Tiago Pedrosa dirige o centro de competências de cibersegurança do IPB. A propósito dos mais recentes ataques informáticos. o Mensageiro procurou perceber as vulnerabilidades informáticas da região. O perigo pode andar no nosso bolso.
Mensageiro de Bragança: O que faz o Centro de Competências?
Tiago Pedrosa: Tenta dar apoio à comunidade interna e externa nas temáticas da cibersegurança, passando pela sensibilização, projetos de investigação e, principalmente, de transferência de tecnologia, em que existem cenários em que as pessoas precisam de um especialista próximo, não com ligação à indústria, que queira ‘impingir’ um produto, mas que seja possível, com esta proximidade, termos este tipo de discussões e encontrar sinergias com as empresas para se tornarem mais resilientes nesta era digital.
MB.: E têm tido solicitações?
TP.: As nossas solicitações têm sido mais de empresas de âmbito nacional e não tanto de âmbito local. Já tivemos alguma interação com a CIM (Comunidade Intermunicipal Terras de Trás-os-Montes), também com formação dada à Associação de Municípios da Terra Quente Transmontana e uma colaboração mais recente com o Hospital Terra Quente. Algumas pontuais com outras entidades como o Brigantia Ecopark e a ULS.
Isto requer muita confiança entre as pessoas e sempre que há mudança a nível hierárquico é preciso reconstruir essa confiança.
Também trabalhamos com a Altice Labs, a um nível de transferência de tecnologia e testes de intrusão, o que nos permite ter uma ideia da realidade e bastantes parceiros.
Temos um curso de especialização tecnológica em cibersegurança, em que os nossos alunos têm estagiado e ficam logo a trabalhar nas empresas, como a Multicert, a S21SEC, que é uma empresa de grande dimensão ibérica.
Também temos bastantes colaborações com o Centro Nacional de Cibersegurança.
Isto requer muita confiança entre as pessoas e sempre que há mudança a nível hierárquico é preciso reconstruir essa confiança.
Também trabalhamos com a Altice Labs, a um nível de transferência de tecnologia e testes de intrusão, o que nos permite ter uma ideia da realidade e bastantes parceiros.
Temos um curso de especialização tecnológica em cibersegurança, em que os nossos alunos têm estagiado e ficam logo a trabalhar nas empresas, como a Multicert, a S21SEC, que é uma empresa de grande dimensão ibérica.
Também temos bastantes colaborações com o Centro Nacional de Cibersegurança.
MB.: Este centro de competências é nacional ou de âmbito regional?
TP.: É interno, criado pelo Instituto Politécnico de Bragança. Tem uma estrutura bastante simples, com a ideia de funcionar como um agregador, um ‘chapéu’ dentro da instituição, permitindo que quer a comunidade interna e externa tenham este ponto de contacto privilegiado com o IPB para a temática da cibersegurança. Não tem um caráter de centro de investigação, é mais a ligação com a comunidade e transferência de tecnologia e conhecimento na área, seja interna, regional, nacional e inclusive internacional.
MB.: Como caracteriza a região em termos de segurança digital? É muito permeável?
TP.: Os ataques que têm existido têm dimensão global. As notícias recentes de ataques a grandes empresas a Portugal são reflexo do que acontece por essa Europa fora. Ainda há pouco mais de uma semana houve informações por parte das entidades europeias de que o que se vê de ataques a Portugal está na linha do que acontece na União Europeia.
O dano provocado por alguns deles é que foi maior do que os outros.
O dano provocado por alguns deles é que foi maior do que os outros.
MB.: Isso revela que as entidades portuguesas são mais permeáveis?
TP.: A resiliência poderá ser menor por um conjunto de situações. Quando falamos em cibersegurança falamos desde as pessoas até à tecnologia, na maneira de encarar a tecnologia.
Todos nós ensinamos as crianças a terem cuidado quando começam a ir à rua, a atravessar a passadeira, a interagir com o ambiente. E isso não acontece com a parte digital.
