Propostas:
“1. As empresas deviam parar de enviar SMS com URLs
2. Os operadores não deviam aceitar a comercialização de pacotes de envios de SMS em que é possível alterar a descrição da origem dos SMSs.
3. As propostas em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ deviam ser implementadas.
4. Em particular, a ANACOM devia ser mais lesta na “proposta de projeto de regulamento o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais” e o Parlamento nas medidas legislativas que se impõem para travar este tipo de burla.”
https://cidadaospelaciberseguranca.com/2024/01/23/alerta-de-scam-smss-dos-cttexpresso-a-sua-encomenda-encontra-se-retida-no-centro-alfandegario-mais-proximo-para-desalfandegar-visite-nos-em-https-ctt-app/
“A CpC propõe que a ANACOM trabalhe no mesmo sentido e que proponha ao Parlamento a elaboração de alterações legislativas que determinem que os operadores das redes móveis:
1. Desenvolvam um sistema único de padrões de autenticação de identificação para o envio de mensagens SMS.
2. Seja criado um número único para onde possam ser encaminhadas todas as mensagens de SMS e chamadas de spam por forma a alimentar uma lista nacional de barramento de chamadas não autorizadas (de adesão voluntária por parte dos consumidores).
3. Sejam bloqueados todos os números de telefone inválidos, não alocados ou não utilizados, além daqueles em lista não originária (DNO).
Para além das muitas horas perdidas em chamadas e mensagens deste tipo estes SMS são também um veículo de disseminação de malware e de burlas como a Olá Pai / Olá Mãe com dezenas de milhar de vítimas em Portugal e vários milhões de euros perdidos (sem recuperação possível) para as redes de burlões.”
https://cidadaospelaciberseguranca.com/2024/01/02/combatendo-o-sms-de-spam-propostas-e-desafios-em-portugal-para-proteger-os-consumidores/
“É preciso resolver as lacunas que permitem a operação destes criminosos:
1. Se as empresas que vendem referências multibanco forem associadas a um grande surto de actividade criminosa devem ter a sua licença no Banco de Portugal suspensa até que a sua segurança interna seja reforçada. Embora muitas destas entidades (como a 21800 com sede na Holanda) estejam a vender serviços a burlões desde 2017 continuam a ter licença como operador financeiro no BdP.
2. A SIBS (Multibanco) deve mostrar nas ATMs o nome da entidade que gera as referências e o beneficiário final do pagamento. Se a entidade estiver associada a burlas esse alerta deve surgir na ATM. É o caso das 21800, 21312, 11249, 11893, 10241, 10611, 12167 ou 11893.”
https://peticaopublica.com/pview.aspx?pi=referenciasMB
“Recomendação CpC – Iniciativa dos Cidadãos para a Cibersegurança ao Governo central e às autarquias locais portuguesas:
1. Reiteramos a necessidade de que todos os equipamentos (computadores, tablets e smartphones) entregues para uso profissional a colaboradores e representantes eleitos do Estado central e das autarquias locais tenham software de antivirus e um sistema de MDM: “Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis): Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite gerir dispositivos móveis – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos”: sendo que, assim sendo, a esta lista se deveria somar o TikTok, o WeChat e todo o software da Kaspersky. No Portal Base da contratação pública apenas o “Centro de Formação Profissional da Indústria Têxtil, Vestuário, Confecção e Lanifícios (Modatex)” e a “Fundação Casa da Música ” parecem ter adquirido este tipo de serviços MDM de gestão centralizada de equipamentos (não sendo claro se estão a ser usados para bloquearem aplicações deste tipo).
