Cibersegurança nas Escolas – uma catástrofe a caminho. – Jorge Sottomaior Braga

 

O ataque à Impresa (Expresso, SIC, etc.) revelou a importância da Cibersegurança nas organizações.
A infraestrutura de TI da Impresa deve, por razão de bom senso, ser de elevada qualidade. Parece-me que a Impresa terá recursos informáticos muito superiores ao de qualquer escola.
A pergunta que se coloca é como cedeu a este ataque?
Apesar de ainda não se conhecerem detalhes efetivos do ataque, o mais provável é ter sido um ataque direto a credenciais elevadas (administrador) na AWS.
A Amazon Web Services (AWS) é a plataforma Cloud gerida pela Amazon. O equivalente da Microsoft é o Azure. Da Google é a Google Cloud …. e há outros providers, muitos deles para serviços específicos. A Impresa, pelos vistos, é cliente da Amazon nesse serviço.
Quem, provavelmente falhou, não foi a Amazon. Aliás, para um ataque deste nível (tão pequeno) foi decerto alguém do lado da Impresa. E pode acontecer a qualquer um … Numa parte muito significativa dos ataques é sempre assim: a falha é humana.
Há quem chame a isto um Whale Attack!
O alvo em causa/pessoa é tão importante e gordo que já não é (Phishing) pescar … é mesmo caça à Baleia.
Provavelmente foi um ataque man-in-the-middle bem montado (há já muito software pré-feito que ajuda à implementação deste tipo de ataques! E é freeware! E há montes de vídeos na NET a explicar como se faz!)
Raramente os ataques passam por um ataque frontal à tecnologia.
O que é mais fácil?
Roubar o carro fazendo uma ligação direta …
ou roubar a chave do carro à pessoa que a tem no bolso e depois sair alegremente com o carro sem ninguém notar e sem chatices?
Há uma panóplia muito díspar de ataques possíveis, mas passam quase todos sempre por uma pequena (ou grande!) desatenção do utilizador.
  • O carregar de um link malicioso num email que parecia legítimo.
  • O confiar num email de um colega de trabalho que já foi tomado.
  • O ignorar regras básicas de segurança e reutilizar palavras-passe em vários sites ou serviços.
  • O não ativar a autenticação multifactor.
  • O usar redes inseguras em sítios públicos.
  • (os hackers são supostamente Brasileiros, mas quem sabe se não frequentam o mesmo café que os elementos de IT da SIC?)
  • O não usar um cofre de credenciais seguro.
  • O não auditar a sua própria segurança.
Mas nas escolas é ainda mais grave. Porque se trata dos dados pessoais de crianças.
Autodiagnóstico das coisas óbvias
Um pequeno diagnóstico para fazerem na vossa escola:
1. A escola obriga à utilização explicita de credenciais geridas e administradas pela escola?
Explicação: o email da escola é do tipo antoniofagundes@nomedaescola.edu.pt, é gerido pela escola e são completamente proibidos os emails pessoais?
2. As credenciais de acesso à vossa escola implementam a autenticação multifactor (MFA)?
Explicação: Quando acedem à vossa escola além do nome de utilizador, palavra-passe usam um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware Específico, etc.)?
3. O software de gestão que usam na escola obriga a MFA tal como manda a lei?
Explicação: Quando entram no software de gestão (E360, Inovar, GIAE, etc.) é pedido, para além do nome de utilizador, palavra-passe, um um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware Específico, etc.)?
4. Os dados digitais da vossa escola estão encriptados?
Explicação: É boa política proteger os dados de olhos alheios. Para fazer isto além de se restringir o acesso aos dados é também necessário encriptar esses dados. Dito de outra forma: se eu obtiver uma cópia da vossa base de dados consigo ler os dados ou eles estão protegidos por uma qualquer chave de encriptação?
Se eu obtiver uma cópia das múltiplas grelhas e rubricas que entopem as escolas…. esses dados são de leitura aberta sem qualquer encriptação?
5. Os administradores informáticos da vossa escola são profissionais da área da Informática e da Gestão de Sistemas?
(Claro que não são! Pergunta parva Jorge!)
6. A escola já forneceu formação obrigatória em Cibersegurança aos seus utilizadores, professores e demais colaboradores?
Explicação: Não estou a falar de formação sobre fakenews e ciber bullying …
Estou a falar de formação técnica à séria sobre cibersegurança dada por malta de TI (de preferência peritos em cibersegurança) e não por psicólogos.
7. Têm servidores próprios? Se sim quem faz a administração destes servidores?
Explicação: A escola tem, por exemplo, um servidor de Moodle próprio? Estarão esses servidores bem montados ou serão um risco de segurança? São administrados com cuidado? Estão atualizados?
8. A escola tem um diretório interno que protege as identidades digitais de todos com o princípio de um utilizador uma conta?
Explicação: quando alunos, colaboradores e professores entram nos computadores da escola têm cada um a sua própria credencial específica pessoal e intransmissível (e.g. Active Directory) ou é um regime de promiscuidade em que há uma conta por PC para todos os alunos e outra para professores?
9. A rede WiFi da escola é protegida com a autenticação dos próprios utilizadores/certificados?
Explicação: quando se ligam à rede WiFi da escola têm que fornecer as vossas credenciais ou existe uma palavra-passe que é partilhada por todos os utilizadores, mas que só é dada a quem dela precisa?
10. A escola faz uma auditoria de segurança regular?
Explicação: a maior parte dos ataques são silenciosos e visam ficar indetetáveis pelo maior tempo possível… para dar tempo para roubar. Entre uma intrusão e a sua deteção chega a demorar 250 dias. Sim 250! É, pois, fundamental a escola auditar sistematicamente os seus sistemas e fazer até ataques para verificar da sua fiabilidade.
Exemplo: a escola é obrigada por lei a mandar rever os extintores de incêndio existentes porque um dia poderão ser necessários e deverão estar a funcionar. Fazem o mesmo para a segurança dos sistemas informáticos?
Se a vossa avaliação neste questionário foi baixa então atuem ou peçam a quem de direito para atuar.
(se não sabem avaliar a vossa prestação neste questionário … então têm um sério problema: peçam ajuda).
Haveria muito, muito mais a dizer sobre estes assuntos. Mas tentei que este texto fosse o mais simples possível e que alertasse para os perigos que todos passamos.
Não é, de forma alguma, de agora que venho falando nestas coisas. Mas pode ser que agora ouçam.
Fica aqui de novo o meu Webinar com a Leya a falar sobre estes assuntos. Já lá vai mais de um ano:
Nota final: No momento em que acabo de escrever este texto a Impresa ainda está em baixo. Já lá vão quase 3 dias. A minha solidariedade para a malta de IT da Impresa. São dias difíceis.
Imaginam o que teria acontecido se o ataque tivesse sido a uma escola ou ao seu software de gestão centralizado?

