Entrevista
“A internet em Angola não é segura” – diz especialista em cyber segurança
O especialista em cyber segurança, Alberto Afonso, mostrou-se preocupado com o facto de muitas empresas e utilizadores angolanos de serviços tecnológicos negligenciarem a segurança da informação. Para ele no século XXI a informação é tida como o negócio do petróleo, por isso muitas empresas têm sofrido ataques constantes dos hackers.
Na entrevista ao Correio da Kianda, que decorreu nas instalações da empresa CyberSecur, o coordenador de cyber segurança defende a criação de uma instituição vocacionada a aumentar os níveis de literacia digital aos cidadãos, para que possam facilmente prevenir-se dos ataques cibernéticos.
Até que ponto o internauta angolano é seguro?
Não existe nenhum sistema que pode ser considerado seguro, porque a questão da segurança na internet é muito relativa. Depende de vários factores, como os hábitos que os internautas têm, da tecnologia que eles utilizam para aceder a internet. Então, de grosso modo não podemos considerar seguro navegar. A internet em Angola não é segura, porque o que leva a insegurança na internet, uma das coisas, por exemplo, é e vulnerabilidade. São descobertas várias vulnerabilidades e muitas delas, as empresas que providenciam os serviços da internet, não estão e não acompanham as vulnerabilidades no sentido de corrigir essas falhas de segurança, a que nós chamamos de vulnerabilidade, e muitas das vezes entregam os serviços assim…
E que tipo de vulnerabilidade são esses?
Vulnerabilidade existe muito principalmente, se formos a ver no campo da tecnologia. Por exemplo, hoje as pessoas utilizam smartphone com sistema operativo Android, e no android recentemente há uma vulnerabilidade que foi descoberta, que permite com que um hacker malicioso tome conta do seu dispositivo Android sem te aperceberes. Ele toma controlo e tem um acesso privilegiado do seu dispositivo, podendo instalar aplicações, aceder aos seus ficheiros e muitas pessoas utilizam dispositivos, talvez Google, que é proprietária do Android, que já deve ser disponibilizado uma correção desta falha chamada actualização de segurança, mas nem todos utilizadores, às vezes, fazem devida actualização e continuam a navegar, esse é uma vulnerabilidade a nível de próprio sistema, mas também existe vulnerabilidade a nível das aplicações, aplicações que nós instalamos no nosso dispositivo. Há vários dispositivos que nós estalamos que têm falhas de segurança, e muitas das vezes, essas falhas de segurança podem fazer com que um hacker malicioso consiga explorar àquela falha e depois ter acesso e pode controlar o seu dispositivo, por exemplo, microfone, a câmara, acesso às mensagens, só para citar alguns exemplos. Essa vulnerabilidade é a nível das aplicações, são várias vulnerabilidades, além do principal factor que leva a falha de segurança que é a própria pessoa.
Então, nós os utilizadores devemos sempre ter cuidados…
Sim, porque como eu disse inicialmente, os nossos hábitos que temos ao navegar na internet contam muito. Por exemplo, se uma pessoa tem hábito de utilizar a mesma senha para todas contas que tem, como a senha do Facebook, Instagram, para qualquer outra conta, para conta do e-mail, significa que está vulnerável porque usa uma senha fraca. Portanto é um hábito que não é recomendado, a nível de segurança. Se por exemplo, como aconteceu recentemente, houver um ataque à uma dessas redes sociais que você utiliza, os seus dados todos ficam expostos, tal como aconteceu ano passado, quando o facebook foi hackeado, bilhões de contas ficaram expostas.
Portanto, existem softwares que podem explorar falhas de segurança para testar o acesso as tuas várias contas com àquela mesma senha é a outra falha que decorre do hábito das pessoas.
E como é que os utilizadores devem proceder para evitar essas vulnerabilidades?
Uma das recomendações que é muito dada é manter o seu sistema sempre actualizado, mas infelizmente, para a nossa realidade, isso fica difícil aqui no nosso mercado, e não só, porque algumas pessoas por exemplo, não têm acesso a internet constantemente. As vezes fazem um carregamento de dados, e as vezes não quer baixar aquela, a última actualização da google, porque se calhar vai consumir muitos de dados e, ela prefere adiar actualização. Muitas vezes aquela actualização que você adiou é preciso que seja feita. é obrigatório, porque a google – o fabricante no caso- diz que é obrigatório.