Cada vez mais, quem ataca, dirige-se às vulnerabilidades pessoais, para tentar tirar partido da fragilidade humana para os levar a fazer coisas que não devem fazer. Daí os emails a dizer que estamos à espera de uma encomenda que ficou na alfândega e temos de pagar um determinado valor... até podemos estar à espera, de facto, de uma encomenda mas acontece que, pessoas que não estão efetivamente à espera de nenhuma encomenda, até equacionam pagar...
Todos nós ensinamos as crianças a terem cuidado quando começam a ir à rua, a atravessar a passadeira, a interagir com o ambiente. E isso não acontece com a parte digital.
Cada vez mais, quem ataca, dirige-se às vulnerabilidades pessoais, para tentar tirar partido da fragilidade humana para os levar a fazer coisas que não devem fazer. Daí os emails a dizer que estamos à espera de uma encomenda que ficou na alfândega e temos de pagar um determinado valor... até podemos estar à espera, de facto, de uma encomenda mas acontece que, pessoas que não estão efetivamente à espera de nenhuma encomenda, até equacionam pagar...
MB.: Isso é um dos aspetos, uma fraude em que as pessoas são levadas a pagar por um produto ou serviço que não existe. Mas outro aspeto é o envio de links em que, clicando, acabam por abrir as portas da sua segurança informática, não é?
TP.: Há duas situações relacionadas com os links.
Muitas vezes redirecionam para uma página que parece ser a página real de forma a que os utilizadores coloquem informações que depois os atacantes possam usar mais tarde (passowrds, cartões de crédito, etc). Por exemplo, alguém que crie uma página parecida com o de uma loja conhecida, envia um link com um nome parecido e sou redirecionado para uma página onde coloco informações pessoais, como morada, número de contribuinte, ou seja, tudo o que é preciso para criar uma identidade falsa.
Por outro lado, o simples facto de aceder a algum site usando uma ferramenta com vulnerabilidades (telemóvel ou computador desatualizados, por exemplo), pode estar a ser explorado no momento de acesso.
Temos tido atualizações para diversos navegadores web porque era possível, remotamente, tirar partido das vulnerabilidades e infetar máquinas a partir dessa porta de entrada.
Depois, há o facto de ser tão fácil fazer tanta coisa. As pessoas são mais desconfiadas na vida real do que com uma coisa que recebem do outro lado do mundo de quem não conhecem.
Somos mais desconfiados se alguém nos oferecer alguma coisa na rua a um preço baixo do que se for pela internet.
Muitas vezes redirecionam para uma página que parece ser a página real de forma a que os utilizadores coloquem informações que depois os atacantes possam usar mais tarde (passowrds, cartões de crédito, etc). Por exemplo, alguém que crie uma página parecida com o de uma loja conhecida, envia um link com um nome parecido e sou redirecionado para uma página onde coloco informações pessoais, como morada, número de contribuinte, ou seja, tudo o que é preciso para criar uma identidade falsa.
Por outro lado, o simples facto de aceder a algum site usando uma ferramenta com vulnerabilidades (telemóvel ou computador desatualizados, por exemplo), pode estar a ser explorado no momento de acesso.
Temos tido atualizações para diversos navegadores web porque era possível, remotamente, tirar partido das vulnerabilidades e infetar máquinas a partir dessa porta de entrada.
Depois, há o facto de ser tão fácil fazer tanta coisa. As pessoas são mais desconfiadas na vida real do que com uma coisa que recebem do outro lado do mundo de quem não conhecem.
Somos mais desconfiados se alguém nos oferecer alguma coisa na rua a um preço baixo do que se for pela internet.
MB.: Como a questão da conhecida burla do príncipe da Nigéria...
TP.: Sim, essa é a mais conhecida. Mas também têm existido bastantes problemas com produtos contrafeitos. As pessoas já conseguem ter sensibilidade no mundo físico mas às vezes deparam-se com bons negócios na internet e vão parar a sites que parecem fidedignos mas não são e acabam por comprar mercadoria contrafeita, falsificada e fornecem ainda informações pessoais e de pagamentos.
