Existem actualmente uma série de plataformas de teste, gratuitas e facilmente acessíveis que permitem verificar e melhorar os padrões de cibersegurança das presenças digitais e, designadamente, dos seus sites das autarquias portuguesas.
Entre as várias existentes sugerimos:
https://webcheck.pt (uma iniciativa conjunta do Centro Nacional de Cibersegurança e da Associação DNS.PT)
https://sitecheck.sucuri.net (da Sucuri: uma empresa que vende serviços de consultadoria e aconselhamento de cibersegurança desde 2009) e a
https://observatory.mozilla.org (da Fundação Mozilla)
sendo que esta última agrega várias outras plataformas de teste tais como
SSLlabs, ImmuniWeb, securityheaders.com e hstspreload.org para além de produzir um ranking único e simplificado elaborado a partir dos testes do próprio observatório.
As câmaras municipais devem seguir todas as boas práticas de cibersegurança na indústria tornando Portugal mais resiliente num contexto cada vez mais perigoso como a vaga de ataques a empresas e organizações portuguesas do passado fevereiro veio demonstrar. A sua posição como primeiro elo do Estado junto dos cidadãos, a importância do seu papel e dos serviços que prestam aos cidadãos assim como a constância e crescente gravidade de ataques que têm sido notícia no campo da cibersegurança reforçaram a ideia de que as autarquias para poderem cumprir as suas missões tem que ser ciberresilientes e estarem protegidas contra este tipo de ameaças:
https://www.bbc.com/news/uk-england-gloucestershire-60638835
https://www.forbes.com/sites/forbestechcouncil/2021/06/22/municipal-cyberattacks-a-new-threat-or-persistent-risk/
https://www.infosecurity-magazine.com/opinions/municipalities-managing-cyber-risk/
Sugerimos que todas as autarquias testem:
Da webcheck.pt:
“O nome de domínio não se encontra assinado com DNSSEC”
“Não foi possível estabelecer um canal de comunicação seguro (HTTPS). A comunicação entre o navegador de internet (browser) e o servidor que disponibiliza a página de internet pode ser comprometida.”
“Redireccionamento HTTP: As comunicação não são redirecionadas corretamente para o canal seguro (HTTPS).”
“O domínio de correio eletrónico implementa uma política SPF que não foi considerada suficientemente segura.”
“O domínio de correio eletrónico não possui um registo DKIM configurado.” “O domínio de correio eletrónico não tem associado um registo DMARC.”
(entre outros)
Da Sucuri.net:
“Apache under 2.4.44”
“Password input field detected on an unencrypted HTTP page”
“WordPress under 5.4.2/5.3.4/5.2.7”
“Joomla under 3.9.21”
“Nginx under 1.17.3”
“PHP under 7.4.6”
“TLS certificate does not match the host name. Please consider setting up HTTPS to avoid the “”Not Secure”” browser warning.”
“Directory Listing is enabled on your site. This can lead to information leakage. We recommend disabling Directory Listing”
“HTTPS mixed content found. Your HTTPS website is referring to an HTTP resource”
(entre outros)
Da https://observatory.mozilla.org :
o TLS Observatory
o SSH Observatory e os
Third-party Tests acime listados
Acreditamos que a maioria das autarquias de Portugal ainda não aderiram à normal DNSSEC (provavelmente apenas 10%), que boa parte ainda não tem um registo DMARC no seu domínio de correio electrónico (talvez menos de 80%) e que, ainda menos, utilizam registos DKIM (menos de metade). É também nossa convicção que as políticas SPF não se encontram ao nível recomendado (cerca de metade) e que nem todas realizam redireccionamento do tráfego HTTP para HTTPS e que apresentam conteúdo misto HTTP e HTTPS nos seus sites e uma em cada quatro das autarquias pareciam correr software desactualizado. Esta convicção resulta da simples navegação por alguns dos sites e domínios a que estão associados às nossas autarquias. Da mesma navegação foi possível encontrar alguns problemas com os certificados SSL/TLS (hostnames que não constavam dos SAN dos certificados) que podem ser identificados e corrigidos através da consulta das plataformas acima indicadas.
Nesse sentido elaborámos alguns guias de explicação destas possíveis vulnerabilidades e guias de resolução que colocámos em:
https://cidadaospelaciberseguranca.wordpress.com/2022/03/26/teste-o-seu-site-na-immuniweb-com/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/dnssec-domain-name-system-security-extensions/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-que-e-o-dkim/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-que-e-o-dmarc/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-que-e-o-spf-ou-sender-policy-framework-spf/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/formularios-de-recolha-de-palavras-chave-em-sites-que-nao-as-recolhem-de-forma-encriptada/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/solucao-ao-nao-foi-possivel-estabelecer-uma-conexao-segura-com-este-site/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-observatory-da-mozilla/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/actualizar-o-nginx/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/actualizar-o-php/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-alerta-https-mixed-content-found-your-https-website-is-referring-to-an-http-resource/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/os-testes-da-https-securityheaders-com/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-teste-oferecido-pela-https-hstspreload-org/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/se-tem-o-alerta-directory-listing-is-enabled-on-your-site-this-can-lead-to-information-leakage-we-recommend-disabling-directory-listing-no-sucuri-net-e-porque-tem-a-opcao-directory-listing/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/actualize-o-wordppress/
Assim como alguns guias mais genéricos:
https://cidadaospelaciberseguranca.wordpress.com/2022/03/21/ramsonware-como-se-proteger/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/14/o-que-e-uma-botnet-como-as-podemos-evitar/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/01/treino-e-formacao/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/01/autenticacao-por-multiplo-factor-mfa/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/conversation-hacks/
Iniciativa CpC: Cidadãos pela Cibersegurança 