PRINCIPAIS AMEAÇAS NO CONTEXTO DA CIBERSEGURANÇA …cedis.fd.unl.pt/wp-content/uploads/2017/10/CEDIS-working-paper_DSD... · 1.1 – Pertinência do tema da Cibersegurança e respectivas

CEDIS Working Papers | Direito, Segurança e Democracia | ISSN 2184-0776 | Nº 48 | setembro de 2016

1

DIREITO, SEGURANÇA E

DEMOCRACIA

SETEMBRO

2016

Nº 48

PRINCIPAIS AMEAÇAS NO CONTEXTO DA CIBERSEGURANÇA Main threats in the context of Cybersecurity FRANCISCO JOSÉ LUCAS RODRIGUES Mestrando em Direito e Segurança

RESUMO Tal qual já foi referido por estudiosos desta área temática, as Tecnologias da

Informação e da Comunicação em geral e a Internet em particular são instrumentos

essenciais no quotidiano dos cidadãos, das empresas e dos Estados e a sua protecção

coloca novos e grandes desafios. Estes desafios são emergentes e contínuos, tal qual as

ameaças cibernéticas que surgem constantemente de uma forma renovada. Como refere

Lino Santos na sua dissertação sobre este tema, o aumento dos ciberataques relacionados

com o crime económico e os ciberataques, em 2007 e 2008, à Estónia e à Geórgia, ilustram

uma ameaça há muito anunciada. Este especialista, discorre também, que o estudo desta

ameaça revela-nos uma diversidade de actores e de motivações.

PALAVRAS CHAVE

CEDIS Working Papers | Direito, Segurança e Democracia | Nº 48 | setembro de 2016

2

DIREITO, SEGURANÇA E DEMOCRACRIA

SETEMBRO

2016

Nº 48

Cibersegurança, ameaças, ataques, ciberataques, ciberespaço.

ABSTRACT As it was mentioned by scholars in this subject area, the Information and

Communication Technologies in general and the Internet in particular are essential tools in

the daily lives of citizens, businesses and the states and their protection poses new and

major challenges. These challenges are emerging and continuous, like cyber threats

constantly emerge in a new form. As it relates Santos in his thesis, the increase in

cyberattacks related to economic crime and cyber attacks in 2007 and 2008, Estonia and

Georgia illustrate a threat long announced. This expert also discusses that study of this

threat reveals a diversity of actors and motivations.

KEYWORDS Cybersecurity, threats, attacks, cyberattacks, cyberspace.

Siglas e Abreviaturas ARPA - Advanced Research Project Agency

CERN - Organisation Européenne pour la Recherche Nucléaire

CNCS - Centro Nacional de Cibersegurança

DEL - Decode, Encode, Language

DOS - Ataque de negação de serviços.

EUA – Estados Unidos da América

FTP - File Transfer Protocol

GNS - Gabinete Nacional de Segurança

HTML - Hyper Text Markup Language

IMP - Interface Message Processor

IPTO - Information Processing Techniques Office

NCP - Network Control Protocol

NIL - Network Interchange Language

PCM - Presidência do Conselho de Ministros


3


SETEMBRO

2016

Nº 48

SRI - Stanford Research Institute

Introdução O Ciberespaço, uma das temáticas mais debatidas na actualidade tem sido alvo nos

últimos anos de uma profunda investigação por parte, não só das forças de segurança mas

também das agências de Intelligence, devido às novas ameaças de carácter transnacional

que começaram a surgir e a adquirir um certo relevo na comunidade internacional nos

últimos anos. Ameaças físicas estas que podem ser definidas, como o crime organizado, o

terrorismo, o tráfico de seres humanos, que se têm evidenciado em todo o mundo devido

às globalização e aos impactos que esta tem tido na vida em Sociedade dos Estados. Uma

referência também ao crime organizado, o caso das máfias (Cosa Nostra, as FARC), ao

terrorismo, o caso do 11 de Setembro e relativamente ao tráfico de seres humanos, o caso

da fronteira México/EUA, o qual se tem revelado como uma das maiores ameaças à

segurança nacional americana e também o caso do PCC, Primeiro Comando da Capital

com origem no Brasil. Todas estas organizações criminosas e terroristas utilizam os meios

cibernéticos mas, a acção é realizada por especialistas contratados para o efeito, sendo

que é no ciberespaço que tentam diluir virtualmente os seus lucros ilegais ganhos no mundo

físico

Neste trabalho pretendemos focalizar a nossa investigação nas principais ameaças

no contexto da área da Cibersegurança, focando não só a utilização do ciberespaço para

fins lícitos e ilícitos, mas também direccionando o trabalho para um discorrer sobre quais

as ferramentas utilizadas para concretizar as ameaças que se nos apresentam no ambiente

virtual.

CAPÍTULO I – O Ciberespaço

1.1 – Pertinência do tema da Cibersegurança e respectivas ameaças

Vivemos numa época dominada pelo virtual, contudo, as ameaças que esta

dimensão aparentemente inócua encerra, são bem reais. De espaço reservado a uns

quantos iniciados, o ciberespaço domina a vida de milhões de indivíduos, empresas e

instituições governamentais.


4


SETEMBRO

2016

Nº 48

De área reservada a discussões académicas, científicas ou outras, perfeitamente

banais, vê-se projectada a novo domínio da guerra, a par da terra, do mar e do ar.

Neste quinto espaço de conflito, vidas são estruturadas ou destruídas consoante a

vontade de cada indivíduo. E existem muitos indivíduos a encararem o ciberespaço como

área livre de controlo e de castigo, lançando-se em actividades criminosas, que vão da

simples invasão de privacidade, à venda de drogas e de armas, à encomenda de

assassinatos e ao ciberterrorismo.

As sociedades, totalmente mergulhadas numa lógica de funcionamento em rede,

encontram-se dependentes do ciberespaço. Com a “Internet of things”, com o

desenvolvimento das redes de comunicações, com a globalização económica, com o

conceito de “cidades inteligentes”, esta tendência tende a crescer, tal como os riscos daí

resultantes.

