Leis e regulamentos que regem a Ciber-segurança

As ameaças mencionadas, ou melhor, os riscos, consistem muito frequentemente em deixar pegadas digitais no ciberespaço. As pegadas digitais, com base na possibilidade ou não de serem influenciadas por um utilizador, podem geralmente ser divididas em pegadas que podem ser influenciadas (activas) e que não podem (passivas).

Divisão de pegadas digitais:

·      Pegada digital passiva

·       Pegada digital activa

Na secção seguinte, centrar-me-ei em alguns aspectos das pegadas digitais individuais e da informação nelas contida. O objectivo é alertar os utilizadores de que as suas acções no ambiente dos sistemas de informação e comunicação não são tão anónimas como eles possam pensar.

No mundo das TIC, aplica-se uma regra: sempre que carrega, transfere, medeia ou coloca algo no ciberespaço, ele fica lá "para sempre". Haverá sempre uma cópia (criada com base na funcionalidade de um sistema informático ou uma cópia armazenada por outro utilizador) dos seus dados. E mesmo se posteriormente apagar os dados, estes não serão apagados de facto, permanente e irreversivelmente. Por conseguinte, é conveniente prestar atenção à sua pegada digital e às informações ou dados que deixamos para trás no ambiente do ciberespaço.

7.1.1 Pegada digital passiva

As pegadas passivas surgem mais frequentemente da interacção de um sistema informático com outro sistema informático ou da funcionalidade de um sistema informático (e software associado). Exemplos de tais pegadas podem ser informações do sistema operacional (tais como mensagens de erro do Windows ou informações do sistema), ou outras informações e dados que são armazenados com base na funcionalidade do sistema sem terem de ser transmitidos (tais como um sistema informático que nunca tenha sido ligado a qualquer rede ou outro sistema informático).[1] Dizer de forma totalmente intransigente que estas pegadas não podem ser influenciadas não seria inteiramente correcto. Se um utilizador tiver experiência suficiente, é capaz de alterar, mascarar ou suprimir uma série de pegadas digitais "passivas" (por exemplo, através de um simples modo anónimo do navegador da web que desliga os cookies). No entanto, o movimento de um utilizador na Internet pode ser monitorizado de várias maneiras.

Endereço IP

A ligação de um sistema informático à Internet é um exemplo típico de uma pegada relativamente passiva. Um endereço IP ou endereço MAC que são transmitidos juntamente com outras informações do ISP. Um endereço IP não é anónimo por defeito, e o sistema informático utiliza-o como um dos identificadores quando comunica com outros sistemas informáticos. Os endereços IP são atribuídos hierarquicamente, com a ICANN a desempenhar um papel dominante, dividindo o mundo real em regiões geridas por registadores regionais da Internet (RIR - Regional Internet Registry). A estes agentes de registo foi atribuída uma gama de endereços IP da ICANN, que atribuem aos LIRs dentro da sua região. Os agentes de registo regionais estão divididos nos cinco territórios seguintes:

1.     Região "Euro-Asiática" - RIPE NCC: https://www.ripe.net/

2.     Região "Ásia Pacífico" - APNIC: https://www.apnic.net/

3.     Região "norte-americana" - ARIN: https://www.arin.net/

4.     Região "América do Sul" - LACNIC: http://www.lacnic.net/

5.     Região "africana" - AFRINIC: http://www.afrinic.net/

Figura - Divisão do mundo entre os RIRs

Os registadores regionais[2] exploram o serviço Whois nos seus sítios web, que é um nome para uma base de dados na qual estão registados dados sobre detentores de endereços IP. Estas bases de dados contêm uma vasta gama de informações que permitem a identificação, por exemplo, de uma série de endereços IP públicos utilizados, informações de contacto, contacto de abuso[3] , fornecedor de ligação hierarquicamente superior, etc. Para determinar um "proprietário" (operador, fornecedor) de um determinado endereço IP, é muitas vezes possível utilizar estas bases de dados livremente disponíveis. [4]

Os registadores regionais dividem ainda mais os intervalos de IP atribuídos entre os registadores locais da Internet (Local Internet Registry - LIR). Um registador local é normalmente um ISP (na República Checa, um fornecedor de serviços da sociedade da informação, especificamente um fornecedor de ligação, público ou não público). Este agente de registo pode então fornecer a sua gama de endereços IP a, por exemplo, partes da sua organização ou outras entidades.

Figura - Informação extraída da base de dados RIR

A selecção abreviada da base de dados do RIR mostra o LIR (neste caso a associação CESNET, z. s. p. o., utilizando a gama de endereços IP: 195.113.0.0/16) e uma organização à qual o CESNET atribuiu parte dos endereços públicos [Academia de Polícia da República Checa com a gama de endereços IP 195.113.149.160 - 195.113.149.175]. A Academia de Polícia pode novamente distribuir estes endereços entre outras partes da organização (por exemplo, faculdades, laboratórios, ou outras sub-redes que gere)]. Dependendo do endereço IP e da hora exacta, é possível determinar um sistema informático específico com base na atribuição hierárquica de endereços. As informações sobre uma ligação de um sistema informático final (fonte) a um sistema informático alvo (por exemplo, ligação de computador à Internet e apresentação da página web requerida) são armazenadas por ISPs individuais ao longo do caminho entre a fonte e o alvo.

