Enquadramento

As novas tecnologias de informação e comunicação (TIC) tornaram-se numa infra-estrutura verdadeiramente crucial de suporte às actividades no nosso quotidiano. Temos vindo a assistir a uma crescente dependência das TIC da parte dos vários sectores da nossa sociedade, de onde resulta que uma efectiva securização desta infra-estrutura, à semelhança de outras já consideradas críticas como as redes de distribuição de energia eléctrica ou a rede telefónica pública, se revista da maior importância.

Esta securização apresenta desafios de variada ordem. A combinação entre a quantidade de informação ligada em rede e a crescente complexidade dos sistemas computacionais e das aplicações que a trata tem vindo a tornar estes sistemas e a informação neles contida em alvos extremamente vulneráveis a ataques.

No dia 2 de Novembro de 1988 a Internet foi alvo de um software malicioso do tipo habitualmente designado por “worm”. Este programa informático, criado por Robert Morris com o propósito de se auto-propagar através da rede, foi responsável pela contaminação de mais de 60,000 computadores, afectando negativamente e durante vários dias diversos serviços e a funcionalidade global da Internet. A rapidez de propagação e o consequente impacto do agora designado Morris Worm apanhou a então pequena comunidade Internet desprevenida. Da análise do incidente verificou-se que o que mais prejudicou o normal funcionamento da rede e serviços associados não foi o tempo necessário para encontrar um antídoto eficaz, mas sim a inexistência de uma estrutura organizada que permitisse informar a comunidade da existência do incidente, efectuar uma eficaz distribuição do antídoto e instruir os utilizadores sobre a sua aplicação. Como consequência imediata foi então criado um centro de coordenação de resposta a incidentes de segurança designado de CERT/CC.

Outro exemplo ilustrativo da capacidade de destruição e impacto na vida dos cidadão provocado por um incidente de segurança informática remonta a 2003. O worm sapphire  ou SQL/Slammer, considerado ainda como o mais rápido até ao momento, atingiu 90% dos servidores SQL em todo o mundo em cerca de 10min., provocando a quebra total, entre outros, das redes de comunicação móvel na Coreia do Sul, da rede de terminais ATM do Bank of America, de 5 root servers DNS mundiais e do sistema de emissão de passagens aéreas da Continental Airlines . Em Portugal, 300.000 clientes ficaram privados, durante 12h, do serviço de Internet por cabo.  Neste caso, a vulnerabilidade explorada era conhecida há mais de 6 meses e a rápida aplicação do “remendo” de software existente permitiu controlar a situação.

Mais recentemente, entre Abril e Maio de 2007, vários servidores Internet governamentais, fornecedores de serviço Internet, servidores de banca electrónica, portais de empresas de media e rede de pagamentos electrónicos na Estónia foram alvo de uma sequência de ataques, maioritariamente do tipo Distributed Denial of Service (DDoS), com resultados devastadores para a o normal funcionamento de um país por muitos considerado como um exemplo de vanguarda tecnológica.

Estes e outros incidentes de grande dimensão têm vindo a demonstrar as fragilidades de uma infra-estrutura considerada crítica no suporte a actividades que percorrem todos os sectores da sociedade. Por outro lado, a tendência observada nos últimos anos indica que os grandes incidentes de segurança das redes e da informação são suportados em estruturas profissionais (eg. RBNET, Intercage) que visam o ganho financeiro dos seus autores.

Os serviços de resposta a incidentes de segurança informática (CSIRTs) têm sido apontados como essenciais na prevenção e reacção a este tipo de fenómeno. Neste contexto, a FCT, através do seu serviço RCTS CERT, apresenta uma longa experiência a nível nacional e internacional, quer no tratamento e na coordenação da resposta a incidentes, quer na divulgação e outras formas de promoção do conceito CSIRT ao nível da comunidade académica.