Centena e meia de domínios de email de organismos públicos com falha de segurança

27 Abril 2017256

Foi detectada uma falha de segurança nos serviços de email do Estado. Hackers podem fazer-se passar pelo primeiro-ministro ou pelo fisco. O aviso foi feito há 149 dias mas a situação mantém-se.

Quase 150 serviços de email de domínios gov.pt estão vulneráveis. Piratas informáticos podem fazer-se passar por entidades como o primeiro-ministro, o fisco ou agentes da diplomacia portuguesa, revelou esta quinta-feira João Pina, um especialista em segurança informática. O problema já foi denunciado em novembro do ano passado aos responsáveis pela rede do Governo e está relacionado com falhas nas configurações dos serviços. O responsável pelo Centro Nacional de Cibersegurança, Pedro Veiga, reconheceu a existência das vulnerabilidades ao Observador, e diz que tentou resolver o problema, mas só a Segurança Social e o Ministério da Economia terão corrigido as falhas no sistema. A cronologia e os detalhes deste processo podem ser consultados nesta página.

João Pina demonstrou ao Observador a facilidade com que alguém se pode fazer passar por uma pessoa ou organismo estatal, nomeadamente pelo primeiro-ministro, através da criação do email antonio.costa@gov.pt. Mas o mesmo é possível fazer em relação à Autoridade Tributária, aos ministérios das Finanças ou Negócios Estrangeiros, entre outros organismos governamentais e do Estado. Este especialista detetou uma falha que permite que piratas informáticos possam usar endereços falsos de todas estas entidades, que não são detetados pelos sistemas de verificação dos serviços de email tais como o Gmail ou Outlook.

Para que fique claro: esta vulnerabilidade não permite qualquer tipo de acesso ao correio eletrónico das entidades visadas, mas sim a criação de endereços falsos, em tudo idênticos aos oficiais.

Ao não serem identificados e redirecionados para o spam (correio não solicitado), as mensagens destes falsos remetentes podem ser interpretadas como válidas e levar alguns utilizadores a ceder dados pessoais ou a fazer pagamentos indevidos, num esquema conhecido por ataque de phishing. João Pina afirma ter razões para acreditar que este esquema já foi usado por “piratas informáticos”, contudo, o Coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, nega conhecer qualquer caso.

A revelação pública (public disclosure) foi feita no seguimento de vários contactos com o Centro Nacional de Cibersegurança (CNCS) e depois de cumpridos os prazos previstos pelas diretrizes do CERT, organismo internacional que determina os procedimentos a seguir após a descoberta de uma falha de segurança. Estas diretrizes funcionam como uma espécie de “manual de boas práticas” e é por elas que se regem todos aqueles que encontram erros de cibersegurança em empresas ou serviços públicos, numa atitude de boa fé, ou seja, em que não foram feitas ações com intuito de aceder ilegalmente a conteúdos ou provocar ato ilícito, mas apenas para demonstrar uma vulnerabilidade.

João Pina faz parte desse grupo de especialistas que são designados, na gíria informática, por “white hats” (hacker “chapéu branco”), ou seja, alguém que procura falhas com o intuito de alertar e de informar as respetivas entidades no sentido de forçar uma resolução — o projeto Google Zero está entre os grandes promotores deste tipo de iniciativas. Do lado oposto encontram-se os “black hats” (hacker “chapéu preto”), que fazem mau uso dessas descobertas, muitas vezes (se não a maioria) com intuitos criminosos.

Para alguns ministérios ou organismos públicos, é mais importante lançar um determinado serviço online que corrigir uma falha de segurança.

O especialista em cibersegurança contou ao Observador ter chegado a esta descoberta depois de, em novembro passado, ter sido aprovado em Conselho de Ministros que as notificações da Segurança Social iriam passar a ser enviadas por correio eletrónico. A curiosidade levou-o a testar as configurações do email desta entidade e constatou a existência de falhas. Pegou na ponta do fio e foi desenrolando o novelo, dando conta de erros idênticos na Autoridade Tributária e no domínio “mãe” do Governo, o gov.pt, entre muitos outros. Mais concretamente, encontrou falhas de configuração em 148 serviços de email.