Hoje existem muitas pessoas. Rede de criminosos que estão hávidos de roubar informações, e são desenvolvidos muitos bots, que são pequenos softwares que coletam, seguem o comportamento das pessoas. Por exemplo, existem pequenos softwares desenvolvidos somente para rastrear o internet baking. E se a pessoa não realiza a tempo essas actualizações, vai vivendo com essa vulnerabilidade que nem sequer se apercebem.
Isso quer dizer que os usuários têm de actualizar as contas, os softwares sempre que recebem notificação?
Manter sim, mas, e aí tem a outra questão: mesmo também as actualizações, é bom que a pessoa conheça, conheça o seu fornecedor. Por exemplo, uma pessoa que utiliza smartphone da apple, ele tem que conhecer perfil das actualizações da apple. O que acontece muitas vezes, é que uma pessoa recebe uma SMS, supostamente do fabricante do seu dispositivo, como apple ou a google, a dizer que é uma actualizaçao… apple, a google nunca lhe vão enviar uma SMS com código para actualizar o seu sistema… se os utilizadores não estiverem atentos, conhecer muito bem o seu fornecedor de equipamento por exemplo, também ficam expostos, então também é preciso apostar um pouco na consciêncialização. Um pouco de literacia digital dos nossos utilizadores, porque nós fomos observando nos últimos meses, pessoas a receberem mensagens que supostamente, são para uma actualização… Uma senhora que recebeu uma notificação com uma actualização do iphone, e é uma SMS, e naquela SMS tinha um link, que era para clicar, e o link até, para uma pessoa leiga, e pode não perceber, mas para uma profissional de TI, ia entender , porque lá está exposto, por exemplo, o endereço de IP, não é um nome, são números e depois tem uma serie de códigos, a pessoa olhou para aquilo pensou que fosse um link para atualização da apple, enquanto a apple não disponibiliza a actualização neste formato. Clicou no link, depois começou a receber ameaça no seu computador, a pessoa tinha dados confidenciais dessa senhora.
Então ainda falta a literacia digital em Angola?!…
É preciso apostar também na literacia digital… a pessoa tem que saber utilizar. E outra questão que acontece e que leva muitas pessoas a cometer falha ao navegar na internet é não ter uma noção básica dos mecanismos de segurança que o fabricante já coloca no dispositivo, mas que precisam de ser devidamente configurado.
Vou dar um exemplo, imagine uma nova aplicação que a pessoa quer utilizar, é uma aplicação por exemplo de um serviço qualquer, quando nós adicionamos ele pede permissões para ter acesso ao microfone, a sua localização, o seu contacto, a sua lista telefónica e outras informações, porque a própria aplicação quando é instalada no nosso dispositivo, seja no smartphone, e num computador, ela também pede acesso a outras configurações importante do dispositivo que estamos a utilizar. Por exemplo microfone, como é que, por exemplo, uma aplicação de serviços de táxi, para a sua instalação precisa ter acesso ao teu microfone? Não, não precisa em condições normas, mas muitas delas as pessoas – como simplesmente querem utilizar a aplicativo – simplesmente aceitam, e em muitos casos essas aplicações já sofreram alterações.
Portanto, a falta de literacia digital….
A quem devemos imputar essas responsabilidades de aumentar a literacia digital aos cidadãos?
Eu penso que o bom é com fazem alguns países, em que existem entidades vocacionadas a este trabalho, como por exemplo no Brasil. Lá existe o CERTE – Centro de Resposta de Incidente de Segurança de Informação. E o que eles fazem? Eles distribuem cartilhas, tem portal na internet, distribuem cartilhas, tanto de formato impresso e de formato digital, pessoas explicam assim com linguagem ilustrada e simples, o que é um vírus, o que é o link seguro, o que não é um link seguro, como é que você consegue fazer configuração básica do seu android, no seu smartphone para não ser alvo de burla na internet, como é que os burladores actuam na internet. Ali está a consciencialização, uma autoridade que tem apoio de entidades governamentais, acho uma entidade como essa que vela pela educação dos utentes e até aqui, isso poderia ter patrocínio das operadoras que têm esses serviços, que deveria ser isso com patrocínio porque quanto mais as pessoas tiverem essa cultura de navegação segura, maior a literacia e as pessoas aumentariam o nível de segurança, no uso dos dispositivos electrónicos.
