Iniciativa CpC: Cidadãos pela Cibersegurança

Utilização de Videoconferência pelo Conselho de Estado: Recomendações e alertas

Published by

Rui Martins

on

Segundo notícias recentes, uma falha técnica durante o Conselho de Estado impediu alguns conselheiros de votar e forçou um empate (9). Tenhamos em conta que este Conselho é o “órgão político de consulta do Presidente da República, por ele presidido” a quem cabe “pronunciar-se sobre um conjunto de atos da responsabilidade do Presidente da República” (1). Estes pronunciamentos não são vinculativos (2) mas o Presidente da República é fortemente influenciado por estas votações como aqui é admitido: “O empate evitou, ainda assim, que o Presidente da República decidisse contra a maioria dos seus conselheiros, embaraço que surgiria caso a votação tivesse pendido para a manutenção da maioria” (2).

Na reunião do Conselho de Estado “15 conselheiros estiveram presencialmente no Palácio de Belém e Miguel Albuquerque, António Damásio e Lídia Jorge participaram na reunião por videoconferência”. Portanto, é comum este tipo de participação remota. E daqui advém a nossa primeira perplexidade: no Portal Base da Contratação Pública encontramos apenas um contrato de serviços que pode justificar a utilização de equipamento de videoconferência: “Aquisição e instalação de solução de ativos de rede para a Presidência da República; Ajuste Direto Regime Geral” à “Warpcom Services, S.A. por 189.995,00 € e assinado em 14-09-2022. Anexo encontramos apenas um documento “65.pdf” que menciona a aquisição de “uma solução de gestão de activos de rede”. A cláusula 7 refere-se à “instalação de equipamentos”. Serão equipamentos de teleconferência? Tal parece extremamente improvável porque poderia implicar a instalação nas residências de cada um dos 18 conselheiros de Estado. Esta improbabilidade aumenta quando no “Relatório de Actividades” da Presidência encontramos “Nº. de dias para substituição dos equipamentos ativos de rede switches”. Assim sendo: O mais provável, assim sendo, é a utilização de software baseado na Cloud (como o Zoom ou Teams) ou, alternativamente (muito improvável dada a falta de contratos públicos) de uma solução semelhante mas instalada em servidores no datacenter da Presidência da República. Mas encontramos várias entidades (administrações regionais de saúde, SCML, Direção Geral da Educação, Município de Silves, Município da Trofa, Município da Maia, Centros de Formação, Agência para o Desenvolvimento e Coesão, Universidade de Coimbra, Universidade do Porto, LIPOR, Secretaria-Geral do Ministério da Economia, Instituto da Mobilidade e dos Transportes, INESC, etc) mas nenhuma referência à Presidência da República.

A Presidência da República tem um orçamento de 17.8 milhões de euros onde caberiam facilmente a aquisição e manutenção de um sistema fechado e seguro de videoconferência. Mas não há vestígios de tal aquisição no site da Presidência (4). Belém usará assim licenças gratuitas de Zoom ou Teams: com as decorrentes limitações horárias? É altamente improvável. Ficamos assim sem saber como é financiado este licenciamento já que não encontramos nem no Portal Base nem no site da Presidência informações sobre estes serviços.

Mas admitamos, como é provável, que seja usado o Zoom ou o Microsoft Teams. Existe o “Zoom for Government” que foi criado para ser usado pela administração pública nos EUA e que dá a estas organizações um nível acrescido de segurança mas não há qualquer indício da sua utilização em Portugal. E tal devia acontecer já que o produto garante um foco especial em segurança com: “Controlo de segurança durante reuniões” que “permitem gerir quem pode participar das reuniões e como as informações são partilhadas. Isso inclui a marca d’água do ID do utilizador para ajudar a evitar divulgações não autorizadas.”; “Proteção de dados” com “criptografia AES-GCM de 256 bits” como “padrão para conteúdo e média tempo real, aplicando-se a dados em trânsito em reuniões do Zoom, webinars do Zoom, reuniões realizadas via salas do Zoom e o Zoom Phone” sendo que o “chat persistente do Zoom também oferece uma criptografia avançada para chat”. A versão (baseada no Zoom comercial) oferece também uma grande compliance com regulamentos e leis em vigor nos EUA. Mas Portugal não é os EUA… e embora a Zoom alegue não capturar dados das reuniões realizadas com Zoom estes dados já foram captados e partilhados com parceiros. Recentemente, a empresa teve que pagar 85 milhões de dólares num processo judicial envolvendo a partilha de dados pessoais de utilizadores nos EUA com Google, Facebook, LinkedIn e outros. Há dados das reuniões em Belém nos servidores da Zoom? Se sim: quais e desde quando?

Os problemas de segurança com o Zoom são amplamente conhecidos (6)
a) “Utilizadores de Mac queixaram-se de que os seus microfones não desligavam após saírem de reuniões no Zoom em fevereiro de 2022.”
b) “Em abril de 2021, investigadores de cibersegurança descobriram falhas ocultas que permitiam a hackers assumir o controlo de PCs e Macs onde o Zoom estava a ser executado.”
c) “A FTC lançou uma declaração condenatória de que o Zoom enganou os utilizadores acerca das suas alegadas funcionalidades de segurança de ponta a ponta em 2020.”
d) “Os especialistas em cibersegurança ficaram chocados ao descobrir que o Zoom instala secretamente um servidor web no Mac, o que pode permitir que hackers espiem através das câmaras dos utilizadores. A Apple lançou entretanto uma atualização que remove esse servidor web secreto.”
e) “A Talos (Cisco) revelou algumas falhas de segurança que instalavam malware à força em computadores através das funções de reunião do Zoom.”
f) “A TrendMicro reportou que hackers estavam a distribuir instaladores corrompidos do Zoom, que instalavam malware malicioso juntamente com a aplicação de videoconferência.”

