Informação da Administração Pública não está segura
Num momento em que a Segurança informática é encarada como um requisito fundamental em qualquer Empresa/Instituição, o Director do Departamento de Informática do Instituto Superior Técnico revelou à RTP que o sistema informático das instituições públicas é um sistema obsoleto, que ninguém conhece.
José Tribolet avisa que há sistemas que põem em causa a soberania nacional.
Numa entrevista cedida à RTP, o professor Doutor José Tribolet alerta para o facto da informação da Administração pública portuguesa não estar segura.
Tribolet aponta o dedo aos sistemas mal desenhados, que são comprados através de concursos públicos (onde ganha quase sempre o mais barato) e cuja segurança deixa muito a desejar uma vez que ainda é baseada essencialmente em passwords.
Além da plataforma Citius, que teve recentemente um conjunto de problemas de ordem técnica, o professor alerta para a existência de vários sistemas informáticos que podem entrar em colapso dando como exemplo alguns sistemas críticos como é o caso da plataforma da Autoridade Tributária e da Segurança Social.
Este artigo tem mais de um ano
Verdade. Trabalho numa instituição de Ensino Superior e esses concursos públicos metem-me nojo pelo facto de ganhar a proposta mais baixa (claro que as propostas têm requisitos mínimos de validade), no entanto, nem sempre é suficiente para encontrar a melhor solução.
Pois acho é que o pior é não terem um departamento (olhó tachooooo) de TI. Porque neste momento pelo que já pude ‘espreitar’ os sistemas são feitos por encomenda e cada um escolhe aquilo que quer e não existe nenhuma identidade competente para avaliar/auditar esses mesmo programas. E depois fazem os programas e não continuam a suportar os mesmo ficando os ‘bugs’ por corrigir.
Ou eu muito me engano ou ter um departamento informático no estado seria MUITO mais barato do que ter cada um a comprar software (que nem sequer se sabe o que faz…) para tudo o que é depotado, repartição, junta de freguesia etc.
Mas pronto bora lá ver a casa dos segredos ou a novela que essa coisa de os dados ‘vazarem’ na net não é problema nenhum porque ‘não tenho nada a esconder’…
Verdade. O que aponta são guerras de concorrência, não ganhei ganhou outro, legitimamente dinheiro, quem o leva dos concursos publicos, quem o ganha. Deve convir que interessa zero para o cerna da questão. O essencial é: que dados devem constar nas bases de dados de cada Empresa, incluindo faturas clientes vendedores etc devem constar na base de dados ? Segurança comercial das Empresas proibidas pela Lei uma vez que isso de sistemas de sigilo toda a gente sabe como funciona realmente na prática, fugas para a concorrencia, concorrencia desleal etc ? Etc . E a nivel individual, que dados devem constar nessas bases de dados que evitem a 100% que os dados dum individuo não sejam utilizados na prática para jogo sujo, chantagem, chico espertices olhe em coisas tão simples como questões de amor por candidatos a namorarem, vinganças de vizinhança e outros golpes e afins ? Nenhum sistema informático com toda a expertize de VExa garante sequer a 50% isto. Basta saber um minimo de programação, hacking, mulheres da limpeza que é o que falta invocar no caso vertente: era uma senhora da limpeza que encontrou um computador ligado ou a password escrita num papel na secretaria dalguém e bora toca a ver a Vida do Passos, Antonio, Cavaco, Serafina e Toino dos Caracois e comercializar a coisa a inimigos comerciais ou pessoais, é preciso compor o ordenazito ao fim do mês, o vencimento é curto e há umas casitas e tal e tal. Bonito né.