MB.: Para evitar essas situações, o que se deve fazer?
TP.: Bem, depois de cair nelas, temos sempre a Polícia Judiciária. Deve apresentar-se queixa às autoridades pois a noção da realidade depende da quantidade de queixas que forem apresentadas para se ter a real noção do problema. Mas o fundamental, para as pessoas, é ter uma boa gestão das credenciais de acesso. As pessoas usam utilizador e password para tudo mas devemos ter a noção de que cada serviço deve ter a sua combinação diferente. Às vezes nem são as pessoas a fornecer as passwords. Temos tido fugas por ataques anteriores a um serviço usado. Os atacantes acedem a essa informação armazenada e, depois, vão tentar numa série de sítios usar aquelas credenciais.
Por isso, aconselho a não utilizar o endereço de email profissional para sites que não são de uso profissional. Se a fuga existir nesses serviços, os atacantes vão logo bater à empresa e tentar entrar e ganhar acesso dentro da infraestrutura das empresas.
Por outro lado, o inverso também é verdade. Deve haver uma distinção entre o profissional e o pessoal.
Devem garantir que utilizam sistemas atualizados e fidedignos porque o barato sai caro. Muitas coisas que existem online para as pessoas que não querem comprar o seu software de forma fidedigna são soluções que, muitas vezes, já vêm armadilhadas. Tudo tem um custo.
Por isso, devem escolher um bom fornecedor de software e hardware confiável. Também há soluções de open source, algumas sem custos, que também são aceitáveis. E aproveitar uma coisa que temos hoje em dia, que é a capacidade de formação online. Há muita oferta de cursos do Centro Nacional de Cibersegurança, desde ciberhigiene até às redes sociais. Há muita formação que vai fazer as pessoas olhar com outros olhos para a internet.
E é preciso saber que tudo o que entra na internet não é esquecido. As passwords devem ser mudadas regularmente porque, mais cedo ou mais tarde, vai existir a capacidade de alguém tirar partido disso.
Mudar regularmente para coisas que sejam fáceis de recordar.
As pessoas queixam-se da dificuldade de recordar as passwords mas o comprimento é que nos garante a complexidade e a fiabilidade delas.
Por isso, podemos pensar nelas de outra maneira, por exemplo, escrevendo frases, que têm uma complexidade maior por terem um número maior de carateres.
Uma boa gestão de passwords é fundamental. A chave-mestra deve ser uma frase passe para dar robustez.
Por isso, aconselho a não utilizar o endereço de email profissional para sites que não são de uso profissional. Se a fuga existir nesses serviços, os atacantes vão logo bater à empresa e tentar entrar e ganhar acesso dentro da infraestrutura das empresas.
Por outro lado, o inverso também é verdade. Deve haver uma distinção entre o profissional e o pessoal.
Devem garantir que utilizam sistemas atualizados e fidedignos porque o barato sai caro. Muitas coisas que existem online para as pessoas que não querem comprar o seu software de forma fidedigna são soluções que, muitas vezes, já vêm armadilhadas. Tudo tem um custo.
Por isso, devem escolher um bom fornecedor de software e hardware confiável. Também há soluções de open source, algumas sem custos, que também são aceitáveis. E aproveitar uma coisa que temos hoje em dia, que é a capacidade de formação online. Há muita oferta de cursos do Centro Nacional de Cibersegurança, desde ciberhigiene até às redes sociais. Há muita formação que vai fazer as pessoas olhar com outros olhos para a internet.
E é preciso saber que tudo o que entra na internet não é esquecido. As passwords devem ser mudadas regularmente porque, mais cedo ou mais tarde, vai existir a capacidade de alguém tirar partido disso.
Mudar regularmente para coisas que sejam fáceis de recordar.
As pessoas queixam-se da dificuldade de recordar as passwords mas o comprimento é que nos garante a complexidade e a fiabilidade delas.
Por isso, podemos pensar nelas de outra maneira, por exemplo, escrevendo frases, que têm uma complexidade maior por terem um número maior de carateres.
