Exmo. Senhor Presidente da Assembleia da República
O caso de Frederico Pinheiro revela algumas más práticas no que respeita a segurança informática que podem estar disseminadas no Governo da República.
Proponho assim que seja realizada uma revisão dos procedimentos, práticas e políticas a aplicar a equipamentos do Estado e, muito especialmente, em todos aqueles que – como sucedeu – possuem documentos ou informações de especial interesse, valor ou essenciais à segurança da República:
1.
Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis):
Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.
2.
Os telemóveis do Estado não têm sistemas de backup a funcionar:
Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.
3.
Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp):
A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em que
a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.
b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.
c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.
d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.
e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.”
Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.
4.
Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.
5.
O laptop de Frederico Pinheiro estava em modo “standalone”:
Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.
6.
Frederico Pinheiro era administrador local do equipamento:
Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:
Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República.
Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.
Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.
Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.
Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.
7.
Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado:
Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.
8.
O laptop permitia a ligação de Storage Devices USB externos:
Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento.
Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.
9.
O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações:
Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.
10.
O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado:
Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.
11.
O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto:
Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como
AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica.
O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza.
O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.
12.
Foram feitas impressões de documentos confidenciais:
É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview).
Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente.
Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.
13.
Terá sido possível enviar documentos de trabalho para mails pessoais:
É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).
Os peticionários propõe que estas 13 sugestões, ou algumas das propostas desta lista ou outra correlacionadas sejam tornadas obrigatórias os equipamentos (computadores e smartphones) dos gabinetes dos ministérios e dos presidentes de câmara municipal: numa primeira fase e, posteriormente, a todos os ministérios e redes informáticas das autarquias portuguesas.
https://participacao.parlamento.pt/initiatives/3356
Mês: Julho 2023
Recomendações para entidades (como a JMJ em www.lisboa2023.org) que usem Office 365:
1. Ligar o “multi-factor authentication” (MFA) para todos os utilizadores e Global Admins (com excepção das contas de emergência) se já não precisa de continuar a usar aplicações Legacy que ainda usam o “SMTP Authentication Protocol”.
3. Não permita que os utilizadores criem “app passwords”. Estas passwords são usadas por aplicações que não suportam a “modern authentication” e que são, consequentemente, menos seguras. A opção, na falta destas aplicações, não deve estar ligada
4. Desabilitar, no MFA, os métodos de verificação por chamada e SMS. Estes métodos são menos seguros e o uso da aplicação móvel é preferível.
5. Colocar a opção para pedir a revalidação da identidade em 90 dias. Esta redução vai reduzir as possibilidades de os utilizadores aprovarem acessos indesejáveis por MFA e impedir o conhecido método de “MFA bombing”.
6. Ligar o MFA para todos os utilizadores baseado nas políticas de conditional access. Ter em conta que isto requer um “Azure Premium Plan 1”.
7. Criar duas contas de Domain Admin de emergência. Estas contas devem estar excluídas da autenticação MFA e de outras políticas de acesso condicional. Estas contas irão impedir que fiquemos excluídos do acesso à Azure Active Directory por exemplo se houver um problema grave e duradouro na rede telefónica ou nos telefones assim como uma saída ou desaparecimento súbito de um Domain Admin.
8. Usar o “Role-based access control” para admins com base no “principle of least privilege” (POLP). As contas de utilizadores devem ter sempre as permissões mínimas necessárias para realizarem as suas funções.
9. As contas de serviço que apenas precisam de ler a Azure Active Directory devem usar apenas o role de “Directory Role”.
10. Embora o “mailbox audit log” esteja sempre ligado deve também ser ligado o “Unified Audit Log”. Isto permitirá recolher todos os logs no Microsoft 365 Compliance Center o que facilitará a consulta de eventos de segurança permitindo criar aqui alertas.
11. Criar alertas quanto uma Team de MS Teams é apagada uma vez que o apagamento de uma Team irá também levar ao apagamento do site Sharepoint e de todos os dados aqui associados.
12. Ligar o “Enable Continuous Access Evaluation”. No Office 365 a autenticação baseia-se em OAuth 2.0 access tokens, são estas tokens que permitem o acesso a serviços e estão – por defeito – válidos durante uma hora refrescando depois de forma automática. Contudo, se algo mudar no perfil de acesso do utilizador durante essa hora esta mudança não é validade. Isto implica por exemplo que uma mudança de geografia não é validade e será permitida designadamente se um hacker obtiver a password de acesso poderá estar ativo na conta durante quase 60 minutos. Se a “Continuous Access Evaluation” (CAE) for ligada essa validação será quase imediata a até um tempo máximo de 15 minutos. De notar que esta configuração também exige um plano Azure Premium P1, pelo menos.
