Em 2011, a Procuradoria-Geral da República (PGR) abandonou o alojamento de servidores do Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ) para recorrer a um serviço privado.
Desde 2011 que é conhecida a falha de segurança que os Anonymous terão explorado no passado 25 de abril para atacar os sites da PGR, da Procuradoria-Geral do Distrito de Lisboa (PGDL) e do Sistema de Informação do Ministério Público. A PGR terá mesmo sabido desta falha da pior forma: em 2011, um grupo de hacktivistas (as notícias da altura referem o grupo LulzSec) terá conseguido desviar informações sobre alguns processos mais mediáticos que constavam no repositório da PGR, usando a mesma falha de segurança para lançar um ataque de SQL Injection.
Depois do ataque realizado em 2011, a PGR terá sido alertada, por mais de uma vez, para a existência da falha de segurança existente nos sistemas, apurou a Exame Informática. Além de avisos de colegas e especialistas, também o fabricante da plataforma que continha a vulnerabilidade divulgou alertas sobre os riscos que comportava a falha de segurança em causa.
Nos bastidores da segurança eletrónica, há ainda quem garanta que os Anonymous chegaram a divulgar essa mesma falha de segurança nos fóruns que usam para preparar os seus ataques.
Aparentemente, essa mesma falha não terá sido sanada até ao dia 25 de abril de 2014, data em que os Anonymous decidiram avançar com o denominado "Apagão Nacional" contra os sites da PGR, PGDL e SIMP e revelar contactos de mais de dois mil magistrados, entre outros dados confidenciais.
Não há garantias de que a mesma vulnerabilidade já tenha sido sanada à data da edição deste texto: Por esta ou qualquer outra razão, os sites da PGDL e do SIMP mantêm-se inoperacionais.
Ao que a Exame Informática apurou, o ataque levado a cabo por grupos de hackers associados aos Anonymous poderia ter sido mitigado com um serviço denominado de "site shield" que hoje é providenciado pelos operadores de telecomunicações. O facto de o ataque ter conseguido chegar às bases de dados da PGR permite deduzir que o serviço de "site shield" poderá não ter sido contratado.
Contactada pela Exame Informática, a PGR não proferiu qualquer comentário em tempo útil. Nos dias seguintes ao mais recente ataque, a PGR diz ter acionado os meios necessários mal soube do denominado "Apagão Nacional", mas continua por apurar qual a verdadeira extensão do ataque e que tipo de informação estará nas mãos dos Anonymous.
Aparentemente, os sites da PGR terão sido os únicos relacionados direta ou indiretamente com o Ministério da Justiça que sucumbiram à investida dos Anonymous. No dia 25 de abril, vários sites tutelados pelo Ministério da Justiça, (Citius, e Registos predial, civil e automóvel) mantiveram-se operacionais. Estes últimos sites destão alojados, atualmente, em servidores próprios do IGFEJ.
Alojamento externo
Consequência direta do ataque de 2011 ou mera coincidência, a PGR deu início a um processo de migração dos servidores que suportam atividades do dia-a-dia dos magistrados para um serviço de alojamento externo que é pago em regime de aluguer. A migração só terá terminado no ano passado, quando a PGR retirou os últimos servidores alojados no IGFEJ. .
A PGR não forneceu qualquer dado sobre os custos de alojamento ou o motivo que levou ao abandono dos servidores que ocupava gratuitamente num instituto que pertence à administração pública.
Em comum, PGR, PGDL e SIMP têm o facto de serem alojados pela Novis (marca entretanto descontinuada, mas que pertence ao grupo Zon Optimus). A Novis confirma que providencia esse mesmo alojamento, mas rejeita qualquer responsabilidade no que toca à falha que terá permitido o ataque dos Anonymous.
Num e-mail enviado para a Exame Informática, a Zon Optimus recorda que «a gestão dos servidores e da rede interna é do próprio cliente», sendo que apenas fornece o equipamento, na modalidade de aluguer, à PGR. «Não vamos comentar um tema que não é da nossa responsabilidade», acrescenta a Zon Optimus.
O aluguer de servidores é uma prática comum no segmento empresarial – e são várias as modalidades que hoje estão disponíveis no mercado: há empresas que alugam capacidade de armazenamento ou processamento (ficando toda a gestão dos servidores e instalações ao cargo da empresa de alojamento); e no extremo oposto, também há quem, por razões técnicas ou de segurança, se limite a alugar um espaço devidamente equipado para receber os servidores (que são do cliente e não de quem presta o serviço de alojamento). Aparentemente, a PGR optou por uma variante intermédia: alugou capacidade de armazenamento em servidores disponibilizados pelo serviço de alojamento da marca Novis, mas ficou responsável pela gestão de acessos, aplicações e bases de dados que se encontram nesses servidores.
No que toca à gestão dos servidores, PGR recorreu ainda aos serviços de consultoria da empresa Visionware . No portal Base, é possível confirmar que, pelo menos por duas vezes, a PGR já recorreu aos serviços da Visionware. A primeira data de 2009 e ficou orçada em 16 mil euros; o segundo contrato remonta a 2011 e ascendeu a 14.400 euros. Em ambos os casos, a Visionware prestou serviços de consultoria e auditoria de segurança.
Por Hugo Séneca, in Exame Informática
Sem comentários:
Enviar um comentário