Uma boa gestão de passwords é fundamental. A chave-mestra deve ser uma frase passe para dar robustez.
MB.: Aqui na região, qual é a tipologia típica de ataques?
TP.: Não temos informação da região. Colaboramos com o Observatório Nacional que faz um relatório periódico. Acredito que não andemos longe da média.
Aqui na instituição fazemos a monitorização e cada vez há mais phishing e ataques do lado do cliente. Como as empresas apostam cada vez mais em reforçar a segurança, existe a tendência de quem ataque de investir contra o que parece mais fácil, que é cada vez mais o utilizador final.
A maior parte da percentagem de troca de emails é de phishing e de spam e não de comunicações efetivas. E quem diz emails diz os novos canais das redes sociais, que têm sido usados muito para isso. Cada vez mais aparecem ataques em multicanal. Por exemplo, nos bancos, já não aparecem só por email mas também por sms.
Depois, existe um conjunto de ataques que tem a ver com a falta de atualizações.
As pessoas compram algo e pensam que não precisam de atualizar mais.
Isso tem um pouco a ver com a indústria. As maiores empresas, com mais capacidade, começam a atualizar-se primeiro enquanto as mais pequenas estão mais focadas em desenvolver o seu negócio. Mas a cibersegurança é algo distintivo nesta altura. Se não garantirmos os mínimos, acabamos por deixar de ter a capacidade de gerar capital.
Capacitar passa por formação, que nós fazemos aqui, passa por um conjunto de linhas mestras que estão a ser criadas de capacidades mínimas que se pretendem para as instituições e por um esforço que, muitas vezes, só o surgimento das leis obriga a uma mudança de comportamentos da sociedade.
Existe uma grande dificuldade em mudar comportamentos. Uma coisa é saber que algo pode correr mal, outra é fazer alguma coisa para que esse mal não ocorra, e a acontecer que se minimizem os danos.
A mudança de comportamentos só surge, muitas vezes, pela mudança de lei.
Aqui na instituição fazemos a monitorização e cada vez há mais phishing e ataques do lado do cliente. Como as empresas apostam cada vez mais em reforçar a segurança, existe a tendência de quem ataque de investir contra o que parece mais fácil, que é cada vez mais o utilizador final.
A maior parte da percentagem de troca de emails é de phishing e de spam e não de comunicações efetivas. E quem diz emails diz os novos canais das redes sociais, que têm sido usados muito para isso. Cada vez mais aparecem ataques em multicanal. Por exemplo, nos bancos, já não aparecem só por email mas também por sms.
Depois, existe um conjunto de ataques que tem a ver com a falta de atualizações.
As pessoas compram algo e pensam que não precisam de atualizar mais.
Isso tem um pouco a ver com a indústria. As maiores empresas, com mais capacidade, começam a atualizar-se primeiro enquanto as mais pequenas estão mais focadas em desenvolver o seu negócio. Mas a cibersegurança é algo distintivo nesta altura. Se não garantirmos os mínimos, acabamos por deixar de ter a capacidade de gerar capital.
Capacitar passa por formação, que nós fazemos aqui, passa por um conjunto de linhas mestras que estão a ser criadas de capacidades mínimas que se pretendem para as instituições e por um esforço que, muitas vezes, só o surgimento das leis obriga a uma mudança de comportamentos da sociedade.
Existe uma grande dificuldade em mudar comportamentos. Uma coisa é saber que algo pode correr mal, outra é fazer alguma coisa para que esse mal não ocorra, e a acontecer que se minimizem os danos.
A mudança de comportamentos só surge, muitas vezes, pela mudança de lei.
MB.: Com o escalar de conflito na Ucrânia, teme-se um maior número de ataques provenientes da Rússia? O que se deve fazer por prevenção?
TP.: Quanto mais seguro for o meu sistema, mais segura é a internet.
Não é fácil dizer qual a origem de um ataque porque não são os sistemas de origem que são os responsáveis. Os atacantes usam sistemas de terceiros.
