Quando se fala de ciberespionagem, há uma certeza e uma dúvida ominpresentes. A certeza: a ciberespionagem só é descoberta quando o mal já está feito. A dúvida: raramente se sabe, por via oficial, a origem dos ataques. No dia-a-dia, os especialistas portugueses também se debatem com o mesmo tipo de dúvidas e certezas: «Nos últimos cinco anos, já tratámos vários casos em que chegámos à conclusão que estão relacionados com campanhas de ciberespionagem. Não apurámos a origem porque se trata de uma missão que deve ser executada pelas autoridades competentes», explica Lino Santos, diretor do Serviço de Resposta a Incidentes de Segurança Informática (CERT.pt), que é tutelado pelo Ministério da Educação e Ciência, mas tem atuado, nos últimos anos, como uma das referências no que toca à deteção de ameaças que pairam sobre as principais redes informáticas nacionais.
No CERT.pt não são fornecidos números ou identidades das vítimas das denominadas «campanhas de ciberespionagem», para evitar a exposição de vulnerabilidades. Lino Santos apenas admite que nem todas as máquinas atacadas são usadas por instituições do Estado. O que acontece a todos esses processos? Só o Sistema de Informação da República Portuguesa (SIRP) e a PJ podem responder. Ao primeiro cabe analisar casos relacionados com ciberespionagem levada a cabo por estados ou com propósitos políticos. À Polícia Judiciária cabe investigar casos classificados como «crime» (desvio de dinheiro, concorrência desleal, violação de privacidade ou sigilo industrial).
A quem caberia a responsabilidade de investigar uma eventual campanha de ciberespionagem da Agência Nacional de Segurança (NSA), dos EUA? A questão não surge por acaso: a NSA obteve em 2010 a autorização de um tribunal especial norte-americano para lançar campanhas de ciberespionagem em 193 países – um contingente suficiente para abarcar ditaduras, países em guerra, democracias, inimigos e… aliados e membros da NATO, como Portugal.
Tendo a autorização carimbada pelo “Tio Sam”, o que impede a NSA de lançar uma campanha de espionagem em Portugal? O que garante aos portugueses que essa campanha não está atualmente em curso? E os serviços secretos portugueses estão cientes dessa hipotética (ou provável?) campanha de ciberespionagem? Será que há uma coordenação entre SIRP e NSA? E que comentário merece o alegado posto de ciberespionagem que a NSA terá instalado em Portugal e que foi denunciado após fuga de informação do ex-operacional Edward Snowden, em 2013?
As questão são variadas – mas o SIRP não as respondeu quando inquirido pelo Exame Informática.
Torres Sobral, líder do Gabinete Nacional de Segurança (GNS) e um dos mentores do Centro Nacional de Cibersegurança (CNC) que está vias de ser implementado, contribui com alguns esclarecimentos que podem ilustrar o atual cenário: «No nosso caso (GNS), não temos qualquer acordo de cooperação de atividades de ciberespionagem com a NSA ou outras entidades. E não acredito que outras entidades nacionais tenham feito esse tipo de acordos».
Facto de não serem conhecidos acordos de ciberespionagem não afasta Portugal do radar da NSA. «Admito que os serviços secretos dos EUA possam ter interesse em lançar operações de espionagem em Portugal por motivos de combate ao terrorismo. É um problema de direito internacional muito complicado. Hoje, os EUA são atacados de todo o lado, e entre as origens dos ataques, encontram-se computadores infetados que operam a partir de Portugal. Tendo em conta este cenário, é natural que os americanos tentem recolher informação e procurem saber quem está por detrás dos ataques que são lançados a partir daqui», acrescenta Torres Sobral.
José Manuel Anes, do Observatório do Terrorismo e Criminalidade Organizada, dá a seguinte opinião sobre o eventual interesse da NSA em espiar redes informáticas portuguesas: «Os visados deste tipo de espionagem são basicamente cidadãos estrangeiros a viver em Portugal. É no entanto curioso que os nossos serviços de informações não possam fazer escutas e os estrangeiros tenham autorização para o fazer. Em todo o caso, existe uma colaboração estreita entre as autoridades portuguesas e norte-americanas há algum tempo para casos concretos na área da criminalidade organizada e terrorismo».
Para minimizar os estragos causados pelas tentativas de ciberespionagem, o CNC, que acaba de receber o tão esperado decreto governamental (o centro deveria ter sido constituído em 2012), prevê instalar um sistema de alertas que permitirá detetar eventuais campanhas de ciberspionagem. «O sistema de alertas poderá ser disponibilizado a todas as entidades do Estado que precisem ou solicitam», acrescenta Torres Sobral, recordando que essa capacidade apenas estará disponível quando as atividades do CNC entrarem ritmo cruzeiro, após dois anos de operação – que só poderão ser contabilizados a partir do momento em que o Governo disponibilizar verbas e pessoas.
Na área criminal, os casos de espionagem são tratados de forma um pouco diferente – e por mais de uma vez já foram detetadas investidas de ciberespiões pelos operacionais da PJ. «Se for uma botnet (uma rede de computadores infetados controlada por cibercriminosos), é agendada uma ação de desativação com autoridades onde há mais máquinas infetadas; também é costume contactar a Microsoft por se tratar do maior fornecedor de sistemas operativos usados nos computadores e por ter Unidade de Criminalidade Digital», explica um especialista na matéria, pedindo anonimato.
Uma fonte da PJ admite que computadores pessoais e servidores de empresas e instituições portuguesas já tenham entrado na rota dos operacionais da NSA, como uma sequência natural a dar a outras investigações. De resto, as autoridades portuguesas não atuam de forma muito diferente: «A lei do cibercrime chega a prever a possibilidade de se estender a ação de investigação em servidores no estrangeiro», responde uma fonte da PJ.
Contrariando o GNS, na PJ há a convicção de que uma eventual investida da NSA não terá propósitos de terrorismo ou sabotagem; “Serão ações de vigilância de índole industrial e comercial”, acrescenta fonte da PJ.
Lino Santos lembra que, tanto na ciberespionagem levada a cabo com propósitos criminosos como na ciberespionagem de propósitos políticos, domina a sofisticação de mecanismos e processos: «Estamos a falar de campanhas extremamente bem preparadas, com alvos bem definidos. O que não quer dizer que, por vezes, não sejam produzidos danos colaterais», acrescenta.
Como é que se sabe que uma rede informática foi atacada? «É um processo que pode demorar meses ou até anos. O objetivo do espião é ser furtivo e, por isso, vai tentar passar despercebido o máximo tempo possível. O que significa que não vai apagar ficheiros de um repositório… a menos que tenha objetivos de sabotagem», responde Lino Santos.
Todos os especialistas são unânimes: os atacantes usam sempre vulnerabilidades desconhecidas – e tratam de ir à procura de outras quando se descobre a que era usada anteriormente. Para os investigadores, a informação tem de ser trabalhada ao nível dos logs – os registos de entrada e saída de informação de uma rede inteira, de um departamento ou de um único computador. O que pode significar grandes volumes de informação registada ao longo do tempo, em busca de um comportamento anómalo, que poderá estar relacionado com o envio indevido de dados para destinos desconhecidos, ou o uso de portas de rede cujo uso deveria estar vedado pelos sistemas de segurança internos.
Em alguns casos, as máquinas suspeitas de infeção são colocadas a funcionar de quarentena para perceber melhor que informação enviam e quais os destinatários dessa informação. «No limite pode ser instalada uma máquina que analisa todo o tráfego enviado de uma rede para o exterior», refere um especialista contactado pelo Exame Informática.