Se a Presidência da República usa este software deve tomar conhecimento destes riscos: razão pela qual este texto foi também enviado a esta instituição.

As recomendações da CpC: Cidadãos pela Cibersegurança são:

  1. Todos os serviços do Estado e das Autarquias Locais devem usar sistemas de videoconferência fechados: instalados on-premises e uso através de VPN (7).
  2. Se ainda assim for tomada a opção de usar o Zoom (o que não recomendamos (8) o serviço do Estado Central ou Local deve:
    2a) Usar a autenticação de dois fatores (2FA) para os participantes das reuniões, aumentando assim a segurança do login.
    2b) Usar uma sala de espera que mantém todos os participantes e permite-lhe avaliar cada indivíduo antes de conceder acesso.
    2c) Proteja a reunião com uma palavra-passe e partilhe-a por uma via segura.
    2d) Desactive todos os recursos que sabe que não serão utilizados tais como o chat privado, a anotação, silencie os participantes e controle o partilhar de ecrã para assumir o controlo da reunião.
  3. Se foi e está a ser usado o “Microsoft Teams” nem por isso deixam de existir riscos de segurança. E a partir das sugestões em http://www.lepide.com (19) recomendamos que:
    3a) É possível associar os logins a controlos de segurança de risco por acesso condicional, forçando a autenticação por autenticação de duplo factor e com controlo geográfico (limitando o login, p.ex, apenas aos países de onde os participantes irão entrar na reunião).
    3b) Mitigar os riscos através de uma monitorização permanente e especialmente atenta dos logs de segurança quando decorrem as teleconferências.
    3c) Em chamadas privadas, o Teams usa criptografia ponto a ponto em dados de voz, vídeo e partilha de écran, e apenas o destinatário é capaz de descriptografar os dados. No entanto, ambas as partes precisarão habilitar a criptografia para que funcione. Se isso acontecer, nem mesmo a Microsoft pode interceptar e ler os dados.
    3d) Os administradores do tenant de Office 365 onde está alojado o Teams têm a capacidade de monitorizar conversas no Microsoft Teams e podem configurar alertas de palavras-chave para serem informados sempre que uma palavra específica for usada. Contudo, esta monitorização tem que ser manual e previamente autorizada pelos utilizadores (neste caso a Presidência e todos os membros do Conselho de Estado).
    3e) No Teams é possível ter “chats supervisionados”: isto pode ser utilizado para impedir o lançamento de chats privados, a menos que certos membros estejam incluídos.
    3f) O Microsoft Defender é usado pelo Teams para proteger a organização de partilhar inadvertidamente arquivos maliciosos. O Defender fornece um recurso de “links seguros” para ajudar os utilizadores a decidir em quais links podem confiar e quais podem ser potencialmente maliciosos. Esta opção pode, contudo, estar desligada.
  4. Todas as teleconferências devem ser feitas em computadores com ligação por VPN e, após esta, com um acesso mediado à Internet por um proxy com serviço de antivírus e filtragem de conteúdos. Esta camada adicional de segurança aumenta a encriptação com uma dupla camada e reduz as possibilidades de intercepção das reuniões e conteúdos partilhados.

Recordamos que segundo o “Citizen Lab” (8) desaconselhava o seu uso por “O aviso indicou que o Zoom “pode não ser adequado” para: “Governos e empresas preocupados com espionagem, Provedores de cuidados de saúde que lidam com informações sensíveis de pacientes e activistas, advogados e jornalistas que trabalham em tópicos sensíveis”. Manifestamente: é o caso das Reuniões do Conselho de Estado, Municípios e entidades de Saúde que constam no Portal Base como clientes Zoom. A mesma organização lançava ainda um alerta muito preocupante: “os investigadores também descobriram que o Zoom envia tráfego para a China – mesmo quando todas as pessoas numa reunião do Zoom estão fora da China. Durante múltiplas chamadas de teste na América do Norte, observámos chaves para a encriptação e desencriptação de reuniões a serem transmitidas para servidores em Pequim, China”. O mesmo artigo da BBC termina com o alerta de Alan Woodward, professor de ciência da computação na Universidade de Surrey: “Eu não usaria o Zoom para discussões sensíveis ou secretas.” O alerta é de 2020 e entretanto, o fabricante já melhorou a segurança do Zoom mas continuam a existir preocupações com a segurança dos dados e o padrão de encriptação e especialmente com o mau uso da ferramenta.

Referências:
1)
https://www.presidencia.pt/presidente-da-republica/as-funcoes/conselho-de-estado/
2)
https://cnnportugal.iol.pt/crise-politica/antonio-costa/conselheiros-de-estado-metade-direita-votou-a-favor-de-eleicoes-metade-esquerda-queria-manter-o-governo/20231109/654d50e0d34e371fc0b9b32c
3)
https://www.sg.presidencia.pt/DSAF/ImagensSite/2022/RelAtividades2022.pdf
4)
https://www.sg.presidencia.pt/DSAF/Pag/content.aspx?Menu=Administra%C3%A7%C3%A3o%20Financeira%20e%20de%20Recursos%20Humanos&Submenu=Publicita%C3%A7%C3%A3o&ContentId=PublicitacaoContent
5)
https://www.zoomgov.com/
6)
https://clearvpn.com/blog/zoom-security/
7)
https://aws.amazon.com/pt/what-is/vpn/
8)
https://www.bbc.com/news/technology-52152025
9)
https://www.cmjornal.pt/politica/detalhe/falha-tecnica-durante-conselho-de-estado-impede-conselheiros-de-votar-e-forca-empate
10)
https://www.lepide.com/blog/microsoft-teams-security-tips-and-best-practices/

Deixe um comentário

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.