A Rede Nacional de Ensino e Pesquisa (RNP) é um órgão de grande importância para o meio científico-acadêmico em todo o território nacional, pois oferece infraestrutura de redes e conexão às instituições públicas de ensino superior. Associada ao Ministério de Ciência e Tecnologia do Governo Federal, a RNP possibilita a comunicação entre essas instituições na realização de pesquisas e projetos, sendo, portanto, responsável pela rede acadêmica (backbone) do Brasil. Nesse sentido, ataques e invasões de terceiros à RNP podem ocasionar diversos problemas, como “a substituição da página web principal da instituição por alguma mensagem provocativa, roubo de informações, além do atacante poder invadir a rede desse local com o objetivo de instalar algum programa malicioso que capture as informações digitadas pelos usuários e, assim, obter suas senhas pessoais”, explica Daniel Macedo Batista, professor do Instituto de Matemática e Estatística da USP (IME-USP).
Visando proteger os dados de pesquisas e de usuários presentes na RNP, Batista coordena um grupo de trabalho composto por professores e graduandos da Universidade Tecnológica Federal do Paraná (UTFPR), técnicos da Universidade Federal da Bahia (UFBA) e do Ponto de Presença da RNP na Bahia (PoP-BA). Financiado pela própria RNP, o grupo objetiva desenvolver mecanismos que possibilitem a criação de um Sistema de Alerta Antecipado (GT- Early Warning System, ou apenas GT-EWS), que notifique possíveis ameaças aos sistemas da rede.
Os Early Warning System (EWS) visam a detecção e prevenção de prováveis ameaças de invasores baseado no padrão dos sistemas. Os EWS acionam alertas em situações que apresentam padrões de risco com o intuito de desencadear mecanismos reativos antecipadamente, evitando ou diminuindo os danos causados por um ataque.
Surgimento do grupo
Em 2010, durante o Seminário de Capacitação e Inovação da Rede Nacional de Ensino e Pesquisa, Batista e funcionários da RNP apresentaram diversos mecanismos que já existiam na época para auxiliar na construção de um Sistema de Alerta Antecipado. Entretanto, “não havia ainda um sistema que estivesse pronto para ser usado sem muitas modificações por diversas organizações”, comenta o professor. A partir de então, Batista e membros da RNP decidiram desenvolver um Early Warning System.
Inicialmente, Batista estudou a teoria por detrás do sistema antes de desenvolvê-lo. Dessa forma, ele propôs dois temas de doutorado que seriam responsáveis pelo desenvolvimento da teoria necessária para iniciar a construção do EWS. “Eu e meus dois alunos de doutorado, que hoje fazem parte do GT-EWS, aprendemos e evoluímos diversos mecanismos para agrupar informações de diversas fontes, para tomar ações proativas quando atividades suspeitas fossem detectadas em uma rede de computadores”, comenta. Em 2013, quando os estudos teóricos puderam ser aplicados, apresentaram na chamada de grupos de trabalho da RNP o Grupo de Trabalho EWS (GT-EWS), que foi aceito.
Interface web
O protótipo da interface web desenvolvida pelo grupo funciona através de uma ferramenta que analisa os dados providos pelos sensores de redes sociais e fóruns. Nesse sentido, a ferramenta deve detectar antecipadamente prováveis invasões que afetem a segurança da RNP, além de possibilitar a troca de informações entre os colaboradores da rede.
Há uma lista de palavras-chave que a ferramenta se dispõe a captar, a qual inclui URLs de universidades e órgãos do governo que utilizam a RNP para se conectar à web, como também certas palavras comumente utilizadas em mensagens maliciosas. “Sempre que algum tweet é postado com alguma dessas palavras-chave, ele é coletado pelo nosso sistema”, explica Batista. Após o tweet ser coletado, ele passa para a fase seguinte, na qual um filtro de spam é aplicado para que haja a remoção de mensagens de propagandas, como, por exemplo, de antivírus. Posteriormente, as mensagens são agrupadas para analisar se são similares entre si e evitar alertas repetidos. “O passo seguinte é ordenar os grupos de tweets por relevância e exibir na interface os mais relevantes primeiro”.
Após a detecção de uma mensagem maliciosa, o procedimento realizado é que o responsável pela segurança da rede ameaçada seja contatado (via email ou SMS). Além disso, outros administradores devem ser avisados para evitar que o problema se espalhe. Por exemplo, se ocorrer uma invasão em uma universidade conectada à RNP, a ideia é que fique restrita a ela e não migre para as outras. Todavia, Batista comenta que “não estamos propondo ações automáticas no momento, pois precisamos testar bastante o sistema com o intuito de evitar que ações desnecessárias sejam aplicadas”.
Atualmente, o protótipo monitora o Twitter, mas o grupo objetiva que o sistema se expanda e atue no Facebook. “Já temos algum avanço na busca por informações nessa rede social, mas ainda não integramos ao protótipo do sistema. Isso será feito até outubro de 2015”. A interface do sistema está hospedada e pode ser visitada aqui. Contudo, só é permitido o acesso a responsáveis pela segurança da informação de organizações.
O protótipo do sistema foi apresentado em maio de 2015 no Workshop da RNP, que ocorre todo ano em conjunto ao Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. “Nessa primeira fase do GT-EWS, nós entregaremos um protótipo do sistema em outubro de 2015. Caso o projeto passe para as próximas fases, o que dependerá do interesse da RNP em renová-lo e dos objetivos que tiverem sido alcançados até lá, nós teremos até 2017 para ter o sistema implantado e funcionando”, comenta.
O EWS está sendo desenvolvido com aplicações de ferramentas livres e acredita-se que o produto final terá seu código disponibilizado para que terceiros possam modificá-lo de acordo com seus próprios interesses.