Todos os dias nós recebemos SMS com maior referência a pedidos de actualização, pedidos de é acesso as suas informações, como combater isso?
É uma questão um pouco complexa, de como combater, porque hoje o mundo por causa do comércio, há uma disputa muito grande dos vendedores dos serviços para consumidores, então assim há muita confusão: é a operadora de telefonia que nos envia propaganda através de SMS, a companhia de seguros, os nossos bancos, as autoridades governamentais, então isso deixa assim o utilizador muito difícil de distinguir qual é que é, a mensagem que é legítima. E depois o que acontece, os criminosos programam este comportamento do espaço cibernético. como é que fornecedores dos serviços actuam? como é que os consumidores se comportam?… então eles e muitas das vezes pegam neste arquivo e ali, aproveitam fazer a chamada engenharia social. É muito difícil combater isso, porque mais uma vez cai naquele que nós tivemos a dizer anteriormente, a própria educação das pessoas. E em outros países já existem leis que protegem os cidadãos contra este tipo de comportamento, para que o consumidor não seja constantemente bombardeado com propaganda, e se ele estiver a receber pode fazer uma denúncia e a pessoa só recebe uma notificação por SMS se autorizar previamente a operadora, e tem confiança na origem da mensagem, porque de contrário fica muito difícil, porque o criminoso também se faz passar por fornecedor de serviços.
Como é que os nossos números, enquanto utilizadores de rede de telefonia vão parar às mãos dos criminosos que nos enviam as SMS?
Existe um mercado paralelo, que é do crime. E como é que acontece? Os nossos fornecedores de serviço, como por exemplo as nossas operadoras de telefonia, os nossos bancos, têm um base de dados, onde armazenam questões sensíveis sobre nós. E se esse Banco de Dados não estiver devidamente protegido, tiver alguma vulnerabilidade, como falámos no início, e uma cópia do banco de dados for parar no mercado negro através de um ataque cibernético – como aconteceu recentemente com aquela empresa internacional de Taxi, UBER, a TAP…. E isso pode acontecer através de uma acção criminosa sem a empresa perceber que está a ser atacada, – ou seja, a base de dados é atacada e é vendida uma cópia na Dataweb, que é o submundo do crime cibernético. Outra forma acontece porque muitas vezes, funcionários dessas empresas, que estão insatisfeitos e acabam vendendo a nossa informação de forma ilícita para este mercado. Hoje em dia já existe um mercado paralelo no espaço cibernético onde são vendidas as informações. Actualmente, como se diz, a informação é o petróleo do século XXI.
Quais são os tipos de crimes mais cometidos no espaço cibernético, para a nossa realidade no mercado angolano?
Não temos assim uma estatística, mas os mais comuns actualmente, acontece muito, o que vem a público, é a burla, – muito parecido com o que acontece no crime tradicional. É muito comum as pessoas receberem telefonemas em que o outro interlocutor orienta a dirigir-se a um ATM para alguma actualização… é um crime que pega as pessoas que são menos cautelosas. Portanto são crimes comuns, mas que já acontecem no espaço cibernético. Para além destes existem outros, os que actuam de forma individual e os que actuam em grupo e que são as redes criminosas, por várias razões: uns porque querem mostrar que têm algum conhecimento e quer explorar uma falha que existe por exemplo num banco, ou numa entidade governamental. Mas actualmente acontece muito no mundo empresarial os chamados Ransomware, que é basicamente um programa que encripta toda a informação de uma empresa ou entidade e depois pede um resgate, com um prazo.
Como aconteceu recentemente com a transportadora portuguesa TAP?
A TAP não foi do tipo Ransomware. Da TAP foi diferente. Copiaram as informações e minutos depois lhes alertaram.
