Miguel de Moura é um jovem programador com um interesse particular pela área de segurança e privacidade. Foi essa curiosidade que o levou em julho do ano passado a começar a conduzir uma série de testes a diferentes grandes entidades nacionais (SNS, CTT ou CUF, por exemplo) para averiguar possíveis vulnerabilidades. Quando chegou ao Portal das Finanças, encontrou uma série delas, algumas de uma gravidade considerável.
A informação técnica está disponibilizada em dois artigos que Miguel de Moura publicou no seu site https://migueldemoura.com/posts/deeply-vulnerable-legacy-code-portuguese-government-finance-tax-portal/ , mas todos os leigos serão capazes de compreender os riscos que estavam presentes numa plataforma recheada de dados confidenciais dos utilizadores. Inicialmente, o programador deparou-se com uma série de falhas que poderiam conduzir a ataques de phishing, ou seja, que facilitavam o envio de emails falsos a fazer-se passar pela Autoridade Tributária para recolher informações do utilizador.
Contudo, as vulnerabilidades mais graves viriam depois, uma vez que estão relacionadas com o processo de autenticação no Portal das Finanças. A investigação de Miguel de Moura permitiu-lhe descobrir que bastava ter um qualquer número de NIF para conseguir descobrir o número de telemóvel que lhe está associado.
Além disso, quando entrava na zona de “Recuperar senha” do site havia uma forma de avançar sem ter de responder à “Pergunta Secreta”. Por fim, a vulnerabilidade mais grave: era possível mudar a senha de qualquer NIF. Miguel de Moura explica à Exame Informática que, para tal, bastava seguir os passos habituais dos formulários presentes no processo de recuperar senha e que a falha apenas surgia na última página. Ou seja, o atacante podia começar por usar o seu próprio NIF e telemóvel associado – uma vez que é enviado um código SMS para avançar com o processo de recuperação de password – e só no final é que poderia tirar partido da vulnerabilidade para trocar o seu NIF pelo da vítima, passando assim a ter acesso à conta fruto da utilização da nova palavra-passe.
Denunciar ou como entrar em “O Processo” de Kafka
Se tem estado a ler o artigo com atenção reparou seguramente que nos referimos sempre às vulnerabilidades de segurança no passado e há uma razão para isso. Seguindo as boas práticas de segurança em tecnologia, Miguel de Moura apenas está a tornar as falhas públicas agora porque as reportou às autoridades competentes e elas já se encontram sanadas. Contudo, o aparente simples processo de reportar as vulnerabilidades revelou-se digno de um livro de Kafka.
Miguel de Moura começou por ligar para a linha de suporte do Portal das Finanças múltiplas vezes e, de seguida, para a Comissão Nacional de Proteção de Dados (CNPD) em janeiro deste ano. Como não obteve feedback positivo, apresentou queixa à CNPD em março e contactou novamente a linha de suporte em abril. E novamente em maio… Após uma chamada de 36 minutos e 49 segundos, onde foi transferido sucessivamente entre múltiplos departamentos, o programador conseguiu finalmente chegar à fala com alguém capaz de resolver os problemas. Resultado? As vulnerabilidades foram corrigidas em junho.
Olhando para trás, Miguel de Moura reconhece que o processo de reportar casos deste género é complicado porque é difícil «chegar às pessoas certas». Depois de o conseguir, reconhece que tudo decorre de forma fluida. Além disso, refere que na altura apanhou a CNPD mais atarefada com a implementação do RGPD (Regulamento Geral sobre Proteção de Dados) e que obteve feedback positivo por parte do Centro Nacional de Cibersegurança.
E qual é, afinal, o motivo por detrás destas falhas de segurança? Miguel de Moura acredita que é por se recorrer a sistemas e código legacy, que não foram construídos de raiz para a finalidade que estão a ter. Ciente de que as equipas responsáveis dificilmente poderão fazer mais com os meios relativamente escassos que têm disponíveis, o programador sugere a criação de um mecanismo que torne mais fácil a denúncia de vulnerabilidades diretamente à equipa responsável e a realização de auditorias. É que, na opinião de Miguel de Moura, «qualquer pessoa poderia ter encontrado estas falhas».
Fonte: Exame Informatica
ITO - NET Things: Top Sellers, promoções e cupões diários na Gearbest...
A Gearbest tem neste momento uma página dedicada aos melhores cupões e promoçoes flash disponíveis nos produtos mais vendidos, mas o melhor é que esta página é atualizada diariamente, não esquecer de usar o cupão e escolher o método de envio recomendado... Link da promoção: http://bit.ly/2mbXDLX De aproveitar...
Post A Comment:
0 comments: