Antes das explicações, um caso concreto. Em 2018, a Rádio Morabeza, sediada em Mindelo, foi alvo de um ataque de ransomware. O alvo foi o servidor dos serviços administrativos e contabilidade.
“Rapidamente percebemos que se tratava de um ataque ransomware e contactámos os técnicos de IT que nos prestam assistência. A unidade foi imediatamente desligada da rede e da corrente e levada para avaliação”. recorda o director-executivo da Rádio, o jornalista Nuno Andrade Ferreira. Também a rede foi desactivada, “para avaliação de todas as unidades”,
Já lá vão dois anos e o valor exacto do resgate das pastas de contabilidade foi esquecido, mas eram “uns milhões de BitCoins”.
O resgate não foi pago. Os dados da unidade afectada foram recuperados, porque essa empresa de media trabalha “com várias redundâncias”.
Em 24 horas a situação estava, assim, ultrapassada. “Mas claro, temos uma rede muito pequena”, salvaguarda o director.
O ataque serviu de alerta. “Foram reforçados os protocolos de segurança da rede, nomeadamente do factor humano, capacitando os colegas sobre comportamentos preventivos e de vigilância activa”, conta Nuno Andrade Ferreira.
Nunca se descobriu quem eram os cibercriminosos.
Ataques mundiais
O que aconteceu na rádio Morabeza não é muito diferente do que acontece diariamente a outras empresas cabo-verdianas e estrangeiras.
Há ataques a cada segundo e vários sites mostram em tempo real ameaças e ataques cibernéticos que estão a ocorrer em todo o mundo (nenhum dos mais conhecidos mostra dados sobre Cabo Verde).
Para se ter uma ideia, às 16h desta segunda-feira (30) o do site da Fireeye contava já 508.500 ataques cibernéticos de vários tipos no globo.
O cybermap da Kaspersky.com, por seu turno, que permite discriminar os tipos de ataque registava que no mesmo dia, à mesma hora já haviam sido detectados 44300 ataques apenas de ransomware, e continuava a marcar cerca de um por segundo. Em todo o mundo, a média diária de ataques registados na última semana de Novembro foi de 86000/dia.
Em termos de empresas, o threat map do checkpoint.com referia, por seu turno, por exemplo, que 0.3% das organizações dos EUA tinham sido atacadas por ransomware (no dia 30). Em Espanha eram 0,5% e em Portugal 0,4%.. Na China, 2,5%. E na Mongólia, um dos países mais atacados, 6.5% das organizações foram alvo dos cibercriminosos.
Na verdade, há uma frase conhecida no sector da segurança informática. “Só há dois tipos de empresas, as que foram atacadas, e sabem, e as que foram atacadas mas não sabem”.
Ramsomware
A frase é relembrada pelo especialista Gonçalo Pratas, Director de tecnologia (CTO) e Co-fundador da MGO consulting, em conversa com o Expresso das Ilhas.
Mas o que é um ataque ransomware? “Ransom é resgate [em inglês]. É como o nome diz e normalmente estes ataques são feitos através de email. Um utilizador abre um email, esse e-mail tem um ficheiro quando ‘clicado’, encripta os ficheiros”. Depois, é pedido um resgate, em bitcoins, para a desencriptação.
A infecção acontece sempre no computador X, em que é aberto o ficheiro e “não é suposto espalhar-se pela rede”.
“Se os sistemas operativos estiverem actualizados e bem seguros, ataca só aquele computador”. Mas é um tipo de ataque, que tal como tudo no mundo cibernético, está cada vez sofisticado.
“Procura vulnerabilidades no computador desse “paciente zero”, e se encontrarem alguma vulnerabilidade que lhes permita sair para outro, aproveitam-na e entra na rede”. Então, qualquer falha de segurança é oportunidade para entrar na rede. Entre os vários ransomewares o mais conhecido é o WannaCry, que em 2017 atacou milhares de empresas à escala mundial.
“Apareceu na altura e há muitos derivados do Wannacry, mas há outros. Tem a ver com o padrão de ataque. Dependendo do padrão eles dão-lhe um nome. O Wannacry já não é um vírus mas sim um padrão de vírus”, explica Gonçalo Pratas.
Rato e Gato
Mas como uma pessoa ou instituição se protege destes ransomwares? Com antivírus?
“Dependente da capacidade e dos fabricantes dos antivírus, há os que conseguem detectar padrões mesmo que não conheçam o ataque especificamente. Conseguem identificar que eventualmente aquele e-mail já traz um ficheiro com ransomware”, explica o CTO.
Resolvido. Na verdade, nem sempre. Por norma, “os antivírus são reactivos, tem de haver um primeiro ataque para depois haverem as actualizações e as actualizações serem propagadas pelo mundo inteiro, os PCs receberem essa actualização e actualizarem-se a eles próprios”.
Os anti-vírus funcionam assim de forma semelhante aos anticorpos. “Se for um novo padrão e um novo vírus, não vão conseguir detectar”, diz, comparando com a actual situação sanitária: “Estamos a atravessar este estado de pandemia porque os nossos anticorpos nunca ‘viram’ este novo vírus”.
De qualquer modo a segurança não é feita só com antivírus. Deve-se ter, por exemplo, as versões dos sistemas operativos actualizadas. “A própria microsoft envia actualizações de segurança regularmente e essas actualizações de segurança limitam um pouco essas vulnerabilidades que existem”.