Como aconteceu com os casos que ficaram famosos, como o caso do BPC e a Sonangol, e muitos outros casos que não posso mencionar porque eles não divulgaram, mas acontece que é muito comum actualmente. Muito mesmo!… desde grandes à pequenas empresas, que já pediram o nosso auxílio. Principalmente empresas que trabalham com sistemas de facturação, que têm um banco de dados e têm uma aplicação para fazer vendas. O banco de dados fica completamente comprometido e os criminosos pedem o resgate. Algumas não dão o resgate, e preferem reiniciar tudo, mas isto tem um custo muito alto.
Está a falar da nossa realidade?
Sim, estou a falar do mercado empresarial. Este é o tipo de ataque que mais está a acontecer. E para o cidadão comum são mais as burlas e o acesso não autorizado às contas nas redes sociais. Muitos internautas, por exemplo usam senhas simples e vai parar na web.
Existe na web uma lista enorme com um ou dois milhões de senhas comumente utilizadas e os hackers utilizam isso para testar em várias aplicações como o facebook, o instagram, e muita gente tem as suas contas em várias redes sociais com a mesma senha e isto tem facilitado.
As empresas que têm estado a sofrer esses ataques de que fez referência ha instantes são mais públicas ou mais privadas?
São mais do sector privado! No sector público são mais entidades como Ministérios, mas no sector privado o número é maior. Se calhar, também porque existem mais empresas do sector privado do que públicas.
As empresas que sofrem esses ataques recorrem à vossa instituição?
Sim
Pode dar alguma estimativa numérica mensal ou anual, de ataques, por exemplo?
Não conseguimos precisar números, porque… nós trabalhamos numa área muito específica que é segurança de informação. Há instituições que pedem directamente auxílio da nossa empresa. Por exemplo, neste ano, tivemos cerca de 10 solicitações de empresas de médio e grande porte. Mas existem também aquelas pessoas, profissionais de TI, que partilham e ligam individualmente pedindo auxílio a um profissional. Isso também pode entrar para as estatísticas, e o número não é pequeno.
Até que ponto preocupa o mercado?
É um problema económico. Imagin e por exemplo uma empresa seguradora, se acontece um ataque desses, em que vai paralizar o sistema normal!… todos os balcões da empresa podem ficar durante semanas ou meses sem poderem vender de forma normal. Isso trás prejuízos para a empresa, tráz prejuízo para o Estado. Porque o Estado pode ficar sem receber os impostos, a empresa pode ficar sem receber receitas durante aquele período que estava a lutar para resolver esse incidente, e se multiplicarmos isso pelo número de casos que acontecem, então isso tem um custo económico até mesmo para o país. Além de hoje em dia já colocar em causa a soberania de muitos países, porque os ataque cibernéticos tomam várias formas, e com muitas motivações. Há também questões de Estado. Por exemplo, há aqueles casos em que há motivações políticas ataques à entidades… portanto, além das implicações económicas tem também a soberania dos Estados.
Há serviços cujo acesso para utilização de softwares. Como por exemplo os táxis por aplicativos, que já está a ser comum.
Como é que o cidadão que usa esses serviços pode se proteger de eventuais ataques?
Pensando um pouco no perfil do cidadão angolano, é um pouco difícil. Mas uma das medidas é aquilo a que eu já mencionei no início da nossa conversa. Se uma aplicação dessas, por exemplo, pede acesso à sua lista telefónica, ao seu microfone, à sua localização por GPS, ao invés de permitir isso sempre, na configuração, coloque “permitir só quando necessário”. Ou seja, eu agora vou abrir a aplicação e ele vai avisar que o GPS está desligado, ai tu permites o uso do seu GPS, usa a aplicação, requisita o serviço, fecha a aplicação e desaplica o GPS, o mesmo acontece com a sua lista telefónica e com o seu microfone. Procedendo desta forma, mesmo que aquela aplicação tenha alguma vulnerabilidade e que o fabricante ou o fornecedor do serviço ainda não sabe, naquele momento o atacante poderá não conseguir. Mais uma vez voltamos ao tópico da consciencialização das pessoas, se sabem o básico do uso com segurança.
