Dependência de tecnologia estrangeira abre brecha para espionagem no Brasil

Por Nivaldo Souza e Wilson Lima - iG Brasília | - Atualizada às

compartilhe

Tamanho do texto

Importação de equipamentos e acesso a ferramentas como Gmail ou Facebook abrem espaços para ataques a arquivos do governo federal

O governo brasileiro ainda não tem clareza sobre o nível de varredura de espionagem feito pela Agência Nacional de Segurança (NSA, na sigla em inglês) dos Estados Unidos no sistema de informática do país, revelado pelo ex-técnico da CIA Edward Snowden. Mas a fragilidade da rede, na avaliação do ex-presidente da Telebras João Santanna, está em parte na dependência de tecnologia importada. É ali que se abre um flanco para a obtenção de informações e dados sigilosos, a partir do acesso remoto a equipamentos e sistemas adquiridos no exterior.

“Acho que o governo não tem dimensão do problema. A novidade é o tamanho da varredura americana, que foi maior que o que franceses, ingleses e chineses fazem”, afirma Santanna. “A questão central em telecomunicação é que quem não tem tecnologia não tem como saber o que acontece (em acesso a dados privados)”, completa o ex-presidente da Telebras.

Leia também:

Hackers atacaram sites governamentais 672 vezes em 2013
Segurança tecnológica do governo foi rompida 67 vezes este ano
‘O cidadão comum está mais protegido que o governo’, diz especialista

Nas últimas semanas, a notícia de que gigantes do setor de tecnologia, como o Google, cooperaram com as operações de espionagem comandadas pelo governo americano jogou luz sobre a relação de órgãos de governo com empresas estrangeiras.

Ismael Tedesco, chefe da Divisão de Segurança Operacional da estatal federal Serpro, aponta a necessidade de importar tecnologia como natural, em função do estágio mais avançado de desenvolvimento – tanto de software quanto de hardware – em países com nível de excelência industrial superior ao do Brasil. “Há fabricantes com nível muito grande de maturidade (tecnológica). As empresas do Brasil não têm o mesmo nível de maturidade que as estrangeiras”, diz.

Responsável pela área de segurança da empresa que fornece parte consistente dos serviços de informática contratados pelo governo federal, Tedesco compara os firewalls fornecidos pela israelense Check Point e a brasileira Aker. “A Check Point conhece níveis de ataques muito maiores do que a Aker”, afirma.

Sérgio Amadeu, ex-diretor-presidente do Instituto Nacional de Tecnologia da Informação (INTI), diz que a deficiência em segurança reflete a falta de desenvolvimento técnico. “O cenário não é catastrófico, mas é cada vez pior para países sem desenvolvimento técnico próprio”, diz. Para Tedesco, o risco de segurança é inerente ao consumo de tecnologia externa. “Todos os equipamentos mandam informações para o fabricante e precisam estar isolados para evitar isso”, afirma. “Não permitimos que nada saia (dos servidores).”

Janelas

No Brasil, as estatais Serpro e Dataprev aparecem hoje como as principais fornecedoras de serviços de informática do governo federal. Elas responderam por 90% do fornecimento de serviço contratado sem a realização de licitações – como permite a lei 8.666/93. Foram contratados R$ 2,87 bilhões nessa modalidade em 2012, o equivalente a 49% do total de R$ 5,84 bilhões dos gastos federais em tecnologia da informação no ano passado.

Leia mais: Espionagem dos EUA expõe falta de lei no Brasil sobre dados

As empresas controladas pelo governo são responsáveis, entre outras atribuições, por desenvolver o sistema de e-mail utilizado em ministérios, órgãos públicos e no Palácio do Planalto. O Serpro desenvolveu, por exemplo, o Expresso Livre, programa por meio do qual funcionários do governo acessam seus e-mails corporativos.

O sistema é instalado em servidores do Serpro, o que reduz o risco de vazamento de dados e serve de alternativa a outras suítes de comunicação, como o Gmail, do Google. O Expresso é usado em órgãos como a Presidência da República, Ministério da Fazenda (secretarias e órgãos especiais), Procuradoria-Geral da Fazenda Nacional, Ministério do Planejamento, Ministério do Meio Ambiente, entre outros órgãos federais.

A estrutura de e-mail governamental atende atualmente aproximadamente 52 mil servidores públicos – a União têm 635,7 mil funcionários na ativa. Cada e-mail paga um custo mensal de franquia de R$ 3,43 ao Serpro para manter uma conta de 500 MB. O Expresso foi desenvolvido como plataforma de software livre, o que facilita o controle do código-fonte pela estatal. “Boa parte da espionagem foi por leitura de e-mail”, explica Tedesco.

Os computadores da Presidência da República e Ministério das Comunicações, por exemplo, adotam como sistema operacional a plataforma Windows – que é vista por especialistas como altamente vulnerável. Segundo Sérgio Amadeu, a vulnerabilidade nos sistemas Windows está na própria política de privacidade da Microsoft, que precisa ser aceita pelo usuário para poder usar o programa. Ele afirma que a Microsoft coloca cláusula no contrato de adesão do Windows atestando que a Microsoft pode “acessar ou divulgar informações sobre o usuário, incluindo conteúdo de suas comunicações, para cumprir a lei ou responder a solicitações legítimas ou judiciais”.

