Artigos

sysblog

Riscos para Portugal da sua total desindustrialização em tecnologias da informação e de comunicações

Os efeitos da globalização fizeram-se sentir, entre outros, na alteração dos locais de fabricação de componentes core das tecnologias de informação e comunicações (adiante TIC) do eixo americano-britânico-franco-alemão para vários países do eixo ásia-pacífico. Complementarmente, e em associação com fragilidades económicas e estruturais de Portugal, este viu-se vítima de uma total desindustrialização nestes domínios, estando totalmente dependente do fornecimento de tecnologias por empresas estrangeiras.

Tal situação, fruto da convergência neste sector de práticas de criminalidade informática organizada, cyber-intelligence, ciber-guerra e outras formas de controlo de informação por múltiplos actores, nomeadamente estados-nações com agendas próprias, gera riscos múltiplos para as demais nações, seus cidadãos, empresas e instituições.

Esta monografia pretende, de forma sumária e simplificada, ilustrar riscos e apontar vias de mitigação para Portugal, vias essas que poderão ser também consideradas por outros países em situação similar.

Um pouco de história

Alguns apontamentos sobre a indústria das TIC em Portugal

Entre o início e meados da década de 70, Portugal tinha a central electro-mecânica de comunicações de voz mais automatizada e avançada do mundo. Eventualmente fruto do “orgulhosamente sós”, e independentemente da motivação patriótica ou de gestão de risco, toda a tecnologia subjacente a tal equipamento era desenhada por portugueses, produzida em Portugal, operada e mantida por equipas próprias dos CTT/TLP e tinha direito a um edifício que, não só mas também, tinha sido concebido para albergar tal “monstro” em Picoas, Lisboa[1].

De fábricas no Carregado sairam para casas em todo o Portugal um milhão de telefones especificamente preparados para interoperar com tal solução.

Nesse mesmo período, e independentemente da casa-mãe ser norte-americana, a Standard Eléctrica, presente em Portugal desde 1932, produzia neste país equipamentos rádio de campanha para o Exército Português[2], desenhados e projetados por professores universitários do Instituto Superior Técnico que acumulavam funções técnicas nessa empresa.

Alguns anos depois um outro projecto, desconhecido da vastíssima maioria dos portugueses, permite afirmar que Portugal foi efetivamente um país onde as tecnologias de informação e de comunicações viveram, ou tentaram viver, uma dinâmica industrial: “Nascido em 1979 na Faculdade de Ciências e Tecnologia da Universidade de Coimbra, o projecto do primeiro computador português seria dado como definitivamente concluído no Verão de 1982, na altura em que se procedia à adaptação industrial do projecto, assegurada por uma empresa com sede na Figueira da Foz.[3].

Notavelmente, Portugal chegou inclusivamente a ser um país exportador de tecnologia made in Portugal. A Timex Portugal, sob licença da Sinclair Spectrum, produziu para exportação mais de um milhão de computadores pessoais[4].

Muitas outras instituições nacionais tentaram trilhar esta via, com mais ou menos sucesso: Centrel (spin-off da Standard Eléctrica), EID (Empresa de Investigação e Desenvolvimento), LED (do Porto), RIMA, Datamatic e Infomatic (de Braga) sendo que estas últimas chegaram mesmo a desenhar e produzir micro-controladores[5].

Em tempos mais recentes, a única empresa portuguesa com protagonismo mundial no domínio das TIC de base – a Chipidea – foi comprada pela norte-americana MIPS por 146MUS$ (em cash)[6].

Hoje em dia, pouco mais de 30 anos depois, nenhum equipamento informático ou de comunicações digno desse nome é produzido, ou desenhado, em Portugal.

Ascenção e queda da indústria das TIC no E.U.A.

Embora não se possa estabelecer um paralelo entre as realidades norte-americana e portuguesa, também este país tem sofrido uma acentuada desindustrialização das TIC.

Os semi-condutores, posicionados no centro de todos os artefactos tecnológicos, criados nos E.U.A. na década de 50 do século XX, foram durante anos principalmente desenvolvidos nesse país e exportados para o resto do mundo.

Devido aos efeitos da globalização, analisados adiante, a quota mundial de produção deste país desceu de 50% em 1980 para 15% em 2012[7]. O movimento de relocação de tal produção deu-se a oriente, estando esta localizada no hub de semicondutores e electrónica de consumo da Ásia-Pacífico.

Embora existam ainda empresas com capacidades de integração vertical (desenho e fabrico) neste domínio, nomeadamente a IBM e a Intel, que mantêm relações de fornecimento preferenciais para semicondutores específicos e exclusivos para a indústria de defesa americana, a vasta maioria dos domínios de utilização destes dispositivos está hoje dependente do fornecimento por empresas estrangeiras.

O universo dos semicondutores é apenas uma instância desta tendência, resultante dos movimentos de outsourcing e offshoring que a globalização nas recentes três décadas gerou.

O eixo asiático industrial das TIC

Sendo uma ilustração de movimentos similares na mesma região, no início da década de 80 do séc. XX, agências Taiwanesas criaram programas de incentivo ao investimento em foundries (fábricas de produção de semicondutores para terceiros). O custo estimado para a criação de uma fábrica desta natureza é de cerca de 3 a 4Bi US$[8] o que claramente limita as geografias e economias dispostas a tal, para não mencionar as motivações de desenvolver e implementar tal estratégia.

Um jogador tardio desta estratégia foi também a China que apostou na escolha preferencial de fornecedores locais além da oferta de incentivos e subsídios (financiamento a custos controlados, reduções fiscais, etc.) aos investidores industriais. Tais esforços tiveram como objectivos atrair investimento estrangeiro e o estabelecimento de uma economia TIC chinesa forte[9].