13. Ligar o “Azure Portal Inactivity Timeout” para todos os utilizadores.
14. Ligar as “Preset Security Policies in Exchange Online” tendo em conta que a Microsoft disponibilizou dois templates, um padrão e outro mais restritivo.
15. Verifique as configurações do “Configuration Analyzer” e ligue algumas que, por defeito, não estão ligadas, tais como “High-confidence spam detection action”, “Phishing email detection action”, “Bulk email threshold”, “Quarantine retention period”, “Enable end-user spam notifications” e o “Common Attachment Types Filter”.
16. Ligue o “External Email Tagging” para destacar num texto todos os mails com origem externa por forma a aumentar percepção de risco por parte dos utilizadores. Isto vai reduzir a possibilidade de um mail externo que se faz passar por interno conseguir levar a bom porto os seus fins maléficos.
17. Bloquear todos os “Basic Authentication Protocols” que permitem ligações ao Exchange Online sem “Modern Authentication”. Se estes estiverem activos basta a um hacker conhecer o username password (e há milhões de pares de credenciais na darkweb) para entrar numa conta de exchange.
18. Bloquear tipos específicos de ficheiros no SharePoint e nos clientes OneDrive dos utilizadores. Embora extensões como .ini e .tmp já estejam excluídas outras, por razões de segurança, podem e devem ser excluídas. Por exemplo, a adição de extensões usadas por ransomware pode servir para bloquear a disseminação de um ataque de encriptação de ficheiros. É o caso, por exemplo, de “.micro” (TeslaCrypt 3.0), .ezz (Alpha Crypt), .zzzzz (Locky), .MERRY (Merry X-Mas) entre muitas outras. Pode também ser úitil bloquear o upload de ficheiros .PST como forma de impedir a exfiltração de dados ou o rápido preenchimento do espaço disponível no tenant de Office 365.
19. Permitir que apenas computadores de Domain possam usar o OneDrive ou pastas SharePoint. Isto vai impedir que utilizadores trabalhando a partir de casa em computadores sem antivirus ou com baixa segurança possam ser um risco de segurança.
20. Bloquear o acesso às credenciais de shared mailboxes. Estes utilizadores não têm licenças mas podem ser usados para logins precisando para tal apenas do conhecimento da password. Se este acesso não é necessário (e raramente o deverá ser) deve ser desligado.
21. Bloquear o “Auto-forwarding” para domínios externos irá impedir um dos comportamentos mais frequentes quando alguém obtém controlo de uma mailbox Office 365 que é o de enviar todo o correio para uma conta externa. Esta opção dificilmente terá justificações de serviço e deve ser desligada.
22. Bloquear o “User Consent” a aplicações já que este método tem sido usado de forma crescente por hackers os quais, em vez de captarem passwords, tentam agora enganar os utilizadores a darem-lhes permissões às aplicações maliciosas criadas por eles.
23. Bloquear o acesso dos utilizadores ao “Azure Portal”: por defeito todos os utilizadores têm esta capacidade ainda que apenas na qualidade de leitura mas a esmagadora maioria dos utilizadores não carece desta permissões e esta deve ser-lhes retirada.
24. No teams devem ser desligadas as opções em que
a. os utilizadores podem convidar utilizadores de Guest podem convidar outros Guests a colaborarem num documento partilhado.
b. Os utilizadores anónimos podem juntar-se a uma reunião que está ligada por default.
c. Bloquear “Third-party Apps” já que, por defeito, os utilizadores as podem adicionar e uma vez que cedem dados ao exterior isso pode ser um risco de segurança. Será mais seguro aprovar previamente essas aplicações.
25. Limitar o “External Sharing” em SharePoint que pode ser muito prático mas que permite enviar para fora da organização ficheiros que nunca devem sair da mesma.
26. Há organizações que estão a remover ou a reduzir as “password policies” e, de facto, há estudos que indicam que mudanças frequentes de passwords e passwords complexas fazem menos pela cibersegurança do que o que se pensava sobretudo se for usado o MFA e políticas de acesso condicional.
27. Ligar a notificação por cada mudança de password para o utilizador e para as contas de Domain Admin do tenant Office 365.
28. Usar o “Corporate branding” na página de login o que irá permitir que os utilizadores detectem rapidamente quando a página de login é uma página falsa criada para uma campanha de phishing.