Às ameaças, muitos contrapõem a visão de um ciberespaço como espaço de

liberdade e de oportunidade. Mas a História ensina-nos que “sem segurança, não há

liberdade”, o que aliado à dimensão altamente disruptiva das novas ameaças, torna

altamente pertinente e actual, a problemática da Cibersegurança.

A Cibersegurança tornou-se um tema de tal modo incontornável, que se torna quase

redundante justificar a sua pertinência. Perante a selva inicial, as sociedades começaram

a organizar-se. Primeiro de uma forma algo reactiva, seguindo-se um período de maior

reflexão e abordagens estratégicas e no sentido de uma maior colaboração internacional.

Algumas franjas de utilizadores opõem-se a estes novos mecanismos de controlo,

escudando-se no argumento da censura. Esta existe, particularmente em sociedades de

natureza autoritária e ditatorial, mas os níveis de risco tornaram-se incomportáveis, mesmo

para as sociedades democráticas – e, diríamos nós, sobretudo para estas últimas.

Deste modo, com a Cibersegurança, a selva ainda não dará lugar a um espaço de

civilização, mas o ciberespaço, progressivamente, tenderá a tornar-se num lugar mais

seguro, em vez de ficar à mercê dos seus habitantes mais selvagens, como sucedeu até

aqui.

A Cibersegurança será tão pertinente, quão pertinentes forem as medidas tomadas

para torná-la, não num conceito, mas numa realidade.

1.2 – História do Ciberespaço


5


SETEMBRO

2016

Nº 48

Após a Segunda Guerra Mundial, ou seja, logo no início da Guerra Fria, as

actividades conduzidas pelas duas grandes potencias na altura, a Rússia e os Estados

Unidos, estiveram na origem do meio de comunicação mais utilizado nos dias de hoje ao

nível mundial, a Internet.

Em Outubro de 1957, o Presidente dos Estados Unidos, Eisenhower, no seguimento

do lançamento do satélite russo Sputnik e como forma de reacção ao mesmo, criou a ARPA

(Advanced Research Project Agency), que tinha como principal objectivo, desenvolver os

programas relacionados com os satélites e com o espaço. Contudo, em 1961, a doação por

parte da Força Aérea dos EUA, de um moderno computador IBM, designado por Q-32, à

Universidade da Califórnia, vem provocar uma alteração na linha de orientação da sua

pesquisa, visto que passa a dedicar-se em pleno à Informática.

Para tal contrata um dos grandes nomes na área, Joseph Licklider, para liderar o

Command and Control Research. Neste o trabalho realizado, não era destinado à

comunicação interactiva com computadores e á transmissão de dados entre eles,

assentando essencialmente no processamento de dados por lotes e em tempo diferido.

De modo a orientar a sua pesquisa para a comunicação interactiva e transmissão de

dados, Licklinder cria o Information Processing Techniques Office. Esta nova orientação foi

deveras importante para o desenvolvimento da ARPA visto que, este novo sistema

conduzido por Licklinder iria visar a criação de uma rede, possibilitando assim uma

comunicação mais rápida entre as equipas de investigadores.

Em 1965, Licklinder deixa a ARPA, sendo substituído por Robert Taylor que continua

o seu projecto. Todavia eram vários os obstáculos ao seu sucesso, visto que não existia

uma linguagem comum entre as redes de computadores já existentes, a transmissão das

mensagens deveria ser segura para que permanecesse intacta até chegar ao seu

destinatário. A solução apresentada para este problema passava pela utilização de redes

de tipo distribuído que possibilitavam a utilização de vários canais de modo a evitar a não

recepção da mensagem pelo destinatário.

Para que este trabalho de emissor, receptor fosse mais fácil, foi criado o Interface

Message Processor, que servia de intermediário, e através do qual qualquer computador

se poderia ligar à rede. Porém, estes novos intermediários, apesar do seu contributo eram

somente uma parte da solução, visto que era também necessário criar um protocolo de

comunicações que regulasse o intercâmbio de mensagens, para que todos os


6


SETEMBRO

2016

Nº 48

computadores pudessem comunicar entre si. Os primeiros a serem construídos foram

designados por Telnet, a ligação interactiva de um terminal com um computador remoto, e

o FTP (File Transfer Protocol), a transferência de ficheiros entre dois computadores. As

denominações originais dos protocolos eram DEL (Decode, Encode, Language) e NIL

(Network Interchange Language). A primeira rede de computadores construída foi entre a

Universidade da Califórnia de Los Angels, o SRI (Stanford Research Institute), a

Universidade de Utah e a Universidade da Califórnia de Santa Barbara. Esta entrou em

funcionamento a 1 de Dezembro de 1969, sendo designada por ARPANET, utilizava a rede

telefónica através do sistema de aluguer de circuitos. Em 1972 os iniciais quatro nós da

rede foram alargados para trinta, e ao seu nome é acrescentado um D, visto se encontrar

na dependência do Pentágono, de Defense, passando a ser designado de DARPANET.

Entre 1973 e 1978, uma equipa de investigadores sobre a coordenação de Vinton

Cerf no SRI, hoje em dia considerado o pai da Internet, e de Robert Kahn na DARPANET,

desenvolveram o protocolo TCP/IP que veio possibilitar a interoperacionalidade e a

interconexão entre as diversas redes de computadores existentes, e acabou por substituir

totalmente em 1983 o anterior protocolo existente desenvolvido quando esta rede teve

inicio, o NCP (Network Control Protocol).

Em Julho de 1977 os coordenadores atrás indicados levaram ao público uma

demonstração do protocolo TCP/IP, utilizando três redes, ARPANET, RPNET e STATNET,

considerando-se hoje que foi nesta demonstração que nasceu a Internet.

