Siga-nos

Perfil

Expresso

Sociedade

WannaCry: Catástrofes informáticas, criminosos e espiões

d.r.

O que aconteceu na passada sexta-feira é objetivamente uma catástrofe informática. Estamos mais vulneráveis porque dependemos de sistemas informáticos cada vez mais complexos e interligados. E não aprendemos com os erros ao ritmo que devíamos.

Luís Grangeia Diretor de Auditoria, S21sec Portugal

O ataque informático da passada sexta-feira levanta duas questões importantes sobre as quais devemos refletir: a acumulação e gestão irresponsável de ciberarmas por parte de agências de espionagem e a incapacidade das empresas de manterem os seus sistemas atualizados.

Os últimos dias têm sido muito exigentes para quem trabalha em segurança informática. A culpa é do “WannaCry”, o ataque informático que tem afetado as redes de muitas empresas em Portugal e no mundo.

Os ataques de “ransomware” estão longe de ser um problema novo: Foram várias as empresas nacionais (públicas e privadas) afetadas durante o ano passado, de tal forma que 2016 foi considerado o “ano do ransomware” no sector da segurança da informação. No entanto, o ataque da semana passada tomou novas proporções em termos de atualidade noticiosa, por diversas razões.

A primeira novidade prende-se com a forma de propagação do ataque: além dos emails que induzem as vítimas a clicar num anexo malicioso, o WannaCry utilizou uma forma de propagação adicional graças a uma vulnerabilidade existente em sistemas Windows, conhecida por “Eternal Blue”. A propagação no interior das empresas foi assim muito mais rápida, uma vez que dispensou a ingenuidade de um clique num email.

A vulnerabilidade “Eternal Blue” foi tornada pública por um misterioso grupo autodenominado “Shadow Brokers”. Este grupo, que muitos especulam estar ligado aos serviços de espionagem russos, divulgou em abril, na Internet, um conjunto de ciberarmas alegadamente roubadas à NSA, a agência de serviços de informação militar - vulgo “espionagem” - dos Estados Unidos, entre as quais a “Eternal Blue”. Uma análise a este “leak” de informação revela que o arquivo de ciberarmas poderá remontar a 2011, o que faz pensar que foi possível, durante todos estes anos, a agência norte-americana realizar os mesmos ataques que vimos na semana passada.

Este tipo de ataques cibernéticos é cada vez mais uma prática comum no mundo da espionagem internacional, tendo as grandes potências mundiais investido orçamentos de muitos milhões para construir capacidades ofensivas desta natureza. O grande problema desta “corrida ao armamento” é que as ciberarmas não são como as armas convencionais: é quase impossível a um criminoso fabricar um míssil Tomahawk numa cave, mesmo que tenha acesso a um manual de instruções; no caso de uma ciberarma essa produção é trivial.

As ciberarmas são criadas e mantidas secretas tanto tempo quanto possível, impedindo empresas como a Microsoft de resolverem as vulnerabilidades que estas exploram. E isto põe em risco todos os utilizadores do software, o que levou ontem a Microsoft a apontar o dedo a agências governamentais como a CIA e a NSA, e a pedir-lhes mais responsabilidade na gestão deste ciberarmamento e da necessidade de se convergir para uma “Convenção de Genebra Digital” que regule este tipo de questões, relativamente às quais o cidadão comum tem pouca influência.

Mas há algo que creio ser mais importante e que se prende com a questão se de saber quando é que as atualizações de segurança começa a ser levada a sério nas empresas. É preciso reforçar que este ataque teria sido totalmente inconsequente se ocorressem duas coisas: Em primeiro lugar, se as empresas negassem a receção de emails com anexos que ponham em risco a segurança do sistema onde são executados. Não se compreende que possam ser enviados ficheiros maliciosos (.exe, .js, etc.) que podem ser abertos com um mero duplo clique e têm consequências tão nefastas para os sistemas. Há certamente muito trabalho a fazer nesta área; em segundo lugar, as empresas devem levar a sério, e de uma vez por todas, as atualizações de segurança. Ouço há vários anos a justificação de que é difícil manter os sistemas de uma empresa atualizados por ser necessário garantir a estabilidade do sistema e que instalar uma atualização pode comprometer essa estabilidade.

No entanto, em toda a minha vida profissional, encontrei centenas de problemas de segurança causados pela falta de atualizações, ao passo que conto pelos dedos de uma só mão os problemas que vi relacionados com a instalação problemática de atualizações de segurança. Claramente que as empresas estão deficitárias nesta área e devem agora pensar em medidas para colmatar esta deficiência.

Resolver estes problemas é um passo importante para ajudar a prevenir futuros ataques.

Finalmente, devemos também tirar lições quanto à forma como as empresas detetaram e reagiram aos acontecimentos da semana passada. De uma forma geral, as ações tomadas para conter e mitigar o ataque foram adequadas e atempadas. A existência de uma rede de contactos privados entre vários departamentos de informática de empresas de vários sectores, com a ajuda de empresas de serviços de segurança e do Centro Nacional de Cibersegurança, foi fundamental para evitar rapidamente a desinformação e aplicar medidas adequadas de contenção e erradicação.

Como em todas as catástrofes, não podemos alterar o que aconteceu. No entanto, as consequências do próximo ataque dependem sobretudo das lições que aprendemos com este. Que haverá um próximo ataque, é tão certo como o dia de amanhã.