29. O mail domain tem SPF, DKIM e DMARC?
Essas condições podem ser testadas no https://mxtoolbox.com, no https://easydmarc.com/tools/dkim-lookup e no https://dmarcian.com/dmarc-inspector/ sendo que no caso do tenant Office 365 da lisboa2023.org tudo parece estar em ordem. Contudo, muitas organizações que usam Office 365 não utilizam todas estas protecções contra ataques ao mail domain especialmente no que concerne ao DKIM.
É importante seguir estas indicações (e outras) para proteger um tenant Office 365. Sabemos que esta plataforma é um alvo muito apelativo para os criminosos e no caso do site da JMJ e no contexto da guerra na Ucrânia e dos ataques recentes a sua protecção é ainda mais importante. No caso da JMJ é essencial proteger os dados contra ameaças como phishing, malware, ransomware e vários tipos de ataques por engenharia social. Entre os dados ameaçados estão dados pessoais e/ou confidenciais, financeiros ou de outro tipo. Por forma a prevenir a perda de dados em ataques é preciso criar e manter políticas de backup e recuperação de dados que, por defeito, não existem nas subscrições de Office 365 e garantir a continuidade da operação, minimizando o risco de tempo de inatividade não planeado.
Onde está (se existe) o plano para cibersegurança nas Jornadas Mundiais de Juventude?
Apesar da realidade e urgência da preparação da sociedade e das instituições do Estado para a resistência a incidentes de cibersegurança Portugal continua sendo um dos países menos preparados na União Europeia e um dos alvos principais das organizações de cibercriminosos, sejam elas estatais ou com fins meramente financeiros.
Assim sendo é particularmente grave que não se conheça um componente de planeamento para a redução do risco ou para uma reacção integrada a incidentes de cibersegurança que possam ocorrer entre 1 e 6 de agosto em Lisboa. Nada pode ser encontrado nos planos do governo, do grupo de projeto para a Jornada Mundial da Juventude, coordenado por José Fernandes, nem na Fundação JMJ Lisboa 2023, nem da CML, nem no site do Centro Nacional de Cibersegurança.
Nada existe, mas algo devia existir a menos de 15 dias de um evento que trará a Portugal entre 600 a 900 mil pessoas, que colocará o país no alinhamento noticioso mundial e que irá necessariamente aumentar o risco e a incidência de ataques cibernéticos contra as organizações que organizam as JMJ a começar pelas Câmaras Municipais de Lisboa e Loures, Polícia Municipal, PSP, instituições governamentais como o INEM, Infraestruturas de Portugal, ANA, TAP, ou a própria organização da JMJ. E, contudo, tal plano deveria existir de modo a prevenir incidentes que possam comprometer a privacidade e a segurança dos participantes.
No particular, devia ter sido equacionada:
1. Uma componente de formação para a cibersegurança de todas as entidades envolvidas, assim como dos voluntários e participantes. Nessa formação temas essenciais e simples, tais como o uso de passwords complexas, reconhecimento de phishing e a importância de manter uma boa cultura de cibersegurança poderiam e deveriam ter sido abordados.
2. A rede informática que a Altice preparou para disponibilizar acesso à rede de fibra ótica, o acesso a rede Wi-Fi é resistentes a ataques de DDoS e usa criptografia adequada e firewalls para evitar acessos não autorizados limitando o acesso à rede apenas para dispositivos confiáveis e com autenticação de dois factores?
3. Como se garantiu que todos os dados registados pelos participantes no site das Jornadas fossem tratados com cuidado? Existiram auditorias de segurança e não haverá dados a serem transmitidos para fora da União Europeia, designadamente para o Estado do Vaticano? Os dados pessoais estão anonimizados e alguém auditou o cumprimento do RGPD?
4. Todos os sistemas associados às Jornadas e, designadamente, os do site https://www.lisboa2023.org têm o máximo nível de actualização e de patches de segurança implementados?
5. Existem sistemas de monitorização de actividades de cibersegurança implementadas nos sistemas web e de mail da https://www.lisboa2023.org? Existem sistemas de detecção de intrusões, análise agregada de logs (SIEM) e de monitorização de tráfego de rede?
6. Como se realizam os controlos de acessos à rede das JMJ? O controlo inclui autenticação de duplo factor, uso exclusivo de VPNs, autenticação biométrica, formação específica contra acções de phishing e uma equipa dedicada de SOC?
