O mais recente caso envolve a CIA e poderá constituir a maior fuga de documentação da história dos serviços secretos norte-americanos.
A organização WikiLeaks expôs uma série de métodos e procedimentos utilizados pela Agência Central de Informações nas suas atividades de espionagem por todo o mundo.
Através de ferramentas informáticas, a CIA é capaz de realizar escutas em praticamente qualquer aparelho eletrónico, sejam telemóveis de última geração, computadores ou televisores que ligados à Internet.
Para o especialista Pedro Queirós, a situação "devia ser mais controlada". Contudo, serve para lançar uma discussão à esfera pública. "Será que este tipo de armas cibernéticas, que estão ao alcance das agências governamentais e não só, precisam de algum tipo de regulamentação, como as armas cinéticas, que são normalmente utilizadas no campo de batalha?".
O que pensa deste caso em particular, divulgado pela WikiLeaks?
A divulgação dos dados da WikiLeaks vem confirmar algumas das suspeitas que já existiam na nossa área, de que realmente existem empresas e agências governamentais que utilizam métodos mais ou menos maliciosos para intercetar as comunicações, seja para questões de segurança nacional seja para questões de espionagem, etc.
Estes documentos vêm revelar alguns dos métodos e das ferramentas que estas agências governamentais, nomeadamente a CIA, utilizam para atacar computadores, dispositivos e mesmo pessoas para obter informações em prol das suas investigações. No fundo eles não fazem nada mais do que aquilo que os atacantes maliciosos fazem. Utilizam ferramentas e código malicioso que permitem explorar vulnerabilidades que existem nos dispositivos: telemóvel, televisão e outros aparelhos que são utilizados mais a nível empresarial, como os routers ou os switches.
De facto a utilização deste tipo de vulnerabilidades por parte de agências governamentais devia ser mais controlada. Uma das grandes questões que se levanta e até porque a Administração Obama comprometeu-se a divulgar aos fabricantes as vulnerabilidades que fossem detetadas nos equipamentos, estou a pensar no caso da Apple ou da Cisco, que são empresas americanas, para que pudessem corrigir essas vulnerabilidades.
Ao não fazê-lo, para de alguma forma tomar partido delas, para poder espiar ou fazer outro tipo de ações sobre os equipamentos que estão infetados, estão também a permitir que o resto do mundo o faça, ou seja, essas vulnerabilidades que estavam na mão da CIA e das empresas subcontratadas poderão estar na mão de atacantes de Estados, como a Rússia, a China ou mesmo grupos isolados, ligados ao cibercrime que podem utilizar essas mesmas vulnerabilidades que a CIA e as agências usam para entrar no telemóvel e nos dispositivos das pessoas e recolher informação e fazer coisas não tão boas, como supostamente as agências governamentais fazem.
Como é que se entra num televisor ou num telemóvel de um cidadão?
No fundo o que aconteceu, por exemplo, no caso que foi divulgado agora na WikiLeaks relativamente à smart TV da Samsung, em que supostamente a CIA tem acesso a um código que permite “desligar” a televisão mas manter as webcams e os microfones que estas smart tv têm ligados e escutar o que se passa à sua volta. No fundo atuando como um microfone ou um aparelho de videovigilância remoto.“Programaram o dispositivo para não dar a indicação de que a webcam ou o microfone estavam ligados, ou seja, as pessoas estavam a ser vigiadas a pensar que a televisão estava desligada e que não tinham qualquer problema”.
Para fazer isso, este pedaço de código a que a CIA teve acesso, basicamente, o que acontecia é que o código era inserido numa pen USB que era depois introduzida fisicamente na televisão e corria um código em que basicamente dava acesso aos servidores da CIA, de aceder a essas televisões individualmente ou desligar o microfone e a webcam. Uma das notas deste tipo de ataques é que ao fazê-lo, programaram o dispositivo para não dar a indicação de que a webcam ou o microfone estavam ligados, ou seja, as pessoas estavam a ser vigiadas a pensar que a televisão estava desligada e que não tinham qualquer problema.
No caso dos smartphones, toda a informação que veio agora ser revelada indica que os ataques eram feitos aos sistemas operativos dos smartphones e não às aplicações ou à encriptação das mensagens. Isto é um aspeto muito importante porque as pessoas poderão confundir a segurança das aplicações que estão a usar com a segurança do sistema operativo onde essas aplicações correm.
De facto, a encriptação utilizada por essas aplicações continua a ser segura, pelo menos que se saiba, e as mensagens que são encriptadas e quando vão em trânsito, ou seja, do telemóvel da pessoa A para a pessoa B, pelo meio ninguém consegue decifrar essas mensagens.
Na realidade, este ataque o que faz é a partir de vulnerabilidades que existem no próprio sistema operativo do smartphone ou do computador da pessoa, eles conseguem intercetar as mensagens antes destas serem encriptadas, ou seja, a mensagem antes de ser decifrada para ser enviada da pessoa A para pessoa B é capturada por um pedaço de código da CIA, neste caso, e é enviada para os centros da CIA antes da informação ser decifrada.