Agora, com relação aos próprios fornecedores de aplicações, o ideal é que devem ter programas para terem os seus sistemas protegidos. Por exemplo, muitas empresas que usam softwares para a venda, eles se submetem a testes de segurança regularmente. Por exemplo, a Google e a microsoft têm programas que permitem que pesquisadores de segurança, os chamados hacker éticos testem a aplicação do ponto de vista de segurança. Se encontrarem uma falha de segurança, eles reportam ao fabricante, e recebem uma recompensa por isso. E o fabricante corrige a falha identificada. Então, as nossas empresas também podem adoptar isso. Hoje em dia já existem muitas empresas no nosso mercado que prestam serviço de segurança cibernética. Esta é uma das formas pro-activas de se combater as falhas de segurança e evitar os ataques.
Os bancos também entram na lista de instituições que sofrem ataques?
Sim.
São muitos, pelo menos os casos que vos chega ao conhecimento?
Actualmente em Angola não existe obrigatoriedade legal de, por exemplo, informar que sofremos um ataque e as consequências foram estas e estamos a tomar medidas A, B, C, então fica muito difícil quantificar, mas a verdade é que os bancos são alvos.
Nós acompanhamos no mundo cibernético e há muito desenvolvimento de malwares que rastreiam aplicações bancárias. Muito malware que rastreiam aplicações bancárias. Por exemplo, o serviço Internet banking pode ser acedido através do computador, do nosso smartphone utilizando o nosso navegador normal na internet. Se o marlware estiver instalado como uma extensão no navegador, e nós formos abrir o nosso internet banking, ele consegue dar conta de que nós estamos a inserir credenciais e é para uma aplicação bancária. E ele pode copiar as nossas credenciais. É muito comum isso. E as pessoas não sabem disso…
E como as pessoas devem se proteger de ataques dessa natureza em concreto?
Os bancos que prestam serviços devem sempre fazer a consciencialização dos seus clientes. Existem técnicas simples – não são tão seguras- mas dificultam o ataque que é implementar o chamado segundo factor de autenticação. Uma aplicação bancária não pode depender simplesmente de um username, conta de utilizador e senha para aceder às suas informações bancárias. devia se implementar um segundo factor de autenticação ou múltiplos factores de autenticação. Além do nome e senha eu, ao aceder à minha conta teria de receber um código secreto para confirmar que realmente sou eu. Até a bem pouco tempo, aqui no nosso mercado não era assim. Agora o Banco Nacional de Angola já está a exigir que as operações bancárias tenham multi-factor de autenticação. Mas o multi-factor de autenticação não é tão seguro assim. Devia ser o mais complexo possível. Não pode ser simplesmente uma SMS, aquele código por SMS não pode valer mais de 24 horas, nem deve chegar a 24 horas, porque significa que pode ser reutilizado. Outro cuidado é que nunca o serviço de internet baking quando está conectado a um serviço de internet público de banda larga, de hi-fi grátis.
Como especialista em cibersegurança o que mais lhe preocupa?
Uma das coisas que preocupa aqui é a chamada maturidade de segurança das instituições, porque durante muito tempo, as empresas, utilizam serviços tecnológico não levavam em conta a segurança. Agora é que se está a correr para a segurança, mas mesmo assim ainda vai-se tarde. Então uma questão que têm de fazer é apostarem muito mais na segurança. As empresas precisam agora levar a segurança à sério, porque a tecnologia tem o objetivo de facilitar os processos, mas quanto mais fácil de se utilizar, mais vulnerável se torna. Então, é preciso por exemplo, ter-se em conta à segurança no processo de desenvolvimento de uma aplicação, desde o projecto, o que muitas vezes não é feito. Hoje em dia as pessoas pensam num negócio, e que depende totalmente de tecnologia, e ele só quer primeiro arrancar com o negócio e mais tarde descobrem que tem falhas de segurança e começam a ser reactivos. Ou seja, tem de se pensar na segurança a partir do momento em que se concebe o projecto, seja ele uma aplicação, móvel ou que vá ficar disponível na internet, nos nossos dispositivos. Preciso preocupar-se com a literacia no que diz respeito a questão da segurança
Loozap
18/10/2022 em 7:00 am
Muito bem