O ataque à Impresa (Expresso, SIC, etc.) revelou a importância da Cibersegurança nas organizações.
A infraestrutura de TI da Impresa deve, por razão de bom senso, ser de elevada qualidade. Parece-me que a Impresa terá recursos informáticos muito superiores ao de qualquer escola.
A pergunta que se coloca é como cedeu a este ataque?
Apesar de ainda não se conhecerem detalhes efetivos do ataque, o mais provável é ter sido um ataque direto a credenciais elevadas (administrador) na AWS.
A Amazon Web Services (AWS) é a plataforma Cloud gerida pela Amazon. O equivalente da Microsoft é o Azure. Da Google é a Google Cloud …. e há outros providers, muitos deles para serviços específicos. A Impresa, pelos vistos, é cliente da Amazon nesse serviço.
Quem, provavelmente falhou, não foi a Amazon. Aliás, para um ataque deste nível (tão pequeno) foi decerto alguém do lado da Impresa. E pode acontecer a qualquer um … Numa parte muito significativa dos ataques é sempre assim: a falha é humana.
Há quem chame a isto um Whale Attack!
O alvo em causa/pessoa é tão importante e gordo que já não é (Phishing) pescar … é mesmo caça à Baleia.
O alvo em causa/pessoa é tão importante e gordo que já não é (Phishing) pescar … é mesmo caça à Baleia.
Provavelmente foi um ataque man-in-the-middle bem montado (há já muito software pré-feito que ajuda à implementação deste tipo de ataques! E é freeware! E há montes de vídeos na NET a explicar como se faz!)
Raramente os ataques passam por um ataque frontal à tecnologia.
O que é mais fácil?
Roubar o carro fazendo uma ligação direta …
ou roubar a chave do carro à pessoa que a tem no bolso e depois sair alegremente com o carro sem ninguém notar e sem chatices?
ou roubar a chave do carro à pessoa que a tem no bolso e depois sair alegremente com o carro sem ninguém notar e sem chatices?
Há uma panóplia muito díspar de ataques possíveis, mas passam quase todos sempre por uma pequena (ou grande!) desatenção do utilizador.
-
O carregar de um link malicioso num email que parecia legítimo.
-
O confiar num email de um colega de trabalho que já foi tomado.
-
O ignorar regras básicas de segurança e reutilizar palavras-passe em vários sites ou serviços.
-
O não ativar a autenticação multifactor.
-
O usar redes inseguras em sítios públicos.
-
(os hackers são supostamente Brasileiros, mas quem sabe se não frequentam o mesmo café que os elementos de IT da SIC?)
-
O não usar um cofre de credenciais seguro.
-
O não auditar a sua própria segurança.
Mas nas escolas é ainda mais grave. Porque se trata dos dados pessoais de crianças.
Autodiagnóstico das coisas óbvias
Um pequeno diagnóstico para fazerem na vossa escola:
1. A escola obriga à utilização explicita de credenciais geridas e administradas pela escola?
Explicação: o email da escola é do tipo antoniofagundes@nomedaescola.edu.pt, é gerido pela escola e são completamente proibidos os emails pessoais?
2. As credenciais de acesso à vossa escola implementam a autenticação multifactor (MFA)?
Explicação: Quando acedem à vossa escola além do nome de utilizador, palavra-passe usam um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware Específico, etc.)?
3. O software de gestão que usam na escola obriga a MFA tal como manda a lei?
Explicação: Quando entram no software de gestão (E360, Inovar, GIAE, etc.) é pedido, para além do nome de utilizador, palavra-passe, um um fator adicional de autenticação (SMA, Cartão Matriz, Aplicação de Autenticação, Hardware Específico, etc.)?
4. Os dados digitais da vossa escola estão encriptados?
Explicação: É boa política proteger os dados de olhos alheios. Para fazer isto além de se restringir o acesso aos dados é também necessário encriptar esses dados. Dito de outra forma: se eu obtiver uma cópia da vossa base de dados consigo ler os dados ou eles estão protegidos por uma qualquer chave de encriptação?
Se eu obtiver uma cópia das múltiplas grelhas e rubricas que entopem as escolas…. esses dados são de leitura aberta sem qualquer encriptação?
5. Os administradores informáticos da vossa escola são profissionais da área da Informática e da Gestão de Sistemas?
(Claro que não são! Pergunta parva Jorge!)
6. A escola já forneceu formação obrigatória em Cibersegurança aos seus utilizadores, professores e demais colaboradores?
Explicação: Não estou a falar de formação sobre fakenews e ciber bullying …
Estou a falar de formação técnica à séria sobre cibersegurança dada por malta de TI (de preferência peritos em cibersegurança) e não por psicólogos.
Estou a falar de formação técnica à séria sobre cibersegurança dada por malta de TI (de preferência peritos em cibersegurança) e não por psicólogos.
7. Têm servidores próprios? Se sim quem faz a administração destes servidores?
Explicação: A escola tem, por exemplo, um servidor de Moodle próprio? Estarão esses servidores bem montados ou serão um risco de segurança? São administrados com cuidado? Estão atualizados?
8. A escola tem um diretório interno que protege as identidades digitais de todos com o princípio de um utilizador uma conta?
Explicação: quando alunos, colaboradores e professores entram nos computadores da escola têm cada um a sua própria credencial específica pessoal e intransmissível (e.g. Active Directory) ou é um regime de promiscuidade em que há uma conta por PC para todos os alunos e outra para professores?
9. A rede WiFi da escola é protegida com a autenticação dos próprios utilizadores/certificados?
Explicação: quando se ligam à rede WiFi da escola têm que fornecer as vossas credenciais ou existe uma palavra-passe que é partilhada por todos os utilizadores, mas que só é dada a quem dela precisa?
10. A escola faz uma auditoria de segurança regular?
Explicação: a maior parte dos ataques são silenciosos e visam ficar indetetáveis pelo maior tempo possível… para dar tempo para roubar. Entre uma intrusão e a sua deteção chega a demorar 250 dias. Sim 250! É, pois, fundamental a escola auditar sistematicamente os seus sistemas e fazer até ataques para verificar da sua fiabilidade.
Exemplo: a escola é obrigada por lei a mandar rever os extintores de incêndio existentes porque um dia poderão ser necessários e deverão estar a funcionar. Fazem o mesmo para a segurança dos sistemas informáticos?
Se a vossa avaliação neste questionário foi baixa então atuem ou peçam a quem de direito para atuar.
(se não sabem avaliar a vossa prestação neste questionário … então têm um sério problema: peçam ajuda).
Haveria muito, muito mais a dizer sobre estes assuntos. Mas tentei que este texto fosse o mais simples possível e que alertasse para os perigos que todos passamos.
Não é, de forma alguma, de agora que venho falando nestas coisas. Mas pode ser que agora ouçam.
Fica aqui de novo o meu Webinar com a Leya a falar sobre estes assuntos. Já lá vai mais de um ano:
Nota final: No momento em que acabo de escrever este texto a Impresa ainda está em baixo. Já lá vão quase 3 dias. A minha solidariedade para a malta de IT da Impresa. São dias difíceis.
Imaginam o que teria acontecido se o ataque tivesse sido a uma escola ou ao seu software de gestão centralizado?
Imaginam o que teria acontecido se o ataque tivesse sido a uma escola ou ao seu software de gestão centralizado?