Mas quando não é assim, não falta quem fale que o Público é só compadrios… Não estará o segredo na definição dos requisitos para concorrerem?
posso falar por mim… Já concorri a alguns, e pelo menos 1foi compadrio (não tirando os outros 2).
esse que afirmo que foi compradio porque quem ficou lá é meu conhecido e não tem mais habilitações e/ou conhecimento na área… Tem mais conhecimentos nos familiares… enfim não é por acaso que vivemos num país que está. no top da corrupção
Basta visitar colocar o endereço do site das finanças no https://www.ssllabs.com/ssltest/ para se ver como eles nem configurar as ligações seguras sabem! Se forem servidores Windows (quase de certeza que é), só deveriam ter:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
ECDHE e ECDSA usa chaves elípticas que imensa gente na comunidade de segurança informática desconfia que tem um “cavalo de Tróia” que permite ultrapassar a suposta segurança que oferecem (com os algoritmos publicados pelo NIST pelo menos… também não há outros, até ver, embora já estejam propostos outros mais seguros). Por isso só DHE é minimamente seguro (2048 bit pelo menos!) e as outras duas apenas para compatibilidade, visto que a maioria dos browsers não suportam as cifras com DHE do Windows Server. No OpenSSL existem várias seguras com DHE, mas não acredito que usem OpenSSL na maioria dos servidores públicos do estado.
E isto é só a nível de segurança da ligação! Nem imagino o resto!
Quanto a solução sem utilizador e senha concordo! Mas para já não existe nenhuma realmente segura e boa! Está a ser desenvolvido o SQRL (https://www.grc.com/sqrl/sqrl.htm) que penso que irá resolver este assunto definitivamente, visto que será gratuito e qualquer programador digno desse nome deverá conseguir implementar no servidor/ plataforma, ou usar uma das implementações que irá acabar por ser disponibilizada por outros programadores. Mesmo que “percam” a base de dados com as chaves publicas, não irá ajudar grande coisa a quem quiser fazer-se passar pelo utilizador.
Nunca vi tanta baboseira junta.
Anda muito fora da área, para escrever esse comentário.
E repare-se que aquilo que escrevi só se refere ao que se vê de fora! Em relação aos servidores públicos! Que do lado de dentro nem quero imaginar!
Claro que eles estarão também a falar dos sistemas que adquirem, mas a menos que desenhem e fabriquem os componentes todos cá em Portugal, incluindo os processadores, é impossível garantir a segurança! Não interessa o quanto estejam dispostos a pagar. Podem reduzir a insegurança, mas não anular, pois está tudo vulnerável desde os processadores, discos, memórias, cartões e leitores de chip para autenticação, placas mãe, unidades de leitura ótica, ecrãs, teclados, cabos de ligação, às placas de rede e quase tudo o resto pelo meio.
Mas dentro da segurança possível, ser antigo não é impedimento para resolverem o problema, se quiserem, adaptam uma distribuição derivada do Linux considerada segura, metem uns quantos milhares de programadores a analisar e corrigir todos os erros e problemas de segurança conhecidos, e à procura de outros em todas as partes do sistema operativo que sejam absolutamente necessários para funcionar (removendo o resto), e podem aproveitar o que já existe, mas meter a funcionar bem.
Depois o resto é fazer como já fazem agora, que é utilizar servidores remotos via páginas de extranet ou similar (Internet não parece lá muito seguro…) e podem ter tudo o que precisam para realizar o que precisam no dia a dia.
Em teoria o acesso a servidores remotos torna a informação muito mais insegura, mas é possível minimizar os riscos, se investirem em investigação e desenvolvimento sem usarem tecnologias de terceiros que não sejam tecnologias abertas e plenamente compreendidas e implementadas pelos próprios.
Tudo o que escrevi acima, mantenho (excepto o erro óbvio “Basta visitar colocar o endereço do site das finanças no” > “Basta colocar o endereço do site das finanças no”).
Joao, se pudesse indicar algum site/referencia sobre essas vulnerabilidades do ECDHE agradecia imenso!
Obrigado,
Pedro
Com tantos profissionais de T.I. em Portugal desempregados e não há maneira do estado evoluir tecnologicamente. Depois o nosso rating é “lixo”.
Mario, onde é que há desemprego em TI? LOL
James, Quantos condutores com carta, já viste que não sabem conduzir?
O mesmo se aplica às TI. Ser formado em TI não quer dizer que sejas um bom profissional de TI. Há muitos “masters of none” por aí. Não me espanta que exista desemprego nas TI.