As últimas décadas provam claramente que a China conseguiu tornar-se um player importante no sector das TIC mundiais. Duas das suas empresas-estrela são líderes mundiais nos seus sectores específicos: a Lenovo (definiticamente após a aquisição da área de negócio de PCs da IBM) e a Huawei no que respeita a computadores pessoais e telecomunicações, respectivamente.

O caso da Huawei é particularmente notável pois, ao contrário da Lenovo, o seu crescimento foi eminentemente orgânico, sendo hoje o maior fornecedor mundial de soluções de comunicações, seguido de próximo apenas pela Ericsson em gross sales.

A globalização e a mudança do eixo industrial das TIC

A mudança do eixo industrial americano-britânico-franco-germânico para a ásia-pacífico surgiu como consequência natural do contexto proporcionado pela globalização: desejo da redução de custos pelo recurso a mão-de-obra (muito) mais barata, possibilidade de utilização de meios de comunicação mais eficientes para a gestão à distância das necessidades de fabricação, evolução dos meios logísticos internacionais (nomeadamente os marítimos) em rapidez e capacidade de carga e acesso a recursos humanos locais com competências técnicas para a interpretação e operação dos processos de fabricação.

Porém, todos os elementos acima não seriam suficientes para a migração tão drástica (em termos de geografia e dos regimes políticos em questão) dos processos de fabrico. Duas situações proporcionaram tal (nomeadamente no que respeita à migração da fabricação dos semicondutores) e que, eventualmente, geraram a criação de toda uma economia TIC circundante.

Em primeiro lugar, em 1978 dois investigadores norte-americanos (Mead e Conway) redefiniram a micro-electrónica, possibilitando como uma das muitas consequências do seu trabalho seminal, o decoupling entre o desenho dos circuitos integrados e a sua fabricação. Este ponto específico permitiu aos fabricantes clássicos deste tipo de elementos aspirar a eficiências onde o offshoring ganhou um lugar primordial. A ideia subjacente é que o desenho manter-se-ia no local onde antes a integração vertical era realizada e apenas a fabricação seria relocalizada.

Em segundo lugar, as potências asiáticas emergentes (China, Índia, entre outras) consideraram esta situação como uma oportunidade dupla: dinamizar a economia local, mesmo considerando que o fabrico nunca seria a fatia de leão da margem gerada, e ganhar visibilidade sobre o funcionamento interno de componentes críticos de sistemas que também nesses países são relevantes para a sua Segurança Nacional e a para a própria indústria de defesa.

“China’s efforts to build an IT industry began with the idea that its national security would improve if it could rely on domestic production.”[10]. Não tendo um mercado interno, à data, suficientemente grande para suportar o investimento em R&D de base, todos estes países consideraram o offshoring e outsourcing proporcionado pelos países do 1º mundo como a via mais lógica, barata e imediata de conseguirem acesso a informação e tecnologia, tendo-o efetivamente obtido.

O crescimento explosivo das suas economias gerou então um movimento igualmente explosivo de demanda dos próprios produtos originalmente produzidos para exportação para os países ocidentais, criando condições finalmente propícias para a edificação de esforços de R&D próprios. O resultado é evidente, não sendo mais possível considerar o ocidente como claramente superior ao oriente em inovação tecnológica.  A Huawei investe 10% da sua facturação em R&D sendo hoje uma das organizações com mais patentes registadas na Europa[11].

As TIC como vector de ataque

As TIC como motor do mundo

Independentemente dos recursos energéticos, a água potável e a produção agro-pecuária serem claramente os ativos fundamentais à independência e bem-estar das nações, as TIC são absolutamente fundamentais para outros domínios de atuação não desprezáveis no contexto das ameaças e do equilíbrio de forças entre nações.

Efetivamente, pouca atividade nos dias de hoje não depende total ou parcialmente, das TIC para funcionar. Mobilidade (aviação, ferrovia e até circulação rodoviária), comunicações interpessoais de dados e voz, comunicação social (televisão, radio e imprensa escrita) e serviços hospitalares são exemplos de contextos que assentam hoje substancialmente das TIC para operarem. Planos de contingência certamente existirão em determinados players destes sectores mas na ausência de suporte tecnológico, a operação será sempre realizada em cenários de contingência extrema.

O sistema financeiro mundial assenta também ele nos sistemas de trading electrónico e nas comunicações de dados, estando a economia de nações dependente do correcto funcionamento de todo um ecossistema vulnerável a oscilações, mesmo que momentâneas, do funcionamento destes para não mencionar do seu abuso e manipulação criminosa.

Contextos mais críticos e onde failovers deficientes seriam catastróficos são os das infra-estruturas críticas[12] onde falhas severas seriam disruptivas para a vida em sociedade e geradoras de caos e eventuais mortes em larga escala.

No extremo da cadeia de importância das TIC para a segurança das nações encontra-se a própria indústria de defesa e armamento, hoje em dia totalmente dependente de meios informáticos e electrónicos para operar.

A American Manufacturing Association identifica[13] sete ramos industriais fundamentais para o esforço de defesa militar americana, tanto no contexto internos (homeland security) como externo: fasteners, semiconductors, copper-nickel tubing, lithium-ion batteries, hellfire missile propellant, advanced fabrics and telecommunications. Notavelmente, entre estes encontram-se os dois pilares da indústria das TICs, os semicondutores e os equipamentos de telecomunicações em si.

Ameaças à Segurança Nacional

Independentemente da definição de Segurança Nacional, dos ativos críticos que uma país deve proteger e de todas as práticas que medeiam os segundos da primeira, a transversalidade da presença e criticidade operacional das TIC é indubitável e incontornável. Consequentemente, é imperativo que a confiabilidade[14] das TIC que suportam processos e atividades críticas de um país esteja assegurada.

Entre todas as demais ameaças aplicáveis a este contexto, elencam-se neste documento três que estão directamente associadas ao distanciamento de uma nação do fabrico e necessária distribuição das TIC a que recorre.

