficos ou quaisquer
outros elementos do sistema informático protegidos por direitos
de autor.
Mensagem
de correio
electrónico não
solicitada
Alegada recepção/envio de mensagens de correio
electrónico não solicitadas, quer sejam produzidas para efeitos
de marketing directo ou sem motivação aparente. Não inclui
distribuição de malware ou ataques de phishing.
Outra
violação de
segurança
Outra alegada violação (da politica) de segurança
informática.
Quadro n.º 2 – Métodos de Ataque
Método de ataque Descrição
Ataque físico Acesso físico a sistema de informação ou outro
equipamento
Vulnerabilidade
do sistema operativo
Exploração de vulnerabilidade em sistema operativo
Vulnerabilidade
de aplicação
Exploração de vulnerabilidade em aplicação (eg.
Apache, Acrobat reader, etc.)
Vulnerabilidade
de serviço Web
Exploração de vulnerabilidade em serviço Web em
linha (eg. SQL injection, CSS, etc.)
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
11
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Brute-force
password attack
Tentativas de acesso ilegítimo - automatizadas,
sistemáticas e em número elevado - em que o atacante
recorre a dicionários, algoritmos de decifração ou outras
ferramentas informáticas para descobrir a password.
Tentativa de login O atacante tenta descobrir ou contornar a password
sem procurar exaustivamente. Habitualmente são
experimentadas passwords fracas como “administrador”,
“administrator”, “admin” ou “root”.
e-mail flood Envio massivo (directo ou indirecto) de mensagens
de correio electrónico para um ou mais alvos.
Packet flood Envio massivo de pacotes IP ou ICMP para um ou
mais alvos.
Distribuição
de malware por e-mail
Envio de mensagens de e-mail contendo código
malicioso.
Distribuição de
malware via web Alojamento de código malicioso em site web.
e-mail scam Envio de mensagem de e-mail configurando uma
burla (eg. nigerian scam).
Outro tipo de
engenharia social
Recolha e utilização de informações sobre a vítima
para melhorar o nível de sucesso de um ataque (eg. envio
de e-mail mistificado por forma a levar a vítima a acreditar
na sua autenticidade).
Man-in-the middle
O atacante faz-se passar por interlocutor de uma
comunicação ou transação ganhando acesso à informação
trocada entre os reais intervenientes.
Outro método de
ataque Qualquer outro método de ataque não listado.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
12
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Os métodos de ataque constituem meros instrumentos de práticas criminosas, que
refletem os interesses associados a indivíduos ou organizações, defendidos à margem da
lei, com base em agendas económicas, ideológicas ou de qualquer outra natureza.
Tratando-se de ataques perpetrados por Estados, já entramos no domínio da ciberdefesa,
o que escapa ao domínio do presente capítulo. Contudo, importa referir, que vários métodos
de ataque podem ser utilizados em simultâneo, e que um incidente de cibersegurança, pode
assumir uma dimensão ou prejuízos tais, que acabe por requerer a intervenção de
organismos envolvidos em processos de ciberdefesa.
O ciberespaço é um domínio onde os contornos de intervenção das várias
instituições se podem esbater, dada a natureza complexa dos ataques e das razões que
lhes estão subjacentes, coexistindo numerosas zonas “cinzentas”. Por exemplo são
conhecidas as ligações existentes entre Estados e organizações criminosas, na génese de
diversos ataques. Do mesmo modo, organizações políticas, podem, também elas, requerer
os serviços de organizações criminosas a operar no ciberespaço, sucedendo o mesmo com
particulares, que pretendam efectuar ataques por razões de ordem puramente pessoal
(vingança, busca de notoriedade, ganhos económicos, simples curiosidade, motivações
ideológicas, etc…).