2. Todas as autarquias e hospitais públicos que adquiriram software da Kaspersky devem terminar imediatamente esses contratos e substituir este fornecedor”
https://cidadaospelaciberseguranca.com/2023/11/02/proibicao-de-aplicacoes-wechat-e-kaspersky-pelo-governo-do-canada-desafios-de-seguranca-cibernetica-e-recomendacoes-para-portugal/
“O Parlamento Europeu também poderá replicar o “No Fakes Act” dos EUA e e que visa proteger actores e artistas do uso não autorizado da sua imagem por IA e produzir uma directiva que leve os países membros a penalizar todos os que utilizem as vozes de terceiros – designadamente por agentes políticos em contexto de eventos eleitorais – de forma fraudulenta no contexto europeu para criarem audios deepfake.”
https://cidadaospelaciberseguranca.com/2023/10/17/prevenir-os-audio-deepfake-conselhos-e-propostas/
“1.
Os telemóveis do Estado (pelo menos os iPhones) não têm sistemas de MDM (gestão de dispositivos móveis):
Usando, por exemplo, o Microsoft Intune – uma solução de gestão de dispositivos móveis (MDM) que permite controlar e gerir dispositivos – teria sido possível definir políticas de restrição de aplicações para impedir a instalação de determinados aplicativos, como o WhatsApp, nos dispositivos iOS geridos.
2.
Os telemóveis do Estado não têm sistemas de backup a funcionar:
Como no ponto anterior, o uso da mesma ferramenta Microsoft Intune permitiria também realizar “Remote Wipe” para apagar remotamente os dados de um dispositivo perdido ou roubado, bem como recursos de backup e recuperação para garantir a segurança dos dados aqui conservados.
3.
Existem comunicações sensíveis e de Estado a circular e a serem tomadas em redes sociais externas e sob controlo de potencias estrangeiras (WhatsApp):
A instalação destas aplicações pode e devia ser barrada centralmente e de forma centralizada por MDM. Quanto a estas comunicações já tínhamos sugerido em que
a. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.
b. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.
c. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.
d. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.
e. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje.”
Estas propostas foram enviadas a 24 de Abril a todos os grupos parlamentares na Assembleia da República, Câmaras Municipais (presidentes de executivo) e ao Ministério da Administração Interna: não recebemos nem sequer um aviso de recepção ou leitura.
4.
Não existe (ou não foi aplicado) um procedimento formal de desligamento/apagamento de um utilizador que abandona a organização que incluísse a negação de acesso centralizada de acessos (conseguiu usar o cartão para entrar na garagem) nem permitisse o esquecimento da recolha imediata do telemóvel juntamente com o computador.
5.
O laptop de Frederico Pinheiro estava em modo “standalone”:
Isto é, não pertencia à estrutura de identidade, autenticação e gestão remota do Ministério (Active Directory), algo que deveria ser absolutamente proíbido e viola qualquer boa prática de segurança organizacional.
6.
Frederico Pinheiro era administrador local do equipamento:
Ora existem várias razões pelas quais um utilizador não deva ser um administrador local em um computador:
Segurança: Ao conceder privilégios de administrador a um utilizador, este terá acesso total ao sistema operativo e poderá fazer alterações críticas, como instalar/remover software, modificar configurações de segurança e até mesmo apagar ficheiros essenciais. Isso aumenta o risco de comprometimento do sistema por malware, vírus ou outras ameaças cibernéticas especialmente em equipamentos – como o caso – com dados sensíveis para o interessa da República.
Estabilidade do sistema: Um utilizador com privilégios de administrador pode inadvertidamente fazer alterações que afetem a estabilidade do sistema ou de outras aplicações. Isso pode levar a falhas, bloqueios e problemas de desempenho.
Erros humanos: Mesmo que um utilizador seja experiente, erros podem acontecer. Um clique errado ou uma ação equívoca quando se é administrador pode ter consequências graves, como excluir arquivos importantes ou modificar configurações críticas sem intenção.
Políticas de segurança: Em ambientes organizacionais, é comum aplicar políticas de segurança rígidas para proteger informações confidenciais. Ao limitar os privilégios dos utilizadores, o ministério poderia ter reduzido o risco de perda de dados e garantir a conformidade com as regulamentações de proteção de informações em vigor.