No ano de 1990, o Departamento de Defesa dos Estados Unidos, desmantelou a

ARPNET, a qual foi substituída pela rede da NSF, que passou a ser conhecida em todo o

mundo como Internet. Relativamente à sua expansão e utilização foi deveras importante o

contributo de dois engenheiros do CERN (Organisation Européenne pour la Recherche

Nucléaire), Robert Caillaiu e Tim Berners-Lee, com a criação da World Wide Web, mais

conhecida por www, do HTML (Hyper Text Markup Language) e dos Browser. Destes

últimos, o primeiro a surgir foi o LYNX que permitia apenas a transferência de textos,

seguindo-se o MOSAIC, que já possibilitava também a transferência de imagens, e mais

tarde, derivado deste, o Netscape e o Internet Explorer.

As primeiras utilizações da Internet em Portugal começaram a ser observadas no

inicio da década de 80, nas Universidades e em algumas empresas. A partir de 1991 a


7


SETEMBRO

2016

Nº 48

utilização da Internet é alargada a todas as Universidades Portuguesas através da criação

da RCCN (Rede da Comunidade Cientifica Nacional).

A criação em 1994 do ISP (Internet Service Provider) em Portugal, vem difundir a

Internet por toda a população, passando a ser utilizada pela mesma com maior intensidade

a partir de 1995, altura em que os média passaram a difundir a sua existência e utilidade.

A partir desse momento marcante, a adesão à Internet registou um crescimento tão

elevado que as organizações tanto publicas como privadas não conseguiram dar resposta

nesses primeiros anos.

Em Portugal, somente passados decénios, cerca de vinte anos, mais concretamente

em 2015, é que vem a ser criado o CNCS (Centro Nacional de Cibersegurança), o qual

funciona numa dependência do GNS (Gabinete Nacional de Segurança), sob a supervisão

directa do PCM (Presidência do Conselho de Ministros).

1.3 – O Ciberespaço de Gibson

O termo, numa perspectiva epistemológica, terá sido utilizado pela primeira vez por

William Gibson em 1982, num conto intitulado “Burning Chrome”e, já posteriormente no seu

romance de ficção cientifica “Neuromancer”. Segundo Mestre Lino Santos1, nessa ultima

obra literária, Gibson refere-se ao ciberespaço como “uma alucinação consensual vivida

diariamente por milhares de milhões de operadores, em cada nação, por crianças a quem

se ensina conceitos matemáticos… Uma representação gráfica de dados abstraída a partir

dos bancos de computadores em cada sistema humano, Complexidade impensável. Linhas

de luz do não espaço da mente, grupos e constelações de dados.”

Em termos funcionais, o ciberespaço disponibiliza um conjunto de aplicações, das

quais se destacam a rede global de comunicações, o media global e o espaço de interacção

social e a grande biblioteca digital. Para todas estas aplicações é essencial a rede global

de comunicações electrónicas, a qual é a espinha dorsal de tudo e sobre a qual os

indivíduos, as organizações e os Estados se ligam para comunicar a grande velocidade,

em grande quantidade, independentemente da distancia, de coordenadas geográficas ou

da tipologia e da estrutura física que o suporta.

1 LINO SANTOS. “Ciberespaço”, In Enciclopédia de Direito e Segurança. Coord. por Jorge Bacelar

Gouveia e Sofia Santos. Lisboa, Almedina. 2015. p. 61.


8


SETEMBRO

2016

Nº 48

1.4 – A Cibersegurança

Segundo Mestre Lino Santos, definir a Cibersegurança pode ser tanto ou mais

complexo que definir segurança2.

Este termo surgiu em 1990 para referir a segurança do ciberespaço, tendo como

finalidade abranger todo um novo conjunto de ameaças e actores. O facto de existir uma

elevada interdependência entre o ciberespaço e os restantes espaços físicos e sociais bem

como um consequente risco sistémico, levanta assim duas perspectivas que são

independentes de qual é o objecto e que são: a segurança do ciberespaço, na acepção

desta como entidade autónoma e a segurança da componente “ciber” de um qualquer

sistema enquanto segurança do ciberespaço desse sistema.

Na Cibersegurança, o objectivo principal também se torna em termos judiciai, o da

dissuasão da prática de crimes pela prevenção e, já no limite, pela condenação concreta

do autor do crime. Neste campo, os ciberataques representam actos criminalmente

relevantes, passíveis de acção penal, tais como os que são dirigidos contra as pessoas ou

contra interesses patrimoniais ou ainda, contra dados e informação. É neste último campo

que iniciamos o nosso seguinte capítulo, abordando as ameaças cibernéticas.

CAPÍTULO II – Principais Ciberameaças

2.1 – Natureza das Ameaças Cibernéticas

Independentemente da sua natureza, todas as organizações ou instituições estão

sujeitas a métodos similares de ataque. Para uma melhor compreensão dos mesmos,

iremos basear a política de classificação de incidentes do RCTS3 CERT, que se encontra

estruturada em duas vertentes fundamentais: as violações de segurança e os métodos de

ataque, do modo que se segue, em quadro retirado da página do Serviço de Resposta a

Incidentes de Segurança do referido RCTS. 4

2 LINO SANTOS. “Cibersegurança”, In Enciclopédia de Direito e Segurança. Coord. por Jorge Bacelar

Gouveia e Sofia Santos. Lisboa, Almedina. 2015. pp. 63-67. 3 Rede Ciência Tecnologia e Sociedade. 4 Disponível em: http://fe02.cert.pt/index.php/servicos/tratamento-de-incidentes?id=1525 consultado

a 30/06/2016


9


SETEMBRO

2016

Nº 48

Quadro n.º1 – Violações de Segurança

Violação de

segurança

Descrição

Falsidade

informática

Alegada intenção de provocar engano nas relações

jurídicas, introduzir, modificar, apagar ou suprimir dados

informáticos ou por qualquer outra forma interferir num

tratamento informático de dados, produzindo dados ou

documentos não genuínos, com a intenção de que estes sejam

considerados ou utilizados para finalidades juridicamente

relevantes como se o fossem. Inclui a mistificação de sites Web

para roubo de credenciais e a distribuição de mensagens de

correio electrónico de phishing

Interferência

em sistema

informático

Alegada acção intencional e não autorizada ou a

tentativa de impedir ou interromper gravemente o

funcionamento do sistema informático, introduzindo,

transmitindo, danificando, apagando, deteriorando, alterando,

suprimindo ou tornando inacessível qualquer componente de

software ou hardware. Inclui os ataques de negação de serviço.