A partir de ataques provenientes do ciberespaço, podem resultar os mais variados
danos, designadamente:
Roubo de informação (para venda, práticas de engenharia social ou
ataques de Ramsomware);
Danificação de recursos (como o disco rígido, por exemplo);
Instalação de programas maliciosos;
Obtenção de passwords;
Falsificação de dados;
Podem tornar o acesso aos sistemas bastante mais lento (podendo
incapacitá-lo de todo);
Facilitam a detecção de vulnerabilidades no sistema, comprometendo-
o;
Permitem a captura remota de um ou vários computadores e a
respectiva utilização em práticas ilegais;
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
13
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Ataques de negação de serviço.
É essa complexidade e variedade na tipologia dos métodos de ataque, bem como
nas razões que os originam, que transforma a cibersegurança numa área tendencialmente
multidisciplinar que diz respeito a todos, dentro e fora das organizações. O quadro da
política de incidentes do RTCS ajuda-nos a sistematizar a natureza das ameaças com que
nos confrontamos diariamente no ciberespaço.
Porém, não nos ajuda a perspectivar o grau de perigosidade de que se revestem
para as instituições e particulares. Para isso, deveremos aceder a um nível de descrição
mais pormenorizado de algumas dessas ameaças. Não iremos fazê-lo de um modo
exaustivo, até porque tal escaparia aos objectivos do presente estudo, nem tampouco se
pretende descer a um nível tecnológico.
Porém, confrontamo-nos com ameaças que tendem a crescer em número de
ocorrências e de perigosidade. Das ocorrências, dado o carácter de organização em rede
assumido pelo mundo globalizado em que já vivemos e que tende a acentuar-se. Da
perigosidade, dada a dependência crescente de todos os sectores da sociedade face ao
mundo tecnológico, também ele desenvolvido a partir de lógicas de rede. De resto, qualquer
indivíduo mal intencionado, mas sem conhecimentos no domínio da informática, pode
adquirir software “pronto a usar” na Darkweb, mediante pagamento, ficando em condições
de se comportar como um “cracker” experiente. O software malicioso cresce em quantidade
e complexidade, ao passo que o software comercial, chamemos-lhe assim, tende a ser feito
à pressa, apresentando inúmeras vulnerabilidades, como resultado da enorme competição
registada entre empresas do sector, que obriga a uma rápida apresentação de resultados
e a uma redução dos custos de produção dos produtos a disponibilizar. Muitas empresas
de software de grande dimensão contratam outras, de menor dimensão, para desenvolver
pequenas partes do produto que pretendem desenvolver. Essas empresas de menor
dimensão não dispõem nem do tempo, do know-how ou dos recursos, para o
desenvolvimento de produtos seguros, contribuindo para a criação de espaços de
vulnerabilidade em programas disponibilizados pelas empresas de maior dimensão e
projecção de mercado que as contrataram.
Todas estas realidades contribuem para o emergir de novas ameaças criando um
problema as organizações o qual reside no facto de estas não se aperceberem dos riscos
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
14
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
inerentes ao funcionamento num ambiente de rede aberta5 e perante as quais a sociedade
tende a adoptar uma postura mais reactiva do que preventiva, uma vez que dificilmente se
detectam vulnerabilidades de uma forma atempada.
Das ameaças que tendem a crescer em número e perigosidade, há algumas que
têm assumido algum destaque, razão pela qual, neste trabalho, serão merecedoras de uma
descrição mais pormenorizada, não esquecendo de que para muitas empresas, os custos
associados à prevenção são proibitivos, limitando-se muitas vezes à adopção de políticas
de segurança mitigadoras de perdas antecipadamente aceites:
DDOS (Ataques de Negação de Serviço: Com este tipo de ataques, não se pretende
destruir os recursos do alvo, mas antes impedir o acesso aos mesmos, mediante uma
sobrecarga do sistema, o que pode ser feito, essencialmente, de duas formas: consumo de
recursos da máquina, tais como memória ou processamento (recorrendo a worms, por
exemplo), ou a uma sobrecarga dos servidores como resultado de um simultâneo e
elevadíssimo nível de acessos (recurso a Botnets, por exemplo).
