Programas responsáveis de divulgação de vulnerabilidades – A continuação…

hammer

Dando continuidade ao tema referido no artigo sobre a possibilidade de um programa de divulgação de vulnerabilidades em Portugal, questionei Sérgio Silva, do Conselho Superior da Magistratura, sobre a opinião e o seu ponto de vista legal destes programas.

Que funções desempenha atualmente no Conselho Superior da Magistratura?

Coordenador da Unidade de Informática do Conselho Superior da Magistratura.

Qual é a sua opinião em relação aos programas responsáveis de divulgação de vulnerabilidades em Portugal?

Tendo em conta o panorama actual da segurança informática em Portugal associado à fraca consciencialização para esta temática este tipo de programas serão muito complicados de implementar . As empresas/entidades não reagem bem a possíveis alertas sobre falhas nos seus sistemas e muitas vezes quem faz o aviso fica com uma serie de problemas.

Numa conversa anterior, referiu que, mesmo que a empresa com estes programas, contratualizar quem testa as vulnerabilidades, é difícil diferenciar o que entra no programa e um possível ataque real. Existem soluções para este tipo de problema?

É uma questão muito complicada dado que quem testa pode sempre tornar-se num atacante real. A solução passaria por uma credenciação de quem poderia aderir a esse programa, ou seja a criação de uma comunidade portuguesa devidamente identificada que estaria autorizada a fazer os testes de vulnerabilidades das empresas que tivessem integradas em programas responsáveis de divulgação de vulnerabilidades em Portugal.

A atual lei portuguesa não prejudica a comunidade infosec?

A legislação Portuguesa, Lei n.º 109/2009 de 15 de Setembro, em matéria de Cibercrime é das mais completas e avançadas a nível europeu, basicamente todos as técnicas usadas pela comunidade infosec podem ser tipificadas nos vários artigos da referida lei .
O simples facto de alterar uma url de forma a produzir um erro, como por exemplo uma falha de SQL , pode ser considerada como tentativa de acesso ilegítimo e punida com pena de prisão até 1 ano ou com pena de multa até 120 dias.
No entanto e como é referido no nº6 no artigo 6.º da Lei n.º 109/2009 o procedimento penal depende de queixa, ou seja quando alguém da comunidade infosec descobre uma vulnerabilidade e a reporta corre o risco de que a entidade a quem reporta o erro fazer queixa.
A lei Portuguesa não prejudica em nada a comunidade infosec, o que prejudica é mais uma vez a falta de consciencialização dos “donos dos sistemas”, o investimento em segurança informática é muito diminuto e muitas vezes nulo, Portugal ainda não despertou em termos de Ciber Segurança e isso sim prejudica a comunidade infosec.

Para terminar, qual a sua opinião em relação à segurança dos sites governamentais. São constantes os sites desfigurados a várias entidades do governo. Será que não estamos todos em risco?

Penso que não existe uma grande diferença entre sites desfigurados governamentais e empresariais, o que difere é que um defacement num site governamental tem sempre mais impacto nos media do que num site empresarial.
Do meu ponto de visa as razões que levam a que este tipo de ataque tenha sucesso prende-se com o facto de que pura e simplesmente as plataformas são postas online e depois não existem procedimentos de monitorização ou de actualizações dos sistemas, quase nunca estão previstas nos contratos.
Actualmente é possível ver sites com vulnerabilidades que foram descobertas à mais de 3 anos e que já deviam ter sido corrigidas.
Outra questão é que quando se usam plataformas de CMS e é aplicado um template nem sempre se verifica a origem desse template ou se existe algo que possa comprometer o site no código do template.
Respondendo se estamos todos em risco a resposta é sim .
No entanto não tem a ver com sites governamentais onde são feitos defacement, tem sim a ver com a falta de estratégia a nível nacional na área da segurança informática e de um ecossistema de desenvolvimento de sistemas de informação em que a segurança informática não é a base mas sim um acessório.
Basicamente estamos a construir castelos e só no fim é que nos lembramos que deveríamos ter um fosso para impedir o ataque dos inimigos quando na lógica da estratégia defensiva o fosso deveria ser a primeira coisa a ser construída.

Agradeço ao Sérgio a disponibilidade que teve em responder ao WebSegura.net e a esclarecer algumas dúvidas que existiam na comunidade infosec.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?