Vulnerabilidades: O Que São e Como as Reduzir

Tito de Morais

A reforçar o que escrevi no artigo anterior, a semana passada vários órgãos de comunicação social noticiaram que os "ataques às redes do Estado eram esperados após a mediatização". Por outro lado, a reforçar as preocupações que manifestei, vários meios de comunicação social, entre os quais o DN, Correio da Manhã, Público, Antena 1, e até A Bola, fizeram-se eco de um relatório de investigação (PDF) "sobre a existência de uma rede de espionagem digital nos organismos do Estado Português".

A generalidade da comunicação social noticiou a potenciais quebras de confidencialidade nas redes da Direcção-Geral dos Registos e Notariado, Polícia Judiciária, Ministério Público, Ministério da Justiça, DIAP de Lisboa, Tribunais, processos eleitorais, Instituto de Tecnologias e Informação da Justiça, acrescentando que empresas privadas como a EDP, PT e Brisa também terão sido alvo de espionagem. Mais uma vez, pouca ou nenhuma informação específica sobre o que são as tais "vulnerabilidades" e como as prevenir.

O que são então essas tais "vulnerabilidades"? E o seu computador pessoal está vulnerável? E o dos seus filhos, dos seus alunos, da sua escola, da sua biblioteca ou espaço Internet? E como nos podemos proteger?

A Pressão do Mercado
Os programas informáticos, tal como a generalidade dos produtos e serviços tradicionais, têm um ciclo de vida. As várias fases do ciclo de vida de um programa informático são assinaladas pelas suas versões e builds (actualizações). Todavia, a pressão do mercado desta indústria faz com que os programas comecem a ser distribuídos antes de estarem verdadeiramente terminados e prontos para o mercado, antes de atingirem uma versão estável e madura. Nasceu, assim, o conceito de "beta perpétuo", isto é, programas que estão permanentemente a aperfeiçoar-se estando já no mercado.

"Remendos" de Segurança
Assim, hoje em dia, todo o software é publicado e disponibilizado aos seus utilizadores com "defeito". Usamos esses programas com "defeito" em computadores pessoais, servidores, consolas, telemóveis, etc. Na informática, estes "defeitos", como muitas outras coisas em informática, têm nomes pomposos, sofisticados e complexos. Assim, os "defeitos", não se chamam "defeitos". Chamam-se "bugs", vulnerabilidades, etc. O problema é que alguns desses "defeitos" são verdadeiros buracos de segurança. Deixam os dispositivos temporariamente vulneráveis a ataques tais como intrusões, vírus e outras maleitas.

Esses buracos de segurança, conhecidos por vulnerabilidades, são descobertos ao longo do tempo, através da utilização dos programas. À medida que as falhas vão sendo descobertas, conhecidas e exploradas, os fabricantes esforçam-se por desenvolver "remendos" para as colmatar. Para proteger os dispositivos, a informação neles alojada e os seus utilizadores. E de forma a evitar a sua exploração criminosa ou danos na própria máquina ou na informação nela alojada.

Esses remendos são conhecidos por "patches". Alguns fabricantes publicam-nos mensalmente, outros sem periodicidade definida, publicam-nos à medida que os desenvolvem. Os fabricantes de anti-vírus também têm parte do seu negócio baseado neste facto, desenvolvendo também soluções para "tapar" estas falhas de segurança. Mas enquanto esses "patches" ou as soluções dos fabricantes anti-vírus não são publicadas e aplicadas pelos utilizadores nos seus dispositivos, estes permanecem vulneráveis. E, por vezes, isso pode acontecer durante meses ou até anos.

Actualizações de Programas
Em alguns programas, a única forma de resolver este problema é instalando novamente uma versão mais actualizada. No entanto, para facilitar este processo de actualização, hoje em dia a generalidade dos programas permite fazer as actualizações a partir do próprio programa. Geralmente a partir do menu "Ajuda" do próprio programa. Noutros, esse processo tem de ser feito manualmente. Outros estão configurados ou permitem que essas actualizações sejam feitas automaticamente. Neste caso, tal é geralmente possível activar a partir dos menus "Ficheiro", "Ferramentas" ou "Opções", dependendo do programa. No caso do Windows, pode configurá-lo para fazer as actualizações automaticamente clicando no botão "Iniciar" e escolhendo a opção "Actualizações Automáticas" no "Painel de Controlo".

A Rotina da Actualização
É assim de toda a conveniência criar uma rotina, semanal ou mensal para proceder a essas actualizações, sob pena do seu computador ficar vulnerável e poder ser explorado e usado para fins criminais, sem sequer disso se dar conta. Idealmente, verifique cada um dos programas para verificar onde e como se podem fazer tais actualizações. E faça-as. Regularmente. No caso dos programas de segurança, como os anti-vírus essa rotina deve ser diária e até várias vezes por dia, uma vez que os fabricantes deste tipo de produtos publicam várias actualizações por dia.

Programas que Facilitam a Tarefa
Para as redes de computadores, como sejam as de empresas, escolas, etc. existem também ferramentas – geralmente comerciais – que permitem verificar quais os computadores da rede que precisam de ser actualizados e que permitem fazer essas actualizações remotamente, sem necessidade de fazer essas actualizações manualmente em cada computador. A este nível existem também programas que nos permitem verificar quais os programas de um dado computador para o qual existem correcções de segurança ou até mesmo novas versões mais actualizadas. Alguns, não se limitando a fazer esse diagnóstico facilitando a obtenção e instalação dessas correcções e dessas novas versões. Do mesmo modo, existem versões deste tipo de programas para computadores pessoais e para redes de computadores.

Na entrada "Ferramentas de Actualização de Software" no blogue do Projecto MiudosSegurosNa.Net, refiro alguns desses programas gratuitos que poderá usar.

A terminar, um alerta. Para evitar intrusões no seu computador pessoal, no dos seus filhos, dos seus alunos, da sua escola, da sua biblioteca ou espaço Internet, manter o software actualizado, apesar de ser um passo essencial, não basta. Não se foque apenas nas tecnologias. Não esqueça a estipulação de regras, processos e procedimentos e a formação e sensibilização das pessoas.