Este tipo de ataque pode demorar vários dias, impossibilitando a uma instituição ou
particular, o acesso às respectivas máquinas ou redes. Quando tornado público, pode
produzir um efeito de descrédito na instituição-alvo ou afectar seriamente o seu normal
funcionamento. Quando levado a cabo junto de Instituições Críticas Nacionais, as
implicações deste tipo de ataque sobem de nível, pelo que poderão deixar de situar-se no
domínio da cibersegurança, para entrarem no domínio da ciberdefesa.
Para além de paralisar um sistema, este tipo de ataque pode ser gerador de
vulnerabilidades exploráveis por outros tipos de ataque.
O DDOS é muito utilizado por organizações motivadas por agendas ideológicas, com
o propósito de lançar o descrédito sobre as organizações atacadas, ao mesmo tempo que
procuram obter alguma notoriedade.
Ramsomware: À medida que cresce o interesse pela Internet, por parte do mundo
do crime, cresce a tendência para o aumento deste tipo de ataques, uma vez que a
motivação por detrás do ramsomware, é essencialmente económica, pertencendo ao
domínio da extorsão ou da fraude. Com efeito, esta modalidade de malware, impede o
acesso aos dados por parte do utilizador, sendo o mesmo restabelecido após o pagamento
5 PAULO VIEGAS NUNES. Sociedade em Rede, Ciberespaço e Guerra de Informação. Lisboa, IDN.
2015. p. 136.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
15
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
de um resgate. Mas pode tratar-se de um crime mais complexo, quando o atacante não
pretende, ou não é capaz, de restabelecer os dados roubados ou o acesso aos mesmos.
Software malicioso na Darkweb, encontra-se disponível a preços bastante acessíveis,
permitindo a exploração de um enorme manancial de vulnerabilidades por parte de
indivíduos sem particulares competências no domínio da informática. O anonimato
crescente proporcionado pela Internet, tende a encorajar criminosos de todos os tipos a
explorar essa janela de oportunidade proporcionada pela venda de produtos desenvolvidos
por black hat hackers ou informáticos altamente especializados que colocam as suas
enormes capacidades ao serviço do crime organizado.
Malware – Na verdade, não se trata de um tipo único de ataque, uma vez que os
softwares maliciosos podem assumir diversas formas. O Malware pode incluir formas tão
diferentes de ataque quanto vírus, worms, trojans, spyware, adware e o próprio
ramsomware, a que já demos destaque. Este tipo de ficheiros permite roubar, danificar,
modificar, destruir ou impedir o acesso aos dados, podendo comprometer o funcionamento
de toda uma instituição, provocando enormes prejuízos. Os worms, em particular, tendem
a assumir níveis crescentes de complexidade, sendo cada vez mais difíceis de detectar por
antivírus, antimalware ou firewalls. Num mundo altamente competitivo, qualquer
vulnerabilidade no sistema de informação de uma empresa pode destruir-lhe por completo
o negócio, ou retirar-lhe a vantagem competitiva sobre um concorrente. Por essa razão, e
pelo facto de praticamente todas as instituições se encontrarem ligadas a um qualquer tipo
de rede, e portanto vulneráveis, não é expectável que esse tipo de ataques venha a
diminuir.
Redes sociais – As redes sociais são utilizadas não só por particulares, mas cada
vez mais por empresas e outras instituições. A crescente importância de que se revestem,
associada ao seu grande número e visibilidade, faz com que atraiam um número crescente
de ataques informáticos e de engenharia social. Alteração de dados e roubos de identidade
provocam graves danos na imagem e segurança de indivíduos e instituições.
