PORTUGAL E O SPAM Ao contrário do que se possa pensar, as mensagens electrónicas não desejadas – vulgo spam – podem ser muito perigosas, já que são a porta de entrada para vírus e fraudes informáticas com possíveis consequências graves. As conclusões surgem num estudo realizado pela Dognaedis, spin-off da Universidade de Coimbra (UC), segundo o qual «Portugal é um país susceptível de sofrer ataques informáticos por esta via e a legislação nesta matéria é inadequada». Francisco Rente, CEO da Dognaedis e especialista em segurança informática, refere que «a Lei não só não protege os cidadãos e as instituições dos ataques de spam, como ainda pode eventualmente facilitar ataques informáticos de maior impacto, passíveis de gerar danos graves». Neste campo, Francisco Rente considera importante que, numa eventual revisão da Lei, esta venha «a ser conduzida por um grupo multidisciplinar onde, pelo menos, estejam presentes competências técnicas (da área de informática ou idealmente da área de segurança da informação) para além das jurídicas». A segunda questão a considerar «é que, se o percurso passar pela implementação de um mecanismo de controlo, este deveria ser na entrada das listas de disseminação e não na remoção das mesmas». Já Francisco Fonseca, CEO da AnubisNetworks, empresa que disponibiliza uma oferta para esta área, diz que na legislação actual, e focando a problemática do spam, o Decreto-Lei n.º7/2004 «parece equilibrado». Eventualmente, «ajudava um esclarecimento de pessoa colectiva, com contexto de mensagens electrónicas (artigo 22.º)». Como recomendação, este responsável considera que seria «interessante se obrigassem a publicar em cada mensagem onde e quando foi autorizado aquele contacto (algo a ser concertado a nível transnacional)». Nível de vulnerabilidade Os resultados do estudo, que pretendia avaliar a legislação portuguesa anti-spam, foram apresentados na Infosec Week, iniciativa promovida no âmbito do Mês Europeu de Cibersegurança (European Cyber Security Month). Para avaliar o nível de vulnerabilidade, os autores do estudo simularam um ataque de spam legal, «ultrapassando praticamente todas as barreiras de protecção e de alerta», refere o estudo. Foram enviadas 60 mil mensagens electrónicas, «cujos endereços foram obtidos de fontes públicas legítimas, através de busca na Internet» e divididas por três cenários: dois credíveis (sondagem sobre as autárquicas e o caso do americano Snowden) e um mais inverosímil (novo Viagra no mercado). O sucesso do ataque simulado «foi equivalente aos objectivos máximos dos ataques reais de spam das campanhas de publicidade por e-mail: 10%». Do total das mensagens lidas, o estudo indica que «25% dos endereços electrónicos são do Estado e 50% de instituições privadas». Os restantes 25% «são de endereços pessoais». Questionado sobre os resultados do estudo, Francisco Rente disse ao Semana que existia já «uma ideia geral de que os resultados seriam algo semelhante aos obtidos», embora admita «algumas pequenas surpresas como, por exemplo, o facto de existir uma diferença tão grande nos resultados do cenário menos credível». Neste caso, tratou-se de «uma surpresa positiva». Francisco Rente explicou ainda que «o estudo não tinha por objectivo detectar vulnerabilidades, mas sim medir a susceptibilidade dos portugueses a ataques com base em spam». Ainda assim, o mesmo responsável acredita que os portugueses «não conhecem os meandros desta problemática, e tipicamente vêem-na como um simples e-mail de publicidade indesejado». E, na realidade, ele representa, efectivamente, «um veículo para ataques de maior impacto» como, por exemplo, «o phishing ou a disseminação de malware». Sobre a comparação entre Portugal e os seus parceiros europeus, o CEO da Dognaedis explica que «não é possível comparar [os países] com exactidão, uma vez que não há estudos equivalentes». Contudo, se tivermos em conta a generalização da Internet, «independentemente de referências geográficas, estimamos que os resultados seriam semelhantes», afirma. Do lado da AnubisNetworks, Francisco Fonseca considera que o estudo em análise «foi o primeiro esforço nacional, bem-sucedido, de compreender esta temática, para mais sendo acompanhado de publicidade nos media, que contribuíram, decerto, para uma maior consciencialização na matéria». Este responsável recorda que o estudo «visou (e cumpriu) o objectivo único de perceber a taxa de recepção de mensagens electrónicas não solicitadas, caso se tratasse de uma verdadeira campanha de spam visando publicidade (e não ataque informático)». No entanto, Francisco Fonseca diz também que o objectivo do estudo, na opinião da Anubis, «é mais orientado para o comportamento social e não para questões de fundo relacionadas com segurança», pelo que não foram considerados «diversos factores importantes». Por exemplo, o facto de «um sistema de segurança receber um e-mail não significa que o entregue ao destinatário». Francisco Fonseca refere ainda que «dois filtros muito importantes destes sistemas são a detecção de malware nos e-mails e nos sites para onde os links do e-mail apontam (inofensivos, no estudo)». Outra situação a ter em conta diz respeito ao facto de uma componente muito importante destes sistemas residir «na reputação da origem e no volume e cadência das mensagens enviadas», sendo que, neste caso, «foi enviado um volume baixo, esporádico e de uma origem “sem antecedentes”». O responsável da AnubisNetworks acredita que, exclusivamente no âmbito da segurança, «Portugal, se comparado com outros países, é relativamente seguro no que concerne à proliferação de spam e malware via e-mail». Quem utiliza serviços de e-mail internacional – como o Gmail, o Yahoo ou outros – sujeita-se «a alguma dificuldade em detectar os ataques de phishing». Este responsável refere que «os utilizadores que utilizam e-mail dos operadores nacionais estão mais seguros, até porque existem plataformas de segurança que usufruem e partilham informação entre quase todos os operadores e empresas que adoptam estas mesmas plataformas». De uma maneira geral, os «organismos públicos estão conscientes das ameaças e da sua gravidade», afirma Francisco Fonseca. No sector privado, «as empresas multinacionais, o sector financeiro e especialmente o sector de telecomunicações, também». Mas quanto à actuação, o CEO da AnubisNetworks diz ter assistido «a uma grande disparidade nos processos empregues contra as mesmas (sensibilização interna, recursos, informação)». Na realidade, «muitas organizações esquecem que a cibersegurança é um processo, e não apenas tecnologia», motivo pelo qual «não basta instalar uma firewall ou um antivírus». Educar importa Tendo em conta as temáticas da segurança informática, o estudo apresentado pela Dognaedis fala na necessidade de educar e consciencializar para os perigos. Uma ideia que Francisco Fonseca, CEO da AnubisNetowroks, também defende: «Educar e consciencializar as pessoas e empresas é um dos caminhos mais importantes a seguir.» Na verdade, por motivos distintos, «existem casos de diferentes grupos sociais que desconhecem os diferentes perigos a que estão sujeitos na Internet, principalmente, nas redes sociais». Se bem que «a dimensão, a importância do país e das suas empresas privadas e o idioma de origem de Portugal» nos colocam «mais afastados da ribalta», a verdade é que o país «partilha, no essencial, das fragilidades de todos os países do mundo relativamente a ameaças cibercriminosas», defende o CEO da Anubis. Além da componente criminosa, directamente proporcional à importância da Internet, «esta tornou-se também uma arena política e militar». Para debelar estas ameaças, «deve existir uma proporcionalidade nos recursos organizacionais, humanos e técnicos», assume o mesmo responsável.
Posted on: Sat, 19 Oct 2013 19:12:19 +0000
Trending Topics
Recently Viewed Topics
© 2015