Inserção de back-doors e hidden-channels em fábrica

A inserção de back-doors e/ou cavalos de tróia[15] pelos fabricantes de dispositivos informáticos e/ou de telecomunicações em fábrica é uma prática presente e de dificuldade de detecção crescente.

Pese embora a razão de tal prática seja sistematicamente publicitada como estando associada a práticas de organizações criminosas sofisticadas, existem suspeições recentes de que são na realidade práticas de estados-nação sob égide dos seus esforços de ciber-guerra, nomeadamente nas vertentes CNE e CNA (i.e. Computer Network Exploitation e Computer Network Attack respectivamente) e de ciber-intelligence[16], neste caso desenvolvidos por Serviços de Informações nacionais.

Este segundo caso implicaria um relacionamento estreito entre entidades governamentais com tais responsabilidades e os próprios fabricantes, situação que saltou para o tópico da agenda mediática com Edward Snowden e o disclosure massivo que este tem proporcionado nos últimos tempos.

Um exemplo deste tipo de prática foi recentemente trazido a público – nove modelos de telemóveis Samsung Galaxy, equipados com versões do sistema operativo Android desenvolvidas pela própria Samsung, apresentam back-doors que possibilitam o controlo remoto do equipamento, a utilização do microfone para escutas ambientais e intercepção de chamadas, entre outras capacidades. Basicamente, estes dispositivos (enviados aos milhões para todos os pontos do globo) poderiam facilmente tornarem-se dispositivo remotos de espionagem[17].

Adulteração de dispositivos na cadeia de fornecimento

A reputação internacional de fabricantes com presença mundial como Cisco, Intel, Microsoft, Motorola, entre muitos outros, fica extremamente lesada cada vez que o tópico do relacionamento estreito entre estas e serviços como a NSA (para o caso americano) é alvo de suspeição. Tal tem implicações, naturalmente, financeiras pois o boicote à aquisição de produtos destes fabricantes por alguns países afecta a balança comercial dos onde tais produtos têm origem e afectam a própria saúde financeira das empresas em si.

Num espírito de atrair, no limite, sobre si as atenções mediáticas e a responsabilidade final de práticas de adulteração de dispositivos TIC (salvaguardando a reputação dos fabricantes e a sua “face” e posição de mercado), têm surgido evidências de que a cadeia de distribuição de equipamentos de comunicações é o ponto de intercepção e abuso por serviços de informações[18].

O dimensão do efeito colateral que tais evidências geraram (uma pedido do CEO da Cisco ao presidente Obama[19] a pedir contenção na atividade da NSA) indicia a veracidade da situação e a eventual frequência de outras idênticas.

Evolução da complexidade dos elementos de base das TIC

O decoupling proporcionado pela revolução gerada pelos estudos de Mead e Conway, hoje em dia levada a extremos, foi aceite pelas sociedades ocidentais apenas porque nessa altura os elementos fabricados em geografias remotas, potencialmente antagónicas em termos de interesses económicos e até de defesa, eram simples e de natureza tal que a sua adulteração seria facilmente detectada.

Tal não é mais verdade. Os micro-processadores de hoje são elementos altamente complexos, capazes de fazer muito mais que a execução de simples instruções geradas por software a executar sobre eles, podendo facilmente incorporar capacidades paralelas independentes, indetectáveis a escrutínios menos atentos e capazes, como por exemplo realizar em determinadas circunstâncias determinados tipo de processamentos de informação e emitir resultados via rádio para captura por agentes fisicamente próximos.

A nova versão dos processadores Intel (Core vPro) promete conseguir fazer isto e muito mais[20]. Desenhados nos E.U.A. e produzidos em várias localizações no hub asiático, será com muita dificuldade difícil afirmar quem terá acesso mais qualificado aos meios de intercepção e abuso possíveis.

Os pontos anteriores ganham particular relevância hoje em dia pois sistemas eventualmente manipulados operam tipicamente em contextos complexos, em rede, onde conjuntamente com muitos outros dispositivos trocam-se quantidades enormes de dados em janelas temporais mínimas. Se bem desenhados, mecanismos de exfiltração de informação conseguem passar despercebidos no meio do ruído gerado por uma rede de dados activa. Tal é particularmente verdade quando existe uma via de comunicação entre o sistema em questão e a Internet.

Globalização, TIC e a segurança nacional

Tudo o anteriormente exposto deverá ver-se reflectido no modo como as nações reagem em contextos de fornecimentos TIC por empresas de origem estrangeira.

Status quo mundial

Com pouca surpresa, verifica-se uma crescente resistência à utilização de equipamentos produzidos por empresas de origem estrangeira em alguns contextos críticos. O caso mais notável foi o relatório produzido pelo Congresso Americano, em 2012, em que cabal e frontalmente foi reportado que as empresas Huawei e ZTE “cannot be trusted to be free of foreign state influence and thus pose a security threat to the United States and to our systems.”[21]. Curiosamente, e eventualmente de forma associada a  este evento, a própria Comunidade Europeia perspectivou em meados de 2013 a imposição de sanções às mesmíssimas empresas chinesas com suporte na utilização de práticas ilegais por estas (subsidiação)[22]. Muitos acreditam que tratou-se de um “favor” prestado pela C.E. ao seu parceiro norte-americano.

Similarmente, também a Austrália e a Índia usaram o argumento da segurança para vetar a utilização de produtos da Huawei. No caso da Índia, a situação despoletou a criação de um laboratório pelo Departamento de Telecomunicações (nacional) para investigar a presença de “spyware, malware and bugging software” em equipamentos de telecomunicações[23].

Um ano depois, a situação inversa começou a verificar-se se bem que com um teor mais diplomático. O governo chinês anunciou que executará testes de segurança aprofundados em todos os equipamentos que suportarão sistemas que afectem a segurança nacional e o interesse público, vetando a utilização dos que não superem tais testes. Esta iniciativa surge na sequência da acusação que os E.U.A. fizeram a cinco oficiais chineses (acusação de hacking de empresas norte-americanas) e da criação de um poderoso steering committee for internet security, liderado pelo próprio presidente Xi Jinping[24].