Geralmente, restringir os privilégios de administrador para os utilizadores finais dos equipamentos é uma prática recomendada para manter a segurança, a estabilidade e a integridade do sistema operativo e dos dados armazenados. Os utilizadores devem ter apenas as permissões necessárias para realizar suas tarefas diárias, enquanto os privilégios de administrador devem ser reservados para administradores de sistemas informáticos.
7.
Um laptop com dados sensíveis, confidenciais e estratégicos para a República não tinha o disco encriptado:
Essa opção é gratuita e está disponível em todos os equipamentos MacOS, Windows e Linux. No Windows trata-se da “BitLocker Device Encryption in Windows” e quando é iniciada permita a gravação e conservação externa e em local seguro das chaves para eventual futura recuperação do acesso em caso de necessidade de acesso por parte das autoridades judiciais ou da hierarquia do ministério.
8.
O laptop permitia a ligação de Storage Devices USB externos:
Os quais usou várias vezes para copiar ficheiros importantes e que estavam no equipamento.
Este uso pode ser bloqueado por Group Policy se o computador estiver ligado a uma Active Directory (não estava) e é igualmente possível enviar um mail alertando o utilizador para essa tentativa de uso em contrário aos procedimentos em vigor.
9.
O laptop estava em modo “standalone”: isto é: não pertencia ao Domain AD do Ministério (?) e, logo, não podia receber um conjunto centralizado de políticas e configurações:
Teria sido possível impedir que o equipamento tivesse em disco cópias únicas (assim o disse a Chefe de Gabinete) de determinadas extensões (.pdf, .docx, .xlsx) obrigando à sua presença única em shares de rede sob controlo do Ministério.
10.
O laptop permitia a existência de cache profiles e, logo, permitia o logon sem o prévio estabelecimento de VPN para com a rede do Estado:
Isto pode ser forçado centralmente através de uma Group Policy de Active Directory ou, se o computador não estiver em AD é possível também desligar estes logins com uma alteração de registry mas esta pode ser desfeita se o utilizador for um administrador local como parecia ser o caso de Frederico Pinheiro.
11.
O laptop não tinha um sistema de AV ou MDM que permitisse o shutdown remoto/remote wipe ou lock em caso de perda de controlo nem a geolocalização do equipamento em caso de perda ou furto:
Isto mesmo – por exemplo – é fornecido pela solução Panda de Antivírus e por outras soluções de MDM tais como
AirDroid Business é um software de limpeza remota MDM compatível com dispositivos Android, iOS, Windows e macOS. Executa apagamentos remotos, bloqueia écrans e arquivos do dispositivo, força redefinições de senha e redefine automaticamente um dispositivo de fábrica.
O Apple Business Manager que é uma plataforma baseada na web que faz apagamentos remotos de dispositivos iOS, iPadOS e macOS. Os arquivos ainda podem ser recuperados até 30 dias após a limpeza.
O Google Workspace que permite que os administradores de TI dessas organizações limpem remotamente os dispositivos ou o Knox Manage, uma ferramenta semelhante para dispositivos Samsung que também possui uma opção de restauração e pode rastrear dispositivos perdidos.
12.
Foram feitas impressões de documentos confidenciais:
É possível impedir a impressão deste tipo de documentos sensíveis com políticas de segurança adequadas e usando, por exemplo, as etiquetas de confidencialidade do Office 365 (Microsoft Purview).
Isto permitiria – se estas etiquetas tivessem sido usadas – encriptar e-mails, convites para reuniões e documentos para impedir que pessoas não autorizadas acedam a estes dados, usar marcas de água em documentos confidenciais dinâmicas e geridas centralmente.
Por Group Policy – se o computador fosse parte de uma AD e já sabemos que não o era – teria sido possível impedir a impressão de documentos confidenciais ou de outro tipo.
13.
