A segurança informática é uma treta

Portugal ficou quase parado no que concerne ao sistema informático, ao nível de empresas, bancos, hospitais e obviamente de segurança geral. Os criminosos informáticos atacaram forte e feio. Começaram pela Impresa, a empresa proprietária do semanário Expresso e da SIC. Logo aqui, mostraram como um apagão informático pode prejudicar milhares de pessoas e provocar um prejuízo económico significativo.

Mas, logo de seguida veio o maior ataque. Algo de impensável numa multinacional de telecomunicações como a Vodafone. Cerca de cinco milhões de pessoas ficaram sem poder comunicar, não puderam telefonar, receber mensagens, trabalhar nos computadores ou ver televisão.

Foi um apagão fortíssimo que prejudicou de uma forma inacreditável a inactividade dos movimentos bancários, as comunicações oficiais entre polícias e militares, os contactos entre os membros do Governo ou mesmo o trabalho na Presidência da República. Foi um apagão gravíssimo, chocante e prejudicial que obrigou a própria Vodafone a mandar vir os melhores peritos em informática para paulatinamente ir reactivando o sistema.

Pergunta-se como é que uma companhia de tão grande importância como a Vodafone não tem um supersistema de segurança que contrarie estes ataques criminosos? Foram dois dias de desespero. O ciberataque à operadora ainda afectou os serviços importantíssimos dos Bombeiros, a rede Multibanco e o INEM que é um serviço de salva-vidas com as suas ambulâncias sem poderem movimentar-se devido à falta de comunicação com a central. E até aconteceu algo de caricato.

Imaginem a Polícia Judiciária a pretender investigar o ataque e ficou sem rede de telefones e sem poder funcionar, incluindo serviços de piquete, que servem de atendimento ao público e recebimento de queixas. Foi um ataque sem precedentes, nunca aconteceu um caso com tanto impacto, em tantos sistemas e de forma transversal e de uma dimensão inédita por ter afectado várias plataformas distintas, bloqueando os serviços de voz, SMS, dados e TV dos clientes. Todos os especialistas que contactámos concordaram num ponto: este foi um ataque inédito, que fica para a história, e com características que fogem às tendências relacionadas com a obtenção de resultados financeiros por parte dos atacantes, que normalmente avançam com pedidos de resgate para os dados cifrados.

Em vários países da Europa cada vez tem havido mais ataques informáticos, mas quase todos eles com o fim da obtenção de muito dinheiro. Tudo indica que se tratou de um ataque sofisticado, direccionado especificamente a vulnerabilidades estudadas na infraestrutura da Vodafone, de cariz terrorista, ou um ataque fortuito, de alguém que teve acesso a credenciais com privilégios elevados. É difícil de perceber para quem não está por dentro da investigação, mas os especialistas dizem que nenhum dos casos está fora de causa.

Este caso demonstra uma coisa, a questão não é se vamos ser atacados outra vez mas quando e que os ataques podem acontecer de forma sofisticada ou explorando uma vulnerabilidade em sistemas mais antigos. Este será o principal desafio a todo o segmento empresarial, com mais impacto no Estado. O que se pode concluir à partida, é que a segurança informática em Portugal é uma treta. Não estamos preparados tecnologicamente para enfrentar os criminosos informáticos e qualquer dia estamos um mês sem internet.

E os ciberataques não ficaram por aqui. O principal laboratório de análises clínicas, e não só, Germano de Sousa, viu igualmente atacado todo o sistema do grupo e o receio principal quedou-se na possibilidade de a intenção ter sido a caça aos milhares de dados dos clientes do grupo laboratorial. O ataque afectou o contacto com os postos de colheita para os testes covid-19. Foi cortada a informação com o grupo CUF e outros hospitais. Neste caso também não houve qualquer pedido de resgate. No entanto, continuamos a pensar que a maioria das grandes empresas e instituições não possui sistemas de segurança informática e, se for assim, podemos no futuro ter imensos dissabores.