O caso inglês – Cyber Security Evaluation Centre – Huawei

Notavelmente, a Inglaterra coordenou com a Huawei um modelo diferente – seguramente devido à forte presença que a Huawei tem, em termos de economia e empregos gerados, na sociedade inglesa – de promover a aceitação dos equipamentos deste fabricante no país, eventualmente até em contextos críticos.

A Inglaterra, delegando no GCHQ, e a empresa chinesa criaram conjuntamente o Huawei Cyber Security Evaluation Centre, a operar com suposta independência da casa-mãe. Trata-se de um laboratório que tem como missão única analisar os equipamentos da Huawei de modo a identificarem-se potenciais vulnerabilidades.

O laboratório em questão foi alvo de uma investigação pelo Intelligence and Security Committee inglês tendo este reportado que os membros do staff do laboratório deveriam manter-se colaboradores da Huawei mas que o GCHQ deveria deter um papel relevante na sua liderança e gestão[25].

A Huawei encontrou no governo inglês o meio de introduzir mundialmente a noção que a existência de laboratórios de teste de equipamentos de natureza crítica (em termos da cadeia de valor), especificamente focados na confiabilidade dos mesmos, seria uma hipótese/via sólida de atingirem-se algumas garantias hoje praticamente impossíveis de conseguir de outro modo.

O caso português

Complementarmente à já repetidamente mencionada desindustrialização das TIC, Portugal não tem, aparentemente: a) qualquer prática de restrição à importação e utilização de tecnologias de qualquer fabricante de qualquer geografia; b) utilização preferencial de tecnologia de fabricantes específicos; c) nem meios instalados para validação da confiabilidade em tecnologias heterogéneas ou, mesmo, confinadas a um domínio específico.

A dimensão de Portugal não deveria justificar tal pois países igualmente pequenos detêm capacidades de R&D e produção de dispositivos relevantes como é o caso da Suíça, o maior produtor mundial de soluções de transmissão e codificação de sinal vídeo por satélite e cabo.

Com excepções verdadeiramente pontuais (caso da utilização de cartas criptográficas disponibilizadas pela NATO para as forças militares e, mais recentemente, de telefones móveis cifrados produzidos pelo Instituto Politécnico de Beja ao serviço do Governo e Presidência da República), caso os temores manifestados pelas mais variadas potências tenham um fundo de verdade, as instituições portuguesas, todas elas, estão hoje em dia potencialmente vulneráveis à intercepção de dados, disrupção de serviços ou adulteração de informação por agentes externos, tendencialmente ao serviço de estados-nação.

É efetivamente um facto que os mais variados fabricantes fornecem soluções para os mais variados ambientes, civis e militares, críticos e não críticos, bastando para verificar tal consultar os concursos públicos realizados em Portugal.

Tal estado de coisas é particularmente agravado pela situação financeira e económica nacional em que o custo é o principal elemento de avaliação de propostas tecnológicas, não sendo infrequente a aquisição de soluções do tipo “marca-branca” sem qualquer controlo de qualidade, nomeadamente para o casos dos computadores pessoais e servidores de uso indiferenciado.

Riscos da desindustrialização (hard IT) e a adopção de uma indústria de serviços (soft IT) para Portugal

Por todos os motivos que culminaram na transversal desindustrialização nacional, Portugal adoptou uma indústria TIC assente em serviços onde prosperam no máximo um punhado de empresas com aspirações globais sérias.

Isto implica que, em todos os domínios e contextos da sociedade portuguesa, a confiabilidade em tudo o que se faz, toda a informação que se produz, e a capacidade de se produzir ininterruptamente tornaram-se dependentes da confiança nos terceiros que criaram e forneceram os meios tecnológicos em questão em cada caso.

Tal é principalmente verdade, tanto em Portugal como em qualquer outra geografia, quando se consideram as explosivas capacidades de crescimento que a tecnologia tem sofrido em todas as dimensões: velocidade de processamento, velocidade de transmissão, volumetria da transmissão, volumetria do armazenamento de dados, etc. Basicamente, tornou-se impossível “guardar os guardas” das TIC, sendo incontornável a confiança nos fabricantes e nos normativos internacionais que supostamente respeitam.

A quem interessa Portugal

Poder-se-á sempre alegar que um país como Portugal é pouco interessante ou relevante em termos de espionagem com origem em estados-nação. Porém, Portugal – como muitos outros países – é hoje em dia uma parte num sistema complexo de relações empresariais e institucionais: a) é parte integrante de organizações internacionais relevantes (NATO, Europol, EuroNext e Comissão Europeia são exemplos), estando a elas interligada tecnologicamente; b) detém filiais de gigantes corporativos que são centros de competências internacionais (Siemens, Cisco e Microsoft são exemplos); c) tem relações diplomáticas privilegiadas com países que ganham hoje em dia relevância no panorama energético mundial (Angola, Brasil e Moçambique, nomeadamente); d) algumas poucas empresas têm dimensão e presença internacional em sectores críticos (casos da GALP e EDP); e e) é um país com uma bancarização evoluída e uma elevada taxa de penetração de Internet de banda-larga em todo o território nacional.

Qualquer dos cinco contextos supra-indicados poderá ser razão mais que suficiente para uma potência estrangeira achar interessante, nomeada e principalmente quando considerando uma análise custo/benefício, explorar o acesso a contextos de maior valor de forma indirecta (o último dos pontos menos que os demais, sendo principalmente interessante para a criminalidade informática organizada).

Adicionalmente a ser um ponto de passagem, Portugal, como outros países que apostam na indústria de serviços, poderá ver a sua propriedade intelectual e os seus segredos de natureza não tecnológica, o único valor que detém, facilmente ameaçados, de forma invisível, por agentes desconhecidos.

