Nova regra de endereços da internet vai atrapalhar hackers, diz Serpro

Diretor do órgão concedeu entrevista ao G1 sobre os ataques de hackers.
Conheça as ações do governo para se proteger de ataques virtuais.

Wilton Mota é diretor de operações do Serpro
e trabalha há 18 anos com infraestrutura de
sistemas de informática (Foto: Divulgação/Serpro)

O IPv6, uma tecnologia proposta em 1996 para resolver o problema da falta de endereços IP (números únicos associados à computadores conectados) na internet, também pode ajudar a controlar ataques hackers, segundo o diretor de operações do Serpro Wilton Mota. A adoção do sistema facilitaria a identificação de máquinas responsáveis por cada incidente, e ajudaria a minimizar bloqueios a internautas que não tiveram relação alguma com os ataques.
O problema é que o IPv6, feito para substituir o protocolo IPv4 atualmente em uso, precisa ser adotado por todos os provedores antes que seus benefícios possam valer. Mas Mota tem um palpite a respeito de quem pode acelerar a adoção do novo protocolo: “nós [do Serpro] precisamos iniciar essa migração para incentivar que todo mundo faça isso”, afirma.
Geógrafo especializado em desenvolvimento de sistemas, Mota está no Serviço de Processamento de Dados do Governo Federal (Serpro) há 25 anos e trabalha como diretor de operações, supervisionando as equipes que trabalham na infraestrutura e na segurança do órgão, que presta serviços para diversos setores críticos do governo, como a emissão de passaportes e todos os serviços da Receita Federal.
Ele explica que o IPv4 cria incertezas para quem está se protegendo de um ataque. Isso ocorre porque os números de IP associados a cada computador mudam devido ao reaproveitamento dos endereços, que são finitos. “A demanda é maior do que a oferta. Dizer a quem um determinado IP pertence é complicado. No IPv6, isso muda, você pode bloquear o ataque”, explica. A previsão é que no IPv6 os endereços sejam fixos, porque haverá números em abundância, permitindo que um IP seja bloqueado definitivamente do ataque.
Isso é importante porque o tipo de ataque que o governo federal sofreu depende de sobrecarga dos serviços. Nesses ataques, vários computadores – seja de internautas voluntários ou de computadores infectados – lançam conexões a um mesmo alvo, gerando sobrecarga e impedindo o acesso dos usuários legítimos. Embora esse tipo de ataque não resulte no roubo de dados, é preciso que as equipes bloqueiem as origens das conexões para que os serviços não fiquem fora do ar. No entanto, como os endereços de origem mudam a cada reconexão dos computadores, a tarefa é um desafio. Mota não entra nos detalhes da tecnologia usada pelo Serpro para detectar e realizar o bloqueio.
“Com o IPv6 eu não vou eliminar qualquer ataque, mas vai facilitar a identificação [da origem]”, explica.

A maioria dos ataques aos sites do governo
envolveram sobrecarga de acessos para impedir
acessos legítimos (Foto: Arte/G1)

O IPv6 está sendo lentamente adotado por empresas e provedores porque já não existem endereços IP sobrando – há poucos endereços ainda não alocados, e apenas nas bases regionais. A Autoridade para Atribuição de Números da Internet (IANA), que atribui IPs mundialmente, já não tem endereços de reserva.
Caso o IPv6 não seja adotado em breve, pode ocorrer que um site ou internauta tenha sua conexão limitada ou impossibilitada devido à falta de endereços. “O Serpro tem o papel de fomentar essa tecnologia, e outras tecnologias que sabemos que são viáveis, que podem ser utilizadas. Com o Serpro iniciando essa migração, outras empresas podem vir a adotar [o IPv6]”, afirma Mota.
Compartilhamento de informações é o caminho
Na manhã após os ataques, ainda na quarta-feira, o Serpro teve uma reunião com o Gabinete de Segurança Institucional (GSI) da Presidência da República para conversar sobre o ocorrido.

Página inicial do Serpro. Órgão defende
tecnologias com software livre (Foto: Reprodução)

O compartilhamento de informações seria a chave para a segurança no governo, na opinião de Mota. “Eu associo a segurança com o dia a dia. Você vai criando condições e necessidades, e se adequa a elas. O governo tem feito comitês para discutir assuntos como esse. Tivemos reuniões com todos os órgãos atacados. Temos parceria com Polícia Federal, Presidência da República, Caixa Econômica Federal. Com o Banco do Brasil também, tanto na troca de informações como na garantia dos sistemas, backup”, conta.
De acordo com ele, há compartilhamento de dados também com estados e as equipes técnicas de conversam constantemente. O Serpro ainda faz parte de um comitê dentro do GSI que cria materiais para a educação de funcionários públicos sobre temas de segurança da informação.
Sem garantias
Embora hackers tenham invadido o site do IBGE e do Ministério dos Esportes, o Serpro não é responsável por esses sites do governo. Entre os sites administrados pelo Serpro, que envolvem cerca de 90 órgãos do governo, Mota diz ter conhecimento apenas de ataques de negação de serviço, que buscam sobrecarregar a página. Outros tipos de ataques, que buscam realmente invadir os sistemas e alterar ou copiar dados, não foram identificados.
Na maioria dos casos, o Serpro não cuida apenas da infraestrutura dos sites, mas também os desenvolve.
“A gente conhece bem o comportamento do tráfego em um dia normal. Esses sites foram desenvolvidos aqui. No momento em que há um acesso acima do normal, ele é detectado. Aí você tem que ter uma equipe bem treinada e ferramentas adequadas”, explica o diretor.
Segundo ele, o Serpro tem funcionários monitorando o serviço 24 horas por dia, sete dias por semana, no local e também pela internet. Há ainda ferramentas que podem detectar anomalias e realizar chamados técnicos. No desenvolvimento dos softwares, há uma equipe especializada para auditoria de código de programação para buscar falhas de segurança e outra equipe faz a avaliação da infraestrutura, checando por vulnerabilidades.
Apesar disso, o Serpro não conseguiu evitar a queda do site Brasil.gov.br na quarta-feira (22) e nem a pane que ocorreu em março de 2011 que derrubou serviços da Receita Federal e do Detran. Na ocasião, o problema não foram hackers, mas o fornecimento de energia dos sistemas. Sobre isso, Mota lança uma frase já clichê da área de segurança: “segurança com garantia total, no mundo inteiro, não existe” – a mesma frase usada, também, pelo presidente da Sony Howard Stringer quando dados de 100 milhões de usuários foram roubados das bases da empresa.