Há segurança informática nos serviços públicos em Portugal?


Destaques PPLWARE

34 Respostas

  1. José Rodrigues says:

    Mediante os NDAs que tenho a única coisa que posso afirmar é.. d’oh

  2. MacacOS says:

    Hospitais com windows XP e/ou PCs que nunca são atualizados… Viva a segurança dos nossos dados mais sensíveis!

  3. TrasMontano says:

    Já para não falar no acesso aos serviços de homebanking cuja segurança são ridículos (pelo menos dos que eu conheço, que são alguns: senhas limitadas a 6 ou 8 caracteres numéricos, SEM 2FA.
    Vá lá que, dependendo da operação, ainda enviam um código para o telemóvel ou pedem 2/3 caracteres para confirmar a operação.

    • José Rodrigues says:

      Pois, mas esses têm segurança a sério, senhas fortes não significam nada quando são guardadas com cifras para meninos.

    • Luis Coelho says:

      Identificação de 2 fatores é a melhor segurança que existe.
      Podes quebrar a cifra mas ainda tens de identificar o código enviado para telemóvel.

      • N'uno says:

        Se o ataque for um pouco mais sofisticado pode facilmente contornar essas SMS. Já foi demonstrado. Ainda assim, no caso geral, a autenticação de dois factores é sempre preferível a uma password. Alguns bancos usam certificados que garantem que o utilizador está num determinado computador, acrescentando mais um layer de segurança, mas há mecanismos 2FA mais completos.

        • Joao 2348 says:

          Pois há: por exemplo o FIDO U2F, que são chaves físicas USB que se carrega num botão e autentica (em browsers que suportem, para já só no Google Chroome, em breve no Mozilla Firefox).

          Aparentemente nenhum banco faz isto mas poderiam enviar mensagens de confirmação para aplicativo mais seguros tipo Threema ou outro qualquer cujo identificador do utilizador não tenha de estar obrigatoriamente associado a telefones ou e-mails de forma a garantir independência de tais serviços e assim reduzir a superfície de ataque.
          Se fosse aos bancos já teria criado uma tal aplicação de mensagens ultra segura, tipo através da SIBS ou algo do género para ser uma aplicação cujos custos de desenvolvimento e exploração eram partilhados por todos os bancos, e sendo uma aplicação à parte (disponível de preferência para todas as plataformas) aumentaria a segurança das operações bancárias.

          • N'uno says:

            Eu nunca percebi bem os mecanismos de segurança que disponibilizam para os seus clientes. FIDO U2F, por exemplo, parece-me uma solução óbvia (eu utilizo-a noutras situações, tanto no Chrome como no Firefox e até no Android, neste último caso através de NFC). Mas andam sempre atrasados no que respeita às melhores práticas, não investindo verdadeiramente nesta frente. Pode ser que a pressão destes ataques os comece a sensibilizar para essa necessidade, tanto mais que agora temos aplicações móveis com requisitos de segurança bem mais fortes. Mas até aí vejo autenticações com PINs, que até podem ser de 6 dígitos, mas que ainda são introduzidos através do teclado que estiver instalado e activo no Android, por exemplo!

          • Joao 2348 says:

            Eu percebo… querem o mínimo de dificuldades possíveis para não ter chamadas para o suporte e pessoas a reclamar no banco… também qual é a pior coisa que pode acontecer? Ah! Pois a pessoa ficar sem o dinheiro todo da sua conta e com alguma sorte ainda ficam a dever ao banco se deixarem com saldo negativo.
            O FIDO U2F seria bom para autenticar-se para além do utilizador e senha… mas para a fase de confirmação continua a parecer-me boa ideia eles enviarem uma mensagem a informar a operação que efectivamente está a ser feita e que a pessoa deseja realmente autorizar, porque já aconteceram vários ataques em que os cavalos de Troia infiltravam-se e depois efectuavam as operações de tal maneira que quando aparecia o sms a pessoa nem verificava bem e só queria saber do código até porque os bancos limitavam o tempo durante o qual se poderia introduzir o código dando menos tempo à pessoa para confirmar os dados e muitas simplesmente ignoravam totalmente.
            Os 6 ou 7 dígitos que muitos têm é para funcionarem para todos os serviços deles obviamente (telefone, sms, internet). Eu por mim não queria o telefone e os sms’s… preferia só Internet e uma segurança mais a sério… mas os bancos infelizmente até a lei os obrigar vão continuar a ser mais fáceis de atacar que as contas do gmail por exemplo, por mais ridículo que pareça… na conta do Gmail tem de saber o e-mail, o código, o código que muda 30 segundos ou para quem têm: a chave FIDO U2F. Eles inicialmente exigem o número de telemóvel mas a pessoa depois pode remover e assim ninguém pode pedir o código de recuperação para o telemóvel (evitando todos os problemas de segurança das redes públicas de telefones).

