Fibra

Início > Opinião > A segurança informática segundo Pedro Queirós

A segurança informática segundo Pedro Queirós

segunda, 23 junho 2014 00:00   Pedro Queirós, analista da Multicert

Pedro Queirós, analista da Multicert As questões relacionadas com a (falta de) segurança informática de algumas das principais empresas do mundo e até de entidades públicas portuguesas têm assumido algum destaque na agenda mediática. A vulnerabilidade de empresas e órgãos estatais, que, à partida, seriam os mais seguros, tem sido exposta, o que leva Pedro Queirós, analista da Multicert a explicar o que aconteceu, em concreto, em alguns destes casos.

Heartbleed

No dia 7 de abril foi divulgado um bug (uma falha no código) existente na ferramenta criptográfica OpenSSL. Esta ferramenta é utilizada por vários serviços da Internet, permitindo cifrar a informação transmitida neste meio; como exemplo, quando acedemos à página de e-banking do nosso banco, a informação que trocamos com o servidor – como os nossos dados de acesso – é cifrada utilizando o OpenSSL. Explorando este bug, chamado de Heartbleed, é possível a um atacante obter, entres outros dados, a chave privada do certificado de um servidor, dando-lhe a possibilidade de decifrar toda a informação secreta trocada entre o servidor e os clientes desse servidor.

Esta falha foi indevidamente introduzida numa atualização do software, removendo uma verificação de segurança já existente. Os métodos formais de verificação de software poderão ajudar em casos semelhantes, devendo o software ser testado exaustivamente, não só ao nível da sua performance mas também ao nível da segurança que este proporciona aos sistemas onde está integrado e aos seus utilizadores.

Servidores ligados ao Governo

Em Portugal, vários servidores institucionais ligados ao Governo foram atacados, causando a indisponibilidade de serviços – como a página do Ministério Público – e a divulgação de dados privados – como os e-mails de vários funcionários de câmaras municipais ou a lista de carros descaracterizados utilizados pelas forças de segurança PSP e GNR.

Estes ataques são possíveis devido à existência de vulnerabilidades existentes no software utilizado em vários sistemas para oferecer um determinado serviço aos utilizadores – como o serviço de e-mail. A falta de atualização desse software, para colmatar vulnerabilidades já conhecidas, ou a sua incorreta configuração, é um dos pontos de ataque mais frequente, pois tem revelado ser um tiro certeiro nas infraestruturas de sistemas de informação. Manter o software atualizado e realizar testes de vulnerabilidades e de intrusão (internos e externos) periódicos, para avaliar a segurança dos sistemas, são pontos-chave que devem estar na ordem do dia de quem administra estas infraestruturas, uma vez que têm um papel crucial da diminuição ou eliminação do impacto dos ataques a estas vulnerabilidades. Estas ações preventivas podem igualmente ser colmatadas com a introdução de boas práticas de desenvolvimento e integração de software, suplementadas com formação apropriada e adoção de práticas certificadas de desenvolvimento de software. Estas já são algumas das preocupações atuais das grandes empresas, no panorama nacional e internacional.

General Loureiro dos Santos

Outro caso recente diz respeito ao roubo de identidade de que foi alvo o General Loureiro dos Santos. Um atacante obteve acesso à conta de e-mail do antigo chefe do Estado-Maior do Exército e, fazendo-se passar por este, enviou um e-mail aos contactos armazenados, afirmando encontrar-se em apuros e solicitando ajuda – presumivelmente para obter lucro financeiro.

Estas situações, apesar de serem muito frequentes, têm ainda origem na falta de adoção de boas práticas relativas à segurança informática, que devem ser utilizadas por todos nós. A utilização de palavras-passe diferentes em cada serviço que utilizamos e a sua complexidade deve ser tida em conta, bem como os pontos de registo destas mesmas palavras-passe. Adicionalmente, muitos serviços oferecem já a possibilidade de configurar um segundo fator de autenticação, o que impossibilita o acesso indevido mesmo que o atacante consiga obter a palavra-passe (por exemplo, o Google Authenticator), ou de utilizar palavras-passe temporárias (OTP – One-Time-Password, entre outros).

Estes três casos são exemplos de três vetores de ataque distintos, que possibilitam o acesso de pessoas não autorizadas a informação privada. Devemos introspetivamente analisar os cuidados que utilizamos no mundo físico para manter a informação privada, e transpor esses hábitos e boas práticas – sempre que possível – para a nossa presença virtual.

Briefing advocatus fibra Welcome store


Considerações Legais     © 2015 fibra     Ficha Técnica      Estatuo Editorial