Wednesday, September 25, 2013

Conseguimos entrar na rede informática do Governo...

Conseguimos entrar na rede informática do Governo...
Não fomos nós, o Ifonix...lol

"O Expresso entrou na rede de São Bento, mas a de Belém mostrou-se inviolável.
E também não é, afinal, o sistema informático da Presidência que está "vulnerável". É o do Governo - o CEGER, Centro de Gestão da Rede Informática, que regista e gere todos os domínios com o nome gov.pt.

Não é uma hipotética questão de "vulnerabilidade". E também não é, afinal, o sistema informático da Presidência que está "vulnerável". É o do Governo - o CEGER, Centro de Gestão da Rede Informática, que regista e gere todos os domínios com o nome gov.pt.

O Expresso fez a experiência e testou a fragilidade do sistema, isto é, a susceptibilidade de "envenenamento" do nameserver (servidor de nomes). Testou e conseguiu. À segunda tentativa, descobriu uma "porta" por onde se pode entrar na rede. Anote-se: o gov.pt é o domínio de todas as estruturas governamentais, incluindo a do primeiro-ministro e da Presidência do Conselho de Ministros, todos os ministérios e até o gabinete do secretário-geral do Sistema de Informações da República, o SIRP! Para se ser mais rigoroso, são 138 as entidades que usam esse domínio, fazendo fé na lista que está publicada no sítio do CEGER na Internet.

A experiência foi muito simples e realizada nas instalações do Expresso, recorrendo a uma ferramenta que está disponível na própria Net. Se, tal como nota a avaliação feita pelo Projecto Nonius, o nível de segurança da Internet portuguesa (numa escala de 0 a 10, em cinco escalões) é de 3,9 (perigoso) e a do Estado em particular mais perigosa ainda (4,4), então é certo que não estão garantidas a privacidade, integridade e confidencialidade dos seus utilizadores. O caso piora por se tratar da rede do Governo, por onde passam os mails e documentos de toda a espécie, incluindo os reservados.

Não por acaso, o Nonius diz que 20 a 50% dos computadores do Estado não são seguros. O curioso é que o Expresso fez o mesmo teste ao sistema da Presidência (que tem um domínio diferente do do Governo) e não conseguiu entrar. Está bloqueado.

O teste
O teste consistiu em perceber até que ponto o nameserver do gov.pt (a cargo do CEGER, e cuja identificação na Internet é 193.47.185.3) pode ser enganado, ou seja, até que ponto se consegue fazer com que esse nameserver informe mal os seus utilizadores (neste caso, os computadores da rede do Governo). E pode! O teste terminou aqui porque a partir daí é crime.

Mas o caminho é simples: esperar que um computador "saia", consulte um site exterior, o google, por exemplo, que tem uma página simples de "falsificar" e por trás da qual se pode "esconder um intruso". Quando o utilizador faz uma pergunta ao google, à boleia da resposta, o intrometido (the man in the middle, como os informáticos lhe chamam) pode mandar mais alguma coisa, por exemplo um trojan. Este é um programa malicioso que depois de instalado comunica com o "mestre", podendo espiar ou manipular o computador onde reside. Não há antivírus que dê com ele. Melhor que isto só os hackers da trilogia Millennium de Stieg Larsson, cujo programa - nem de propósito - se chama Asphyxia.

É grave? "Muito grave", responde Paulo Cardoso do Amaral, professor da Católica e da Academia Militar em Gestão de Informação e Conhecimento de Intelligence. Mas também muito fácil de corrigir. Segundo diz, basta fazer a actualização do sistema que gere o nameserver, "uma coisa que se faz em minutos". Paulo Amaral afirma que esta fragilidade (o "DNS poisoning") já é conhecida há cerca de um ano, "mas que é tecnicamente tão complexa que só se torna útil quando há uma ferramenta que a explora". E se ele não conhece nenhuma, não quer dizer que não exista - até porque "boa percentagem dos servidores da Internet são atacáveis e quanto mais tempo passar, maior a probabilidade dela surgir".

Informado pelo Expresso, Jorge Lacão, o secretário de Estado que tutela o CEGER, mostrou-se perplexo e afirmou que, não obstante, "se tomam todas as providências adequadas para garantir a segurança do sistema de comunicações do Governo".

Antigos responsáveis da segurança afirmam que o risco de "ataque" é real, mas que o problema maior, como dizia o ex-director-adjunto do Serviço de Informações Estratégicas de Defesa (SIED), Dario Carreira, é "uma persistente falta de cultura de segurança. Qualquer rede de um Estado é sempre um alvo, seja de adversários internos ou externos, seja no campo da defesa, da economia, ou da política, tudo depende dos objectivos".

E se parte da nossa segurança tem residido no facto de não sermos um alvo, disse por sua vez o general Loureiro dos Santos, a verdade é que "a probabilidade de sermos atacados é tanto maior quanto maior for a percepção de que somos vulneráveis"."

No comments:

Man in the Rain