Não é uma hipotética questão de "vulnerabilidade". E também não é, afinal, o sistema informático da Presidência que está "vulnerável". É o do Governo - o CEGER, Centro de Gestão da Rede Informática, que regista e gere todos os domínios com o nome gov.pt.
O Expresso fez a experiência e testou a fragilidade do sistema, isto é, a susceptibilidade de "envenenamento" do nameserver (servidor de nomes). Testou e conseguiu. À segunda tentativa, descobriu uma "porta" por onde se pode entrar na rede. Anote-se: o gov.pt é o domínio de todas as estruturas governamentais, incluindo a do primeiro-ministro e da Presidência do Conselho de Ministros, todos os ministérios e até o gabinete do secretário-geral do Sistema de Informações da República, o SIRP! Para se ser mais rigoroso, são 138 as entidades que usam esse domínio, fazendo fé na lista que está publicada no sítio do CEGER na Internet.
A experiência foi muito simples e realizada nas instalações do Expresso, recorrendo a uma ferramenta que está disponível na própria Net. Se, tal como nota a avaliação feita pelo Projecto Nonius, o nível de segurança da Internet portuguesa (numa escala de 0 a 10, em cinco escalões) é de 3,9 (perigoso) e a do Estado em particular mais perigosa ainda (4,4), então é certo que não estão garantidas a privacidade, integridade e confidencialidade dos seus utilizadores. O caso piora por se tratar da rede do Governo, por onde passam os mails e documentos de toda a espécie, incluindo os reservados.
Não por acaso, o Nonius diz que 20 a 50% dos computadores do Estado não são seguros. O curioso é que o Expresso fez o mesmo teste ao sistema da Presidência (que tem um domínio diferente do do Governo) e não conseguiu entrar. Está bloqueado.
O teste
O teste consistiu em perceber até que ponto o nameserver do gov.pt (a cargo do CEGER, e cuja identificação na Internet é 193.47.185.3) pode ser enganado, ou seja, até que ponto se consegue fazer com que esse nameserver informe mal os seus utilizadores (neste caso, os computadores da rede do Governo). E pode! O teste terminou aqui porque a partir daí é crime.
Mas o caminho é simples: esperar que um computador "saia", consulte um site exterior, o google, por exemplo, que tem uma página simples de "falsificar" e por trás da qual se pode "esconder um intruso". Quando o utilizador faz uma pergunta ao google, à boleia da resposta, o intrometido (the man in the middle, como os informáticos lhe chamam) pode mandar mais alguma coisa, por exemplo um trojan. Este é um programa malicioso que depois de instalado comunica com o "mestre", podendo espiar ou manipular o computador onde reside. Não há antivírus que dê com ele. Melhor que isto só os hackers da trilogia Millennium de Stieg Larsson, cujo programa - nem de propósito - se chama Asphyxia.
É grave? "Muito grave", responde Paulo Cardoso do Amaral, professor da Católica e da Academia Militar em Gestão de Informação e Conhecimento de Intelligence. Mas também muito fácil de corrigir. Segundo diz, basta fazer a actualização do sistema que gere o nameserver, "uma coisa que se faz em minutos". Paulo Amaral afirma que esta fragilidade (o "DNS poisoning") já é conhecida há cerca de um ano, "mas que é tecnicamente tão complexa que só se torna útil quando há uma ferramenta que a explora". E se ele não conhece nenhuma, não quer dizer que não exista - até porque "boa percentagem dos servidores da Internet são atacáveis e quanto mais tempo passar, maior a probabilidade dela surgir".
Informado pelo Expresso, Jorge Lacão, o secretário de Estado que tutela o CEGER, mostrou-se perplexo e afirmou que, não obstante, "se tomam todas as providências adequadas para garantir a segurança do sistema de comunicações do Governo".
Antigos responsáveis da segurança afirmam que o risco de "ataque" é real, mas que o problema maior, como dizia o ex-director-adjunto do Serviço de Informações Estratégicas de Defesa (SIED), Dario Carreira, é "uma persistente falta de cultura de segurança. Qualquer rede de um Estado é sempre um alvo, seja de adversários internos ou externos, seja no campo da defesa, da economia, ou da política, tudo depende dos objectivos".
E se parte da nossa segurança tem residido no facto de não sermos um alvo, disse por sua vez o general Loureiro dos Santos, a verdade é que "a probabilidade de sermos atacados é tanto maior quanto maior for a percepção de que somos vulneráveis".
Nota da Presidência do Conselho de Ministros em reacção à notícia do Expresso
Face à notícia divulgada pelo jornal Expresso, sob o título "Conseguimos entrar na rede informática do Governo", a Presidência do Conselho de Ministros informa o seguinte:
1. Ao contrário do sugerido na referida notícia, não se verificou qualquer intrusão na Rede Informática do Governo. Com efeito, a Rede Informática do Governo é uma rede reservada que se encontra fortemente protegida de acessos externos pela Internet, estando os respectivos equipamentos informáticos sujeitos a rigorosos níveis de segurança e avançados instrumentos de protecção.
2. Da notícia do Expresso o que resulta é a constatação da possibilidade de eventual acesso apenas a uma zona de registo de nomes dos subdomínios "gov.pt", que são meros endereços para acesso a sítios da Internet, nos quais apenas residem conteúdos de divulgação pública.
3. Há, pois, que distinguir o sistema onde está hospedado o conjunto dos servidores Web geridos pelo Ceger (Centro de Gestão da Rede Informática do Governo), no qual se incluem os servidores que gerem os subdomínios "gov.pt", da Rede Informática do Governo propriamente dita. Nestas condições, qualquer informação que sugira a intrusão na Rede Informática do Governo é falsa.
4. A melhor prova da eficácia da segurança do sistema informático do Ceger é o facto de o sistema ser capaz de rejeitar regularmente numerosas tentativas de intrusão, as quais, aliás, se intensificaram significativamente nos últimos dias a níveis muito preocupantes e nunca antes verificados. Deve, em todo o caso, realçar-se que o sistema informático rejeitou, com sucesso, 12 tentativas graves de intrusão entre os dias 27 e 29 de Setembro, tendo esse número mais do que duplicado (32 tentativas graves de intrusão) entre os dias 30 de Setembro e 2 de Outubro.
5. O Ceger encetou, entretanto, as necessárias diligências tendo em vista detectar a origem das tentativas de intrusão, bem como a reavaliação dos mecanismos de prevenção disponíveis para contrariar a intensificação dos ataques informáticos, incluindo ao nível dos servidores que disponibilizam conteúdo de acesso público pela Internet.
6. Finalmente, informa-se que a Presidência do Conselho de Ministros não deixará, se necessário, de participar criminalmente contra os responsáveis pela prática de quaisquer actos ilícitos no domínio do cibercrime, ao abrigo das disposições legais aplicáveis.
Reprodução do comunicado publicado hoje (dia 3) no site da Presidência do Conselho de Ministros
Texto publicado na edição do Expresso de 3 de Outubro de 2009.