7. O Site e mail estão alojados na estrutura Azure da Microsoft e usam Office 365: Existem sistemas de backup e recuperação de dados e um plano de recuperação de desastres para lidar com possíveis incidentes e garantir a continuidade das operações em caso de falhas de segurança durante e antes da realização das jornadas? Todos os níveis máximos de licenciamento Microsoft foram adquiridos e estão a ser usados? Existe controlo geográfico (Conditional Access), acções regulares de simulação de phishing, obrigatoriedade de uso do Microsoft Authenticator com dados biométricos e o uso obrigatório de equipamentos compatíveis com regras de segurança especialmente desenhadas para o efeito?
8. Quais foram ou são as entidades especializadas em cibersegurança que participaram ou participam na elaboração e execução do plano de segurança das JMJ?
9. Existe um plano específico de resposta a incidentes de cibersegurança que inclua ações a serem tomadas em caso de incidentes? Nada pode ser encontrado no site do CNCS ou de outra entidade associadas às JMJ. Este subplano deveria incluir uma equipe de resposta a incidentes e procedimentos claros de notificação, investigação e mitigação.
10. Deveria existir uma comunicação diária de nível de risco, incidentes em curso, ameaças previstas ou percepcionadas e incluindo contactos alternativos, sistemas paralelos e medidas básicas de reacção que pudessem ser seguidas em caso de incidente.
Portugal em 2022 foi o terceiro país europeu com mais ataques informáticos a que a IBM respondeu em 2022 sendo os dados fornecidos pelos participantes das JMJ um dos alvos preferenciais para as atividades de roubo e fuga de informação. As organizações que manterão os serviços essenciais a funcionar durante este grande evento mundial estarão nesses dias de agosto especialmente vulneráveis a tentativas de extorsão ou a puras atividades de sabotagem como a vaga de ataques DDoS com origem em grupos de ciberactivistas russos que aconteceu há alguns meses contra empresas privadas, tais como hotéis, empresas privadas e organismos públicos. Se algo foi preparado e incluído no Plano de Segurança para as JMJ: nada foi encontrado no site ou nos sites das organizações associadas às Jornadas e isso é muito preocupante…
Recomendações para entidades (como a JMJ em www.lisboa2023.org) que usem Office 365 (clicar para ler)
Cuidado com o “Vacation Schedule Scam” ! (É a época dele…)
Identificando o Scam:
A chave para evitar cair vítima de golpes desse tipo está na identificação. Aqui estão alguns sinais de alerta:
- Verifique o endereço de e-mail do remetente: Comunicações corporativas legítimas geralmente são enviadas de um endereço de e-mail oficial da empresa. Em golpes de phishing, o endereço de e-mail do remetente frequentemente não tem conexão com a sua organização.
- Analise o conteúdo do e-mail: O e-mail pode conter linguagem não profissional, formatação incorreta ou uma saudação genérica – todos indicando que pode não ser um e-mail legítimo do departamento de RH.
- Verifique o link incorporado: Passe o cursor sobre o link incorporado para ver a URL real. Se a URL parecer suspeita, evite clicar na mesma.
Evitando o Scam:
Mesmo que o golpe consiga passar por sua análise inicial, existem medidas adicionais para proteger as suas informações:
- Verifique com os RH: Se receber um e-mail sobre mudanças repentinas na programação de férias, confirme os detalhes com o departamento de RH.
- Não insira as suas credenciais: O objetivo final do golpe é roubar as suas credenciais. Esteja atento para não inserir seus dados de login em nenhuma página acedida por meio do link fornecido em tais e-mails.
- Utilize Medidas de Segurança: Garanta que seus dispositivos (nomeadamente o telemóvel) estejam protegidos por soluções de segurança confiáveis. Atualizações regulares e correções de segurança fortalecem a sua defesa contra estas ameaças.
Shodan: uma análise às vulnerabilidades da internet em Portugal
A Shodan, um motor de busca que se dedica a rastrear equipamentos ligados à Internet através da utilização de uma multiplicidade de filtros no seu “Internet Exposure Dashboard” (que é actualizado em tempo real) revela uma fotografia preocupante da Internet em Portugal e uma parte da explicação da presença do país entre os países europeus mais atacados por hackers e campanhas de ransomware.