2.2 – Ferramentas utilizadas nos ataques
Todos os métodos de ataque tendem a recorrer a uma ou várias ferramentas, com
o intuito de explorar as vulnerabilidades de um sistema de informação. Passaremos a
descrever alguns dos meios utilizados pelos criminosos, nas suas tentativas de intrusão:
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
16
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Vírus – Começaremos, pois, pelo método de ataque que se tornou sinónimo de
ameaça no ciberespaço, apesar de estar a ser progressivamente substituído pelos worms
nos rankings de ocorrência de ataques, nos vários países. A sua designação decorre de
uma comparação com as suas contrapartes “biológicas”. Do mesmo modo que um vírus
“biológico” precisa do ADN de uma célula para se replicar e exercer a sua acção nociva
sobre o organismo, os vírus informáticos apropriam-se dos ficheiros executáveis de um
sistema, para se disseminarem e infectá-lo. Alguns vírus são concebidos para se
manifestarem somente em determinadas datas. Deixaram de constituir um problema
exclusivo dos computadores, podendo exercer a sua acção em telemóveis, o que aumenta
o seu potencial de ameaça no seio das organizações.
Worms – Explora vulnerabilidades no software dos computadores. Ao contrário dos
vírus, os worms não necessitam dos ficheiros do hospedeiro para se autoreplicarem.
Podem apagar ficheiros do computador infectado, enviar e-mails não desejados ou criar
novas vulnerabilidades num sistema de informação em rede, podendo ser utilizados em
DDOS (Ataques de Negação de Serviço). São grandes consumidores de recursos, devido
ao elevado número de cópias que costumam fazer de si próprios, podendo afectar de um
modo decisivo o desempenho de uma máquina, ou mesmo de uma rede.
Para se propagarem, os worms começam por identificar na rede um computador-
alvo. Inclusive, encontram-se disponíveis na Internet listas que identificam máquinas ou
redes vulneráveis. Segue-se o envio de cópias e activação das mesmas. A partir deste
momento, o computador vítima dos ataques, passa a desempenhar o papel de agente
disseminador da ameaça.
Trojans – Assume um aspecto benigno no entanto, executa instruções hostis, de
uma forma que escapa ao controlo do utilizador do computador. Normalmente introduzem-
se a partir de mensagens de E-Mail, podendo criar vulnerabilidades no sistema, conduzir
ao roubo de dados ou à alteração de configurações.
Bot – À semelhança do Worm, é capaz de propagar-se automaticamente, sendo
capaz de proporcionar o controlo remoto de um computador (ou vários, no caso das
BotNets), que passa a ser utilizado em acções hostis, sem o conhecimento do respectivo
proprietário, sendo as mais comuns, as negações de serviço. São muito eficazes nas
situações em que os atacantes pretendem camuflar a origem dos ataques, e no envio de
Spam.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
17
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Spyware – Programa que possibilita o envio de informações de um computador para
terceiros, sem o conhecimento e autorização do respectivo proprietário.
As formas mais conhecidas de Spyware são:
a) Keylogger – permite identificar as teclas utilizadas pelo utilizador do
computador, tornando possível a obtenção indevida de códigos ou passwords.
Muito utilizado em acções hostis no âmbito do home banking e do comércio
electrónico.
b) Screenlogger – Usado para determinar as teclas pressionadas pelos
utilizadores de teclados virtuais. Permite determinar a posição do cursor (e sua
evolução) numa página específica, também ela visualizável.
c) Adware – Inicialmente projectado para fins publicitários, pode assumir
um carácter ilegítimo a partir do momento em que a navegação do utilizador é
monitorizada sem o seu conhecimento, resultando muitas vezes no envio de
publicidade indesejada ou em situações de violação de privacidade.
d) Backdoor – Programa que cria as condições para o retorno de um
invasor a um computador comprometido.
2.3 - Medidas de protecção no âmbito da cibersegurança
Existe uma certa tendência para considerar as práticas de segurança no domínio da
informática, numa perspectiva fundamentalmente tecnológica. Em muitas instituições
prevalece uma concepção de protecção assente em antivírus e firewall, e nada mais.
Contudo, para fazer face a ameaças de malware, há que optar por uma protecção a vários
níveis e sobre os quais iremos discorrer de seguida. Assim sendo, os níveis de protecção
a considerar são os que descreveremos de seguida.
2.3.1 - Ao nível físico
Os programas de malware podem ser inseridos directamente no computador, sem
necessidade de acesso a uma ligação em rede, por intermédio de uma pen-drive, por
exemplo, razão pela qual urge garantir a própria protecção física de máquinas e servidores.
