Segurança

GSI apura se ataques a sites do governo ocorreram com senhas de servidores

De Tilt, em São Paulo

14/12/2021 15h50Atualizada em 14/12/2021 19h30

O GSI (Gabinete de Segurança Institucional) da Presidência apura se os ataques cibernéticos aos sistemas de diversos ministérios foram feitos a partir do acesso de funcionários do governo. A informação foi divulgada em um alerta aos gestores de segurança de redes, publicado na última quarta-feira (8) e editado ontem.

"Alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador, o que dispensa, ao atacante, ações para escalar privilégios", diz o texto.

Na prática, o órgão de segurança institucional dá a entender que terceiros obtiveram logins de funcionários do governo com nível máximo de permissão numa rede e passaram a realizar operações ilegais.

Com isso, o GSI indica uma série de medidas de segurança a serem tomadas pelos órgãos, em caso de indícios de "ações maliciosas ou uso indevido de credenciais".

A primeira instrução é avisar o CTIR (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo), que reúne informações de incidentes de segurança e permite que pesquisadores notifiquem o governo de eventuais falhas.

Além disso, outras recomendações foram feitas, mesmo para casos em que essas suspeitas não sejam confirmadas. Entre elas está o bloqueio imediato de "senhas de servidores e colaboradores que estejam afastados" por férias, licenças, demissão, ou usuários com inatividade superior a três meses.

O documento sugere adotar uma "política de privilégios mínimos" a usuários, reduzindo o nível de permissões na rede. É uma forma de reduzir danos e fazer com que menos gente tenha "poderes" para fazer alterações importantes no sistema.

Há também a recomendação de se exigir a utilização de ferramentas de "multifator de autenticação" para todos os administradores do sistema em nuvem — dessa forma, além de login e senha, as pessoas deverão inserir um código adicional recebido, por exemplo, via SMS ou um token gerado num aplicativo ou em um dispositivo desconectado.

Por fim, o alerta cita a reavaliação de políticas de backup e a implementação de senhas fortes, o que dificulta o trabalho de cibercriminosos no processo de "tentativa e erro" para descobri-las.

Não custa lembrar que não é recomendado usar nomes de familiares ou amigos próximos em senha, muito menos data de aniversário. É importante fazer senhas grandes, com caracteres especiais e evitar usar apenas uma em diferentes serviços.

Ataques a sistemas do governo

O primeiro ataque aos sites do Ministério da Saúde e do ConecteSUS aconteceu na última sexta-feira (10). Uma mensagem deixada pelo grupo invasor dizia "você sofreu um ransomware" e "50 TB de dados foram copiados e excluídos".

A pasta afirmou que alguns sistemas foram comprometidos e acionou a PF (Polícia Federal) e o GSI (Gabinete de Segurança Institucional) da Presidência da República para investigar o caso.

Hoje, outros órgãos confirmaram que também sofreram ataques. A Tilt, a CGU (Controladoria-Geral da União), a PRF (Polícia Rodoviária Federal) e o IFPR (Instituto Federal do Paraná) relataram que esses casos ocorreram na sexta-feira (10).

A PRF informou que uma de suas bases de dados foi alvo de um "incidente de segurança", o que causou indisponibilidade de alguns sistemas. De acordo com o órgão, não foi identificado vazamento de dados.

A CGU disse que houve uma tentativa de invasão do serviço de computação em nuvem no mesmo dia, por volta das 17h40, e que também não houve perda de informações.

Já o IFPR explicou que o ataque ao ambiente de nuvem que hospeda seus sistemas foi "muito sério" e afetou todos os sistemas do órgão.