Grande dissabor poderia ter sido uma tragédia que na semana passada o FBI dos EUA transmitiu à Polícia Judiciária portuguesa. Um jovem universitário de 18 anos, viciado há dois anos em vídeos de massacres em universidades, preparava-se para na passada sexta-feira levar a cabo um atentado terrorista na sua universidade lisboeta que poderia matar dezenas de colegas, segundo o imenso equipamento que foi descoberto em casa do jovem. Os pais e alunos do estabelecimento de ensino ficaram em estado de choque e alguns alunos não conseguiram deslocar-se para a universidade. Segurança, palavra indispensável que deve permanecer nas mentes de quem tem responsabilidade. A segurança das pessoas ou dos benefícios nas nossas vidas como as telecomunicações têm de ser vistos de forma diferente e, sem dúvida, as regras têm de ser alteradas e obrigar a criar novos sistemas de segurança para bem de todos os habitantes no planeta.

*Texto escrito com a antiga grafia

14 Fev 2022

Privacidade | Novo Macau atacada por hackers durante a campanha eleitoral

[dropcap style≠’circle’]J[/dropcap]ason Chao revela que as contas de email e redes sociais da Associação sofreram tentativas de ataques cibernéticos. O activista suspeita que os responsáveis o fizeram com cobertura do Governo Central. Antes de partir para a Europa, o membro da ANM deixou críticas ao sistema político de Macau

A Novo Macau, a maior associação pró-democracia da cidade, afirmou ontem ter sido alertada pela Google de que foi alvo de ciberataques “apoiados pelo Governo” durante a campanha eleitoral, ataques que cessaram depois das eleições de domingo.

“A Google alertou-nos que ‘hackers’ do Governo podiam estar a tentar roubar a nossa ‘password’. Todos estes ciberataques pararam um dia após as eleições. Acho que não é uma coincidência”, disse Jason Chao, membro da Associação Novo Macau (ANM), em conferência de imprensa.

Uma lista afiliada à ANM elegeu no domingo o mais jovem deputado da Assembleia Legislativa de Macau, Sulu Sou.

Jason Chao, que liderou a associação entre 2010 e 2014 e continuou desde então envolvido nas suas actividades, listou aqueles que considerou terem sido os maiores problemas durante a campanha, entre eles o ataque informático, não só aos emails dos candidatos e da associação, mas também às contas da rede social Facebook e de Telegram, uma plataforma de troca de mensagens.

No entanto, nestes dois últimos casos, as empresas apenas informaram que alguém estava a tentar entrar nas contas, sem referência a interferências governamentais.

“Provavelmente, as autoridades queriam conhecer as nossas actividades para melhor arquitectar campanhas difamatórias. Mas isto é apenas uma especulação minha. O que posso dizer ao público é que fomos informados pela Google de que fomos sujeitos a ataques por ‘hackers’ apoiados pelo Governo”, disse.

Em jeito de despedida

Na mensagem da Google, que Chao mostrou aos jornalistas, a empresa escreveu: “Existe a possibilidade de isto ser um falso alarme, mas detectámos que atacantes apoiados pelo Governo estão a tentar roubar a tua ‘password’. Isto acontece a menos de 0,1% dos utilizadores. Não podemos revelar o que nos alertou porque os atacantes podem reparar e mudar as suas tácticas, mas se forem bem-sucedidos, a certa altura podem aceder aos teus dados ou tomar outras acções usando a tua conta”.

Questionado sobre que Governo suspeitava estar pode trás dos ciberataques, o de Macau ou o da China, Chao apontou para o segundo. “Pelo que sei, o Governo de Macau não tem a capacidade de desenvolver tecnologia de ‘hacking’”, disse.

Jason Chao, de 30 anos e que desde 2005 tem vindo a dedicar-se ao activismo, deixa Macau no sábado com destino ao Reino Unido, para fazer um mestrado.

A partir de agora, disse, deixará de centrar o seu trabalho em Macau, mas pretende continuar a representar algumas organizações do território nas reuniões da ONU, quando for analisada a implementação de tratados internacionais.

Nos últimos 17 anos, Chao disse ter assistido a uma “deterioração generalizada da protecção dos direitos”.

“Quando falamos da política de Macau temos de ter a China em consideração. Nos últimos anos, os governos da China e de Hong Kong têm lutado contra o movimento de independência de Hong Kong ou outros que pretendem promover democracia. Torna a situação em Macau mais difícil”, disse.

“Objectivamente vemos que a polícia está muito interessada em reunir informação sobre activistas. Estamos sob vigilância e o Governo tem agora mais vontade de acusar os activistas”, comentou.

Por outro lado, Chao considera que a sociedade civil não “está a desenvolver-se bem”.