Assim sendo, há que restringir o acesso por parte dos funcionários não autorizados (bem
como pessoal de segurança e de limpeza), a zonas de armazenamento crítica de dados,
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
18
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
tais como salas dotadas de servidores ou computadores, com informação crítica ou
estratégica para o processo de negócio da empresa.
De igual modo, importa proteger condignamente as próprias instalações da empresa
face a intrusões por parte de elementos exteriores à própria organização.
Nas situações em que existe a necessidade de uma intervenção externa junto dos
servidores da empresa, esse acesso só pode ser efectuado quando acompanhado por
pessoal autorizado.
Todas as salas dotadas de computadores deverão dispor de portas com fechaduras,
devendo estas ser trancadas nos momentos em que não estiverem ocupadas
(particularmente importante, nas salas dos servidores). O acesso a outras salas, onde
estejam instalados servidores ou que disponham de informação crítica para o
funcionamento da empresa, deverá ser efectuado com controlo de entrada (quem entra e
a que horas) e, preferencialmente, apenas para pessoal autorizado. Todas as salas com
estas características deverão estar dotadas de protecção contra incêndio, mantendo-se
todos os materiais inflamáveis longe das mesmas.
Todos os equipamentos destinados a operações de backup, ou a situações de
contingência, deverão ser mantidos afastados da zona dos servidores ou das zonas mais
críticas em matéria de informação para a empresa.
2.3.2 - Ao nível humano
O elemento humano é, por definição, o elemento mais fraco de um sistema de
informação. Assim sendo, importa sensibilizar todos os que trabalham com o factor
informação dentro da instituição, para a adopção de todo um conjunto de boas práticas
destinadas a mitigar os riscos associados ao malware. Não se trata apenas de evitar
comportamentos de risco, mas também de criar mecanismos de comunicação de todas as
situações que possam configurar a existência de uma ameaça. A implementação de um
bom sistema de formação e de circulares internas, pode contribuir para diminuir o risco
desse tipo de ameaça, bem como a implementação de um sistema interno de limitação de
acesso aos dados.
Através de práticas de engenharia social, ou de natureza similar, um atacante pode
obter informações detalhadas sobre o sistema de informação (tais como versões de
aplicações, antivírus utilizado, firewall instalada, passwords, etc.), ficando em posição de
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
19
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
lhe explorar as vulnerabilidades. Assim sendo, todo o pessoal deverá estar sensibilizado
para a importância de não ser passada informação não essencial a todo o pessoal estranho
ao serviço ou de manter conversas fora da instituição, que versem sobre matérias de
natureza profissional.
2.3.3 - Ao nível organizacional
Um sistema de informação não é um mero aglomerado de tecnologias, sendo
fundamental associar-lhe uma organização que apresente o menor nível de
vulnerabilidades, de modo a não pôr em causa o processo de negócio da instituição onde
este é implementado. Para o efeito importa garantir que o acesso à informação seja feito
mediante o recurso a uma política de atribuição de passwords, que contemple a existência
de diferentes níveis de acesso. Estes acessos deverão ser retirados a utilizadores que
estejam de saída da instituição, independentemente das razões subjacentes à sua saída.
Todo o conjunto de boas práticas a adoptar pela instituição deverá assentar na
definição de uma política de segurança da informação, devendo ficar bem definida, desde
logo, aquela informação que é considerada crítica para o respectivo “processo de negócio”.
As medidas mais fortes de segurança deverão centrar-se nos sectores onde se
concentra a informação crítica do “processo de negócio”, ou informação de natureza
confidencial.
Se possível, deverá ser implementado um plano de acção para situações de
emergência, de forma a mitigar as perdas de dados ou outros danos ao nível do sistema
de informação. De igual modo, impõe-se a elaboração de um programa de gestão de riscos,
que poderá inspirar-se na norma ISO/IEC 27001, assente nos seguintes passos:
Planeamento – Os resultados devem ser planeados em função dos objectivos da
organização.