Terá sido possível enviar documentos de trabalho para mails pessoais:
É possível bloquear através de policies de restrição de mail o envio de documentos/anexos de mail para endereços de mail pessoais (gmail, hotmail, mail.com, etc).”
https://cidadaospelaciberseguranca.com/2023/07/19/apresentada-a-ar-por-mais-ciberseguranca-nos-equipamentos-dos-gabinetes-dos-ministerios-e-dos-presidentes-de-camara-municipal/
“Há três principais razões pelas quais não deveriam existir comunicações envolvendo decisões ou dinheiros públicos em meios electrónicos não oficiais:
1. Segurança
Sugerimos que todas as comunicações de Estado em meios que estão ao alcance de potências estrangeiras como o caso do Facebook e WhatsApp sejam feitas por canais seguros e não através de plataformas de redes sociais.
2. Justiça
As decisões de aprovação com impactos financeiros devem estar sempre lavradas em atas oficiais. Sugerimos a ponderação de uma alteração legislativa que determine – por força de lei – que estas decisões não possam ser realizadas via redes sociais. Se há decisões que envolvem dinheiro dos impostos, sejam elas o pagamento de indemnizações a gestores da TAP, os preços de vacinas da Pfizer ou decisões de governo ao nível municipal, todas estas mensagens podem servir de forma de prova da inocência ou culpa em investigações judiciais. Colocar estas mensagens em meios cifrados como o iMessage (Apple), Telegram, Signal ou outros menos conhecidos como o Tox ou o Jami pode ser assim uma forma de um criminoso se furtar à investigação ou de impedir que um inocente veja provada a sua inocência. Por princípio e regra qualquer comunicação que envolva dinheiros públicos deve ficar ao alcance de investigações judiciais,.
3. História
Actualmente os historiadores conseguem realizar o seu trabalho – essencial para a formação de uma cultura e preservação de uma identidade nacional – através de estudos e leituras nos arquivos. Daqui a 20, se todas ou se a maioria das comunicações dos nossos governantes tiverem sido feitas em plataformas no estrangeiro e associadas a perfis pessoais nestas plataformas, em equipamentos pessoais (sem cópias de segurança) ou forem feitas de forma cifrada, que material terão para trabalhar estes historiadores do futuro?
O que propomos:
1. Que todos os políticos em funções electivas usem apenas telemóveis de Estado: com uma lista autorizada pré-determinada de aplicações e que excluem aplicações de encriptação ponto a ponto que dependem de estruturas ou organizações estrangeiras.
2. Que seja criminalizado o uso de software de comunicações que não tenham encriptação de mensagens ponto-a-ponto, cujos servidores ou chaves estejam fora do controlo direto do governo, União Europeia ou da autarquia local onde são exercidas as funções electivas.
3. Deve existir um sistema de comunicações nacional, seguro e de acesso reservado a políticos eleitos para instituições europeias, governo e parlamento da República e autarquias locais. Este sistema deve estar fora do alcance de empresas e potências estrangeiras e garantir o acesso aos historiadores do futuro assim como a investigações judiciais. Sugerimos que esta aplicação seja desenvolvida e mantida no contexto das instituições europeias.
4. Que seja criminalmente responsabilizado quem efetuar comunicações de dados sensíveis ou instalar software em equipamentos do Estado Português susceptível de colocar em causa a segurança do equipamento.
5. Que seja criado um arquivo de comunicação digital, com o objectivo de preservar as decisões realizadas entre governantes e políticos, de forma a um dia poderem ser consultadas pelo público e mantendo assim a capacidade de académicos e historiadores no futuro conhecerem a realidade de hoje. “
https://cidadaospelaciberseguranca.com/2023/04/24/comunicacoes-em-meios-electronicos-usados-por-politicos-ciberseguranca-justica-material-de-prova-e-historia-acessibilidade-a-arquivistas/
Iniciativa CpC: Cidadãos pela Cibersegurança 