Subscrever
Perfil Perfil
Subscrever Código de Acesso

Olá,

Subscrever Código de Acesso

Para ler o Semanário e o Diário

Disponível na capa da revista E
Se ainda não tem acesso

para subscritores

Em Destaque

Expresso

Classificados

Siga-nos

© Expresso Impresa Publishing S.A.

HACKERS PORTUGUESES

Detidos porquê? (e sim, o perigo é real)

FOTO D.R.

FOTO D.R.

Megaoperação contra hackers portugueses resultou em 16 detidos esta quarta-feira. São suspeitos de atacar sites governamentais nos últimos meses. Comunicado da PJ refere que terão praticado DDoS, Defacing, acesso ilegítimo, e exfiltração de dados. Mas o que é isto? O que significa? A que dados podem ter acedido? Há motivos para alerta? Explicamos tudo

TEXTO HUGO SÉNECA, EXAME INFORMÁTICA

Qual a diferença entre um assalto a uma casa e um ataque a uma rede informática? No primeiro caso, o atacante tem de se deslocar à casa; no ciberataque, o malfeitor apenas tem de aceder à Net para desencadear a investida remotamente. Ambos os casos podem ser ruinosos para as vítimas – mas apesar da distância, que pode chegar a milhares de quilómetros de distância, o ciberataque até pode ser mais fácil de executar. Com a segunda fase da operação Caretos, a PJ e o Ministério Público dão resposta direta aos ciberataques que, alegadamente, foram levados a cabo no passado 25 de abril por hacktivistas do grupo Anonymous e que tiveram por alvo sites e rede informáticas de organismos públicos e de algumas das maiores empresas nacionais.

A primeira operação Caretos também foi desencadeada na sequência de ataques registados a 25 de abril de 2014. Segundo a PJ, a operação Caretos já conta com mais de 16 arguidos. Esta quarta-feira de manhã, os polícias e o Ministério Público fizeram buscas em 16 locais dispersos pelo país.

A segunda fase da Operação Caretos teve por objetivo a investigação de quatro práticas criminosas: DDoS, defacing, acesso ilegítimo e exfiltração de dados. Os quatro crimes estão há muito referenciados na comunidade da cibersegurança e são explicados neste texto por Mauro Silva, consultor do Centro Nacional de Cibersegurança (CNCS), e José Pina Miranda, pioneiro da Internet em Portugal. Em qualquer destes quatro ataques, o perigo é real e deverá ser encarado como algo com que os gestores de redes terão de aprender a viver: “Há ataques muito fáceis de fazer. Mesmo naqueles casos mais complexos, qualquer miúdo descarrega ferramentas na Net que permitem fazer estes ataques. Algumas ferramentas têm uma interface muito intuitivo; só é preciso meter lá o endereço da vítima e clicar no botão de ataque”, explica Mauro Silva.

DDoS

A forma de funcionamento do Distributed Denial of Service (DDoS) é simples: alguém mal intecionado tenta congestionar um servidor que suporta uma rede informática ou um site de uma empresa. Os mecanismos disponíveis são variados. Mauro Silva explica: “Recentemente, têm sido usados mecanismos de reflection que permitem lançar um ataque de DDoS através de outros servidores”. O perito do CNCS recorda que nos DDoS os hackers podem ainda recorrer a ferramentas de amplificação que aumentam o volume de dados das comunicações que um ou mais computadores transmitem quando se ligam a um servidor. “Há hackers que usam um número de IP (que identifica as ligações à Internet) dos servidores atacados. O que significa que o hacker lança um pedido ao servidor e o servidor envia a resposta a si próprio. Este tipo de ataques tenta tirar partido do facto de os pedidos enviados aos servidores geralmente exigirem mais informação que as questões.” José Pina Miranda recorda ainda a forma de garantir o congestionamento através de DDoS: “São necessárias muitas máquinas. E isso é possível através de redes de bots (computadores infetados que são controlados por terceiros que não os donos) ou máquinas que operam coordenadas”. José Pina Miranda admite que há mecanismos de defesa, mas também sublinha: “Um DDoS bem feito é quase impossível de evitar. O que não significa que o gestor da rede não tomou a medidas de segurança mais indicadas”.

Defacing

FOTO D.R.

FOTO D.R.

É o ataque que mais se presta a disseminação de mensagens políticas, apesar de, em muitos casos, não ir além da mera transfiguração gráfica de um site. “Consoante as tecnologias, há vários erros conhecidos que podem ser aproveitados para lançar ataques de defacing. Quem lança o ataque apenas tem de saber quais os servidores usados por sites ou aplicações pelas empresas ou organismos estatais e tentar descobrir quais as vulnerabilidades existentes nessas soluções. Se se andar a pesquisar na Internet, descobre-se facilmente servidores nestas condições. E não é só em empresas e organismos públicos portugueses. Também nos EUA há várias notícias de ataques de defacing.” Mauro Silva admite que o Defacing já pressupõe alguma falha no que toca à manutenção ou configuração de servidor: “O ataque pode incidir sobre a password de gestão do site, ou tirar partido da falta de atualizações da plataforma que suporta o site”.

Acesso Ilegítimo

É o mais velho crime da informática: alguém engana o sistema para poder aceder a serviços que lhe estavam vedados. O ataque tem por objetivo dar um acesso a um servidor, a uma base de dados, uma conta bancária, a uma aplicação ou um site. Para isso podem ser usadas várias técnicas. Mauro Silva recorda que há várias técnicas possíveis, mas destaca três como as mais usuais: “Obtenção de passwords, a vulnerabilidades relacionadas com a falta de atualizações e computadores infetados com códigos maliciosos (que criam as condições para a intrusão). Penso que a maioria dos casos se deve à falta de atualizações”. Excetuando o DDoS, os outros três ataques pressupõem diferentes níveis de acesso ilegítimo.

Exfiltração de Dados

FOTO D.R.

FOTO D.R.

Imagine que o hacker X ataca a rede informática da empresa Y para obter os dados dos clientes dessa empresa. No caso de ser bem-sucedido, terá levado a cabo uma exfiltração de dados. O método mais conhecido dá pelo nome de SQL Injection – um ataque que está classificado como uma falha muito grave. “Se os códigos de uma página Web estiverem mal escritos, podem permitir a inserção de códigos (no meio dos códigos que suportam o site) que vão permitir o acesso às bases de dados. Este tipo de ataques também pode ser feito através de computadores infetados, entre outras múltiplas opções”, descreve Mauro Silva. José Pina Miranda lembra que já há mecanismos que permitem alertar os gestores de uma rede para o facto de terem sido alvo de SQL Injection, mas também admite que ainda haja um ou outro caso de desleixo: “Há quem deixe os servidores com as passwords e credenciais de utilizador que vêm da marca que os produziu. Antigamente, quando não havia muita consciência dos riscos, acontecia muito isto”.