Em 2022, concretamente no dia 21 de fevereiro, Moçambique acordou com a notícia que informava sobre a invasão de vários portais do governo por um grupo de piratas informáticos com a designação hackers iemenitas.
O ataque tinha como título “Atacado por hackers iemenitas”, e as páginas em questão exibiam uma imagem de um homem com arma, semelhante a uma AK-47 (AKM). O ataque durou pouco mais de cinco horas e, posteriormente, o governo comunicou a recuperação da informação.
Passam-se quase dois anos, e, embora na altura o governo tenha se pronunciado, ainda existem dúvidas a serem esclarecidas: Afinal, o que realmente aconteceu com os portais do governo? O que motivou o ataque e como foi possível evitar o pior? O país está preparado para responder a possíveis ataques cibernéticos?
Para responder a essas questões e outras, entrevistamos Ermínio Pita Jasse, Diretor-Geral do Instituto Nacional do Governo Eletrônico (INAGE), instituição responsável pela digitalização do Estado e que combateu o ataque cibernético aqui mencionado.
Como ponto de partida, Ermínio reconhece que de facto Moçambique sofreu um ataque cibernético, no qual os atacantes conseguiram infiltrar-se nas plataformas e alterar o conteúdo presente para inserir o seu próprio conteúdo. No caso do ataque aos sites governamentais, não se eliminou o conteúdo já existente, o que aconteceu foi a adição de outro conteúdo nas páginas iniciais, que informava sobre o ataque.
Por que 30 portais em simultâneo?
Foram quase 28 portais atacados em simultâneo, segundo explica Ermínio Pita “o que acontece é que o governo conta com servidores físicos do Centro de Dados do Governo, um localizado no distrito do Manhiça, concretamente em Maluana e outro na cidade de Maputo, como forma de garantir backup (recuperação de informação).
A razão do ataque ter assolado quase 30 portais é resultado destes portais, na altura, estarem hospedados na mesma máquina física e virtual como forma de se fazer o melhor uso dos recursos.
“O que aconteceu, na verdade, é que o INAGE é responsável por fazer esse desenvolvimento e, posteriormente, o alojamento. No entanto, algumas instituições conseguem projectos e desenvolvem suas próprias páginas, e quando isso ocorre, não seguem algumas regras. Algumas daquelas páginas estavam vulneráveis, e na época não conseguimos perceber que deixaram algumas vulnerabilidades.”
Ermínio Pita Jasse
“Não foi um ataque de uma grande dimensão”
Uma das consequências de um ataque cibernético é a perda da informação, porém, neste caso, nenhuma informação foi perdida a favor dos atacantes. Para que o pior não acontecesse, Ermínio revela que o que se fez foi algo “bastante simples”, uma vez que foi um ataque a páginas web ou portais do governo, e não foi de alta escala e “o que aconteceu foi um exagero da mídia no tratamento do assunto”, afirma.
“Houve bastante alvoroço na época porque a mídia não concordava que fosse exatamente isso, mas, de fato, não foi um ataque de grande dimensão. Esses ataques acontecem com alguma frequência, mas, como nossa população não estava preparada, ao ver aquilo, causou muito pânico.”
Igual a qualquer ataque cibernético, os hackers colocaram como proposta para recuperação dos portais um valor, mas não foi necessário, porque já se tinha Backup da informação. A instituição apenas precisou acionar a equipa interna da direção de segurança cibernética para o isolamento das máquinas para que se evitasse um contínuo pânico e que os atacantes continuassem a ter acesso.
“O que fizemos foi estudar as máquinas atacadas, percebemos que naqueles portais haviam várias lacunas, como é o caso da falta de certificado de segurança, uso de credenciais padrão no desenvolvimento de portais”, o que torna fácil que os hackers pudessem experimentar até conseguir, uma vez que estes dominam as credenciais padrão.
Outra razão foi a presença de vários plugins nos sites, instalados com o objectivo de aumentar as funcionalidades dos portais. No entanto, por trás, representam uma vulnerabilidade quando não se verifica a procedência.
Com a verificação das lacunas e o isolamento das máquinas através da activação de novas, chegou-se às seguintes medidas: substituição dos plugins não confiáveis, verificação da existência de portas que haviam sido deixadas abertas para posterior encerramento e reforço das medidas de acesso, limitação na administração dos sites para apenas um utilizador por instituição, sem este ter a permissão de alterar outras funcionalidades, reservando-se apenas para adição de conteúdo.
Moçambique está seguro contra ataques cibernéticos
Com os trabalhos que têm sido realizados, não apenas nos portais do governo, Ermínio Jasse acredita que o país está seguro, isto inclui a implementação das medidas necessárias, como a actualização constante dos softwares de monitoramento, alerta e registro de incidentes, para que, caso verifique-se outro ataque, seja registrado e tratado em tempo recorde.
Para garantir uma resposta mais rápida ao trabalho em andamento, até o próximo ano, pretende-se lançar uma plataforma onde os alertas de incidentes passarão a ser feitos por mensagem, em contraste com o sistema actual, em que as notificações são por e-mail.
“Serão enviadas mensagens aos administradores e técnicos do INAGE, bem como aos da área de tecnologia da informação das instituições que têm os portais alojados no INAGE.”
Ermínio Pita Jasse
Com o ataque, várias foram as lições obtidas após, a primeira e a maior de todas é que “há pouco conhecimento sobre as matérias do mundo cibernético e facilmente cria-se pânico na população”, o que pode resultar em facilidades para que esta sofra ataques no digital.
Como forma de mitigar o problema, a instituição iniciou, neste ano, formações para os funcionários do estado em matéria de segurança cibernética. Começando pelo Gabinete do Primeiro-Ministro, a expectativa é estender as formações para mais departamentos das instituições públicas, bem como para um público mais amplo, por meio de parcerias com outras instituições, como é o caso das universidades.
Outra lição importante é que a INAGE “não deve aceitar alojar os portais feitos por outros sem o devido trabalho de verificação para garantir que seguiram as regras necessárias. Devemos implementar um protocolo rigoroso, e enquanto não o aprovarmos, o site não será publicado”, afirma.
“Ainda temos muito por fazer…”
No processo de fortalecimento do país contra ataques, Ermínio Pita reconhece que ainda há muito por se fazer, porém, não se pode tirar os méritos do que já se conseguiu.
Nota-se uma grande evolução, mas ainda há um longo caminho a percorrer, e acredita que com o passar do tempo, principalmente com o apoio de outras instituições, o país estará cada vez mais forte contra qualquer tipo de vulnerabilidade.