O Tribunal de Justiça (TJ) informou nesta segunda-feira (10) que será concluída nesta semana uma análise sobre o ataque hacker ao sistema de informática do Poder Judiciário em todo o Estado, que atingiu cerca de 18 mil computadores. Se nada de novo surgir nesse meio tempo, o relatório será encaminhado até sexta-feira (14) à polícia.
Apesar de os contatos iniciais já terem iniciado, os investigadores contam com este documento como uma das principais provas na busca pela identificação dos criminosos. Enquanto isso, o Poder Judiciário destaca que o sistema segue sendo restaurado, assim como o funcionamento de todos os computadores. Todos haviam sido desligados. Especialista alega que, em casos como este, costuma haver demora para a recuperação dos dados.
A Delegacia de Polícia de Repressão aos Crimes Informáticos do Departamento Estadual de Investigações Criminais (Deic) está desde o dia 28 de abril, quando começou o ataque, em contato com o pessoal de Tecnologia de Informática e do Núcleo de Inteligência do TJ. O delegado André Anicet, responsável pelo caso, destaca que este documento vai ser fundamental para buscar a identificação dos suspeitos.
— A partir deste relatório, vamos definir novos passos, como por exemplo, se realmente fizeram via algum provedor do Exterior ou daqui do Estado mesmo. O certo é que temos de analisar minuciosamente, confrontar com algumas provas já obtidas e ver qual direção a ser tomada — explica Anicet.
Segundo Anicet, não se descarta que os hackers tenham usado um provedor no Exterior, mas o relatório vai ser o principal ponto de partida para confirmar esta hipótese inicial. O Ministério Público está dando apoio à investigação.
Sobre os serviços da Justiça, já voltaram a funcionar alguns sistemas administrativos e outros judiciais, entre eles, algumas consultas processuais, mas ainda com restrições. Além disso, começou a ser liberado aos poucos o funcionamento de parte dos 18 mil computadores do Judiciário. O trabalho remoto ainda está indisponível.
Não aconteceram outros ataques neste período de investigações. O TJ disponibiliza este link para confirmação dos serviços que estão operando e os que ainda estão pendentes.
Especialista
O especialista em Tecnologia de Informação, Ronaldo Prass, destaca que é um caso complexo e que não existe uma regra que se aplica para todos os casos. Segundo ele, no caso do Poder Judiciário, houve um ataque ransomware, que consiste em uma técnica em que um programa se utiliza de um vírus para criptografar todos os diretórios possíveis a que tiver acesso. Prass lembra ainda que a criptografia nada mais é do que um "embaralhamento digital" de todas as informações, que só se consegue resolver o problema quando se tem uma chave criptográfica para liberá-lo.
— Em tese, tem que ter essa chave para aplicá-la no sistema e desembaralhar tudo, mas só se consegue acesso a essa chave com o próprio hacker. Essa pessoa sequestra os dados e pede um valor depois em bitcoin para o resgate, o que não é garantido — diz Prass.
Mesmo após a entrega da chave, o processo de restauração é demorado e instável. Prass diz que, no ano passado, quando atuou em apenas um computador de uma empresa alvo de hackers, levou dez dias para decriptografar o sistema. O especialista, entretanto, diz que os donos da empresa optaram por pagar um valor ao criminoso entregar a "chave criptográfica", o que ele ressalta ser um grande risco, de qualquer forma. Depois destes dez dias, já que o volume de informações era pequeno, foram mais outros 20 dias para que tudo voltasse ao normal.
Sobre o caso do TJ, Prass destaca não sabe exatamente o cenário, mas imagina ser um volume muito grande de informações inacessíveis — alguns terabytes, pondera. Segundo o especialista, os profissionais devem estar usando alguma ferramenta para reavê-las, para depois restaurar em um sistema que teve de ser refeito. Não há como prever o tempo necessário para isso, porque não se sabe o percentual exato de recuperação das informações.
— Especulando pelo que sei do sistema do Judiciário, faz sentido essa demora, já que não basta ter apenas a chave, mesmo que tenham recuperado, mas o processo é demorado devido ao grande volume — acredita Prass.
Por fim, Prass diz que a falta de divulgação sobre como o ataque ocorreu pode ser porque o TJ não sabe ou por alguma estratégia de segurança da instituição. É possível que tenha ocorrido através de uma máquina infectada de algum servidor em trabalho remoto, uma vez que muitos computadores não têm acesso aos tipos mais apropriados de segurança. Prass acha pouco provável que o vírus tenha infectado uma máquina dentro das dependências do Judiciário. Ele também observa que programas maliciosos que permitem esses ataques são distribuídos das mais diversas formas, como, por exemplo, instalações de aplicativos piratas.