“Até que ponto é que os cidadãos valorizam a liberdade? Pensam os cidadãos que há necessidade de lutar por maior liberdade? Estas são as bases de uma sociedade civil saudável”, disse.

Tendo em conta estes dois factores, “o activismo em Macau é muito difícil”.

“Estamos só ligeiramente melhores que a China, pelo menos ainda temos Internet livre. Mas não sabemos quando é que vamos ter de começar a usa VPN [Virtual Proxy Network]. Desejo o melhor aos meus colegas em Macau”, concluiu.

22 Set 2017

Hackers contra Ashley

[dropcap style=’circle’]R[/dropcap]ecentemente, ou mais exactamente no dia 20 de Agosto, o periódico “South China Morning Post” de Hong Kong publicou uma peça relativa ao website “Ashley Madison”, propriedade da companhia “Avid Life Media”. De acordo com a “wikipedia”, este site tornou-se famoso pois “Ashley Madison, apesar de sedeado no Canadá, fornece um serviço online de procura de parceiros sexuais em todo o mundo, assim como a possibilidade de promoção individual através desta rede social, mas destinado a pessoas que estão ou casadas ou que se encontram envolvidas numa relação séria. O slogan utilizado pela empresa chega mesmo a recomendar ‘A vida é curta, desfrute de uma infidelidade’.
Até Julho de 2015, o site registava mais de 37 milhões de utilizadores, apesar de na Ásia, só se encontrar disponível para residentes de Hong Kong, Israel, Japão, Filipinas, Taiwan, Coreia do Sul e Índia.
Além disso, a “wikipedia” acrescenta ainda que “no dia 15 de Julho de 2015, o site foi atacado por uma equipa de hackers, ou piratas cibernéticos, que se auto-denomina ‘The Impact Team’. Estes indivíduos afirmaram ter roubado a informação pessoal dos utilizadores deste site, e ameaçaram divulgar esta informação, onde se pode encontrar o nome verdadeiro dos utilizadores, caso o site não fosse imediatamente encerrado. Devido à política do site de não apagar a informação pessoal dos utilizadores, incluindo o nome verdadeiro, moradas, detalhes bancários e historial de busca, muitos dos utilizadores recearam vir a ser humilhados em público. No dia 22 de Julho, e conforme havia sido anunciado, os primeiros nomes de utilizadores foram divulgado, ficando prometido divulgar o resto da informação no dia 18 de Agosto.”American Beauty
O que fica por esclarecer é, o que levou este grupo a atacar o site “Ashley Madison”? A resposta pode talvez ser obtida através da análise de posts colocados em “menclub.hk”, que se julgam ser da autoria do mesmo colectivo. Aqui podia-se ler “a Avid Life Media (ALM) não cumpriu a promessa de encerrar tanto o Ashley Madison como o ‘Established Men’ (outro site do género que se especializa em ajudar jovens mulheres a encontrar homens já estabelecidos na vida). Já explicamos o fraude, a mentira e a estupidez da ALM e de todos os seus membros. Agora todos vão poder saber quem estes são na realidade.”
Será possível que algum dos vossos contactos íntimos esteja incluído neste grupo? Não nos podemos esquecer que este site é fraudulento, pois milhares dos seus perfis de mulheres são fictícios. De acordo com processos legais contra si erguidos, podemos concluir que de 90% a 95% dos seus utilizadores são do sexo masculino. O mais provável é que quem tiver se inscrito neste site julgava tratar-se da maior base de dados a nível mundial destinada a facilitar o adultério, porém tal situação não deve sequer ter sido alguma vez realidade.
Os comentários dos hackers acrescentavam ainda “você está aqui inscrito? Foi a ALM que vos deixou mal e que vos enganou. Levem-nos a tribunal e peçam uma compensação financeira. Depois sigam com as vossas vidas. Que esta experiência vos sirva de lição. Agora podem se sentir envergonhados, mas hão de superar este obstáculo.”
Devido à recusa em encerrar o “Ashley Madison”, um total de 9.7 GB de dados pessoais de clientes foram tornados públicos. Só de Hong Kong registaram-se no site 10 mil clientes individuais, tendo alguns destes fornecido o seu email profissional para contacto. E, através destes endereços electrónicos, podemos depreender que muitos trabalham na função pública e no departamento de educação, encontrando-se inclusive entre estes um repórter de uma das maiores cadeias televisivas do território.