Acesso

ilegítimo a sistema

informático

Alegado acesso ou tentativa de acesso intencional e não

autorizado à totalidade ou a parte do sistema informático. Inclui

roubo de informação, nomeadamente segredo comercial,

industrial ou dados confidenciais protegidos por lei.

Interferência

em dados

O acto intencional e não autorizado ou a tentativa de

apagar, danificar, deteriorar, alterar, suprimir ou tornar

inacessíveis dados do sistema informático. Inclui malware e

distribuição do mesmo por correio electrónico.

Recolha não

autorizada de

O acto intencional e não autorizado de reunir informação

sobre redes e sistemas informáticos.


10


SETEMBRO

2016

Nº 48

informação sobre

sistema informático

Violação de

direitos de autor

Alegada violação de direitos autorais,

independentemente dos conteúdos serem constituídos por

informação, código fonte, projectos gráficos ou quaisquer

outros elementos do sistema informático protegidos por direitos

de autor.

Mensagem

de correio

electrónico não

solicitada

Alegada recepção/envio de mensagens de correio

electrónico não solicitadas, quer sejam produzidas para efeitos

de marketing directo ou sem motivação aparente. Não inclui

distribuição de malware ou ataques de phishing.

Outra

violação de

segurança

Outra alegada violação (da politica) de segurança

informática.

Quadro n.º 2 – Métodos de Ataque

Método de ataque Descrição

Ataque físico Acesso físico a sistema de informação ou outro

equipamento

Vulnerabilidade

do sistema operativo

Exploração de vulnerabilidade em sistema operativo

Vulnerabilidade

de aplicação

Exploração de vulnerabilidade em aplicação (eg.

Apache, Acrobat reader, etc.)

Vulnerabilidade

de serviço Web

Exploração de vulnerabilidade em serviço Web em

linha (eg. SQL injection, CSS, etc.)


11


SETEMBRO

2016

Nº 48

Brute-force

password attack

Tentativas de acesso ilegítimo - automatizadas,

sistemáticas e em número elevado - em que o atacante

recorre a dicionários, algoritmos de decifração ou outras

ferramentas informáticas para descobrir a password.

Tentativa de login O atacante tenta descobrir ou contornar a password

sem procurar exaustivamente. Habitualmente são

experimentadas passwords fracas como “administrador”,

“administrator”, “admin” ou “root”.

e-mail flood Envio massivo (directo ou indirecto) de mensagens

de correio electrónico para um ou mais alvos.

Packet flood Envio massivo de pacotes IP ou ICMP para um ou

mais alvos.

Distribuição

de malware por e-mail

Envio de mensagens de e-mail contendo código

malicioso.

Distribuição de

malware via web Alojamento de código malicioso em site web.

e-mail scam Envio de mensagem de e-mail configurando uma

burla (eg. nigerian scam).

Outro tipo de

engenharia social

Recolha e utilização de informações sobre a vítima

para melhorar o nível de sucesso de um ataque (eg. envio

de e-mail mistificado por forma a levar a vítima a acreditar

na sua autenticidade).

Man-in-the middle

O atacante faz-se passar por interlocutor de uma

comunicação ou transação ganhando acesso à informação

trocada entre os reais intervenientes.

Outro método de

ataque Qualquer outro método de ataque não listado.


12


SETEMBRO

2016

Nº 48

Os métodos de ataque constituem meros instrumentos de práticas criminosas, que

refletem os interesses associados a indivíduos ou organizações, defendidos à margem da

lei, com base em agendas económicas, ideológicas ou de qualquer outra natureza.

Tratando-se de ataques perpetrados por Estados, já entramos no domínio da ciberdefesa,

o que escapa ao domínio do presente capítulo. Contudo, importa referir, que vários métodos

de ataque podem ser utilizados em simultâneo, e que um incidente de cibersegurança, pode

assumir uma dimensão ou prejuízos tais, que acabe por requerer a intervenção de

organismos envolvidos em processos de ciberdefesa.

O ciberespaço é um domínio onde os contornos de intervenção das várias

instituições se podem esbater, dada a natureza complexa dos ataques e das razões que

lhes estão subjacentes, coexistindo numerosas zonas “cinzentas”. Por exemplo são

conhecidas as ligações existentes entre Estados e organizações criminosas, na génese de

diversos ataques. Do mesmo modo, organizações políticas, podem, também elas, requerer

os serviços de organizações criminosas a operar no ciberespaço, sucedendo o mesmo com

particulares, que pretendam efectuar ataques por razões de ordem puramente pessoal

(vingança, busca de notoriedade, ganhos económicos, simples curiosidade, motivações

ideológicas, etc…).

A partir de ataques provenientes do ciberespaço, podem resultar os mais variados

danos, designadamente:

Roubo de informação (para venda, práticas de engenharia social ou

ataques de Ramsomware);

Danificação de recursos (como o disco rígido, por exemplo);

Instalação de programas maliciosos;

Obtenção de passwords;

Falsificação de dados;

Podem tornar o acesso aos sistemas bastante mais lento (podendo

incapacitá-lo de todo);

Facilitam a detecção de vulnerabilidades no sistema, comprometendo-

o;

Permitem a captura remota de um ou vários computadores e a

respectiva utilização em práticas ilegais;


13


SETEMBRO

2016

Nº 48

Ataques de negação de serviço.

É essa complexidade e variedade na tipologia dos métodos de ataque, bem como

nas razões que os originam, que transforma a cibersegurança numa área tendencialmente

multidisciplinar que diz respeito a todos, dentro e fora das organizações. O quadro da

política de incidentes do RTCS ajuda-nos a sistematizar a natureza das ameaças com que

nos confrontamos diariamente no ciberespaço.