Na realidade a CIA não está a quebrar a encriptação das mensagens, está apenas a capturá-las antes de estas serem encriptadas. Para fazer isto eles usam vários métodos. Isto leva-nos a reforçar a ideia de as pessoas terem um bocadinho mais de atenção e mais cuidado com as aplicações que instalam no telemóvel.
Como por exemplo?
Estou a pensar em pessoas que às vezes estão a aceder a uma página, veem um pop up qualquer duma aplicação que até os amigos jogam e carregam para fazer o download de uma loja que não a Apple Store ou o Google Play e instalam a aplicação no telemóvel.
Ao fazer isso, a aplicação vai ter acesso ao telemóvel e vai ter acesso à possibilidade de executar código que explora as vulnerabilidades. A partir do momento em que a aplicação está instalada, e que pode correr código no telemóvel da pessoa que está infetada, pode capturar as mensagens antes destas serem decifradas e enviá-las para servidores, seja da CIA ou de qualquer outra pessoa que tenha acesso a este tipo de código malicioso.
Os pops ups são um exemplo mas de facto também têm vindo a ser analisadas as aplicações que constam dessas lojas e infelizmente foram descobertas vulnerabilidades e código malicioso em aplicações que estão disponíveis na Apple Store e na Google Play.
“A partir do momento em que a aplicação está instalada e que pode correr código no telemóvel da pessoa que está infetada, pode capturar as mensagens antes de estas serem decifradas e enviá-las para servidores”.
Eu não quero alarmar ninguém, mas de facto temos de ter cada vez mais cuidado com o tipo de aplicações que instalamos. No entanto, este tipo de vulnerabilidades já são exploradas em aplicações que estão disponíveis em sítios oficiais.
Não existe aqui uma receita mágica a não ser usar o bom senso e ter cuidado com o tipo de permissões que as aplicações estão a pedir no nosso dispositivo. Além disso devemos tratar os nossos dispositivos como tratamos, por exemplo, o nosso cartão de crédito.
Nós se calhar não damos acesso físico ao nosso cartão de crédito a qualquer pessoa, nem damos o código do nosso cartão de crédito a qualquer pessoa. Temos que tratar esses dispositivos como uma fonte de informação valiosa para pessoas que possivelmente nos queiram atacar ou à nossa instituição.
A primeira reação de pessoas, não tão técnicas, com quem eu falo dizem: mas eu não tenho a esconder, eu não tenho nada no meu computador que me ponha em causa, portanto, não há problema nenhum. Mas quando falamos do acesso ao homebanking através desse computador, essa informação é privada e dá acesso a uma parte da vida que se calhar não queremos que esteja disponível para o exterior ou para qualquer pessoa que possa fazer coisas erradas com isso.
Aí as pessoas começam a pensar e a encarar os dispositivos de outra forma. São fontes de informação valiosa para os atacantes que poderão não parecer à partida. Estou a falar, por exemplo, de códigos de acesso a VPN’s empresariais, a códigos de acesso ao nosso homebanking, informação pessoal que possa revelar padrões de utilização. Estou a pensar, por exemplo, em compras online.
Todo esse tipo de informação poderá ser manipulada de alguma forma para nos prejudicar ou então para serem usadas noutro tipo de ataques e que depois nos possam por a nós em causa.
Na sua opinião, em que é que este caso se vai transformar?
Relativamente ao caso da WikiLeaks e da CIA sem dúvida que nas próximas semanas e até nos próximos meses, todos os documentos que foram divulgados vão ser analisados e escrutinados por especialistas nas várias matérias e até pelas empresas que lá estão mencionadas.
Apple, Google e fabricantes de antivírus já começaram a lançar alertas e a tentar assegurar aos seus clientes de que muitas das suas vulnerabilidades já foram corrigidas noutras versões. Portanto, aqui também existe uma componente muito forte de ataque à imagem das empresas que estão afetadas.“Será que este tipo de armas cibernéticas precisa de algum tipo de regulamentação, como por exemplo, as armas cinéticas, que são normalmente utilizadas no campo de batalha?”
Isto também vai servir para lançar na esfera pública e política a discussão sobre este tipo de temas, ou seja, será que este tipo de armas cibernéticas que estão ao alcance das agências governamentais e não só precisa de algum tipo de regulamentação, como por exemplo, as armas cinéticas, que são normalmente utilizadas no campo de batalha, como as armas nucleares, etc.?
Será que vamos necessitar de um maior escrutínio do tipo das aplicações que utilizamos no dia-a-dia? Será que os fabricantes vão estar obrigados a respeitar medidas de segurança mais restritas quando quiserem disponibilizar software que é utilizado não só a nível pessoal mas a nível profissional?