Implementação – Execução do planeado em função dos controlos adoptados.
Verificação – Análise dos resultados, em função dos pressupostos e objectivos
em que assenta o sistema de informação. Estes devem ser comunicados à
gestão/administração.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
20
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Optimização – Correcção das falhas e vulnerabilidades detectadas nos processos
de verificação.
A organização deverá estar sempre consciente dos potenciais riscos, devendo
estruturá-los por ordem de importância. Após concluído o processo de análise, tomar-se-
ão decisões quanto à eliminação ou transferência do risco, numa lógica de custo-benefício,
em função dos objectivos da organização, dos recursos disponíveis, dos diferentes níveis
de informação a proteger e, naturalmente, da natureza das ameaças em presença.
Não obstante estarem sempre a surgir novas ameaças, e sendo impossível garantir
a protecção de um qualquer sistema em rede, a prevenção não pode deixar de ser
equacionada, como forma de mitigar o risco. Em simultâneo, deve ser equacionada a
hipótese de elaboração de um plano de contingência, para fazer face a qualquer ameaça
de um modo o mais organizado possível, mitigando ao máximo quaisquer perdas de
informação crítica resultantes de um ataque por malware. É muito importante que fique bem
definido o conjunto de pessoas responsáveis pela implementação desse plano de
contingência, e que o mesmo seja testado periodicamente.
Importa impor uma política de atribuição de passwords, ao nível da instituição, que
contemple o uso de letras maiúsculas, minúsculas, símbolos e números.
Todas as intervenções junto do sistema (correcção de erros, apoio informático,
backups e demais acções relacionadas deverão ficar registadas e só poderão ser
efectuadas por pessoal devidamente autorizado e especializado na área.
Nenhuma destas medidas se revelará eficaz, se forem descurados os níveis de
treino e sensibilização do pessoal da instituição, face às questões da segurança. Por outro
lado, a definição e implementação de qualquer política de segurança de informação deverá
ter em atenção os princípios legais em vigor, devendo ser revista periodicamente, à luz da
evolução desses mesmos princípios, ou com o claro propósito de acompanhar as evoluções
tecnológicas que inevitavelmente acabarão por surgir.
Importa destacar uma população que não tende a promover práticas de segurança
quando navega no ciberespaço: a população mais jovem. Importa garantir o
desenvolvimento de campanhas de sensibilização junto dos mais jovens, junto de escolas,
bibliotecas públicas e associações, no sentido, não só de evitar danos no presente, mas de
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
21
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
criar adultos imbuídos de uma cultura de segurança. Num mundo onde as ameaças
assumem um carácter menos convencional e cada vez mais disruptivo, essa consciência
poderá fazer toda a diferença. A Educação constitui um elemento central de toda e qualquer
sociedade, não constituindo o ciberespaço uma excepção, muito pelo contrário.
2.3.4 - Ao nível tecnológico
O sistema de segurança de um sistema de informação deve dotar-se de mecanismos
que permitam rastrear a quantidade de informação que sai para o exterior, bem como a
origem do envio, de forma a determinar possíveis fugas de informação.
Deverão ser instalados antivírus e firewalls, sendo importante monitorizar a sua
eficácia e proceder às respectivas actualizações. O software deverá ser actualizado
(patches e updates).
Assim sendo, e tendo em consideração o exposto no presente capítulo, as principais
áreas a mitigar, na medida em que vão ser o alvo privilegiado dos ataques, deverão ser: o
elemento humano, as bases de dados, o software e o hardware, os processos e as redes.
CONCLUSÕES As organizações podem, e devem, proceder a uma constante monitorização dos
níveis de ameaça a que estão sujeitas, ao mesmo tempo que melhoram a sua capacidade
de resposta e de protecção através da adopção de políticas internas resultantes desse
mesmo processo de análise.