          • N'uno says:

            Concordo. Para além desses SMSs com códigos, recebo também os de notificação sempre que são movimentados valores fora do normal. Já a segurança do gmail é algo interessante. Nessa tenho vários 2FAs, mas não em todas as minhas contas. No outro dia configurei um script num computador para me notificar por email sempre que o IP público se alterava, e usei para isso uma conta que já não usava há muito tempo, onde só caíam spams. Para minha surpresa, quando movi o computador para o local final os emails não saíam… Assim que o liguei à minha rede de desenvolvimento para ver o que se passava, estes foram enviados. Ao mesmo tempo recebo um da Google a notificar-me que alguém tinha utilizado a minha password, e como tal tinha sido bloqueado! De notar que era a mesma máquina… Por isso, mesmo sem 2FA, a segurança tem um nível muito interessante!

  4. Miguel says:

    “A principal ameaça à segurança dos computadores são os próprios utilizadores”

    enough said

    • Spoky says:

      Isso não é de todo verdade.. E a mesma coisa que dizer que a culpa de um ladrão entrar na casa é do proprietário sendo que a casa na maioria dos casos têm várias habitações e portas por onde entrar

      Logo é a mesma coisa que dizer que a culpa é do proprietário sendo que uma casa tem várias divisões com fraca segurança e material de má qualidade o que facilita

      De quem é a culpa? Do dono? Por um lado sim mas por outro..

      • Me Me Me says:

        Isso não é bem assim… Porque tu em casa se não conheceres quem te bate à porta, em principio não vais abrir. Já emails de remetentes desconhecidos e que não dizem nada aos utilizadores, toca de abrir!

        • José Rodrigues says:

          O email não se equipara à casa de alguém mas sim à caixa de correio e aí quem quiser mete lá o que bem entender e não estás livre de abrir um envelope e ter antrax.

          • polik says:

            Daí a frase: “A principal ameaça à segurança dos computadores são os próprios utilizadores”

            Se o utilizador tiver um mínimo de discernimento terá que ter cuidado com o que abre, seja a porta da casa, seja o envelope da caixa do correio… Pé atrás sempre.

        • rlopes says:

          Espera lá. Até porque os assaltantes quando te assaltam a casa até batem à porta ou tocam à campainha. O Spoky tem razão a 100%.

          • R. Amor says:

            Epah se uma r/c tiver uma janela aberta, não vamos todos entrar.
            Mas convém que o “Dono” tenha a noção que se a deixar assim muito tempo está mais propicio a possa entra muita coisa ..
            O mesmo se passa com S.O. obsoletos e desatualizados, cheios de buracos, a serem utilizados por utilizadores com pouca noção de segurança.

          • Spoky says:

            RLopes não ves que os assaltantes hoje em dia até são simpáticos e dizem que lhe vão assaltar a cara a descarada? Agora tenho que ter cuidado, o ladrão já não entram pelas janelas, traseiras de modo a que ninguem veja.. Agora vão pela frente e até avisa logo que vamos ser assaltados

            Isto realmente pá, rlopes temos de ter os dois cuidado!

            #NovaGeração #SuchABrain.

        • Spoky says:

          Claramente não entendeste, ou não quisseste chegar ao ponto essencial que era o que deviam ter logo percebido.

          Assim como uma casa tem várias maneiras de entrar seja pela porta principal, traseiras, janelas, vidraças.. Por mais que um dono de uma casa tenha cuidado há sempre maneira de la entrar! A mesma coisa aplica-se ao utilizador de um computador ou outro gadget qualquer.

          Um resumo melhor que isto é impossível, de qualquer das formas existem Aulas de Português quem não entender, que tente “reforçar” a sua análise textual (De texto) não vá surgir enganos.

