Estar no topo de um ranking elaborado pela Rapid7 não é forçosamente bom. E a Bélgica é a prova disso mesmo: segundo o National Exposure Index produzido pela empresa norte-americana, o pequeno país do Norte da Europa, que aloja igualmente a Comissão Europeia, é considerado o mais vulnerável em termos de cibersegurança. Tajiquistão, Samoa, Austrália e China completam o top 5 da insegurança; França está na 13ª posição, EUA na 14ª, Reino Unido na 23ª e Alemanha na 47ª. E Portugal? «Na opinião formada pelos dados recolhidos pela Rapid7, Portugal encontra-se à volta da posição 60 neste índice», responde a empresa de segurança eletrónica, quando questionada pela Exame Informática.
Para produzirem este ranking em que os melhores lugares estão na cauda do pelotão, os investigadores da Rapid7 recorreram a ferramentas de scanning que analisam a disponibilidade dos vários servidores alojados em cada país para dar resposta aos pedidos efetuados por internautas que não dispõem de credenciais de acesso. A monitorização teve em conta 31 standards usados atualmente na Net.
No caso de Portugal, a Rapid7 detetou 487.611 nós de comunicação alojados em empresas ou instituições. A análise da Rapid7 permitiu apurar que 18,8% dos nós detetados operam com standards como o HTTP, e apenas 13,2% recorrem a serviços HTTPS para garantir a encriptação de serviços disponibilizados na Internet. A recolha de dados permitiu apurar que mais de 10 mil nós identificados operam em portas de comunicação que geralmente costumam ser usadas por bases de dados. A Rapid7 confirmou que mais de 3,7% dos serviços detetados em Portugal operam com tecnologia Telnet, que permite o acesso remoto sem uma cifra, e que há 545 impressoras que podem estar vulneráveis a ataques.
Se a análise se limitasse às páginas Web e à caixa de e-mail, a posição de Portugal seria seguramente mais animadora – acima do 140º (lembrete: a 1ª posição é a pior de todas), e integrado num grupo correspondente ao quarto dos países que têm as melhores práticas nesta área. Em contrapartida, a análise, quando restringida às bases de dados, impressoras, e serviços da Microsoft desatualizados, coloca Portugal na 48ª posição.
«Uma das principais conclusões que nós tiramos é que as organizações que alojam serviços em segmentos da Internet relacionados a Portugal estão a fazer um bom trabalho a gerir serviços “modernos”, como a segurança de sites, mas não têm cuidado com os serviços históricos como as bases de dados, impressoras ou serviços de partilha da Microsoft, que se encontram expostos na Internet», explica Bob Rudis, Diretor pela Área de Segurança da Informação da Rapid7.
Os especialistas da Rapid7 apenas analisam a possibilidade de resposta dos vários serviços que operam em Portugal baseados na Internet – e que não deveriam dispor de acessos públicos. Apesar de garantir que a Rapid7 não comete qualquer intrusão e não poder confirmar se os diferentes serviços podem ou não ser alvo de intrusão, Bob Rudis admite que os gestores de redes informáticas portuguesas devem tomar precauções: «Aconselhamos as organizações com serviços baseados em segmentos da Internet em Portugal a fazerem uma análise completa daquilo que estão a disponibilizar na Internet, e a assegurar que apenas o mínimo de serviços necessários estão expostos, para assim evitarem tornar-se alvo de ataques oportunistas».
O especialista da Rapid7 dá ainda um exemplo das práticas a evitar: «não há qualquer razão para deixar uma base de dados responder a pedidos feitos diretamente a partir da Intermet, e a presença dessas bases de dados indicia que as diferentes organizações não estão a fazer um bom trabalho no que toca a perceber os riscos relacionados com a gestão deste tipo de configurações». Bob Rudis admite mesmo que muitos dos gestores de redes informáticas poderão não saber que têm as bases de dados disponíveis na Internet.
Sobre a posição ocupada por Portugal, Rudis deixa a seguinte frase: «Está fora dos primeiros 50 lugares, está no lado das más práticas, mas podia ser pior».
O ranking da insegurança da Internet pode ser revelador das diferentes abordagens dos países face às ciberameaças, mas funciona igualmente como uma “fotografia” da Internet na totalidade. Os números são reveladores: os especialistas da Rapid7 detetaram 15 milhões de nós que operam com Telnet, 11,2 milhões desses nós disponibilizam acesso direto a bases de dados e 4,5 milhões de acesso a impressoras; foram descobertos 4,7 milhões de sistemas vulneráveis através da porta 445/TCP, que é uma das mais usadas pelas tecnologias da Microsoft.
Ao contrário do que se poderia esperar, o top 50 não conta apenas com países em vias de desenvolvimento – também inclui potências económicas e tecnológicas como os EUA, Reino Unido, China, Rússia, Alemanha e França. Nas conclusões do relatório assinado por Tod Beardsley, Bob Rudis e Jon Hart, a Rapid7 recorda que muitos gestores de redes informáticas e repositórios de dados têm ignorado as recomendações de organizações internacionais para o uso de tecnologias de encriptação e adotam soluções datadas, porque são fáceis de instalar.
«O atual estado das coisas não pode estender-se por muito mais tempo sem consequências severas nas maiores economias do mundo. É difícil imaginar um futuro em que as mais ricas e robustas economias, em vez de aumentarem o uso, passam a usar menos a Internet. É preciso não esquecer que desde que a Internet ficou standardizada com o TCP/IP, em 1982, 40% da população mundial passou a usar diretamente a Internet com regularidade, e quase todas as pessoas estão indiretamente dependentes da operacionalidade da Internet. A Internet é um motor da economia e de estabilidade demasiado importante para deixá-la ficar dependente em serviços antigos, que tem a segurança como algo opcional. Com a corrida à Internet das Coisas (IoT) que vai dominar o futuro, teremos de repensar a forma como desenhamos, disponibilizamos, e gerimos as nossas infraestruturas», referem as conclusões do estudo que acompanha National Exposure Index.
Nota: num dos apêndices do relatório surge Portugal dentro do top 50 do ranking, mas trata-se de um erro, confirmou a Exame Informática junto da Rapid7.