Mesmo considerando que para as camadas mais elevadas da cadeia de valor dos equipamentos de computação e comunicações (o sistema operativo e as aplicações que sobre ele executam) possa haver competências instaladas e disponíveis para efeitos de análise e detecção de problemas (brainware em faculdades e empresas da especialidade), o ghost within que poderá existir nos componentes mais básicos dos sistemas poderá aproveitar-se de canais escondidos para criar e explorar todo o tipo de situações abusivas.

Em resumo, não se pode com honestidade intelectual anunciar que Portugal está protegido contra ameaças à segurança nacional (e não só) pela via tecnológica, à distância e com origem desconhecida.

Conclusão

Assumindo que a concentração dos fabricantes de componentes mais transversais num país exige dimensão do seu mercado nacional e externos (e Portugal não está nestas condições), urge discutir-se que vias alternativas de criação de conforto estão disponíveis para as instituições preocupadas com a Segurança Nacional.

Considerando as ameaças supra-identificadas, dois tipos complementares de práticas surgem como mais adequadas e exequíveis do ponto de vista técnico, logístico e financeiro.

A primeira seria a edificação de um laboratório nacional de teste e análise (no que respeita à segurança da informação e confiabilidade funcional) de dispositivos TIC, muito à semelhança do reportado para a realidade inglesa, pese embora seja necessária agnosticidade relativamente à origem do fabricante. Considerando o grande número de dispositivos distintos no mercado, tal laboratório seria apenas praticável se previamente fosse determinado algum tipo de homogeneização dos equipamentos a usar nos contextos relevantes para a Segurança Nacional. Esta prática atribuiria um carácter de confiabilidade aos equipamentos no que respeita à implantação de back-doors e elementos afins em sede de fabricação.

Complementarmente, seria ainda necessário garantir-se que os equipamentos verificados neste laboratório não seriam adulterados em trânsito entre este e os destinos finais para a sua utilização. Uma via possível de garantir tal seria a edificação de uma cadeia logística que garantisse a inviolabilidade dos dispositivos. Os meios logísticos das Forças Armadas nacionais poderiam ser um meio adequado para tal.

O esforço destas duas práticas de mitigação é certamente elevado e eventualmente inviável para um número alargado de contextos. Porém, com um esforço preliminar de identificação das infra-estruturas críticas nacionais e de contextos complementares tais como forças de segurança, orgãos de soberania, estruturas diplomáticas e serviços de informações, seria um desígnio possível de alcançar-se.

[1] Figueiredo, A. D. (2004)
[2] Ferreira (2012)
[3] Figueiredo, A. D. (2004)
[4] Figueiredo, A. D. (2004)
[5] Figueiredo, A. D. (2004)
[6] Para uma história sumária da Chipidea e da sua área de atuação, recomenda-se a leitura da entrada Wikipedia respectiva: http://en.wikipedia.org/wiki/Chipidea
[7] Adams, Brigadier General John (2013-2).
[8] Para mais informações sobre foudries recomenda-se a leitura da informação disponível em: http://en.wikipedia.org/wiki/Semiconductor_fabrication_plant
[9] Lewis, James A. (2007).
[10] Lewis, James A. (2007), pp. 36
[11] Para mais informação consultar o site ChinaDaily (edição online de 7 de Março de 2014): http://www.chinadaily.com.cn/china/2014-03/07/content_17331800.htm
[12] Infra-estruturas críticas no sentido de grelhas energéticas, saneamento básico, processamento e transporte de água potável, fornecimento de gás, entre outras
[13] Adams, 2013
[14] Confiabilidade é utilizada neste contexto como a conjugação dos três pilares da segurança da informação no seu sentido clássico: integridade, disponibiidade e confidencialidade
[15] Backdoors (http://en.wikipedia.org/wiki/Backdoor_(computing)) e cavalos-de-tróia (http://en.wikipedia.org/wiki/Trojan_horse_(computing)) são mecanismos instalados ilegitimamente em dispositivos de modo a proporcionar a agentes externos o controlo sobre os mesmos
[16] Para uma introdução ao termo ciber-intelligence, recomenda-se a leitura do artigo disponível em: http://www.tripwire.com/state-of-security/security-data-protection/introduction-cyber-intelligence/
[17] Para mais informações sobre este caso consultar os posts da Tripwire (http://www.tripwire.com/state-of-security/top-security-stories/android-backdoor-discovered-nine-samsung-galaxy-models/) e da Free Software Foundation (https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor).
[18] Gallagher, Sean (2014). Notícia que evidencia a NSA a interceptar equipamentos Cisco em trânsito com o intuito de os adulterar para efeitos de intercepção e roubo de informação.
[19] Thomas, Daniel e Waters, Richard (2014)
[20] Para um visão alarmista promovida por apoiantes dos direitos civis recomenda-se a leitura do artigo (versão online) disponível em http://www.popularresistance.org/new-intel-based-pcs-permanently-hackable. Adicionalmente, recomenda-se também a visualização do vídeo de apresentação da própria Intel em que enaltece-se a utilização “positiva” das funcionalidades em questão.
[21] U.S. House of Representatives (2012)
[22] Para mais informação sobre este ponto, recomenda-se a leitura do artigo do The Telegraph (versão online) de 14 de Maio de 2013 – http://www.telegraph.co.uk/finance/china-business/10057301/EC-ready-to-hit-Chinese-companies-with-sanctions-over-illegal-subsidies.html
[23] Para mais informações, consultar o The Register (versão online) de 10 de Maio de 2013 – http://www.theregister.co.uk/2013/05/10/india_to_test_huawei_and_zte_kit/
[24] Para mais informações, consultar o South China Morning Post (versão online) de 14 de Junho de 2014 – http://www.scmp.com/news/china/article/1518208/china-vet-it-products-and-services-boost-national-security
[25] Darroch, Kim (2013)

Bibliografia

Figueiredo, A. D. (2004). Engenharia em Portugal no Século XX: Engenharia Informática, Informação, Comunicações. In M. Heitor, J. M. Brandão de Brito e M. F. Rolo (Editores). A Engenharia em Portugal no Séc. XX, Vol. III. Lisboa, D. Quixote, pp. 551-573. ISBN 927-20-2792-1, Dez. 2004

Ferreira, Major General Edorindo (Set. 2012). Standard Eléctrica – Os 20TPL. In História das Transmissões Militares. Disponível em:  https://historiadastransmissoes.wordpress.com/tag/standard-electrica

Adams, Brigadier General John (2013-1). Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-2). Chapter 7: Semiconductors. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 151-178. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-3). Chapter 12: Telecommunications. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 249-271. ISBN 978-0-9892574-0-4. Maio 2013.