Este ataque informático originou muitos comentários por parte dos cibernautas locais, tendo muitos deles optado por gozar com a situação. Um dizia, por exemplo, “que o caso Ashley Madison é uma excelente forma de me relembrar para usar o nome do meu sogro sempre que me inscrevo num site através da internet”. Outro notava que “hoje, os advogados de divórcio, os floristas e os proprietários de joalharias devem ter ganho a lotaria”, visto serem estas as opções normalmente disponíveis para aqueles que são acusados de adultério. Ou “se receberem flores hoje mas esta data não coincidir nem com a sua data de nascimento nem com a data em que conheceram o seu amante, é melhor telefonarem para os vossos advogados”. E, se uns admitiam a impossibilidade de traírem as suas mulheres com “eu não preciso do site da Ashley Madison, pois já disponho do Netflix” (um site de filmes), outros afirmavam talvez já ter ouvido falar do site, “este Ashley Madison é um sítio para descobrir nomes de bebés, certo? No mínimo, era isso que a minha mulher dizia quando estava grávida com a minha filha Tinder” (outro site para conhecer pessoas) ou “temos que contratar os tipos da Ashley Madison para nos ajudar a encontrar ISIS”.
Mas não vamos nos deixar levar apenas pelo cómico da situação, pois o caso “Ashley Madison” merece algumas sérias considerações.[quote_box_left]Esperamos no mínimo que o caso “Ashley Madison” nos ajude a compreender que, caso alguém seja apanhado a trair o seu marido ou mulher, a sua vida será certamente prejudicada e não enriquecida, como promovia o site com o seu já famoso slogan[/quote_box_left]
Primeiro, não nos podemos esquecer que o “Ashley Madison” serve de plataforma para que pessoas casadas possam trair os seus conjugues. Como os conceitos de lei e de moralidade variam de região para região, o negócio deste site pode porventura estar a quebrar a lei em alguns destes locais, ou no mínimo a lei moral. Em Hong Kong, por exemplo, o Governo concedeu uma licença de operação ao “Ashley Madison” em 2013, mas em Singapura, a Media Development Authority anunciou em 2014 não autorizar este serviço na cidade-estado, tendo em conta que o mesmo promovia o adultério e ia contra os valores familiares tradicionais.
As consequências de quebrar a lei são diferentes daquelas a que estão sujeitas os que quebram os ideais morais. Aqueles que quebrarem a lei estão sujeitos a sentenças obrigatórias como penalidade, podendo mesmo vir a enfrentar tempo de prisão, mas a violação dos ideais morais acarreta apenas a crítica da população, podendo nestes casos os arguidos ser obrigados a contrair o divórcio, por exemplo.
Em segundo lugar, os responsáveis por este ataque cibernético violaram com certeza a lei criminal ou no mínimo as leis que regem o ciberespaço, pois acederam aos dados pessoais dos utilizadores. Ao mesmo tempo, violaram o direito à privacidade destes utilizadores, pois os seus dados pessoais foram feitos acessíveis a toda a população. Mas podemos sempre defender que estes hackers pretendiam combater este apelo à infidelidade como forma de evitar o divórcio de muitos casais e assim manter essas famílias intactas, certo? Nesse caso, será que tinham razão ao decidir atacar este site?
Em terceiro lugar, como os hackers tornaram público o número imenso de perfis de mulheres que eram fictícios, será que estes devem ser acusados de ter quebrado a lei ou então aplaudidos por defender os interesses do consumidor?
Tendo em conta todas estas considerações, o que acham então os nossos leitores? Este ataque foi benéfico para a sociedade ou, pelo contrário, foi meramente um acto de vandalismo que deve ser punido de acordo com a lei?
Esperamos no mínimo que o caso “Ashley Madison” nos ajude a compreender que, caso alguém seja apanhado a trair o seu marido ou mulher, a sua vida será certamente prejudicada e não enriquecida, como promovia o site com o seu já famoso slogan.