Porém, não nos ajuda a perspectivar o grau de perigosidade de que se revestem

para as instituições e particulares. Para isso, deveremos aceder a um nível de descrição

mais pormenorizado de algumas dessas ameaças. Não iremos fazê-lo de um modo

exaustivo, até porque tal escaparia aos objectivos do presente estudo, nem tampouco se

pretende descer a um nível tecnológico.

Porém, confrontamo-nos com ameaças que tendem a crescer em número de

ocorrências e de perigosidade. Das ocorrências, dado o carácter de organização em rede

assumido pelo mundo globalizado em que já vivemos e que tende a acentuar-se. Da

perigosidade, dada a dependência crescente de todos os sectores da sociedade face ao

mundo tecnológico, também ele desenvolvido a partir de lógicas de rede. De resto, qualquer

indivíduo mal intencionado, mas sem conhecimentos no domínio da informática, pode

adquirir software “pronto a usar” na Darkweb, mediante pagamento, ficando em condições

de se comportar como um “cracker” experiente. O software malicioso cresce em quantidade

e complexidade, ao passo que o software comercial, chamemos-lhe assim, tende a ser feito

à pressa, apresentando inúmeras vulnerabilidades, como resultado da enorme competição

registada entre empresas do sector, que obriga a uma rápida apresentação de resultados

e a uma redução dos custos de produção dos produtos a disponibilizar. Muitas empresas

de software de grande dimensão contratam outras, de menor dimensão, para desenvolver

pequenas partes do produto que pretendem desenvolver. Essas empresas de menor

dimensão não dispõem nem do tempo, do know-how ou dos recursos, para o

desenvolvimento de produtos seguros, contribuindo para a criação de espaços de

vulnerabilidade em programas disponibilizados pelas empresas de maior dimensão e

projecção de mercado que as contrataram.

Todas estas realidades contribuem para o emergir de novas ameaças criando um

problema as organizações o qual reside no facto de estas não se aperceberem dos riscos


14


SETEMBRO

2016

Nº 48

inerentes ao funcionamento num ambiente de rede aberta5 e perante as quais a sociedade

tende a adoptar uma postura mais reactiva do que preventiva, uma vez que dificilmente se

detectam vulnerabilidades de uma forma atempada.

Das ameaças que tendem a crescer em número e perigosidade, há algumas que

têm assumido algum destaque, razão pela qual, neste trabalho, serão merecedoras de uma

descrição mais pormenorizada, não esquecendo de que para muitas empresas, os custos

associados à prevenção são proibitivos, limitando-se muitas vezes à adopção de políticas

de segurança mitigadoras de perdas antecipadamente aceites:

DDOS (Ataques de Negação de Serviço: Com este tipo de ataques, não se pretende

destruir os recursos do alvo, mas antes impedir o acesso aos mesmos, mediante uma

sobrecarga do sistema, o que pode ser feito, essencialmente, de duas formas: consumo de

recursos da máquina, tais como memória ou processamento (recorrendo a worms, por

exemplo), ou a uma sobrecarga dos servidores como resultado de um simultâneo e

elevadíssimo nível de acessos (recurso a Botnets, por exemplo).

Este tipo de ataque pode demorar vários dias, impossibilitando a uma instituição ou

particular, o acesso às respectivas máquinas ou redes. Quando tornado público, pode

produzir um efeito de descrédito na instituição-alvo ou afectar seriamente o seu normal

funcionamento. Quando levado a cabo junto de Instituições Críticas Nacionais, as

implicações deste tipo de ataque sobem de nível, pelo que poderão deixar de situar-se no

domínio da cibersegurança, para entrarem no domínio da ciberdefesa.

Para além de paralisar um sistema, este tipo de ataque pode ser gerador de

vulnerabilidades exploráveis por outros tipos de ataque.

O DDOS é muito utilizado por organizações motivadas por agendas ideológicas, com

o propósito de lançar o descrédito sobre as organizações atacadas, ao mesmo tempo que

procuram obter alguma notoriedade.

Ramsomware: À medida que cresce o interesse pela Internet, por parte do mundo

do crime, cresce a tendência para o aumento deste tipo de ataques, uma vez que a

motivação por detrás do ramsomware, é essencialmente económica, pertencendo ao

domínio da extorsão ou da fraude. Com efeito, esta modalidade de malware, impede o

acesso aos dados por parte do utilizador, sendo o mesmo restabelecido após o pagamento

5 PAULO VIEGAS NUNES. Sociedade em Rede, Ciberespaço e Guerra de Informação. Lisboa, IDN.

2015. p. 136.


15


SETEMBRO

2016

Nº 48

de um resgate. Mas pode tratar-se de um crime mais complexo, quando o atacante não

pretende, ou não é capaz, de restabelecer os dados roubados ou o acesso aos mesmos.

Software malicioso na Darkweb, encontra-se disponível a preços bastante acessíveis,

permitindo a exploração de um enorme manancial de vulnerabilidades por parte de

indivíduos sem particulares competências no domínio da informática. O anonimato

crescente proporcionado pela Internet, tende a encorajar criminosos de todos os tipos a

explorar essa janela de oportunidade proporcionada pela venda de produtos desenvolvidos

por black hat hackers ou informáticos altamente especializados que colocam as suas

enormes capacidades ao serviço do crime organizado.

Malware – Na verdade, não se trata de um tipo único de ataque, uma vez que os

softwares maliciosos podem assumir diversas formas. O Malware pode incluir formas tão

diferentes de ataque quanto vírus, worms, trojans, spyware, adware e o próprio

ramsomware, a que já demos destaque. Este tipo de ficheiros permite roubar, danificar,

modificar, destruir ou impedir o acesso aos dados, podendo comprometer o funcionamento

de toda uma instituição, provocando enormes prejuízos. Os worms, em particular, tendem

a assumir níveis crescentes de complexidade, sendo cada vez mais difíceis de detectar por

antivírus, antimalware ou firewalls. Num mundo altamente competitivo, qualquer

vulnerabilidade no sistema de informação de uma empresa pode destruir-lhe por completo

o negócio, ou retirar-lhe a vantagem competitiva sobre um concorrente. Por essa razão, e

pelo facto de praticamente todas as instituições se encontrarem ligadas a um qualquer tipo

de rede, e portanto vulneráveis, não é expectável que esse tipo de ataques venha a

diminuir.