Herring, Matt. The company that spooked the world. In The Economist, Ago. 2012. Disponível em: http://www.economist.com/node/21559929

Thomas, Daniel e Waters, Richard (2014). Cisco boss calls on Obama to rein in surveillance. In Financial Times (online edt. 18 Mar 2014). Disponível em: http://www.ft.com/intl/cms/s/0/a697c292-de80-11e3-9640-00144feabdc0.html?ftcamp=crm/email/2014?ftcamp=crm/email/2014518/nbe/ExclusiveComment/product_a2___a3__/nbe/ExclusiveComment/

product&siteedition=intl#axzz325bPWKrV

Gallagher, Sean (2014). Photos of an NSA “upgrade” factory show Cisco router getting implant. In arstechnica (online, 14 Maio 2014). Disponível em: http://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant

Lewis, James A. (2007). Bulding an Information Technology Industry in China. The CSIS Press. Washington. ISBN-13: 978-0-89206-489-2.

U.S. House of Representatives (2012). Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE. 112th Congress. 8 Out. 2012.

Darroch, Kim (2013). Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser – Executive Summary. In Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser. HM Governement, December 2013.

Autor: João Barreto 

  • Texto produzido no âmbito da avaliação individual do Módulo “Globalização  e  Riscos  de  Segurança”  da  1ª  Edição  da   Pós­‐Graduação  em  Gestão  de  Informações  em  Segurança  (ISEGI/IDN  2014)
sysblog

Comprehensive Monitoring as a Service (CMaaS)

CMaaS, em tradução livre Monitorização Abrangente como Serviço, é um conceito recente e inovador a entrar no mundo das soluções de monitorização.

cmaas

Inserido no contexto dos XaaS um termo colectivo com uma série de significados – incluindo “X como um serviço”, “qualquer coisa como serviço” ou “tudo como serviço” – que se referem a um crescente número de serviços prestados através da Internet em vez de fornecidos localmente.

CMaaS é um caso particular de um SaaS – Software as a Service (software como serviço) herdando assim todas as vantagens que advêm de fornecer um software desta forma.

O CMaaS é uma ferramenta de monitorização cujo objetivo principal é o de informar os seus utilizadores sobre o estado e o desempenho de todos os seus serviços, aplicações e infra-estruturas, independentemente das respectivas localizações geográficas, arquiteturas e plataformas tecnológicas.

Como qualquer SaaS, o CMaaS oferece os seus serviços através de um aplicativo central, baseado na web, alojado pelo fornecedor do serviço de monitorização, sem os custos diretos e indirectos da infraestrutura para o cliente.

O termo Abrangente (do inglês comprehensive) realça a capacidade desta filosofia de monitorizar tudo o que for necessario. Apresentando-se assim como uma solução para praticamente todo o tipo de situações de monitorização: desde a monitorização dos sistemas de produção numa indústria, até o seguimento dos parâmetros ambientais numa casa de habitação, passando por uma PME que necessite de monitorizar os seus servidores e aplicações, entre outros cenários.

O principal benefício da monitorização como um serviço é a facilidade de configuração e manutenção. Em geral, para se iniciar o processo de monitorização num sistema deste tipo, basta a criação on-line de uma conta junto de um dos fornecedores deste tipo de soluções, e garantir que a infra-estrutura está pronta a ser monitorizada (geralmente algo bastante simples bastando que os serviços sejam acessíveis pelos sistemas de monitorização) e pode-se começar a monitorizar imediatamente. O funcionamento e manutenção do CMaaS é garantido pelo fornecedor do serviço.

Dos muitos benefícios desta abordagem destacam-se:

  • Fácil de configurar, ainda mais fácil de manter – Como dito anteriormente, para iniciar a monitorização, o utilizador não tem que instalar os tradicionalmente complexos  sistemas, nem de manter servidores aplicacionais, bases de dados e outros equipamentos referentes à ferramenta de monitorização, ao contrário do que acontece numa solução local (on-premise).

  • Evolução rápida do produto – Os sistemas CMaasS são atualizados centralmente, sem problemas logísticos e de forma transparente para os utilizadores da solução.

  • Aplicações distribuídas são facilmente monitorizadas – Através deste tipo de soluções, uma aplicação distribuida por múltiplos servidores e/ou geografias é muito mais fácil de monitorizar, não necessitando de agentes nem de instalação de software especifico.

  • Perfeito para nuvens públicas – Porque o sistema de monitorização deve ser independente do sistema cloud que está a servir a aplicação em si  e porque não faz sentido pagar pelo alojamento na cloud de mais um sistema de monitorização.

  • Acessibilidade Global – Acesso ao sistema de monitorização de qualquer lugar e a partir de qualquer dispositivo.

Como não existem soluções perfeitas, há alguns aspetos a considerar na comparação entre uma solução local (on premise) e uma solução CMaaS:

  • Segurança dos dados resultantes da monitorização – Como a logística do serviço está do lado dos fornecedores do CMaaS, os dados resultados da monitorização não estão sobre o controlo direto do cliente.

  • Segurança das aplicações e infraestruturas – Os pontos de entrada para a infraestrutura a monitorizar podem ser explorados como vetores de intrusão. Para mitigar este risco, a instalação de componentes de monitorização locais (dentro da infraestrutura) pode ser uma solução.

