'Apagão' nos PCs do governo foi amador e desnecessário, dizem especialistas
O MPF (Ministério Público Federal) solicitou uma investigação sobre a formatação de HDs sem aviso prévio dos computadores do Palácio do Planalto nesta sexta-feira (11).
O episódio, popularmente conhecido como "apagão de documentos", tomou notoriedade por ser feito às pressas e sem muitos detalhes públicos, o que levou ao pedido de explicação do MPF.
"O MPF quer que a Secretaria-Geral da Presidência explique de quem partiu a ordem de formatação dos HDs e se a pasta promoveu a apuração de responsabilidades sobre eventuais causas e responsáveis pelo ocorrido", informou o órgão em nota.
A justificativa do governo foi que a rede da Presidência sofreu uma tentativa de invasão pouco tempo após o segundo turno das eleições, e que arquivos e bancos de dados do gabinete estavam ameaçados.
Entretanto, especialistas consultados por Tilt afirmam que a decisão do gabinete presidencial de formatar computadores para se proteger de uma suposta invasão é amadora em diversos aspectos de segurança organizacional. Mais ainda, a decisão falha em seguir os próprios protocolos do governo.
O que foi a suposta invasão?
Segundo nota de esclarecimento da Secretaria-Geral da Presidência, no dia 01 de novembro, um dia após o resultado do segundo turno das Eleições de 2022, um malware - programa de computador nocivo que explora falhas dos sistemas - foi detectado em alguns dos computadores.
Este software, que compromete a segurança do sistema, foi supostamente disseminado por uma técnica de engenharia social chamada phishing - quando emails e sites falsos levam pessoas a inserir seus dados e credenciais.
Responsável pela defesa dos sistemas, a ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais) afirma que não houve "vazamento, perda de dados institucionais e nem comprometimento de sistemas hospedados na rede da Presidência da República."
A decisão de formatar os computadores seria um procedimento padrão para reparo dos sistemas operacionais.
Segundo a Secretaria Geral, nenhum dado foi perdido.
"Esclarecemos que os arquivos institucionais ficam armazenados em servidor de arquivos no Centro de Dados da Presidência da República e que a política de segurança prevê o backup regular desses dados, bem como a conscientização dos colaboradores quanto à abertura de arquivos ou links suspeitos recebidos por e-mail ou outras fontes."
Decisão não segue protocolos oficiais
Responsável por reunir os comunicados de ameaça cibernética bem ou mal sucedidos nos serviços federais, números da CTIR (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo) mostram quatro registros de malware desde a última atualização, no dia 04 de novembro.
No entanto, não há uma comunicação oficial desta tentativa de phishing específica comunicada pela Secretaria-Geral, ou do nome do malware nos sistemas do governo.
"Considera-se incidente de segurança qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores", segundo o artigo 4.8 dos padrões de comunicados de segurança do CTIR.
Mais ainda, de acordo com o artigo 5.5, ocorrências digitais como esta devem ser encaminhadas e lideradas por investigações policiais.
"Havendo indícios de ilícitos criminais durante o gerenciamento dos incidentes de segurança, as ETIR de órgãos da APF devem, além de comunicar ao CTIR Gov, acionar as autoridades policiais competentes para a adoção dos procedimentos legais necessários", afirma o artigo.
A cláusula ainda explica que, ao contrário de formatar os computadores, a instrução do CTIR é de que os dispositivos devem ser preservados para manter as evidências.
"Ademais, deve observar os procedimentos para preservação das evidências, exigindo consulta às orientações sobre cadeia de custódia, e priorizar a continuidade dos serviços da ETIR e da missão institucional da organização."
Procurada por Tilt, até o momento o CTIR não se pronunciou sobre o assunto.
Formatação é desnecessária e atrapalha investigações
Mesmo no caso de um comprometimento, a decisão de formatar os HDs é prejudicial para perícias digitais.
Para o investigador particular e perito digital Wanderson Castilho, esse tipo de decisão é extrema, e não deve ser tomada salvo casos de ransomwares - os famigerados sequestros de dados.
"Não faz muito sentido [formatar], porque você precisa de todos esses elementos para fazer uma investigação e identificar onde foi a vulnerabilidade, a qual profundidade ocorreu e inclusive verificar a origem e achar o autor dessa invasão", aponta.
Para casos de ransomware, o CTIR possui uma série de diretrizes específicas, conforme em um de seus alertas. Em nenhum deles consta a decisão de formatar os computadores.
Para Evandro Lorens, perito digital e diretor da APCF (Associação Nacional dos Peritos Criminais Federais), apagar os dados diante de uma suposta invasão é uma prática amadora.
"Não se faz isso. Em termos corporativos, institucionais e governamentais, você preserva esse equipamento para análise, para salvar esses dados, e isola a máquina da rede", explica.
O especialista explica também que a formatação de HDs acabaria dificultando os serviços dos investigadores. Isso porque os novos programas e arquivos gerados no computador recém-formatado ficariam "escritos por cima" dos registros anteriores.
"Você está eliminando os vestígios que poderiam ser analisados para poder identificar quem foi, o que aconteceu, como aconteceu e quem fez," finaliza.