Redes sociais – As redes sociais são utilizadas não só por particulares, mas cada

vez mais por empresas e outras instituições. A crescente importância de que se revestem,

associada ao seu grande número e visibilidade, faz com que atraiam um número crescente

de ataques informáticos e de engenharia social. Alteração de dados e roubos de identidade

provocam graves danos na imagem e segurança de indivíduos e instituições.

2.2 – Ferramentas utilizadas nos ataques

Todos os métodos de ataque tendem a recorrer a uma ou várias ferramentas, com

o intuito de explorar as vulnerabilidades de um sistema de informação. Passaremos a

descrever alguns dos meios utilizados pelos criminosos, nas suas tentativas de intrusão:


16


SETEMBRO

2016

Nº 48

Vírus – Começaremos, pois, pelo método de ataque que se tornou sinónimo de

ameaça no ciberespaço, apesar de estar a ser progressivamente substituído pelos worms

nos rankings de ocorrência de ataques, nos vários países. A sua designação decorre de

uma comparação com as suas contrapartes “biológicas”. Do mesmo modo que um vírus

“biológico” precisa do ADN de uma célula para se replicar e exercer a sua acção nociva

sobre o organismo, os vírus informáticos apropriam-se dos ficheiros executáveis de um

sistema, para se disseminarem e infectá-lo. Alguns vírus são concebidos para se

manifestarem somente em determinadas datas. Deixaram de constituir um problema

exclusivo dos computadores, podendo exercer a sua acção em telemóveis, o que aumenta

o seu potencial de ameaça no seio das organizações.

Worms – Explora vulnerabilidades no software dos computadores. Ao contrário dos

vírus, os worms não necessitam dos ficheiros do hospedeiro para se autoreplicarem.

Podem apagar ficheiros do computador infectado, enviar e-mails não desejados ou criar

novas vulnerabilidades num sistema de informação em rede, podendo ser utilizados em

DDOS (Ataques de Negação de Serviço). São grandes consumidores de recursos, devido

ao elevado número de cópias que costumam fazer de si próprios, podendo afectar de um

modo decisivo o desempenho de uma máquina, ou mesmo de uma rede.

Para se propagarem, os worms começam por identificar na rede um computador-

alvo. Inclusive, encontram-se disponíveis na Internet listas que identificam máquinas ou

redes vulneráveis. Segue-se o envio de cópias e activação das mesmas. A partir deste

momento, o computador vítima dos ataques, passa a desempenhar o papel de agente

disseminador da ameaça.

Trojans – Assume um aspecto benigno no entanto, executa instruções hostis, de

uma forma que escapa ao controlo do utilizador do computador. Normalmente introduzem-

se a partir de mensagens de E-Mail, podendo criar vulnerabilidades no sistema, conduzir

ao roubo de dados ou à alteração de configurações.

Bot – À semelhança do Worm, é capaz de propagar-se automaticamente, sendo

capaz de proporcionar o controlo remoto de um computador (ou vários, no caso das

BotNets), que passa a ser utilizado em acções hostis, sem o conhecimento do respectivo

proprietário, sendo as mais comuns, as negações de serviço. São muito eficazes nas

situações em que os atacantes pretendem camuflar a origem dos ataques, e no envio de

Spam.


17


SETEMBRO

2016

Nº 48

Spyware – Programa que possibilita o envio de informações de um computador para

terceiros, sem o conhecimento e autorização do respectivo proprietário.

As formas mais conhecidas de Spyware são:

a) Keylogger – permite identificar as teclas utilizadas pelo utilizador do

computador, tornando possível a obtenção indevida de códigos ou passwords.

Muito utilizado em acções hostis no âmbito do home banking e do comércio

electrónico.

b) Screenlogger – Usado para determinar as teclas pressionadas pelos

utilizadores de teclados virtuais. Permite determinar a posição do cursor (e sua

evolução) numa página específica, também ela visualizável.

c) Adware – Inicialmente projectado para fins publicitários, pode assumir

um carácter ilegítimo a partir do momento em que a navegação do utilizador é

monitorizada sem o seu conhecimento, resultando muitas vezes no envio de

publicidade indesejada ou em situações de violação de privacidade.

d) Backdoor – Programa que cria as condições para o retorno de um

invasor a um computador comprometido.

2.3 - Medidas de protecção no âmbito da cibersegurança

Existe uma certa tendência para considerar as práticas de segurança no domínio da

informática, numa perspectiva fundamentalmente tecnológica. Em muitas instituições

prevalece uma concepção de protecção assente em antivírus e firewall, e nada mais.

Contudo, para fazer face a ameaças de malware, há que optar por uma protecção a vários

níveis e sobre os quais iremos discorrer de seguida. Assim sendo, os níveis de protecção

a considerar são os que descreveremos de seguida.

2.3.1 - Ao nível físico

Os programas de malware podem ser inseridos directamente no computador, sem

necessidade de acesso a uma ligação em rede, por intermédio de uma pen-drive, por

exemplo, razão pela qual urge garantir a própria protecção física de máquinas e servidores.

Assim sendo, há que restringir o acesso por parte dos funcionários não autorizados (bem

como pessoal de segurança e de limpeza), a zonas de armazenamento crítica de dados,


18


SETEMBRO

2016

Nº 48

tais como salas dotadas de servidores ou computadores, com informação crítica ou

estratégica para o processo de negócio da empresa.

De igual modo, importa proteger condignamente as próprias instalações da empresa

face a intrusões por parte de elementos exteriores à própria organização.

Nas situações em que existe a necessidade de uma intervenção externa junto dos

servidores da empresa, esse acesso só pode ser efectuado quando acompanhado por

pessoal autorizado.