“Tribolet aponta o dedo aos sistemas mal desenhados, […] e cuja segurança deixa muito a desejar uma vez que ainda é baseada essencialmente em passwords.” Não vejo qual é o problema das passwords. O problema é as passwords não expirarem e não ficam num dicionário. Como não expiram, não são trocadas obrigatoriamente de tempos a tempos, e funcionam como se de cromos se tratasse. Assim, toda a gente sabe todas as passwords e troca-as conforme as conveniências. Quando um colaborador, se vai embora, essas passwords continuam validas eternamente e a serem utilizadas por qualquer pessoa. O problema está aí.
se calhar o professor gostaria de ver nas instituições sistemas de autenticação como se vê em algumas empresas, password + cartão de identificação, password + biometrico.
O problema é que as passwords toda a gente a sabe, “Oh manel tenho de imprimir uma certidão e não consigo, tenta ai utilizador:xxx senha:yyyy”, ou coisas piores.
Sejamos práticos, tem de ser um sistema tipo SQRL (https://www.grc.com/sqrl/sqrl.htm), mas embutido num dispositivo isolado e projetado só para isso (quase tipo smartphone, mas talvez mais pequeno), onde o utilizador só tem de saber uma única senha e consegue autenticar-se em todos os serviços/ redes de que precisa de ter acesso e que normalmente utilizaria uma senha.
Do género, aponta o aparelho para a página de autenticação, o aparelho lê o código QR, a pessoa mete uma senha no seu aparelho (que é sempre a mesma… mas o teclado virtual pode variar as posições das letras e tal para não adivinharem pela posição dos dedos), confirma que é esse serviço a que pretende aceder (eventualmente escolhe uma das contas, se tiverem mais de uma), OK, o aparelho comunica via wireless (ou 3G/4G) com o servidor (via ligação segura) com aquilo que o servidor enviou para o seu terminal mas assinado digitalmente, válido para aquela sessão, e o sistema permite entrar automaticamente… a chave privada não sai do aparelho, mas assina e assim confirma a validade do utilizador. E claro é possível restringir o acesso (nos servidores) por IP’s, hora e por aí em diante… a assinatura digital da sessão só substitui o utilizador & senha, tudo o resto é igual. Mesmo que o utilizador perca o aparelho, se utilizado corretamente, não há problema pois ninguém conseguirá (facilmente) obter a chave privada, e mesmo que consegui-se de alguma forma, o utilizador só teria de comunicar o roubo ao departamento informático para revogar o acesso, compra (ou fornecem-lhe) um novo dispositivo, cria novamente uma chave privada no dispositivo novo, regista-se de novo e está a andar de mota. Isto na administração pública, porque convêm 100% de segurança e tem administradores de rede e tal… no dia a dia o utilizador normal (para casa e tal) terá mais maneiras de recuperar o acesso aos web sites e tal.
Na administração pública as chaves elípticas provavelmente não deveriam ser as mesmas utilizadas no SQRL, visto que usa o Curve25519 que só oferece 128 bit de segurança (6 a 75 anos de segurança teórica, dependendo da fonte de informação…)… a administração pública provavelmente precisa de algo mais robusto tipo uma curva elíptica de 2048 bit para ter um nível de segurança de 1024 bit… o que provavelmente nem NSA nem nada devem conseguir quebrar (a menos que tenham computadores quânticos…). Fazer uma curva elíptica ECC não é fácil, mas é fácil (diz quem percebe), verificar se é segura uma vez criada (contando que tenham toda a informação relacionada com ela)… o estado tem de certeza dinheiro para contratar quem perceba e contratar os serviços de criptógrafos reconhecidos pelo mundo inteiro para confirmar que não fizeram borrada!
o yahoo e outros sistemas já começam a passar a uma segunda fase que autenticação sem passwords, ou melhor,com passwords geradas a cada acesso. Esta entrevista pública cheira-me que o Sr.Dr.Tribolet está a preparar-se para vender mais uns serviços de consultoria para o Estado apoiado na ideia do momento. Entretanto a disparidade e falta de coordenação entre sistemas continuará, porque esse não é fácil de resolver nem dá dinheiro rápido.
