Em Tecnologia da Informação (TI), o preço da segurança é a eterna vigilância. Dito de modo simplificado, este é o princípio que orienta o trabalho da Equipe de Resposta e Tratamento de Incidentes de Segurança da Informação (CSIRT, na sigla em inglês), que atua no âmbito do Centro de Computação (CCUEC) da Unicamp. Composta por quatro analistas, a CSIRT Unicamp é responsável por receber, analisar, processar e responder aos episódios que possam representar riscos ao parque computacional da Universidade. Embora enxuto, o time tem obtido resultados significativos no combate às constantes ameaças à rede.
O desafio da CSIRT Unicamp não tem nada de trivial. Estão sob a responsabilidade da equipe uma rede que soma aproximadamente 70 mil usuários. Estes estão conectados a milhares de equipamentos como PCs, notebooks, tablets e smartphones, que são potenciais portas de entrada - e de saída - de ações maliciosas que podem trazer prejuízos tanto à rede da Universidade quanto a redes externas. “Nosso trabalho é monitorar as atividades na rede, com o objetivo de prevenir ou dar a resposta mais rápida e efetiva para os incidentes detectados”, explica Vanderlei Busnardo Filho, um dos quatro “mosqueteiros” da segurança da informação.
Além de exercer a constante vigilância sobre a rede da Unicamp, a equipe também desempenha outra missão indispensável à preservação da integridade do parque computacional, que é conscientizar os usuários finais. “Entre as iniciativas nesse sentido estão a apresentação de palestras que orientam as pessoas a como utilizar a rede de forma segura. O combate às atividades maliciosas só pode obter êxito se somarmos o uso do conhecimento e da tecnologia ao cuidado do usuário final, que é o elo mais frágil da corrente, não por negligência, mas porque é ele quem está conectado o tempo todo na rede, realizando uma série de tarefas”, explica Gesiel Galvão Bernardes.
Esse intenso fluxo de trabalho, acrescenta Alexandre Berto Nogueira, costuma ser aproveitado por pessoas mal-intencionadas, que tentam invadir a rede da Unicamp para praticar atos lesivos ou ilegais, como o roubo de senhas de redes sociais ou a instalação de páginas falsas de bancos. De acordo com levantamento do CSIRT Unicamp, em 2017 foram abertos 25.553 chamados relativos a algum possível problema na rede da Universidade. “Vários não passaram de alertas e outros tantos foram de simples solução. Entretanto, também tivemos situações de maior gravidade, que exigiram uma resposta mais efetiva por parte do nosso grupo”, relata Adilson Paz da Silva.
Entre os incidentes com origem na rede da Unicamp, um dos mais frequentes (28,9%) refere-se à questão do compartilhamento indevido de arquivos protegidos pela Lei de direitos autorais. “Muitas pessoas utilizam a rede, por exemplo, para baixar filmes. Esse é um procedimento delicado, pois pode gerar alguma cobrança judicial por parte dos detentores dos direitos autorais da obra. Quando identificamos esse problema, nós entramos em contato com os profissionais de TI das unidades e órgãos da Universidade para alertá-los sobre a questão”, informa Vanderlei.
Segundo Gesiel, essa parceria entre a CSIRT Unicamp e os analistas que atuam nas unidades e órgãos é fundamental para o sucesso das ações de segurança. “Como esses profissionais estão atuando na ponta, eles têm uma função estratégica, como acessar diretamente uma máquina para checar se ela foi alvo de alguma atividade maliciosa”, pontua Alexandre. Ainda conforme o levantamento da equipe, no ano passado também foram contabilizados 24.781 incidentes com origem externa à rede da Universidade, a maioria provocada por pessoas tentando localizar alguma brecha que permitisse invasões.
Adilson observa que a preocupação da CSIRT Unicamp não está somente em blindar as atividades diárias, as informações sigilosas e a reputação da instituição. “Também estamos comprometidos em proteger o cidadão que não pertence à comunidade universitária. Se algum invasor conseguir instalar uma página falsa de banco na nossa rede, todas as pessoas que visitarem essa página correrão o risco de ter sua senha e dinheiro roubados. Daí a importância de estarmos sempre alertas”, diz. O alerta ao qual o analista se refere é real.
Conforme Vanderlei, embora alguns procedimentos sejam realizados de forma automática com o auxílio de ferramentas computacionais, todos os resultados são analisados e validados pelos analistas antes de serem repassados aos responsáveis. “Esse tipo de atenção é indispensável porque a estrutura da nossa rede é ampla e complexa. Ao longo de 2017 e nestes primeiros meses de 2018 nós testamos 714 sites cadastrados em nossa base de dados. Destes, 83 apresentaram ao menos uma falha grave, que geraram ações de correção”, aponta Vanderlei.
No mesmo período, a CSIRT Unicamp promoveu testes nas redes de todas as unidades da Unicamp, que culminaram com a abertura de 50 chamados com pelo menos uma falha grave. Destes, 31 já foram atendidos. “Estamos sempre pensando em novas ações que contribuam para prevenir incidentes. Tentamos nos antecipar aos hackers, muitas vezes agindo como eles para testar nossa segurança. É uma briga de gato e rato que não tem fim”, compara Gesiel.
Além das palestras para a comunidade interna, a CSIRT Unicamp também tem participado de atividades correlatas voltadas para outros públicos, como estudantes de escolas públicas e integrantes do Programa UniversIDADE, voltado ao estímulo físico, emocional e intelectual de pessoas acima de 50 anos, vinculadas ou não à Unicamp. “Nós também participamos de congressos na área e mantemos parcerias com outras CSIRTs, sempre com o objetivo de aprimorar os nossos conhecimentos em torno das ações de segurança”, assinala Adilson. Informações adicionais sobre o trabalho da CSIRT Unicamp podem ser obtidas na página da equipe.