Corrupção e oportunismo na base de insegurança em Portugal

Transcrição

1 Corrupção e oportunismo na base de insegurança em Portugal 4 de Janeiro de 2011 às 19:16:49 por João Nóbrega A Internet portuguesa tem um problema de raíz na visão do investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC), Francisco Rente. Numa breve entrevista para o Computerworld, o investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC) e CEO da Dognaedis, Francisco Rente, explica a sua visão sobre a segurança de sistemas de informação em Portugal e os resultados do estudo realizado no âmbito do sistema Vigilis. Segundo o investigador, os factores que minam a segurança da Internet portugesa : iliteracia, facilitismo, corrupção e facilitismo. Na visão do investigador, este quadro acaba por ter várias consequências, como a facilidade de falsificar a assinatura das pessoas, violando a segurança do cartão de cidadão. O investigador alerta também para o perigo de haver botnets a invadirem infra-estruturas da administração pública, e para a vulnerabilidade geral da arquitectura conceptual do software para as facturas electrónicas. Francisco Rente diz serem necessários mais cursos sobre segurança informática em Portugal. E considera insuficientes as certificações fornecidas pelos fabricantes. O conhecimento tem de ser transversal e não centrado em tecnologias de um ou outro fabricante, explica. Sobre o facilitismo vigente no país na matéria, o investigador explica que tem a ver sobretudo com o facto de os responsáveis não manterem os sistemas actualizados além de sé se preocuparem com eles quando ocorre um problema de segurança. Mais polémica é a sua afirmação de que nem sempre é seleccionada a solução mais segura, tanto no sector privado como no público. Normalmente factores como a pressão política têm maior influência, segundo Rente, o que configura um cenário onde impera muitas vezes a corrupção e o oportunismo. Computerworld Considerando que a formação das pessoas em segurança é um desperdício de recursos, de acordo com Bruce Schneier, como se poderá reduzir a iliteracia sobre segurança? Francisco Rente Considero o Bruce Schneier um verdadeiro guru, mas nisto discordo com ele. A menos que a minha noção de formação seja completamente diferente da dele! Se interpretarmos formação como o processo de assimilação de novos conhecimentos e capacidades, consequentemente a criação de valor cognitivo, a formação é obrigatoriamente o caminho a seguir para a redução da iliteracia. Agora, se

2 falarmos na formação na forma certificações às paletes só para ficar com o carimbo, ai sim a formação não é a resposta. Resumindo, de uma forma geral o combate à iliteracia passa obrigatoriamente por ganhar conhecimento técnico e security mindset, permitindo a superfície de ataque. CW Como se pode reforçar a parte da arquitectura dos sistemas de informação mais próxima do utilizador, em particular no sistema de cartão electrónico de identificação? FR Neste momento e segundo o que acreditamos na Dognædis, há duas necessidades mais prementes, visto que a arquitectura geral dos sistemas de suporte ao Cartão do Cidadão (CC) já foi implementada. Sendo que uma é mais social do que técnica e outra puramente técnica. Respectivamente, a consciencialização (security awareness) e ferramentas de protecção. A consciencialização pode em muitos casos ser a melhor das seguranças, basta analisar casos como o phishing e outras utilizações de engenharia social. Como muitos autores referem, cada vez mais o utilizador (Humano) é parte integrante do sistema e deve ser preparada como tal. É urgente os cidadãos portugueses ganharem conhecimento das ameaças existentes e seus perigos inerentes, tanto no uso indevido de tecnologia em geral, como em casos particulares mais relevantes o Cartão do Cidadão (CC). Tendo sido, salvo raras excepções, os sistemas de suporte ao CC desenvolvidos com total descrédito às possíveis ameaças existentes no computador de acesso (o do cidadão), deveriam ser desenvolvidas e disponibilizadas ferramentas que mitigassem essas ameaças, mesmo que só compreendessem o caso específico do CC. CW Quais são os principais problemas de segurança do sector público? Que problemas foram resolvidos? Quais é que ainda não foram? FR Segundo os dados recolhidos pelo Vigilis, os tipos de vulnerabilidades com maior expressividade no sector público estão ligados com a possibilidade de fuga/roubo de informação. Apesar de ter existido um decréscimo no número global de ocorrências detectadas dessas vulnerabilidades, ainda existe uma elevada representatividade das mesmas. Tomemos como exemplo o caso da vulnerabilidade do SSL3.0/TLS-1 Renegotiation, que tem vindo a diminuir mas ainda conta com 1251 ocorrências actualmente, só no sector público. Mas existem casos mais preocupantes, onde ao contrário da tendência geral têm existido um aumento, como é o caso de sistemas de gestão de base de dados (SGBD) ligados directamente à Internet. Tags: Dognaedis, FCTUC

3 ABACDEFDD A ACFDCDABCBDDDCDABD EFDDECDDCCDFADDCCBDA DCFDACDDCCDDFDFDFCDDCC FDFADABDCDD BCDCECFCDCCACCCACCACA CFCDCCACACACCC ACACCACCCCDACAECDC FCDCCCBCDCECFCCCDC ACCACACACACCCACCACCAD CDADACCACCACA ECDCCFCECDCCCCACCACDCACC ACADCCACDCECACAC FBCDCECFC EACDCBCDCECFCDCCC CECDCCDCACCCFCCCC CCDCCCCCCCADC CACCACCCCCCCCC CCCCCFCAACA CACACCCFCFCCDACFDC ACBCDCECFCDCCCCDCC CAFAADCCCCCAC CDACCACCACCDCBCAA CACCCCCCCCADCC

4 Ataques informáticos: sistema Vigilis deteta 75 mil vulnerabilidades em Portugal ABCAABCDEFFBDBCDFBDEAFEFCE BBDCBFEBFEABCABCDFBBFFFFAD BCBEEE DBFBE C FD CDC Partilhe FBFCDCBCFBBCBDCFDDCCCBCDABCCDBCCDFCC BABCCFBCBFBDEAFEFFEBFEABCFECFBEABCEAFBE BEBFFFFAECCEEBACDBECEBABBCB EEBFDEAEBFEECEEAFBCDEFABCEBBCBEAEA BAFEFECEECEEFECFBCBFEFECEBBCBEA CABEBDF EDBECAFEABBFBEEFEFBEABAC BFBFECEBFBBEBAEEFEFBEFFE Ataques semelhantes ao caso WikiLeaks EBEBAEAEDEFABEAEAEDEAE ABEBFAEEAAABEDBFBEF BFDEAECAEECFCABEFBFDEABEEEBFDEAEBC CBCEAEFEEBB BBCBABAFBEFCAFBCAAEFBEEBEEFBCBEEFB FFFBEEFBEFFEEEABFBEBFFFEEAEFEA EFBBFBDBAFBFDEABFECDAFFBEA FFFEAFBFDEABABBAFEEBABFEEE EFBFAFCEFEEDBBBAAEECEBDAFCBFBEFE E Francisco Rente: "Situação é grave e tem vindo a piorar" BEABFEBEDAEEFEAEFEB EBAFEEFAECFBCBBABFBBAEEEBFBEEFFE FEDBFCFEEAFDEEFEEEAEECA FAEABCEEFBCFBCBFEFFECEFCBFAEFE BECFBCBEAEDEACCAEAFAFEABEABE ABCEEFBCFBEF CAEBEBECBEEFCFFFEEBBCBAAAEAE EBEBAEFBFBCBEFBEFCEECAFBFDEAE BBAFAFBBEBAEFBAABEB

5 EFCEBAEAECBFFEBFDBEBBCBCEAFB FBEFAEDFE