João Pina entende que a divulgação pública “é a última tentativa para resolver o problema”, ou seja, é o fim da linha, depois de abordadas as várias entidades responsáveis pela segurança informática do Estado, um processo que começou em novembro de 2016. João Pina contou ao Observador que começou por contactar o Centro de Gestão da Rede Informática do Governo e o Gabinete Nacional de Segurança. Na ausência de resposta, escreveu ao CERT.PT a dar conta das suas descobertas.

Pedro Veiga, coordenador do Centro Nacional de Cibersegurança (CNCS), entende que não devia ser feita uma revelação pública destas vulnerabilidades, mas tentar outras vias, nomeadamente informar os responsáveis técnicos de cada departamento (quase uma centena e meia); ou então, enquanto cidadão, fazer queixa ao Provedor de Justiça. João Pina defende-se, alegando, por um lado, que nunca lhe foi indicado que tentasse chegar às entidades em questão e, por outro, que essa é a missão do CERT.PT, enquanto entidade supervisora.

Foi precisamente isso que aconteceu. O coordenador do CNCS (do qual faz parte o CERT.PT), confirmou a receção da denúncia ao Observador e garantiu ter dado seguimento ao processo, alertando os serviços envolvidos. Mas muito poucos foram os que corrigiram o problema – a Segurança Social e o Ministério da Economia foram dois dos que já o resolveram.

As autorizações ao nível superior às vezes tardam. Exemplo disso é a resolução dos problemas relacionados com o domínio gov.pt, uma tarefa que só agora se encontra em vias de resolução porque o centro de gestão de redes do Governo esteve sem responsável até ao passado mês de março.

O responsável do CNCS afirma ter feito o que estava ao seu alcance, que é o dever de informar os departamentos de cada ministério ou entidade pública para a existência de um problema. Então porque é que a maioria dos departamentos ainda não o resolveram?

São vários (e bastante genéricos) os motivos apontados por Pedro Veiga para a vulnerabilidade não ter sido resolvida em todos os serviços do Estado identificados: falta de recursos, organização deficiente, falta de conhecimentos e de implementação de modelos de ação em caso de ataque informático. Pedro Veiga sublinha que “a resposta é muito assimétrica. Há ministérios muito capacitados e outros menos capacitados, isto tem a ver com a dimensão e níveis de conhecimento das equipas técnicas.”

Depois, a estrutura da coisa pública: as autorizações ao nível superior às vezes tardam. Exemplo disso é a resolução dos problemas relacionados com o domínio gov.pt, uma tarefa que só agora se encontra em vias de resolução (recorde-se que o aviso foi feito em novembro de 2016) porque o centro de gestão de redes do Governo esteve sem responsável até ao passado mês de março.

O coordenador do CNCS, um académico e especialista em segurança informática, mostra-se desconfortável com este tipo de situações. Reconhece que em alguns serviços há falta de pessoal e de competências técnicas, mas afirma que “não é normal” que existam tantas falhas, explicando ainda que a definição de prioridades faz com que a segurança fique para último lugar. “Não deveria ser, mas é assim”, confessa.

Pedro Veiga dá um exemplo caricato: certa vez, determinado organismo que não quis especificar foi avisado da existência de uma falha de segurança e a resposta foi de que estava a ser construído um novo website que precisava de ficar concluído no mês seguinte. Por isso, a correção da falha de segurança ficou para depois. Ou seja, para alguns ministérios ou organismos públicos, é mais importante lançar um determinado serviço online que corrigir uma falha de segurança.

A falta de ética (por exemplo, de um funcionário descontente) ou a ignorância na utilização dos meios informáticos (por exemplo clicar num link num email de proveniência suspeita) estão no centro dos ataques informáticos.

O responsável do CNCS fica preocupado com este tipo de resoluções, porque, como responsável e especialista na área, entende que a segurança deve estar sempre em primeiro lugar. E sublinha que isto não é um problema do nosso ou de outros Estados, é algo absolutamente transversal: as monstruosas falhas de segurança de “gigantes” como a Sony e a Yahoo ilustram bem isso.