Só que nem sempre é fácil manter tudo actualizado. Dá trabalho, acarreta custos e tempo. Mas “Sistemas operativos antigos que não estão actualizados em algumas máquinas são as principais fontes de propagação”, alerta.
Assim, embora seja teoricamente possível, prevenir os ataques, principalmente numa organização grande “é complicado”.
Além disso, esta é sempre uma luta de rato e gato. Empresas de segurança, nos EUA, por exemplo, contratam hackers para atacar a rede e uma outra equipa para a defender.
Do lado do crime, há robots pela internet à procura de redes vulneráveis. “Assim que encontram uma rede vulnerável informam o hacker e o hacker ataca”.
E com o cibercrime cada vez mais sofisticado há inclusive empresas contratadas para fazer esse tipo de ataques “Andam meses a investigar a pessoa ou a entidade que querem atacar”.
“Normalmente os ataques direccionados são ataques terroristas, por exemplo nas redes das petrolíferas e empresas de grandes dimensão, ataques terroristas de países contra países...”
Entretanto, em termos de investigação, ao ser pedido um resgate há já uma identificação. “Há de ter um endereço de bitcoin para se fazer o pagamento. É seguir esse endereço, que terá de estar registado em algum sítio”, aponta.
Para o especialista pagar o resgate é sempre má ideia. O melhor, e é o que a empresa que co-fundou faz, é trabalhar com backups.
Por exemplo, “os nosso clientes normalmente têm backups na cloud com uma particularidade interessante que é controle de versões. A cada gravação que um utilizador faz é gravada uma nova versão. Portanto, quando há um ataque desse basta com um clique voltar a uma versão anterior”, revela.
Mesmo sem backups, para Gonçalo Pratas pagar não é uma boa opção. “Se pagamos, estamos a dar mais capacidade financeira a esses grupos, para eles ainda conseguirem melhorar as suas capacidades técnicas”, justifica.
Posto, e mais uma vez comparando com a pandemia do SARS-CoV-2 (que pelo aumento do uso da tecnologia veio aumentar também os ataques cibernéticos) , embora haja medidas de prevenção para os ataques cibernéticos, estas não são infalíveis.
“Podemos fazer tudo o que está ao nosso alcance para não nos infectarmos com o coronavírus, podemos usar máscara, lavar as mãos, usar álcool-gel, e nada nos garante que não vamos contrair covid-19, mas a probabilidade, se tomarmos estas precauções é menor. A mesma coisa com os vírus informáticos. Se nos protegermos ao máximo a probabilidade não é zero, mas é menor.”
________________________________________________
Carlos Reis Conselheiro Nacional de Segurança
“Isto há-de servir-nos para termos mais capacidade no futuro”
Este ataque à Rede Tecnológica Privada do Estado levanta questões de segurança importantes, porque podiam ter sido capturados dados sensíveis. Qual é o nível de preparação de Cabo Verde para este nível de ataques?
O país não é apenas a rede do Estado. Em toda a rede temos vários operadores que não fazem parte dessa rede. Cabo Verde é um país que tem de ter capacidade de responder sendo que temos, como países do mundo bem maiores e com mais capacidades, vulnerabilidades a ataques direccionados. Isto significa que não há sistemas impenetráveis, segurança absoluta. Nós temos de fazer o papel de reforçar as nossas instituições, os nossos sistemas, o nosso quadro legal para sermos cada vez mais capazes de responder rapidamente. O objectivo é sempre diminuir os danos que são provocados. Isto há-de servir-nos, posso garantir, para termos mais capacidade no futuro.
Um ataque não é propriamente uma novidade...
A novidade será a dimensão. Uma coisa é o meu computador, ou o de outra pessoa, da rede do Estado ser infectado. Outra, completamente diferente, é um ataque que possa chegar aos servidores onde estão dados de autenticação e isto justificar que se faça o shutdown dos serviços para preservarmos os equipamentos. Isto é completamente novo.
Isto mostra, também, que a nível de segurança a preocupação das autoridades já não se pode restringir apenas a questões de terrorismo ou o tráfico de droga. A segurança cibernética também deve ser uma das preocupações do governo.
Claro. Há uma estratégia nacional de ciber-segurança que está a ser implementada no sentido de uniformização normativa e de quadros regulamentares. Mas nos vários programas em que Cabo Verde procura apoio há uma componente muito presente no que respeita à segurança cibernética. A questão é que o que muda é a frequência com que se vai falar do assunto na comunicação social, na opinião pública para os cidadão em geral perceberem, se não o grau de vulnerabilidade, os riscos e as ameaças que daí decorrem.
Isto também é um alerta não só para o Estado mas para o utilizador privado.
As empresas, desde as micro às empresas maiores, hoje em dia, e cada vez mais foram recorrendo às clouds para armazenamento de dados, à transmissão de dados pela internet, ao comércio electrónico. Tudo o que a tecnologia nos disponibiliza em termos de nos podermos conectar sem estarmos presente e sem termos proximidade física significa maior eficiência mas cria uma vulnerabilidade. O desenvolvimento de uma cultura de ciber-segurança é muito importante. É um dos elementos mais importantes que teremos de desenvolver no futuro. Somos um país onde as pessoas têm aderido muito, e bem, às comunicações móveis e à internet, mas acho que ainda temos muito trabalho por fazer em termos de educação individual e comunitária em relação à ciber-segurança.
Texto originalmente publicado na edição impressa do Expresso das Ilhas nº 992 de 2 de Dezembro de 2020.