Devido às regras estritas que definem a gestão de endereços IP e bases de dados RIR acessíveis ao público que contêm informações sobre os detentores de blocos de endereços individuais, é possível descobrir muito rapidamente a que rede pertence um determinado endereço IP e a quem opera a rede. Graças ao registo de informações do tráfego de rede, o operador de uma determinada rede é então capaz de identificar quem (ou que sistema informático) utilizou um determinado endereço IP num determinado momento. Esta determinação é uma fonte de informação muito importante no tratamento de incidentes de segurança (ciberataques) e na procura da sua fonte (originador).

Email

O e-mail, como um dos serviços mais frequentemente utilizados no ambiente da Internet, não é definitivamente um serviço anónimo. Uma mensagem que é enviada de uma fonte para um destino (destinatário) contém normalmente uma série de diferentes tipos de informação que podem identificar tanto o fornecedor do serviço (e-mail) como o fornecedor de ligação do dispositivo a partir do qual o e-mail foi enviado. Esta informação não é exibida no corpo da mensagem (ou seja, o texto que enviamos a uma pessoa específica) mas sim no código fonte (cabeçalho) da mensagem. A partir deste código fonte, é possível descobrir o caminho através de servidores, remetente real, nome do computador de origem, nome do computador, hora de envio da mensagem (incluindo fuso horário) utilizada pelo sistema operativo, cliente de correio, etc. Abaixo está um exemplo de um cabeçalho de correio electrónico fraudulento encaminhado[5] com informações potencialmente interessantes assinaladas.

Figura - Ver informação do cabeçalho de uma mensagem de correio electrónico

Navegador web

Um web browser é outra aplicação que por defeito passa informação sobre um utilizador e o seu sistema informático para o sistema informático (servidor) de um sítio visitado. Dentro de uma consulta de um cliente, este servidor descobre então, por exemplo, o referrer (que é a página de onde o utilizador vem), o navegador web utilizado e o sistema operativo (incluindo a versão exacta), cookies, flash cookies, histórico, cache, etc.

Para além do endereço IP, estes são, entre outras coisas, cookies[6] que ajudam a criar uma "impressão digital" do sistema informático do utilizador (computador, smartphone, etc.). Esta impressão digital permite a especificação de um sistema informático específico[7] , mesmo que o utilizador utilize um navegador web diferente, ou elimine cookies, inicie a sessão a partir de um endereço IP diferente, etc.

Uma das muitas formas de criar "impressões digitais" actualmente em uso é a recolha de impressões digitais em tela.[8] A recolha de impressões digitais em tela funciona através de um servidor web visitado que instrui o navegador web do utilizador a "desenhar uma imagem oculta". Esta imagem é exclusiva de qualquer navegador da web e sistema informático.  A imagem desenhada é então convertida num código de identificação, que é armazenado no servidor web no caso de o utilizador a visitar novamente. [9]

Figura - Exemplo de Impressão Digital em Tela

Para além da recolha de impressões digitais, é também interessante monitorizar a transferência de informação para terceiros (tanto entidades como serviços que podem utilizar mais informação do utilizador) num navegador da web. Por defeito, esta transferência tem lugar com base nos Termos de Serviço acordados com um ISP. Por exemplo, cada utilizador final pode utilizar a aplicação Light Beam[10] , que exibe todas as páginas com as quais um utilizador (muitas vezes inconscientemente) comunica no sítio web. (Os dados são transmitidos a terceiros.) A transmissão de informação sobre os utilizadores a terceiros não é certamente excepcional. Pelo contrário, no mundo digital é uma questão natural e um "pré-requisito necessário" para o funcionamento de muitos ISPs.

1.     O primeiro slide mostra a actividade do Firefox para o período de 30 de Julho de 2016 a 4 de Agosto de 2016. Durante esse período, foram visitadas 154 páginas, e 390 páginas de terceiros foram ligadas.

2.     O segundo ecrã de impressão exibe o mesmo mapa mas filtra páginas de terceiros que são representadas por triângulos.

3.     O último ecrã de impressão exibe a aplicação LightBeam após a limpeza e exibição das seguintes páginas: www.seznam.cz; www.google.com;

Outras aplicações

Na parte seguinte do texto, centrar-me-ei parcialmente nos dispositivos inteligentes (smartphones, tablets, etc.) e aplicações associadas a actividades de "dispositivos inteligentes". Escolho propositadamente estes dispositivos porque são sistemas informáticos nos quais os utilizadores instalam provavelmente o maior número de programas (muito frequentemente não verificados, apenas recomendados por um "amigo"). São estes dispositivos que, devido aos termos e condições contratuais, entre outras coisas, não têm de estar sob o controlo total do utilizador, administrador, etc., que representam um risco de segurança tanto para o utilizador final como para a empresa (organização).