    • N'uno says:

      Uma das principais, e não “a” principal. Segurança é um tema demasiado vasto e complexo para se reduzir a uma frase destas, que até considero perigosa, pois induz muita gente em erro…

      • polik says:

        Não se reduz mas é um ponto primordial, as pessoas não actualizam os computadores, não actualizam os anti-virus, não têm anti-malware, abrem qualquer anexo que lhes enviem, mesmo que venha de uma pessoa que não comheçam, deixam computadores abertos, colocam passwords facilmente quebraveis, usam a mesma password e email em quase todo o lado, vão a sites sem nenhuma segurança e respondem sim ou concordo em qualquer janela de pop-up sem ler, etc…

        O principal responsável pela própria segurança tem de ser o utilizador

        • N'uno says:

          É claro que é um ponto primordial, e o que escrevi foi exactamente nesse sentido. A frase em si é redutora porque há muito mais para além do utilizador. É certo que um utilizador consciente e que evite comportamentos de risco terá menos probabilidade de ser a vítima de um incidente de segurança, mas isso não é tudo, e definitivamente não lhe garante imunidade.

    • MacacOs says:

      Exatamente, por isso é que os administradores têm que acautelar isso, tendo em conta a diversidade de utilizadores. Em vez de remediar, deviam precaver, em vez de se preocuparem em bloquear redes sociais, youtube e afins, deviam-se preocupar com as verdadeiras questões de segurança, como se estivessem a lidar com informação sensível, que de facto é.
      Estão mais seguras as fotos e outras tretas que temos no telemovel e (na sua maioria) pouco importam, do que os nossos dados importantes.

      • V3rm3 says:

        Os administradores bloqueiam as redes sociais, youtubes e afins, não por uma questão de segurança, mas sim de produtividade. Mas concordo plenamente, cabe aos administradores acautelar a despreocupação dos end users.

        • N'uno says:

          Esse “acautelar” deveria fazer parte dos controlos implementados no terreno para mitigar riscos devidamente identificados e valorizados numa análise que se quer periódica. O grande problema é que a gestão Mickey Mouse apenas se preocupa com a falsa questão da produtividade, que mais não é que um sinónimo de má gestão, e não investe naqueles riscos que são exponencialmente mais onerosos que qualquer tempo divergido em redes sociais. Refiro aos riscos que se apresentam no topo da escala em termos de continuidade do negócio. Não são apenas as catástrofes naturais, entenda-se…

        • MacacOs says:

          Não é assim que se estimula a produtividade, antes pelo contrário, mas isso já é outro âmbito, com muito pano para mangas.

      • José Rodrigues says:

        Nenhum IT se preocupa em bloquear redes sociais e afins, isso são normas pedidas pelos administradores das empresas, tipicamente depois de terem sido detectados abusos e por causa de um pagam todos.

        • N'uno says:

          Em linha com a gestão Mickey Mouse, como a classifico.

          • José Rodrigues says:

            Quanto a mim em serviços públicos faz todo o sentido, nem sequer deviam ter acesso à internet, telefone só para chamadas internas, externas teriam de passar por telefonista e tudo controlado. É de bradar aos céus o tempo que a grande maioria de funcionários públicos passa ao telefone ou na net.

          • MacacOS says:

            @ José:
            Não pensei encontrar aqui, num local tão orientado para o futuro, ideias tão retrógradas (e tão erradas).
            Então e nos “serviços privados”, já não faz sentido?
            Claro que não deviam ter acesso à internet, a informação, funcionários desinformados, é que é bom.
            Essa “grande maioria” são números de onde? Do mesmo sitio do “tempo que passam ao telefone ou na net”? E também investigou o que fazem lá esses funcionários? Ou não sabe que ao telefone e no computador também se trabalha?
            De bradar aos céus é a mania de criticar os funcionários públicos por hábito, sem saber do que se fala, por “tradição”, de bradar aos céus é reclamar por esperar 10 minutos num serviço público, mas não reclamar quando esperam mais de uma hora no consultório privado do senhor doutor.
            De bradar aos céus é não entender algo tão básico como o facto da produtividade se avaliar por aquilo que se produz; se eu passo 5 minutos numa rede social, p.ex., a falar com a minha mulher que já não vejo há umas horas e isso de me deixa motivado e a seguir trabalho uma hora intensamente, produzindo muito, é mau, o vizinho que está duas horas seguidas a “trabalhar” devagar devagarinho e que no final produz metade, sem nunca ter contudo ido “à internet ou ao telefone” é que é um bom funcionário.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.