2016/03/23

A (falta de) segurança na Informática do Estado


O tema da segurança digital é daquelas coisas que inevitavelmente temos que referir frequentemente por aqui; recomendando tudo e todos para que tomem todas as precauções para não sofrerem "desastres digitais" (como ser vítima de ransomware). Infelizmente, há locais onde essa segurança devia ser ainda mais apertada... mas não o é.

Quem tem que lidar com alguns dos serviços digitais do estado, poderá deparar-se com cenários reais que ultrapassam a imaginação de qualquer comediante com uma veia tecnológica. Num caso recentemente relatado na nossa mailing list, temos que para aceder a uma app do IEFP (Instituto do Emprego e Formação Profissional) há uma lista de requisitos que rapidamente se torna numa verdadeira história de terror para qualquer pessoa que se preocupe minimamente com a segurança informática.

Ora vejamos
  1. Obrigatório usar o browser IE
  2. O IE tem obrigatoriamente que correr como "administrador"
  3. O utilizador term igualmente que ter permissões de administrador, pois a app vai alterar o ficheiro hosts da maquina(!!!)
  4. Para fazer o login recorre a uma applet em Java, numa página com um certificado expirado em 2012, tudo isto para criar um túnel SSL
  5. O túnel SSL encaminha a porta 3389 (porta de RDP) na máquina local para o tunel SSL (a apontar para a maquina "martelada" no ficheiro hosts) o que obriga a desactivar o remote desktop da maquina (isto quando poderiam ter escolhido qualquer outra porta para o efeito)
  6. Esse RDP vai apontar para um Windows Server 2003(!), em terminal (!), onde após novo login abre uma app de Oracle (mais Java...)

Ora... bem sabemos que nem sempre é fácil manter serviços actualizados face à rápida evolução das tecnologias. Mas no mínimo deveria seria obrigatório implementar as coisas da forma mais segura possível. Neste caso, a grande maioria dos passos inseguros poderia ser evitado recorrendo-se a uma VPN com acesso ao terminal; em vez de, indesculpávelmente, se exigirem coisas como dar permissões de administração a um browser e um utilizador - caminho garantido para ficar com a máquina infectada numa questão de poucos minutos.

... Se calhar até era a forma mais eficaz de resolver o problema: ficar com todos os computadores do Estado infectados com ransomware e com os ficheiros bloqueados. A única parte chata é que a solução mais provável seria pagar o resgate, e já sabemos a quem é que iria ser apresentada a conta. ;P

9 comentários:

  1. Pois, mas, como se sabe, não há dinheiro! E não há mesmo!

    ResponderEliminar
    Respostas
    1. O que tem uma coisa a ver com a outra? Queres ver que tu como programador escreves código ruim por estares a ser mal pago?
      Quem desenvolveu essa bosta é que não sabia o que estava a fazer, tão simples quanto isso. Ou então, já a dar o beneficio da dúvida, tiveram de integrar sistemas antiquados com sistemas mais actualizados e andaram a colar e juntar tudo com arames.
      O que me chateia é saber que o estado provavelmente pagou bem caro por uma bosta destas.

      Eliminar
    2. Totalmente de acordo! A conversa que não há dinheiro é justificação para tudo. Houve e há dinheiro! Foi e é mal gasto em profissionais da treta!

      Eliminar
    3. Julgo que me expliquei mal, não há dinheiro para melhorar os sistemas (hardware e software), não há dinheiro para formação, não há dinheiro para recrutar bons profissionais, não dinheiro para segurar os mais ambiciosos e muito menos para motivar as tropas.
      E sublinho a frase, "não há dinheiro"!

      Eliminar
    4. Engano.
      Queres ver? Com custo 0 (tirando a mao de obra que lá está), desligavas aquilo quase tudo, metias openvpn, mandavas os users instalar o cliente e enviavas-lhes o certificado e ja ultrapassaves 99% da "cagada" que ali está. E deixavas de pagar pelo suporte que tens ao forefront desactualizado que ali está. E aumentavas, FORTEMENTE, a segurança dos clientes que tem que aceder ali.. por isso, a desculpa fácil do não há dinherio... claro que, como se deixava de gastar em tecnologia proprietaria, se calhar ia haver menos almoços de borla em bons restaurantes em LX, e menos Surfaces pro para filhos de decisores.. mas isso...

      Eliminar
    5. @Miguel era uma solução, mas depois como é que a consultora ia cobrar milhares de Euros por uma solução free? :) :) :) hehehe

      Eliminar
  2. A ausência de dotação financeira é notória em diversos serviços. Claro que não deve ser desculpa para tudo, dado que o problema são as soluções que encontram! Porque até temos alguns colegas dentro da administração pública que dominam esta área. Acontece que estes mesmos colegas já estão cheios de trabalho no local afeto diariamente.
    Devem ter a noção de que nem todos os organismos estão dotados com equipa informática.
    Pior do que isso! É a administração no seu todo, não gerir uma bolsa em que estas pessoas deviam estar a girar para resolver problemas.
    Exemplo concreto para entenderem.
    Duas escolas, uma ao lado da outra, uma do 5.º Ano ao 9.º e a outra escola do 10.º ao 12.º Ano , a escola secundária tem em regra, toda a sua rede bem dimensionada e protegida. A escola “básica” 9.º ano, tem os fios de rede de qualquer maneira, computadores avariados, não existe registo de ips das máquinas etc etc…
    Não existe uma gestão dos recursos humanos, para que a equipa da escola ao lado, vá resolver os problemas da outra…
    Isto acontece na maioria dos organismos.
    Confirmo que o que a generalidade dos serviço recebe, nem sempre chega para Água, Luz e Comunicações (esta rubrica é algo impressionante que podia desenvolver… cada serviço a pagar em média 2000 euros por mês… quando podíamos usar Voip ou outras aplicações)
    Continuação.
    Bom trabalho Carlos.

    ResponderEliminar
  3. Pelas respostas que aqui li, confirmei algo de que somos acusados há largos anos noutras latitudes, não nos ouvimos e não somos pragmáticos.

    ResponderEliminar
  4. Eu poderia vir aqui falar de alguns exemplos flagrantes em certas autarquias, em que algumas pessoas afetas à informática estão onde estão porque os decisores políticos são... amigos, familiares, do mesmo clube de futebol, etc... Ou que as empresas que ganham os "concursos" públicos têm ligações flagrantes a quem tem capacidade para decidir...

    Mas não... O meu perfil aqui está muito exposto e só por escrever o que escrevi já será de prever algo menos bom na próxima avaliação de desempenho... Vamos lá ver...

    Ai Portugal, Portugal... (Como dizia o Jorge Palma.)

    ResponderEliminar

[pub]