A interligação de sistemas que temos na internet permite que alguém passe por 20 terminais ou sistemas infetados e consiga camuflar bem a sua origem.
Por verificarmos que determinado endereço está associado a uma localização na Rússia não quer dizer que o ataque tenha vindo, originalmente, de lá.
O que é necessário é exigirmos um ciberespaço mais seguro, começando logo pelo que é nosso. Se tornar o meu espaço mais seguro e proteger os meus sistemas, haverá menos capacidade de lançar este tipo de ataques.
Se pensarmos em grupos organizados de criminosos, muitos usam os sistemas pessoais para este tipo de ataques como pedir dinheiro, colocar códigos para mineração de criptomoedas, por exemplo. Não estamos só a falar de Estados mas de um conjunto de atores com diferentes propósitos que ficam mais limitados na sua capacidade de passar despercebidos.
É importante que as pessoas percebem que se o seu telemóvel estiver infetado, é capacidade que estão a dar a um atacante, seja a possibilidade de guardar dados nos seus telemóveis, de utilizar a largura de banda para lançar um ataque a terceiros.
Por isso é que é muito importante os sistemas estarem atualizados, com capacidade de identificar software malicioso, para que o nosso computador ou telemóvel não seja utilizado para estes ataques.
Não é fácil dizer qual a origem de um ataque porque não são os sistemas de origem que são os responsáveis. Os atacantes usam sistemas de terceiros.
A interligação de sistemas que temos na internet permite que alguém passe por 20 terminais ou sistemas infetados e consiga camuflar bem a sua origem.
Por verificarmos que determinado endereço está associado a uma localização na Rússia não quer dizer que o ataque tenha vindo, originalmente, de lá.
O que é necessário é exigirmos um ciberespaço mais seguro, começando logo pelo que é nosso. Se tornar o meu espaço mais seguro e proteger os meus sistemas, haverá menos capacidade de lançar este tipo de ataques.
Se pensarmos em grupos organizados de criminosos, muitos usam os sistemas pessoais para este tipo de ataques como pedir dinheiro, colocar códigos para mineração de criptomoedas, por exemplo. Não estamos só a falar de Estados mas de um conjunto de atores com diferentes propósitos que ficam mais limitados na sua capacidade de passar despercebidos.
É importante que as pessoas percebem que se o seu telemóvel estiver infetado, é capacidade que estão a dar a um atacante, seja a possibilidade de guardar dados nos seus telemóveis, de utilizar a largura de banda para lançar um ataque a terceiros.
Por isso é que é muito importante os sistemas estarem atualizados, com capacidade de identificar software malicioso, para que o nosso computador ou telemóvel não seja utilizado para estes ataques.
MB.: Considera que a região está sensibilizada para este problema?
TP.: Tem havido alguns pedidos que, na medida do possível, temos atendido. Há outros mais específicos, ligados ao ensino, e estamos a tratar de fazer uma ação de sensibilização ao nível de gestão de topo.
Com o Centro Nacional de Cibersegurança (CNCS) também temos algumas ações definidas para arrancar com o retomar da normalidade, com ações de sensibilização para os cidadãos.
Também temos em linha por parte do Centro de Competências disseminar informação e segurança pela nossa região, abrindo portas a que quando tenhamos acesso a alguma informação importante para as empresas e instituições, sejamos um canal facilitador.
Para isso, precisamos de potenciar uma rede que já existe de outros projetos que temos com a comunidade. Tudo começa com a tomada de consciência e com a mudança de hábitos.
Com o Centro Nacional de Cibersegurança (CNCS) também temos algumas ações definidas para arrancar com o retomar da normalidade, com ações de sensibilização para os cidadãos.
Também temos em linha por parte do Centro de Competências disseminar informação e segurança pela nossa região, abrindo portas a que quando tenhamos acesso a alguma informação importante para as empresas e instituições, sejamos um canal facilitador.
Para isso, precisamos de potenciar uma rede que já existe de outros projetos que temos com a comunidade. Tudo começa com a tomada de consciência e com a mudança de hábitos.