O inquérito estatístico anteriormente mencionado[11] mostra que, em média, gastamos na Internet: 4,4 horas (acesso via computador sob a forma de um computador de secretária ou portátil, etc.) e 2,7 horas (acesso via dispositivos móveis) por dia. No caso de um computador, a segurança do dispositivo é geralmente garantida, mas os dispositivos móveis (smartphones, tablets, etc.) normalmente não têm políticas definidas para uma possível instalação de software (seja de fontes confiáveis ou não confiáveis) e muitas vezes carecem de protecção básica sob a forma de um programa antivírus.[12]

Um utilizador final tem a opção de instalar principalmente software no dispositivo do SO Android, e este software irá transmitir (a outras entidades) e armazenar informação sobre as suas actividades, incluindo o armazenamento e transferência do conteúdo da informação transmitida. O serviço Play Store, que é fornecido pela Google dentro do SO Android, permite a qualquer desenvolvedor definir regras para o que a aplicação deve recolher, por exemplo, e para onde enviar esses dados.

Pessoalmente, acredito que não é um erro permitir aos criadores e desenvolvedores de aplicações obter informação suficiente sobre as suas aplicações, a sua funcionalidade, etc. Se regularmos a recolha desta informação, então iremos sem dúvida regular e dificultar o possível progresso e subsequente desenvolvimento destas e de outras aplicações. Por outro lado, há atacantes que, porque a Play Store não autentica e escaneia aplicações, podem oferecer aplicações infectadas por malware que, quando instaladas num sistema de computador final, podem assumir o controlo de um smartphone de utilizador final, por exemplo.

Identificação de um sistema informático baseado em informações dos seus componentes

Um dos identificadores únicos, mas em algumas circunstâncias variáveis, do sistema informático é um endereço MAC, que está fortemente ligado a um cartão de rede do sistema informático. Contudo, uma placa de rede não é o único componente de hardware capaz de transmitir um identificador único de sistema informático a outro sistema informático.

Os investigadores da Universidade de Princeton descobriram que um sistema informático pode ser identificado, por exemplo, pela informação da bateria do sistema, e os navegadores da Web são uma parte essencial da transmissão desta informação. [13]

Na prática, é utilizado um procedimento que utiliza as capacidades do HTML5. Esta norma inclui uma função que permite aos sítios web (ou servidores web) identificar um nível de bateria do sistema informático que lhes acede. (A informação é transmitida sobre qual a percentagem da bateria restante e quanto tempo aproximadamente demora a descarregar ou carregar). A ideia dos proprietários de servidores web é que um utilizador que esteja a ficar sem bateria será mostrado uma versão rentável de uma página web. Os dois guiões descritos pelos investigadores da Universidade de Princeton já estão de facto a utilizar dados sobre a bateria, ao mesmo tempo que recolhem informação adicional - tal como um endereço IP ou uma impressão digital em tela. Tais combinações já podem fornecer uma identificação muito precisa de um sistema informático.[14]

7.1.2 Pegada digital activa

Uma pegada digital activa que pode ser influenciada representa toda a informação que um utilizador transfere voluntariamente sobre si próprio para outra pessoa (quer seja natural ou legal, ou mesmo ISP). A transferência pode incluir uma série de actividades, tais como o envio de um correio electrónico, adição de um post a uma discussão, fórum, publicação de qualquer meio de comunicação (foto, vídeo, áudio, etc.) em meios de comunicação social, etc. O termo também inclui um registo e utilização de todos os serviços concebíveis no ciberespaço [por exemplo, sistemas operacionais, e-mails (incluindo freemail), redes sociais, encontros, redes P2P, chats, blogs, quadros de avisos, websites, serviços de nuvem, armazenamento de dados, etc.].

As pegadas digitais activas são pegadas sobre as quais os utilizadores podem ter relativo controlo, e só a eles cabe a informação sobre si próprios que pretendem colocar à disposição dos outros. No entanto, é necessário chamar a atenção para a premissa já mencionada: quaisquer dados ou informações introduzidas no ciberespaço permanecerão no ciberespaço.

Teoricamente, seria possível definir uma categoria de pegadas hipotéticamente activas, que é de certa forma um oxímoro. No entanto, esta categoria inclui determinados factos que um utilizador pode teoricamente influenciar, ou seja, é capaz de os influenciar, mas normalmente não o faz porque, de facto, limitaria significativamente o seu funcionamento no mundo digital. Estas pegadas poderiam incluir, por exemplo, a utilização dos serviços dos maiores ISPs (Microsoft, Apple, Google, Facebook, etc.), para os quais a utilização do serviço está sujeita ao acordo dos Termos de Serviço (EULA) que, por sua vez, permitem a estes ISPs obter uma quantidade significativa de informação. Além disso, é possível incluir nestas pegadas também pegadas que surgiram, por exemplo, através da correlação de pegadas activas e passivas; informação que outros utilizadores revelam sobre nós; dados que são espelhados; dados EXIF.[15]