Tanto tiro ao lado, meu Deus!
Já está na altura de abandonarem implementações em cima do joelho e com sistemas baseados em tecnologia da microsoft, bem como contratarem pessoal competente para o efeito E LEVAR A SEGURANÇA INFORMÁTICA a SÉRIO.
O estado chinês baniu o windows 7,8, 10 e seguintes precisamente pela insegurança… Aqui, ajoelha-se… Na empresa onde trabalho têm a trabalhar um posto com a última versão do xubuntu e a máquina te 15 anos; quando avariar o hardware vai fora, mas, entretanto rentabilizou-se durante 15 anos. Isto não só é ecológico como racional e de boa gestão: “no poupar é que está o ganho”.
Não pode ser Alex, e depois os tachos para os amigos do costume? como era?! Já viste o prejuízo 😉 😉 😉
Lá está! Apontaste uma das razões das coisas continuarem como estão…
Os académicos sempre a dar a sua opinião, ainda que nao seja a area de dominio, já parecem alguns sites que conheço *cof cof* 🙂
As passwords, desde que cumpram requisitos não têm qualquer problema (se é que o eventual problema da AT, seja mesmo passwords).
Ao que parece, o dito fez também confusão entre escalabilidade e segurança.
Eu percebo que no seu tempo do time sharing havia muito por onde filosofar sobre a buzzword que é a segurança hoje em dia, mas calma, estamos em 2015 e a AT pode ter profissionais que não foram seus alunos (nem do IST), mas não são burros.
Volte lá para seu armário.
Confirmo em absoluto.
Sou profissional de informática há 15 anos, e desde há cerca de 3 que comecei a trabalhar em regime de prestação de serviços para uma instituição do Estado Português, e posso dizer-vos que só computadores com Windows XP são às dezenas!!!!
Encontro um pouco de tudo, desde máquinas sem anti-virus (ou licença expirada) e completamente infestadas com malware, até falhas de segurança na LAN… sinceramente o que realmente me espanta é como é que ainda não houve um ataque externo a sério… talvez por ser fácil demais, só pode ser por isso!!!!!
Apesar dos meus “desesperados” alertas, os internos não parecem minimamente preocupados com a situação, portanto…
O problema não está nos equipamentos com o windows XP. Está nas pessoas. Eu sou técnico de informática à mais de 30 anos e sou funcionário publico à mais 20. E o que menciona não ocorre só nessa instituição, imagino eu (tenho a certeza !!!). O problema é bicudo e grave, para não dizer mais. Pelo menos o SIADAP teve a virtude de tentar organizar. Não é perfeito, mas mais vale alguma coisa, do que coisa nenhuma. Pena, é que não vejo nenhuma evolução do SIADAP para uma qualquer coisa melhor e mais perfeita.
@ José Simões
Sim o que mencionei não ocorre só naquela instituição… no entanto na Assembleia da República é tudo do bom e do melhor.
O XP é um problema, está vulnerável há muito, e a maior parte daqueles postos nem sequer o SP1 tem!!!!!! Parece mentira não é?
Poupar-se-iam dezenas de milhões bastando substituir os Windo$ e MS Offices por Linux e LibreOffice (como fizeram os Alemães por ex, e outros paises da Europa, e por esse mundo fora http://en.wikipedia.org/wiki/List_of_Linux_adopters
@ Ricardo Simões
Essa de na Assembleia da República terem windows xp sem o service pack 2 e 3, não sabia. Então como é que gerido o orçamento para a informática ? Pelos vistos, na Assembleia da República, deve ser de susto. É que a ouvir dessas, um individuo até fica gago e com os olhos em bico.
@José Simões
Se calhar eu não me expliquei bem… na AR os computadores são todos muito bons, pois os deputados tratam-se bem.
Na instituição onde presto serviços (e noutras) é que os postos com XP são às dezenas sem sequer SP2!
Peço desculpa pela confusão.