  • Fiabilidade do sistema de monitoramento – No fim do dia é tudo uma questão de confiança. Há que confiar nos fornecedores do serviço de monitorização a vários níveis: disponibilidade da monitorização (24/7) / segurança de dados do cliente / competência.

  • Os dados em tempo real – Este é provavelmente o “calcanhar de Aquiles” dos CMaaS. Se os requisitos de monitorização envolvem a avaliação do estado dos serviços em tempo real (e não com o habitual atraso que muitas das soluções CMaaS apresentam) o CMaaS pode não ser a solução mais adequada.

  • Desempenho da solução de monitorização – A configuração das taxas de recolha de dados de performance em soluções CMaaS normalmente não estão disponíveis ou não têm possibilidade de baixa resolução.

  • Personalização da solução de monitorização – Qualquer solução CMaaS, por melhor que seja e por maior variedade de possibilidades de configuração e personalização que apresente, não poderá competir com uma solução desenvolvida à medida das necessidades do cliente.

Em Conclusão, A Monitorização Abrangente como Serviço é uma solução atraente para muitas empresas e situações especialmente em sistemas baseados em nuvem e empresas que não queiram ou não possam suportar os custos de uma solução local.

 
 
 
Bibliografia:

Autor: Tiago Pombeiro @SysValue

logotipo_POR_Lisboa_100pxlogotipo_QREN_100px
logotipo_UE_Feder_100px

Malware

Cada vez mais os problemas relacionados com malware afetam tanto particulares como empresas. Há alguns anos atrás, os tipos mais comuns de malware eram os vírus e os worms, para os quais existiam ferramentas baseadas em assinaturas (antivírus) com uma boa eficácia. No entanto, esse cenário tem vindo a alterar-se, sendo cada vez mais comuns outros tipos de malware: no passado recente tivemos eventos como a operação Aurora (http://en.wikipedia.org/wiki/Operation_Aurora), Zeus 
(http://en.wikipedia.org/wiki/Zeus_(Trojan_horse), e outros mais ou menos significativos e com maior ou menor exposição. Em cada um destes casos, o modus operandis era distinto pelo que o combate não pode passar por ações individualizadas de prevenção de uma determinada vulnerabilidade (explorada por uma dessas instâncias), mas por uma ação mais abrangente e estruturada com o intuito de proteger a informação mais valiosa das empresas (tipicamente o alvo destes ataques).
A dificuldade está na implementação dessas medidas protetoras (que podem passar pela implementação de ferramentas ou estratégias) dado que o grau de efetividade contra o malwareavançado (APT – Advanced Persistent Threat) dificilmente é de 100%. Adicionalmente, a adoção massiva e crescente da chamada “social media”, tanto pelas empresas como pelos particulares, torna esta tendência como um canal para a fácil distribuição do malware e de difícil controlo.
Os gráficos seguintes ilustram os principais vetores de entrada do malware:
Blog malware web
Blog malware tre
.
Para os negócios que realizam transações na web, como por exemplo sites de comércio online ou os sites de homebankingmalware como o trojan Zeus, que se posiciona no browser do cliente e intersecta todos os pedidos (MITB – Man-in-the-Browser), são especialmente preocupantes. Neste caso, não podemos confiar em nada que é enviado pelo browser do cliente, nem mesmo com a utilização de cifra SSL, não sendo possível para as aplicações detetar este tipo de ameaças dado que todo o código no cliente (client-side) pode ser manipulado pelo malware. Existem, no entanto, algumas proteções adicionais que podem ser aplicadas para minimizar a sua efetividade:
  • Implementação de dois níveis de autenticação/autorização, recorrendo a um dispositivo distinto do que origina a transação (e assumindo que a probabilidade de infeção simultânea dos dois dispositivos é baixa);
  • Implementação de medidas no lado das aplicações (server-side fraud detection) para determinar comportamentos anómalos, por exemplo, por variação dos montantes típicos ou das operações comuns.
Este tipo de transações é um alvo sempre apetecível para estas ameaças, que variam e assumem diversas formas explorando inúmeras vulnerabilidades. Como referido, uma das variantes explora as vulnerabilidades dos seus clientes (client-side vulnerabilities) que visa não diretamente a organização, mas os seus utilizadores, tirando partidos de sistemas menos protegidos e não tão educados quanto ao risco de determinados comportamentos. Continuam, no entanto, a existir ataques dirigidos às próprias organizações, que recorrem a soluções como o IPS (Intrusion Prevention Systems) ou o WAF (Web Application Firewalls), tipicamente inline, para o controlo e proteção contra essas ameaças. Nalguns casos, o volume de trafego que tem que ser processado por essas ferramentas limita-as na sua análise, pelo que soluções que fazem essa análise em modo offline, podem ser muito mais detalhadas e minuciosas cobrindo assim um espectro maior de ameaças, estando, naturalmente, limitadas na sua capacidade de prevenir o primeiro ataque, mas tendo a capacidade de gerar alertas para estas ameaças. Cabe depois à organização implementar um plano de ação para o tratamento destes alertas e análise do impacto da sua execução.
A Gartner lançou em finais de 2013 um relatório (http://www.gartner.com/newsroom/id/2595015), no qual caracteriza em cinco o tipo de medidas que pode ser implementada por uma organização para garantir a proteção contra este tipo de ameaças:
 