24 Ago 2015

Wikileaks | Novo Macau exige investigação do Ministério Público

A Associação Novo Macau quer que o Ministério Público investigue a alegada intenção de aquisição por parte do CCAC e da PJ de um sistema de controlo de telecomunicações. Jason Chao acredita que a Associação é o principal alvo. CCAC não comenta. PJ diz que não possui o software

[dropcap style=’circle’]I[/dropcap]p Son Sang, Procurador do Ministério Público (MP) da RAEM, recebeu ontem à tarde documentos do website Wikileaks das mãos da Associação Novo Macau (ANM), para que leve a cabo uma investigação. Em causa estão os emails revelados pelo projecto de Julian Assange, que mostram que o Comissariado contra a Corrupção (CCAC) e a Polícia Judiciária (PJ) mantiveram contactos com a empresa italiana Hacking Team no sentido de adquirir um software que permite controlar todas as formas de comunicação através da internet.
O caso foi noticiado ontem pelo jornal Ponto Final, sendo que em Hong Kong a entidade homóloga do CCAC terá mantido conversações semelhantes, segundo o South China Morning Post.
Jason Chao, membro da direcção da ANM, garante que o caso é “preocupante”, pois visa controlar “cidadãos, jornalistas e activistas” e viola normas que constam no Código Penal e no artigo “ilegítima intercepção de dados informáticos”, da lei que combate o crime informático.
“As capacidades do sistema vão além dos métodos legais de investigação. Então porque é que a PJ tem vindo a desenvolver conversações no sentido de adquirir o sistema? Trata-se de algo ofensivo e intrusivo e claramente não é permitido no âmbito das leis de Macau”, começa por dizer. “Vamos entregar materiais ao Procurador para que leve a cabo uma investigação sobre a utilização deste sistema por parte da PJ. Descobrimos que o CCAC também teve contactos, mas não há documentos que revelem a aquisição do sistema”, acrescentou o activista.
Jason Chao diz acreditar que a aquisição deste software visa controlar as actividades e contactos da ANM. “Não posso rejeitar essa possibilidade [da Novo Macau ser um dos alvos]. O que dizemos ao público é baseado com os documentos que vemos no Wikileaks. Não temos provas, mas não posso recusar essa possibilidade. Pessoalmente acredito nisso.”
Apesar do pedido, a Novo Macau não acredita que o MP possa desenvolver uma investigação isenta. “Segundo a minha experiência, não espero [uma investigação independente]. Claro que esperamos sempre que o MP olhe para esta questão de forma parcial.”
Depois deste pedido de investigação, os membros da direcção da ANM vão testar os seus telemóveis. “Se encontrarmos uma empresa de confiança vamos bloquear os telefones, caso estejam a ser espiados”, disse Jason Chao.

CCAC atento, mas não comenta

Entretanto o CCAC já reagiu às notícias através de um comunicado, onde diz estar atento às últimas novidades no que diz respeito à tecnologia utilizada para combater o crime, não comentando uma eventual aquisição.
“Para exercer as suas competências na investigação criminal de forma legal e eficaz, todos os meios e técnicas adoptadas nas diligências do CCAC são de natureza confidencial. Pelo exposto, o CCAC não vai comentar ou responder a perguntas relativas aos métodos concretos adoptados na sua investigação.”
A entidade liderada por André Cheong refere ainda que “o CCAC tem de conhecer e entender a evolução das tecnologias na perspectiva da investigação e da contra-investigação”, sendo que “todos os meios e diligências de investigação adoptados estão em rigorosa conformidade com a lei, sobretudo com o disposto nos Códigos Penal, Código de Processo Penal e Lei de combate à criminalidade informática”.
O HM contactou ainda a PJ, mas apenas nos foi garantido que, até ao momento, a PJ ainda não adquiriu nenhum software. Em comunicado, a PJ referiu ainda que “todos os trabalhos de detenção são executados de acordo com as leis e supervisionados pelos órgãos judiciais. No que diz respeito à monitorização de telecomunicações para investigação, esta deve ser aprovada pelo juiz”. À semelhança do CCAC, a PJ referiu que “precisa de consolidar os conhecimentos sobre novas tecnologias” no combate ao crime.
Segundo os emails citados pelo Ponto Final, elementos do CCAC terão estado reunidos com responsáveis da empresa italiana em Outubro de 2013, em Singapura, para conhecer a tecnologia RCS (Remote Control System), que permite controlar qualquer tipo de comunicação via online, seja de telemóvel, skype ou emails, entre outros. Representantes da Hacking Team terão estado em Macau a pedido do CCAC para outra acção de demonstração também em 2013. Os emails revelam que o CCAC terá interesse em controlar os smartphones e pediu a máxima confidencialidade sobre o assunto.

17 Jul 2015