MB.: O IPB é o único politécnico na Rede Nacional de CSIRT?
TP.: Sim. O CSIRT é uma equipa de resposta a incidentes de segurança informática. Normalmente, cada entidade tem de tratar dos seus incidentes. Dependendo do enquadramento legal, pode ser obrigada mesmo a ter uma equipa para isso, que pode ser interna ou externa. Estas equipas tentam analisar eventos, identificar incidentes e tentar resolvê-los o mais depressa possível com o menor dano.
Muitas vezes, os incidentes obrigam a que haja comunicação entre equipas. Por exemplo, algum sistema está a lançar um ataque à nossa infraestrutura e nós temos a necessidade de colaborar com a equipa da origem para descobrir o que se passa e resolver o problema.
Aqui é necessária uma coisa fundamental, que é a confiança dos atores.
A quem comunico têm de acreditar na idoneidade da minha equipa, que estamos a enviar informação credível.
Todos temos a ganhar com isso. É muito mais rápido resolver um incidente entre equipas de segurança. A origem tanto pode ser cá como na Rússia ou nos EUA.
Se as coisas não se resolvessem assim e tivéssemos de ir pelos canais judiciais, o tempo necessário para um entendimento e mitigar as situações, era muito longo. Passariam meses até se fazer alguma coisa.
Estas equipas dão resposta quase em tempo real. Aqui no IPB achámos que estávamos com maturidade suficiente, pois já pertencíamos à rede CSIRT académica, para pertencer à rede nacional e ter acesso a muitas mais equipas. É um selo de confiança e maturidade, que dá confiança às outras equipas quando têm de colaborar connosco.
Temos acesso a outro tipo de projetos que tentamos implementar na rede.
Uma colaboração mais ativa que vai desde as políticas, a procedimentos e boas práticas. Dentro da rede nacional estão os grandes operadores, pequenas e grandes empresas, empresas especializadas neste tipo de serviços, o próprio Centro Nacional de Cibersegurança.
É um reconhecimento de que estamos ao nível destas entidades.
Para além disso, permite que o IPB seja conhecido também ao nível mais prático, de mercado, e não só ao nível académico. Isso é que permite aos nossos alunos ir para empresas de referência na área.
Muitas vezes, os incidentes obrigam a que haja comunicação entre equipas. Por exemplo, algum sistema está a lançar um ataque à nossa infraestrutura e nós temos a necessidade de colaborar com a equipa da origem para descobrir o que se passa e resolver o problema.
Aqui é necessária uma coisa fundamental, que é a confiança dos atores.
A quem comunico têm de acreditar na idoneidade da minha equipa, que estamos a enviar informação credível.
Todos temos a ganhar com isso. É muito mais rápido resolver um incidente entre equipas de segurança. A origem tanto pode ser cá como na Rússia ou nos EUA.
Se as coisas não se resolvessem assim e tivéssemos de ir pelos canais judiciais, o tempo necessário para um entendimento e mitigar as situações, era muito longo. Passariam meses até se fazer alguma coisa.
Estas equipas dão resposta quase em tempo real. Aqui no IPB achámos que estávamos com maturidade suficiente, pois já pertencíamos à rede CSIRT académica, para pertencer à rede nacional e ter acesso a muitas mais equipas. É um selo de confiança e maturidade, que dá confiança às outras equipas quando têm de colaborar connosco.
Temos acesso a outro tipo de projetos que tentamos implementar na rede.
Uma colaboração mais ativa que vai desde as políticas, a procedimentos e boas práticas. Dentro da rede nacional estão os grandes operadores, pequenas e grandes empresas, empresas especializadas neste tipo de serviços, o próprio Centro Nacional de Cibersegurança.
É um reconhecimento de que estamos ao nível destas entidades.
Para além disso, permite que o IPB seja conhecido também ao nível mais prático, de mercado, e não só ao nível académico. Isso é que permite aos nossos alunos ir para empresas de referência na área.
António G. Rodrigues
Sem comentários:
Enviar um comentário