Todas as salas dotadas de computadores deverão dispor de portas com fechaduras,

devendo estas ser trancadas nos momentos em que não estiverem ocupadas

(particularmente importante, nas salas dos servidores). O acesso a outras salas, onde

estejam instalados servidores ou que disponham de informação crítica para o

funcionamento da empresa, deverá ser efectuado com controlo de entrada (quem entra e

a que horas) e, preferencialmente, apenas para pessoal autorizado. Todas as salas com

estas características deverão estar dotadas de protecção contra incêndio, mantendo-se

todos os materiais inflamáveis longe das mesmas.

Todos os equipamentos destinados a operações de backup, ou a situações de

contingência, deverão ser mantidos afastados da zona dos servidores ou das zonas mais

críticas em matéria de informação para a empresa.

2.3.2 - Ao nível humano

O elemento humano é, por definição, o elemento mais fraco de um sistema de

informação. Assim sendo, importa sensibilizar todos os que trabalham com o factor

informação dentro da instituição, para a adopção de todo um conjunto de boas práticas

destinadas a mitigar os riscos associados ao malware. Não se trata apenas de evitar

comportamentos de risco, mas também de criar mecanismos de comunicação de todas as

situações que possam configurar a existência de uma ameaça. A implementação de um

bom sistema de formação e de circulares internas, pode contribuir para diminuir o risco

desse tipo de ameaça, bem como a implementação de um sistema interno de limitação de

acesso aos dados.

Através de práticas de engenharia social, ou de natureza similar, um atacante pode

obter informações detalhadas sobre o sistema de informação (tais como versões de

aplicações, antivírus utilizado, firewall instalada, passwords, etc.), ficando em posição de


19


SETEMBRO

2016

Nº 48

lhe explorar as vulnerabilidades. Assim sendo, todo o pessoal deverá estar sensibilizado

para a importância de não ser passada informação não essencial a todo o pessoal estranho

ao serviço ou de manter conversas fora da instituição, que versem sobre matérias de

natureza profissional.

2.3.3 - Ao nível organizacional

Um sistema de informação não é um mero aglomerado de tecnologias, sendo

fundamental associar-lhe uma organização que apresente o menor nível de

vulnerabilidades, de modo a não pôr em causa o processo de negócio da instituição onde

este é implementado. Para o efeito importa garantir que o acesso à informação seja feito

mediante o recurso a uma política de atribuição de passwords, que contemple a existência

de diferentes níveis de acesso. Estes acessos deverão ser retirados a utilizadores que

estejam de saída da instituição, independentemente das razões subjacentes à sua saída.

Todo o conjunto de boas práticas a adoptar pela instituição deverá assentar na

definição de uma política de segurança da informação, devendo ficar bem definida, desde

logo, aquela informação que é considerada crítica para o respectivo “processo de negócio”.

As medidas mais fortes de segurança deverão centrar-se nos sectores onde se

concentra a informação crítica do “processo de negócio”, ou informação de natureza

confidencial.

Se possível, deverá ser implementado um plano de acção para situações de

emergência, de forma a mitigar as perdas de dados ou outros danos ao nível do sistema

de informação. De igual modo, impõe-se a elaboração de um programa de gestão de riscos,

que poderá inspirar-se na norma ISO/IEC 27001, assente nos seguintes passos:

Planeamento – Os resultados devem ser planeados em função dos objectivos da

organização.

Implementação – Execução do planeado em função dos controlos adoptados.

Verificação – Análise dos resultados, em função dos pressupostos e objectivos

em que assenta o sistema de informação. Estes devem ser comunicados à

gestão/administração.


20


SETEMBRO

2016

Nº 48

Optimização – Correcção das falhas e vulnerabilidades detectadas nos processos

de verificação.

A organização deverá estar sempre consciente dos potenciais riscos, devendo

estruturá-los por ordem de importância. Após concluído o processo de análise, tomar-se-

ão decisões quanto à eliminação ou transferência do risco, numa lógica de custo-benefício,

em função dos objectivos da organização, dos recursos disponíveis, dos diferentes níveis

de informação a proteger e, naturalmente, da natureza das ameaças em presença.

Não obstante estarem sempre a surgir novas ameaças, e sendo impossível garantir

a protecção de um qualquer sistema em rede, a prevenção não pode deixar de ser

equacionada, como forma de mitigar o risco. Em simultâneo, deve ser equacionada a

hipótese de elaboração de um plano de contingência, para fazer face a qualquer ameaça

de um modo o mais organizado possível, mitigando ao máximo quaisquer perdas de

informação crítica resultantes de um ataque por malware. É muito importante que fique bem

definido o conjunto de pessoas responsáveis pela implementação desse plano de

contingência, e que o mesmo seja testado periodicamente.

Importa impor uma política de atribuição de passwords, ao nível da instituição, que

contemple o uso de letras maiúsculas, minúsculas, símbolos e números.

Todas as intervenções junto do sistema (correcção de erros, apoio informático,

backups e demais acções relacionadas deverão ficar registadas e só poderão ser

efectuadas por pessoal devidamente autorizado e especializado na área.

Nenhuma destas medidas se revelará eficaz, se forem descurados os níveis de

treino e sensibilização do pessoal da instituição, face às questões da segurança. Por outro

lado, a definição e implementação de qualquer política de segurança de informação deverá

ter em atenção os princípios legais em vigor, devendo ser revista periodicamente, à luz da

evolução desses mesmos princípios, ou com o claro propósito de acompanhar as evoluções

tecnológicas que inevitavelmente acabarão por surgir.

Importa destacar uma população que não tende a promover práticas de segurança

quando navega no ciberespaço: a população mais jovem. Importa garantir o

desenvolvimento de campanhas de sensibilização junto dos mais jovens, junto de escolas,

bibliotecas públicas e associações, no sentido, não só de evitar danos no presente, mas de


21


SETEMBRO

2016

Nº 48

criar adultos imbuídos de uma cultura de segurança. Num mundo onde as ameaças

assumem um carácter menos convencional e cada vez mais disruptivo, essa consciência

poderá fazer toda a diferença. A Educação constitui um elemento central de toda e qualquer

sociedade, não constituindo o ciberespaço uma excepção, muito pelo contrário.

