Segurança informática do Estado e do sector privado é “bastante frágil” em Portugal

Segurança informática do Estado e do sector privado é “bastante frágil” em Portugal

04.01.2011 Por Maria João Lopes


Na melhor das hipóteses, pelo menos um em cada cinco endereços de IP estatais testados pelo projecto Vigilis, desenvolvido por investigadores da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC), é vulnerável a ataques que podem pôr em risco a privacidade, integridade e confidencialidade da informação. Na pior, um em dois endereços avaliados é frágil.

Os investigadores também avaliaram a informação disponibilizada no Facebook Os investigadores também avaliaram a informação disponibilizada no Facebook (PÚBLICO)

Esta é uma das conclusões do estudo, da responsabilidade do Centro de Investigação em Sistemas da FCTUC, que apresenta dados semelhantes para o sector privado – em ambos, o nível de segurança é considerado “perigoso”, embora o público, numa escala de 0 a 10, esteja nos 4,1 e o privado nos 4. O nível “perigoso” é o segundo patamar da escala, a seguir é considerado “muito perigoso” e, depois, “caótico”.

De quatro em quatro meses, o que os investigadores deste projecto fazem é correr um programa que detecta diversos tipos de vulnerabilidades, que podem ser divididas em três grandes grupos: possibilidade de roubo de informação; intercepção ou adulteração de comunicações; e comprometimento da segurança de um sistema. São analisados todos os endereços de IP da Internet portuguesa e também 85 mil domínios .pt, alguns dos quais podem apontar para servidores no estrangeiro.

O universo de testes realizados inclui cerca de cinco milhões de endereços e cerca de 85 mil domínios .pt. Porém, o universo de cinco milhões é, depois, afunilado para cerca de um milhão (endereços considerados "vivos") e, ainda, para cerca de 105 mil (onde foi possível executar pelo menos um teste).

Foram detectadas 75 mil vulnerabilidades, sete mil das quais dizem respeito a serviços de Web e email com fragilidades no que toca à intercepção de comunicações cifradas – e, entre estas, 1251 dizem respeito a servidores estatais.

O que o programa usado pelos investigadores não permite é saber quais os organismos estatais que têm servidores vulneráveis. Por questões “éticas”, os investigadores decidiram apenas distinguir os estatais dos privados, mas sem os especificar.

“Não recolhemos nem divulgamos essa informação. Se o fizéssemos podíamos estar a sustentar actividades criminosas. Se fosse só uma empresa, não havia problema, mas são milhares de organismos. A resolução do problema não ia ser imediata e se não houvesse tempo para resolver o problema, podia haver actividades criminosas”, justifica o coordenador, Francisco Rente.

O projecto prevê, porém, que uma qualquer entidade, estatal ou privada, que prove ser a responsável pelo servidor, solicite essa informação. Francisco Rente explica que é uma forma de “ajudar o projecto” e de recolher a informação sobre a segurança de um determinado servidor.

Segundo o coordenador “a segurança informática é bastante frágil” em Portugal. O responsável adianta que, em dois anos de avaliação, “a situação geral tem vindo a piorar”: “Houve um pico, a meio de 2009, em que ainda esteve pior, mas está a piorar…Enquanto cidadão português, não acho nada bom saber que o nosso espaço na Internet tem várias ameaças”, afirma.

Os investigadores sustentam mesmo que a técnica para esconder informação – chamado esquema de criptografia – é de “tal forma vulnerável” que permite a um possível atacante informático ter acesso a toda a informação e partilhá-la publicamente, como no caso Wikileaks.

Francisco Rente acredita que uma das razões que justifica a debilidade da segurança informática em Portugal é a falta de preparação técnica dos profissionais, que são, muitas vezes, autodidactas, uma vez que, alerta, faltam “cursos ligados à segurança da informação” nas universidades e institutos portugueses.

Outras razões são o “facilitismo, a corrupção e o oportunismo”: “Vê-se em concursos [para projectos informáticos], estatais e privados, a troca de interesses. Muitas vezes quem ganha não é sempre a pessoa mais capaz”, alerta

Portugueses desvalorizam privacidade na Internet

Outro dos estudos do projecto Vigilis diz respeito à privacidade no Facebook e, segundo o coordenador, Francisco Rente, os portugueses não dão “praticamente nenhuma” importância à privacidade nas redes sociais. No estudo, foram analisados mais de 78 mil perfis do Facebook com acesso completamente público.

in: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]