Contudo, não devendo descurar-se a protecção face às ameaças conhecidas,
qualquer sistema de segurança de informação deve estar consciente da falibilidade dos
respectivos métodos, razão pela qual deverá ter sempre presente a necessidade de
proceder a backups da sua informação mais estratégica. De igual modo, não deve perder
de vista o facto de estarem sempre a surgir novas ameaças, com níveis crescentes de
eficácia e perigosidade, razão pela qual a monitorização não deverá centrar-se
exclusivamente na organização a proteger, mas também no exterior.
Conhecer o adversário continua a constituir a melhor forma de fazer frente à ameaça
que este representa.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
22
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
Investir em segurança é importante, não apenas com o propósito de proteger a
informação crítica da organização, de forma a assegurar a continuidade e competitividade
da mesma, sendo fundamental não perder de vista o facto de qualquer falha de segurança
significativa a este nível, poder comprometer a credibilidade de uma empresa junto dos
seus clientes, ou junto de toda uma população, no caso de uma instituição pública.
As organizações tem que criar politicas internas de segurança e dar formação aos
seus funcionários no âmbito da segurança da informação e da utilização dos meios que
essas mesmas organizações põem ao seu dispor para exercer a sua função e preservarem
a segurança da organização aos vários níveis.
BIBLIOGRAFIA BARRETO, João, Documentação da disciplina de Riscos e Ameaças incluída no
Mestrado em Segurança dos Sistemas de Informação - Hacking de Redes e Sistemas,
Faculdade de Engenharia da Universidade Católica Portuguesa, 2009
BIRDI, Tarlok, Network Intrusion Detection: Know What You Do (not) Need, ISACA,
2006.
BOWEN, Pauline, HASH, Joan, WILSON, Mark, Information Security Handbook: A
Guide for Managers, National Institute of Standards and Technology, 2006.
EASTTOM, Chuck, Computer Security Fundamentals, Pearson, 2012.
ERICKSON, Jon, Hacking: The Art of Exploitation 2nd Edition, 2008.
FUENTES L.F. Malware, una amenaza de Internet. Revista Digital Universitária,
México D. F., v. 9, n. 4, abril, 2009. Disponível em:
<http://www.revista.unam.mx/vol.9/num4/ art22/int22.htm>.
GREGORY, Peter, CISSP guide to Security Essentials, Course Technology -
Cengage Learning, 2010.
KREICBERGA, Liene, Internal threat to information security – countermeasures and
human factor wihin SME, Lulea University of Technology, 2010.
MOELLER, Robert, IT Audit, Control and Security, Wiley Publishing Inc, 2010.
NUNES, Paulo. Sociedade em Rede, Ciberespaço e Guerra de Informação. Lisboa,
IDN. 2015.
CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016
23
DIREITO, SEGURANÇA E DEMOCRACRIA
SETEMBRO
2016
Nº 48
ROMÃO, Sillas da Costa (2013). Segurança de Informação um estudo de caso
descritivo com as principais defesas e ameaças de tecnologia na cidade de Fortaleza.
Centro do Ensino Superior do Ceará. 56 p.
SANTOS, Lino, “Ciberespaço”, In Enciclopédia de Direito e Segurança. Coord. por
Jorge Bacelar Gouveia e Sofia Santos. Lisboa, Almedina. 2015.
SANTOS, Lino, “Contributos para uma melhor governação da Cibersegurança em
Portugal”, Tese de Mestrado, Universidade Nova de Lisboa, 2011.
SCARFONE, Karen, MELL, Peter, Guide to Intrusion Detection and Prevention
Systems (IDPS), National Institute of Standards and Technology, 2007.
SHEVCHENKO, Alisa, Malicious Code Detection Technologies, Kaspersky Lab,
2008.
Fontes da Internet Cisco - web-security-appliance
http://www.cisco.com/c/en/us/products/security/web-security-
appliance/anti_malware_index.html
A importância dos controlos técnicos preventivos e detetivos nas redes de dados da
Administração Pública
http://repositorio.ucp.pt/bitstream/10400.14/15012/1/Tese_RJDO_v1.1.pdf
Security and Privacy Controls for Federal Information Systems and Organizations
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Top Related