2.3.4 - Ao nível tecnológico

O sistema de segurança de um sistema de informação deve dotar-se de mecanismos

que permitam rastrear a quantidade de informação que sai para o exterior, bem como a

origem do envio, de forma a determinar possíveis fugas de informação.

Deverão ser instalados antivírus e firewalls, sendo importante monitorizar a sua

eficácia e proceder às respectivas actualizações. O software deverá ser actualizado

(patches e updates).

Assim sendo, e tendo em consideração o exposto no presente capítulo, as principais

áreas a mitigar, na medida em que vão ser o alvo privilegiado dos ataques, deverão ser: o

elemento humano, as bases de dados, o software e o hardware, os processos e as redes.

CONCLUSÕES As organizações podem, e devem, proceder a uma constante monitorização dos

níveis de ameaça a que estão sujeitas, ao mesmo tempo que melhoram a sua capacidade

de resposta e de protecção através da adopção de políticas internas resultantes desse

mesmo processo de análise.

Contudo, não devendo descurar-se a protecção face às ameaças conhecidas,

qualquer sistema de segurança de informação deve estar consciente da falibilidade dos

respectivos métodos, razão pela qual deverá ter sempre presente a necessidade de

proceder a backups da sua informação mais estratégica. De igual modo, não deve perder

de vista o facto de estarem sempre a surgir novas ameaças, com níveis crescentes de

eficácia e perigosidade, razão pela qual a monitorização não deverá centrar-se

exclusivamente na organização a proteger, mas também no exterior.

Conhecer o adversário continua a constituir a melhor forma de fazer frente à ameaça

que este representa.


22


SETEMBRO

2016

Nº 48

Investir em segurança é importante, não apenas com o propósito de proteger a

informação crítica da organização, de forma a assegurar a continuidade e competitividade

da mesma, sendo fundamental não perder de vista o facto de qualquer falha de segurança

significativa a este nível, poder comprometer a credibilidade de uma empresa junto dos

seus clientes, ou junto de toda uma população, no caso de uma instituição pública.

As organizações tem que criar politicas internas de segurança e dar formação aos

seus funcionários no âmbito da segurança da informação e da utilização dos meios que

essas mesmas organizações põem ao seu dispor para exercer a sua função e preservarem

a segurança da organização aos vários níveis.

BIBLIOGRAFIA BARRETO, João, Documentação da disciplina de Riscos e Ameaças incluída no

Mestrado em Segurança dos Sistemas de Informação - Hacking de Redes e Sistemas,

Faculdade de Engenharia da Universidade Católica Portuguesa, 2009

BIRDI, Tarlok, Network Intrusion Detection: Know What You Do (not) Need, ISACA,

2006.

BOWEN, Pauline, HASH, Joan, WILSON, Mark, Information Security Handbook: A

Guide for Managers, National Institute of Standards and Technology, 2006.

EASTTOM, Chuck, Computer Security Fundamentals, Pearson, 2012.

ERICKSON, Jon, Hacking: The Art of Exploitation 2nd Edition, 2008.

FUENTES L.F. Malware, una amenaza de Internet. Revista Digital Universitária,

México D. F., v. 9, n. 4, abril, 2009. Disponível em:

<http://www.revista.unam.mx/vol.9/num4/ art22/int22.htm>.

GREGORY, Peter, CISSP guide to Security Essentials, Course Technology -

Cengage Learning, 2010.

KREICBERGA, Liene, Internal threat to information security – countermeasures and

human factor wihin SME, Lulea University of Technology, 2010.

MOELLER, Robert, IT Audit, Control and Security, Wiley Publishing Inc, 2010.

NUNES, Paulo. Sociedade em Rede, Ciberespaço e Guerra de Informação. Lisboa,

IDN. 2015.


23


SETEMBRO

2016

Nº 48

ROMÃO, Sillas da Costa (2013). Segurança de Informação um estudo de caso

descritivo com as principais defesas e ameaças de tecnologia na cidade de Fortaleza.

Centro do Ensino Superior do Ceará. 56 p.

SANTOS, Lino, “Ciberespaço”, In Enciclopédia de Direito e Segurança. Coord. por

Jorge Bacelar Gouveia e Sofia Santos. Lisboa, Almedina. 2015.

SANTOS, Lino, “Contributos para uma melhor governação da Cibersegurança em

Portugal”, Tese de Mestrado, Universidade Nova de Lisboa, 2011.

SCARFONE, Karen, MELL, Peter, Guide to Intrusion Detection and Prevention

Systems (IDPS), National Institute of Standards and Technology, 2007.

SHEVCHENKO, Alisa, Malicious Code Detection Technologies, Kaspersky Lab,

2008.

Fontes da Internet Cisco - web-security-appliance

http://www.cisco.com/c/en/us/products/security/web-security-

appliance/anti_malware_index.html

A importância dos controlos técnicos preventivos e detetivos nas redes de dados da

Administração Pública

http://repositorio.ucp.pt/bitstream/10400.14/15012/1/Tese_RJDO_v1.1.pdf

Security and Privacy Controls for Federal Information Systems and Organizations

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

http://www.cisco.com/c/en/us/products/security/web-security-appliance/anti_malware_index.html

http://www.cisco.com/c/en/us/products/security/web-security-appliance/anti_malware_index.html

http://repositorio.ucp.pt/bitstream/10400.14/15012/1/Tese_RJDO_v1.1.pdf

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

Documents

PRINCIPAIS AMEAÇAS NO CONTEXTO DA CIBERSEGURANÇA …cedis.fd.unl.pt/wp-content/uploads/2017/10/CEDIS-working-paper_DSD... · 1.1 – Pertinência do tema da Cibersegurança e respectivas