“Essa política é muito genérica e esse termo abre brechas para espionagem”, afirma Amadeu. “Não adianta o ministro das Comunicações (Paulo Bernardo) pedir para que as gigantes instalem seus servidores no Brasil se eles utilizam programas com código-fonte fechado. É como usar porta de aço em paredes de isopor”, compara.

Em órgãos estratégicos, como a Polícia Federal, são utilizados sistemas operacionais com código-fonte aberto, que podem ser auditados para corrigir falhas de segurança. Ao contrário do que o nome possa sugerir, programas com código-fonte fechado são potencialmente inseguros. “Quando se abre um sistema, é possível saber antecipadamente quais as brechas que aquele software permite”, diz Amadeu.

A Microsoft, entretanto, nega que o Windows seja potencialmente inseguro. “Nós respondemos apenas a solicitações por contas e identificadores específicos. Não há acesso amplo ou indiscriminado a dados de clientes da Microsoft”, afirmou recentemente o diretor jurídico da companhia, Brad Smith.

Acesso na ponta

Um dos riscos apontados por especialistas para a segurança de informações na estrutura de governo é o acesso a redes sociais, por exemplo. A Presidência da República, Ministério das Comunicações e Educação, entre outros órgãos subordinados à União, permitem acesso a sites como o Facebook e Google. Com isso, afirmam especialistas em TI consultados pelo iG, nem mesmo a adoção do Expresso para filtrar e-mails de risco é capaz de assegurar que os computadores não fiquem vulneráveis a arquivos invasores.

Tudo sobre as denúncias de espionagem do governo americano ao Brasil

O Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal (CTIR-Gov) aponta que, no primeiro semestre deste ano, aproximadamente 5% dos casos de infecção por software malicioso que se infiltra em sistemas para acessar dados pessoais – os malware – nos computadores do governo surgiram após acessos de ferramentas do Google Docs. Entre janeiro e junho, foram registrados cerca de 430 casos de detecção de malwares em computadores do governo federal.

Procurado pela reportagem do iG, o Google afirmou, em nota, que trabalha para “manter a internet aberta, segura e um instrumento de crescimento econômico”. A assessoria do Facebook não atendeu aos pedidos da reportagem.

 Gastos governo federal tecnologia da informação 2012 
R$ 5,84 bilhõesEm 13.971 contratações, sendo R$ 2,97 bilhões por meio de licitação e R$ 2,87 bilhões sem licitação (dispensada por critério de excepcionalidade prevista na Lei 8.666/93)
78% das comprasForam concentradas nos ministérios da Educação (R$ 1,7 bilhão), Fazenda (R$ 317,9 milhões) e Defesa (R$ 260,6 milhões)
153% de crescimentoNo investimento federal em tecnologia entre 2007 e 2013
Onde foram aplicados os recursos federais
R$ 1,55 bi em computadores, impressoras, tablets e periféricos
R$ 154,9 mi em software
R$ 127,2 mi em switches (conectores de rede)
R$ 117,4 mi em servidores de rede

Hardware vulnerável

A vulnerabilidade a ataques, explica o ex-presidente da Telebras João Santanna, pode estar também em equipamentos necessários à infraestrutura de rede. Um exemplo, diz ele, são os roteadores de alta frequência, utilizados em entroncamentos de dados para interligar computadores a um sistema de rede local ou universal (internet) e sistema de telecomunicação de empresas de telefonia – é o chamado switch, equipamento de alto desempenho capaz de ligar diversos cabos ao tronco de rede.

O chefe do Serpro considera os switches como passíveis de acessado remoto (via internet), permitindo o acesso aos dados trafegados na rede na qual está instalado. “Os switches de grande porte têm portas de spam ou espelho por onde pode passa tudo”, explica. “Se uma pessoa tiver acesso a essa porta, ela tem acesso a tudo”, afirma.

O Brasil importa parte desses equipamentos estratégicos de diversos produtores. O governo federal gastou R$ 127,2 milhões em switches em 2012, conforme dados da Secretaria de Logística e Tecnologia da Informação.

O Serpro também mantém vários contratos com gigantes do mundo da informática. “Em segurança você usa vários fabricantes. Temos, por exemplo, diversos fabricantes de firewall – como Aker, Chec Point, Cisco, IBM e Iptables.”

Segundo Tedesco, a estrutura de segurança para evitar vazamentos independe da origem do fornecedor. Ele explica que a estatal utiliza uma estrutura de proteção de informações – como as declarações de imposto de renda entregues pelos brasileiros à Refeita Federal - em cinco “camadas” de segurança (veja o quadro abaixo). “Esse conjunto é o que dá o sucesso de não ser atacado. Os servidores da Serpro nunca foram invadidos”, afirma.


Conheça as estapas de proteção das redes do governo 
BordaBloqueio instantâneo de IP de computadores de fora do país
Anti-DDoSEvita o ataque à navegabilidade de sites, evitando que páginas sejam tiradas do ar
FirewallFiltro de navegação que evita invasão a computadores
Firewall de AplicaçãoTrava o acesso de usuário não autorizados a visualizar determinados conteúdos
Pool de servidoresRede fragmentada em diversos equipamentos para evitar que a derrubada de um servidor por hacker afete todo o sistema

Fonte: Grupo de Resposta a Ataques (GRA) do Serpro

compartilhe

Tamanho do texto

notícias relacionadas