Desde logo, a Shodan identificada como a vulnerabilidade aberta mais comum em Portugal é a CVE-2022-32548 que afecta routers da marca DrayTek Vigor anteriores a Julho de 2022 e que podem ser comprados no retalho ou que são entregues junto a pacotes de acesso à Internet da Vodafone com versões inferiores a 4.3.1.1. e em modelos tais como o Vigor3910 (que estão à venda, p.ex. na FNAC ou na Worten). Estes routers podem ser vítimas de um “buffer overlow” através de um acesso por username/password ou através dos campos “aa” e “ab” concedendo assim acessso a utilizadores externos. Comparando com Espanha encontramos a vulnerabilidade CVE-2015-0204 (protocolo SSL) como a mais comum .
Logo depois surge a vulnerabilidade EternalBlue, um exploit desenvolvido pela Agência de Segurança Nacional (NSA) dos EUA e que foi detectada em 12 sistemas portugueses (vs 52 em Espanha). Esta vulnerabilidade foi descoberta em abril de 2017 e corrigida pela Microsoft um mês depois. Usada pelo ransomware WannaCry em 2017 e, mais tarde, pelo NotPetya é realmente surpreendente que existam sistemas com o serviço SMB versão 1 (SMBv1) em Portugal e em servidores expostos na Internet (a Shodan não diz quais) e que não estejam ainda devidamente actualizados (admitindo que o SMB é mesmo necessário: o que é altamente duvidoso). Note-se que foi a EternalBlue a porta de entrada usada, em 2019, para paralisar a cidade de Baltimore, nos EUA (segundo alguns).
Outra vulnerabilidade identificada como em Portugal é a BlueKeep (CVE-2019-0708) em torno do “Microsoft Remote Desktop Protocol” e que foi corrigida num patch em agosto de 2019. A Shodan encontrou 129 sistemas portugueses que tinham exposto para a Internet (o que não é recomendável) a porta RDP (3389) e que tinham esse serviço activo e exposto na rede pública permitindo ataques tais como aqueles que têm sido executados pelo ataque BadRabbit de 2017, o Blaster e o Sasser de 2003 e outros ataques desde 2019. Em Espanha a Shodan encontra 994 servidores com esta vulnerabilidade (vs os 129 em Portugal): ou seja numa escala demográfica comparável.
Foram também detectadas em Portugal 5 bases de dados comprometidas (expostas na Internet) assim como 445 sistemas vulneravéis à HearBleed um erro de implementação do protocolo SSL por parte de uma versão antiga do OpenSSL sendo afectadas as versões de 1.0.1 a 1.0.1f. Em Espanha, surgem 79 bases de dados comprometidas (muito mais do que a comparação demográfica faria prever).
As portas de gestão de routers 7547 e 4567 surgem abertas na Internet em mais de 310 mil (!) equipamentos: o que permite o acesso remoto à sua configuração e, potencialmente a configurações indesejadas por parte de agentes maliciosos. Ambas as portas estão abertas para que alguns ISPs realizem tarefas remotas nos routers dos seus clientes. Só depois, muito depois, é que surge o porto 80 (o http dos Browsers que, também, já não deveria ser assim tão numeroso e muito depois o 443 (https) com, respectivamente 130 mil ocorrências e 75 mil. Existiam também, a 11 de abril de 2023, cerca de 10 mil porta de terminal SSH abertas. Por comparação, em Espanha, Temos a porta 161 (usada por routers de ISPs) como a mais exposta com 1,3 milhões de ocorrências, seguida das 80 com 600 mil (servidores ainda utilizando o http) e o 7547 usado também por routers e ISPs.
Comparativamente, Portugal parece melhor posicionado que Espanha, especialmente se tivermos em conta a diferença demográfica e das economias de cada país. Contudo, há preocupações relacionadas com a falta de atualização de uma quantidade tão grande de routers de ISPs (que não sucede em Espanha) e com a existência de uma quantidade tão significativa de servidores indevidamente expostos na Internet nas portas SMB (para acesso a share de rede: talvez de NAS domésticas) e de RDP (para controlo remoto de computadores). Ambos os pontos deviam estar na lista de prioridades de todos os que gerem redes públicas neste país.
Para saber mais:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548
https://pt.wikipedia.org/wiki/EternalBlue
https://blog.avast.com/what-is-bluekeep
https://threatpost.com/bluekeep-attacks-have-arrived-are-initially-underwhelming/149829/
https://heartbleed.com/
Posições relacionadas por parte da Iniciativa CpC:
https://cidadaospelaciberseguranca.com/2022/10/03/peticao-obrigar-os-operadores-a-darem-ao-cliente-mais-controlo-sobre-os-equipamentos-terminais-no-que-afecta-a-rede-ciberseguranca-e-no-seu-aluguer/
Iniciativa CpC: Cidadãos pela Cibersegurança 