Ibama esclarece suposta invasão do sistema DOF e roubo de senhas

Brasília (25/08/2015) - No último sábado (22/8), veículos de imprensa  noticiaram que hackers teriam invadido computadores do Ibama,  capturado senhas de acesso e liberado empresas suspensas por crimes  ambientais junto ao sistema de controle de comércio  de produtos florestais. O Ibama esclarece que a invasão relatada não ocorreu.  O sistema a que se referem as reportagens é o módulo  eletrônico do Documento de Origem Florestal (DOF),  hospedado em servidor externo que possui soluções de  ponta em tecnologia da informação e cuja segurança é  comparável à dos melhores sistemas bancários da atualidade. O acesso a esse módulo não se dá por meio de senha. Em agosto de 2014, o Ibama tornou obrigatória a utilização de certificado digital para todos os usuários. No caso de  servidores do Ibama e de órgãos estaduais de meio ambiente, a obrigatoriedade foi adotada nove meses antes,  em novembro de 2013. O Ibama não controla a emissão nem o gerenciamento de  certificados digitais - atividades realizadas pelas autoridades  certificadoras credenciadas pelo Instituto Nacional de  Tecnologia da Informação (ITI) -  e tampouco armazena senhas utilizadas nesses certificados.  São dispositivos pessoais e intransferíveis cujo código de acesso  é atribuído pelo usuário no momento da aquisição do certificado  e administrado por meio de aplicativo relacionado ao dispositivo. O que ocorreu, de fato, foi o uso de certificados digitais fraudulentos,  adquiridos com documentos pessoais falsificados junto  à autoridade certificadora, em nome de servidores  do Ibama que possuíam privilégio gerencial no DOF.  A atuação dos criminosos nos desbloqueios de empresas  ocorreu no período de 25 a 30 de março deste ano,  tendo sido rapidamente detectada pelo monitoramento  sistemático das transações realizado pelo Ibama. Já no dia 31 de março, todas as empresas envolvidas na  fraude estavam novamente bloqueadas e os certificados  digitais indevidos tiveram seu acesso suspenso no sistema.  Naquela mesma semana, os servidores atingidos pelo uso  dos certificados digitais fraudados providenciaram sua  revogação junto às autoridades certificadoras. Como de praxe, os crimes foram imediatamente  comunicados à Polícia Federal. As informações  fornecidas pelo Ibama subsidiaram a investigação,  que resultou nas recentes prisões noticiadas.  No início de abril foram adotadas novas regras de segurança  para acesso ao DOF, com a limitação de horários e locais  vinculados à unidade de trabalho do servidor e o  reconhecimento de um único certificado por pessoa. Portanto, o Ibama esclarece: 1) não houve invasão de computadores,  roubo de senhas nem qualquer quebra de segurança no sistema; 2) houve aquisição de certificados digitais ilegítimos em nome  de servidores do Ibama com a apresentação de documentação  falsa junto à autoridade certificadora,  fato que possibilitou o acesso indevido ao módulo eletrônico do DOF  entre 25 e 30 de março deste ano; 3) os certificados fraudados foram rapidamente identificados e  tiveram seu acesso suspenso em 31 de março de 2015,  e imediatamente houve o bloqueio de todas as empresas  envolvidas na irregularidade, a auditagem das movimentações  e a consequente penalização das empresas beneficiadas; 4) todas as informações relacionadas às operações ilegais  foram encaminhadas à Polícia Federal, resultando nas prisões  realizadas recentemente; 5) foram acrescentadas no início de abril medidas adicionais de  segurança para o acesso com certificado digital ao DOF; 6) o Ibama não controla a emissão, distribuição, renovação,  revogação ou gerenciamento de certificados digitais,  atividades que estão sob responsabilidade das autoridades certificadoras. Diretoria de Uso Sustentável da Biodiversidade e Florestas do Ibama