João Pina diz que a resolução do problema é muito fácil, mas o responsável do CNCS contrapõe que essa afirmação não pode ser feita sem o conhecimento da complexidade da infraestrutura. O conceito “fácil de resolver” nem sempre é assim, depende de muitas variáveis, nomeadamente da incompatibilidade entre sistemas e da complexidade de algumas infraestruturas físicas. E, claro, da inexistência de competências técnicas.

Os meios humanos parecem ser um problema transversal no que toca à cibersegurança dos organismos do Estado. À falta de pessoal juntam-se as leis do mercado, que captam os melhores talentos para o sector privado, começando desde logo pelo Centro Nacional de Cibersegurança, que tem apenas 20 funcionários com a responsabilidade de monitorizar ameaças e de ajudar na resolução de problemas, quando tal é solicitado.

Isto porque o CNCS se rege pelo princípio da subsidiaridade, uma norma que diz que cada entidade deve fazer a sua parte e que só é feito centralmente aquilo que as entidades não têm capacidade de fazer individualmente. Por outras palavras, e neste caso concreto denunciado por João Pina, o CERT.PT fez o que lhe competia, que foi avisar quem de direito.

Pedro Veiga acrescenta que os organismos públicos são regularmente notificados da existência de ameaças e falhas de segurança. Quando não são imediatamente corrigidas, o que o CNCS pode fazer é “ir avisando periodicamente”. O que de pouco serve, a maioria das vezes. Por isso defende que o CNCS devia ter mais competências para forçar os organismos públicos a agir, de facto, perante as falhas de segurança.

“A resposta [aos ataques] é muito assimétrica. Há ministérios muito capacitados e outros menos capacitados, isto tem a ver com a dimensão e níveis de conhecimento das equipas técnicas.”
Pedro Veiga

Questionado sobre o tipo de ciberataques mais comuns às entidades públicas portuguesas, o coordenador do CNCS afirma que à cabeça estão os ataques de negação de serviço (DDoS), o defacement (alteração estética de uma página) e as tentativas de roubo de informação. Apesar de alguns casos bem sucedidos, a proteção de dados é um problema crítico sobre o qual, de uma forma geral, o Estado assume boas práticas, afirma Pedro Veiga.

Um fenómeno que tem vindo a crescer são os ataques por ransomware (aqueles em que um hacker restringe o acesso aos dados do utilizador e exige uma contrapartida para restituir esse acesso). O CNCS já foi chamado para socorrer grandes instituições públicas, com sucesso. Este tipo de ocorrências vem reforçar a importância que tem de ser dada à segurança informática, preterida em organizações onde há falta de uma consciência de segurança. Pedro Veiga lembra que a falta de ética (por exemplo, de um funcionário descontente) ou a ignorância na utilização dos meios informáticos (por exemplo clicar num link num email de proveniência suspeita) estão no centro dos ataques.

As ameaças de segurança que circulam na Internet continuam a chegar, a maioria das vezes, através do serviço de email, e isso não acontece por acaso. Pedro Veiga afirma que os problemas de configuração dos serviços de email são frequentes e que em muito se devem ao sistema tecnológico de gestão de email que todos usamos. A tecnologia de correio eletrónico foi desenvolvida no final da década de 70 e na altura nunca se pensou que a Internet iria ser o que é hoje, o que se apostava era na simplicidade do sistema e não na segurança.

Com a massificação do email surgiram novos desafios, o que levou à discussão sobre se deveria ser implementado um novo sistema tecnológico (mais fiável e seguro) para substituir o protocolo de email ainda existente (SMTP). Quando isso foi equacionado, percebeu-se que implementar um novo sistema ou compatibilizar o já existente nos milhões de máquinas que já existiam era uma tarefa “impossível”. Passou então a usar-se pontos de reforço de segurança (add-ons) para mitigar os problemas — que existem sempre, como sublinha Pedro Veiga.

Partilhe
Comente
Sugira
Proponha uma correção, sugira uma pista: observador@observador.pt
Segurança Informática

Reforçar a cibersegurança na Europa

Mariya Gabriel e Angelika Niebler

A Comissão Europeia propõe a criação de um centro europeu de competências no domínio da cibersegurança tecnológica e da investigação industrial, com uma rede de centros nacionais de coordenação.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

Confirme a sua conta

Para completar o seu registo, confirme a sua conta clicando no link do email que acabámos de lhe enviar. (Pode fechar esta janela.)