 

Link permanente para este artigo: https://www.arlindovsky.net/2022/01/ciberseguranca-nas-escolas-uma-catastrofe-a-caminho-jorge-sottomaior-braga/

5 comentários

Passar directamente para o formulário dos comentários,

    • Gates on 4 de Janeiro de 2022 at 12:44
    • Responder

    Escolas secundárias politécnicos e universidades é tudo um caos a nível de ciberseguranca.

    Basta não existir uma carreira técnica nessas instituições de um especialista em redes.

    Se até servidores em nuvem tem problemas imaginem servidores locais…. É o caos.
    O ministério da educação é negligente e culpado. Finge que existe mas é só fumaça.

    • 550 on 4 de Janeiro de 2022 at 19:17
    • Responder

    Artigo com alguma “salgalhada” de termos e conceitos, mas levanta algumas questões importantes.

      • Jorge Sottomaior Braga on 5 de Janeiro de 2022 at 23:42
      • Responder

      E a salgalhada qual é ?

    • Hélder Santos on 6 de Janeiro de 2022 at 17:13
    • Responder

    O sr. Sottomaior agora virou especialista informático. Esquece, no essencial, que localmente as escolas não são propriamente bancos, ou organizações onde a informação seja considerada altamente privilegiada, logo não é muito apetecível para estes grupos perderem tempo com migalhas. Sem dúvida que é necessário implementar algumas medidas, muitas vezes simples e fáceis de implementar, que passam muitas das vezes, apenas pela observância de certas regras básicas de segurança, ao nível dos utilizadores. Agora dai a transformar as escolas com as mais eficientes medidas de cibersegurança, como o Sr. preconiza (cartões matriz, etc, etc) requer investimentos em recursos humanos altamente qualificados e tecnologia que as escolas não têm como sustentar. Fazer algumas melhorias sim, de acordo, a começar pelas maquinas que ainda correm windows 7, cujo suporte a nível de patches de segurança acabaram e que, por isso , são máquinas cheias de exploits a serem furados e a deixar toda uma infraestrutura de rede e servidores expostos a ataques exteriores. Contudo, também acho de todo despropositado, como anteriormente referi, pois as escolas não têm dados tão relevantes quanto isso para serem atacadas. Caso contrário, diria que seria dos eventos mais fáceis de implementar. E está provado que mesmo empresas que adotam medidas de ponta a nível de cibersegurança não estão nunca 100% seguras. Para finalizar, os gastos em cibersegurança devem ser proporcionais ao tipo de dados que determinada organização pretende manter como “supostamente” invioláveis. Portanto, desça do pedestal e veja as coisas numa “realidade razoável”.

      • Jorge Sottomaior Braga on 6 de Janeiro de 2022 at 21:44
      • Responder

      Acho que o Hélder não percebeu sobre que Sottomaior está a falar.
      A sua ignorância sobre o assunto, lamento, mas é vasta.
      As escolas têm uma quantidade enorme de dados de alunos e encarregados de educação. Têm dados médicos de alunos e professores. Têm dados bancários, IRS, fornecedores, …
      Por exemplo, muitas escolas fazem transferências via banca online …

      Veja aqui (https://k12cybersecure.com/k-12incidentmap/fullscreen/1/) um mapa de ataques a escolas nos Estados Unidos. Em Portugal não há ninguém a coligir estes dados segmentando especificamente para Educação.

      Se a educação trata informação e são necessários investimentos para proteger o futuro das nossas crianças e o presente dos professores e pais …. invista-se.
      Do ponto de vista prático muitas escolas já têm muitas destas coisas implementadas. Há muitos anos. E o curioso é que muitas destas medidas são gratuitas na maior parte das plataformas adotadas. Há é que implementar.
      Mas muito mais que a obrigatoriedade do bom senso há também a obrigatoriedade da lei. Não fui eu que escrevi o conjunto legislativo que exige, e bem, todos estes cuidados na administração pública.
      O que é que o Hélder está a sugerir? Que as escolas não cumpram a lei?

      Quanto ao pedestal… enfim.

Deixe uma resposta

O seu endereço de email não será publicado.

Seguir

Recebe os novos artigos no teu email

Junta-te a outros seguidores: