Em entrevista ao jornal OPAÍS, Ivo Martins, especialista em cibersegurança, apresenta alguns dos mecanismos técnicos que podem ajudar o Ministério Público (MP) e o Tribunal Supremo a recuperar os documentos desaparecidos que supostamente certificam a transferência indevida de 150 milhões de dólares do extinto Gabinete de Reconstrução Nacional (GRN) para a empresa China International Found (CIF) Hong Kong. O MP afirma ter perdido o rasto dos mesmos devido a sucessivos ataques de hackers
Como profissional de cibersegurança, posso mencionar algumas boas práticas internacionais para protecção de evidências digitais em sistemas judiciais. Neste caso, e para órgãos de justiça e investigação criminal, considero essenciais medidas como backups seguros e redundantes, controlo rigoroso de acessos, segmentação de redes, aposta na monitorização contínua e na formação permanente dos técnicos.
Quais as valências de se ter backups seguros e redundantes?
Os sistemas que guardam evidências críticas devem ter cópias em múltiplos locais, incluindo sistemas offline (air-gapped), que não estão conectados à Internet. Casos internacionais mostram que o ransomware pode cifrar tanto os sistemas principais como os backups em linha. O controlo de acessos rigoroso implica autenticação multifactor, concessão de privilégios mínimos e registos detalhados de acessos, que criam uma cadeia de custódia digital verificável. Quanto à segmentação de redes, é necessário garantir que os sistemas com evidências judiciais estejam isolados das redes administrativas gerais, o que limita a propagação de um ataque.
E como pode ser feita a monitorização contínua?
Sistemas do tipo SIEM (Security Information and Event Management) podem identificar actividades anómalas antes de os dados serem comprometidos. Por outro lado, defendo a necessidade de formação contínua porque muitos ataques começam com phishing, por exemplo. Os funcionários precisam de formação constante para melhor identificarem e evitarem este tipo de ataques. A implementação adequada destas medidas requer investimento, mas o custo da prevenção é sempre inferior ao custo da perda de evidências importantes.
Neste caso em concreto, o Ministério Público não especificou em que instituição ocorreram os ataques nem o período. É possível rastrear esses dados através do sistema e recuperar tais documentos?
De forma geral, a recuperabilidade dos dados depende de vários factores. Se existirem backups adequa dos (offline, air-gappedou em ambientes cloud seguros), a recuperação é, regra geral, possível. Tribunais internacionais que mantinham backups robustos conseguiram restaurar dados mesmo após ataques com impactos graves. Se os dados foram apenas apagados (não encriptados ou destruídos fisicamente), existem técnicas forenses que podem ajudar na recuperação de informação em discos rígidos ou outros meios físicos, dependendo do tempo decorrido e se os sistemas continuaram ou não em utilização.
Há algum mecanismo para rastrear o local onde se encontravam os hackers que fizeram desaparecer tais documentos?
Um dos tipos mais comuns de evidências forenses são os logs ou registos de sistema. Se existirem e não tiverem sido comprometidos, podem revelar quando e como o ataque ocorreu.
Mas estes não são os únicos ele mentos que podem ser utilizados para reconstruir a linha temporal de um ataque. Há ainda timestamps de sistema de ficheiros, entradas de registo, registos MFT, eventos de criação de utilizadores, ficheiros temporários, rastos de navegadores web, tarefas agendadas e outros artefactos digitais.
Uma correcta análise forense pode ajudar a identificar indicado res de comprometimento. Contudo, atacantes altamente sofisticados frequentemente apagam logs e outros artefactos para encobrir os seus rastos.
A realidade é que, sem backups adequados e segregados, a recuperação de dados críticos após um ataque é extremamente difícil. Por isso, a prevenção e os backups são fundamentais vez perdidos, documentos digitais podem desaparecer permanentemente. OPAIS