Eu penso que este caso em particular da CIA, da Wikileaks e outros que têm sido divulgados nos últimos tempos vão servir para alimentar esta discussão e para trazer também aqui alguma luz e alguns esclarecimentos para o público em geral.“Tal como uma arma cinética, uma bomba nuclear, temos que pensar que o seu uso poderá causar danos em coisas que se calhar nós não estávamos a pensar que fossem afetadas”.
Para já não existe nenhuma regulamentação ao nível da utilização deste tipo de código malicioso em âmbito governamental ou outro. Se fizermos uma análise crua e fria sobre o tema, é claro que as agências governamentais conhecem este tipo de falhas nos dispositivos e no software e utilizam-nas a seu favor, seja para espiar outros Estados seja para se defenderem de ataques de outros Estados.
Temos que pensar que isto pode ser utilizado para fazer a espionagem industrial e para dar vantagem económica a um Estado sobre o outro. Existem várias ramificações das consequências da utilização deste tipo de código.
Tal como uma arma cinética, uma bomba nuclear, temos que pensar que o seu uso poderá causar danos em coisas que se calhar nós não estávamos a pensar que fossem afetadas pelo uso dessas armas.
De facto hoje em dia essa discussão não existe ou pelo menos não é muito pública, mas a esperança é que de facto estes sistemas sejam trazidos para a luz do dia e sejam discutidos por especialistas na área nas empresas que estão envolvidas ou do Governo.
O objetivo é todos chegarem a um entendimento como melhor nos defendermos deste tipo de ameaças e de como possivelmente este tipo de armas poderá ou não ser usado em caso de guerra contra outros Estados ou outras entidades.
E em relação à segurança em geral?
As pessoas têm tido cada vez mais informação e as empresas e os bancos também têm feito um esforço para alertar as pessoas dos perigos da utilização da informação na internet. Existem várias entidades portuguesas que também trabalham neste sentido, nomeadamente, até para começar a falar destes temas no público mais jovem. “Existe aqui uma falta de consciência do tipo de informação que colocamos hoje em dia na internet e na forma como essa informação pode ser utilizada contra nós”.
Hoje em dia, todos os jovens usam a internet e as redes sociais mas de uma forma indiscriminada e muitas vezes não controlada, o que poderá causar danos na sua vida pessoal que muitas vezes as pessoas não estão à espera.
Se eu pensar num jovem na faixa etária dos 12/16 anos, que coloca coisas na sua página do Facebook, coisas públicas, possivelmente, o jovem não está a pensar que daqui a dois, três, quatro, cinco anos quando for para o mercado de trabalho, essa informação vai continuar pública e vai poder ser acedida pela empresa que o está a contratar. Existe aqui uma falta de consciência do tipo de informação que colocamos hoje em dia na internet e na forma como essa informação pode ser utilizada contra nós.
Hoje em dia já se faz muita coisa para proteger as empresas e os indivíduos contra esse tipo de ataques mas é pouco, sinceramente. Na minha opinião é preciso fazer mais, é preciso recorrer a empresas especializadas da área para fazer análises de segurança, para fazer um estudo do nível de maturidade da segurança e da cibersegurança da empresa.
É impossível garantir a 100 por cento a segurança dos indivíduos e dos dispositivos na internet. Isto é uma área que evolui muito rapidamente todos os dias. Cada vez mais são descobertas novas vulnerabilidades. Cada vez que instalamos uma nova aplicação no nosso computador, no nosso smartphone, estamos a introduzir novo código que pode ser explorado por outras pessoas. Temos que ter esta consciência de que nunca estaremos 100 por cento protegidos contra todas as ameaças.
Isto é assustador.
É. É assustador porque de facto as pessoas muitas vezes não têm sequer noção de que a informação que têm nos seus dispositivos pode ser utilizada contra elas ou contra outras pessoas. Por exemplo, o método que a CIA utiliza para desenvolver algum deste malware, algum deste software que depois é instalado para fazer coisas maliciosas nos dispositivos, é instalado de uma forma que dá a entender que foi desenvolvido por outra pessoa ou por outro Estado.
“Método é instalado de uma forma que dá a entender que foi desenvolvido por outra pessoa ou por outro Estado”.
No caso do WikiLeaks, o exemplo que eles dão é a Rússia, o que nos leva a pensar no caso mais recente em que a Rússia foi identificada como sendo uma das responsáveis pelo ataque ao email do Partido Democrático. Será que realmente foi a Rússia? Será que não foi outra entidade que tinha acesso a esse código e que agora a atribuição é feita à Rússia?
Há aqui uma envolvente geopolítica que também não pode ser ignorada mas no fundo a mensagem que deve passar para o público em geral é que devemos ter sempre muito cuidado na forma como utilizamos os dispositivos, na informação que colocamos lá dentro porque nunca podemos estar 100 por cento seguros de que essa informação não vai hoje, amanhã ou daqui a uma semana poder ser acedida por terceiros devido a uma vulnerabilidade que, entretanto, foi descoberta.