  • Network Traffic Analysis: A análise do trafego de rede permite definir uma baseline, sendo os comportamentos anómalos analisados e classificados. Implica algum tunningda solução para minimizar os falsos positivos resultantes desta abordagem.
  • Network Forensics: Tipicamente garantem a captura total do trafego de rede e permitem reconstruir e simular num ambiente controlado o impacto de determinado trafego observado. Tem requisitos elevados de storage que aumentam com períodos de retenção elevados.
  • Payload Analysis: Associados a técnicas de sandbox local ou na cloud, para deteção do malware. Estas soluções têm uma visibilidade limitada do impacto do malware nosendpoints, sendo muitas vezes complementada com outras técnicas.
  • Endpoint Behaviour Analysis: Baseado na ideia do isolamento da execução das aplicações nos endpoints, ou na monitorização do comportamento e dos recursos acedidos pela sua execução. Implica a instalação de um agente no endpoint com as implicações que essa instalação acarreta na gestão e manutenção desse agente.
  • Endpoint Forensics: Conjunto de ferramentas que garante às equipas de análise de incidentes de segurança (incident response teams), a automatização do processo de resposta a incidentes.
Blog malware flux
Cada vez mais este tipo de soluções são um requisito nas mais variadas organizações. A recomendação da gartner é a da aplicação conjunta de pelo menos dois tipos de medidas das acima mencionadas, complementando as vantagens para cada um dos segmentos (linhas) com diferentes horizontes temporais (p.ex. colmatar as dificuldades de uma análise do payload com uma análise forense dos endpoints – tipo 3 e tipo 5). Como referido, a estratégia não deverá ser contra uma determinada ameaça ou variante, mas de uma forma global contra este tipo de ameaças através de um plano de ação bem definido, que passa não apenas pela implementação de políticas ou ferramentas por forma a criar ambientes mais seguros e menos suscetíveis às várias ameaças, mas dos próprios utilizadores que muitas vezes são o elo mais fraco desta cadeia.
Autor: Rui Branco @ SysValue

Bibligrafia:

http://tinyurl.com/qe562at

Sources: November 2013 Osterman Research Survey on Email, Web and Social Mdeia Security; 2013 Trustwave Global Security Report; The Global Malware Problem: Complanency Can Be Costl, Osterman Research.

 

Sobre Wearables e Bluetooth Smart

Em Janeiro o CES2014 em Las Vegas deu o mote para o ano de 2014, indicando que será certamente um ano de grande aposta em dispositivos “wearable”. Houve vários produtos a ser anunciados nesta área tais como “smartwatches”, dispositivos de “fitness tracking”, entre outros.

Existe também suspeita generalizada de que já em 2014 a Apple e a Google anunciarão os seus smartwatches, pelo que as expectativas relativamente a esta tecnologia são elevadas.

Devemos então tentar adivinhar as aplicações que estes dispositivos poderão ter, em particular no domínio da segurança. O facto de serem um segundo dispositivo inteligente (para além do “smartphone”) que andará connosco para qualquer lado pode permitir aplicações interessantes, como por exemplo servir como segundo factor de autenticação: A Nymi é uma pulseira que recolhe dados biométricos relacionados com o batimento cardíaco do utilizador e utiliza os mesmos como segundo factor perante um smartphone ou qualquer outro dispositivo que comunique directamente com a pulseira.

 

Um ponto comum a todos estes dispositivos é a utilização de Bluetooth Smart (também conhecido como Bluetooth Low Energy), um protocolo introduzido em conjunto com a especificação da norma Bluetooth 4.0. Este protocolo é inteiramente novo e distinto do Bluetooth clássico, partilhando apenas a frequência e determinadas características que tornam fácil implementar ambos os protocolos no mesmo dispositivo/rádio.

 

São estas as principais características diferenciadoras:

  • Cerca de 95% maior eficiência energética face ao Bluetooth clássico;
  • Menor latência no setup de ligações (6ms ao contrário dos cerca de 100ms no Bluetooth classico);
  • Funciona em modo ponto a ponto ou em modo estrela (um “master” para vários “slaves”) — não é possível ter um slave a transmitir para dois masters;
  • Tem menor largura de banda face ao Bluetooth clássico (não estando prevista a capacidade de transmissão de voz/áudio).
  • Suporta encriptação forte (AES-CCM 128), no entanto os mecanismos de troca de chaves têm falhas (ver abaixo).

Pelo facto de aparecer associado ao Bluetooth (que é suportado pela esmagadora maioria dos smartphones), assim como por suportar um maior raio de alcance face à tecnologia Near Field Communication (NFC) permitindo maior conveniência/usabilidade, e também pela sua eficiência energética, todos estes factores tornam o protocolo extremamente promissor e candidato a adoção em massa, na área dos wearables e não só:

A maior simplicidade do Bluetooth Smart do ponto de vista das camadas física e lógica do protocolo facilita o estudo dos seus mecanismos de segurança. É significativamente mais fácil fazer análise passiva do protocolo através de network sniffing, uma vez que os mecanismos de “frequency hopping” e “pairing” são mais simples do que os do Bluetooth clássico.

Um dispositivo particularmente útil para testar a segurança do Bluetooth Smart é o Ubertooth One, desenvolvido especificamente para testar Bluetooth / Bluetooth Smart.

Blog ubertooth one

Na SysValue temos um Ubertooth One e estamos particularmente interessados na investigação de:

  • Eventuais vulnerabilidades em comunicações mais sensíveis, p. ex. transmissão de notificações de emails recebidos entre um smartphone e um smartwatch, ou entre uma fechadura física e uma chave Bluetooth;
  • Aplicações de proximidade: P. ex. a capacidade de bloquear/desbloquear um smartphone ou PC com base na proximidade de uma pulseira/relógio Bluetooth;
  • Vulnerabilidades na stack Bluetooth que possam permitir a execução de código em dispositivos vulneráveis;
  • Possibilidade de tracking de pessoas com base em dispositivos Bluetooth e todas as implicações que tal tenha do ponto de vista da privacidade.

Para concluir deixo o link para uma apresentação recente do Mike Ryan da iSEC Partners, que tem investigado a segurança do Bluetooth Smart onde é feita uma exposição do protocolo e demonstradas vulnerabilidades nos mecanismos de pairing (troca de chaves) especificados no protocolo.

Autor: Luis Grangeia @ SysValue