A mensagem de erro que o Portal do Governo não deveria ter apresentado (Com alterações efetuadas pela Exame Informática, para evitar fuga de informação sensível)
No dia 2 de abril o Portal do Governo deixou de funcionar, para só voltar ao ativo no final do dia 4 de abril. Na altura, o Centro de Gestão da Rede Informática do Governo (CEGER) justificou a inoperância de dois dias com uma falha do sistema de redundância.
Mas nem tudo voltou a funcionar como devia e, pelo menos desde o dia 5 de abril, o serviço que suporta o Portal do Governo, começou a fornecer dados que podem ser explorados por hackers para atacar o Portal e, eventualmente, a rede que liga as várias entidades tuteladas pelo Governo.
Durante as duas semanas em causa, a informação que deveria estar escondida ficou disponível para todos os internautas que, por mero acaso ou com intenção, retirassem uma letra ao endereço que surge no browser, depois de se entrar no Portal do Governo.
Na maioria dos casos, um endereço errado costuma encaminhar o utilizador para uma mensagem de erro formatada que indica que o endereço não existe. No caso do Portal do Governo, quando se retirava a letra em causa, era apresentada uma mensagem de erro interna dos servidores que operam com Internet Information Services 7.5 (IIS 7.5), da Microsoft.
A mensagem de erro do IIS 7.5, que deveria ser apresentada apenas aos profissionais que gerem a rede, dava a conhecer a pasta em que o portal está alojado e, por sua vez, uma outra pasta que se encontra a um nível acima. O que já permite ter uma noção da estrutura de ficheiros que suporta o Portal.
A mensagem de erro do IIS 7.5 também apresentava os campos relativos a autenticação do serviço, contrariando assim as melhores práticas de segurança.
Manuel da Costa Honorato, diretor do CEGER, confirma a que a mensagem de erro do IIS 7.5 esteve exposta ao público e reitera que a equipa que gere a rede governamental já tem conhecimento deste caso «há algum tempo». O líder do CEGER recusa indicar que medidas vão ser tomadas para sanar esta potencial fuga de informação, a fim de evitar que sejam revelados mais dados sobre este assunto – mas algo terá sido feito depois da entrevista levada a cabo pela Exame Informática, uma vez que, hoje, o portal já apresenta uma mensagem de erro de acordo com as melhores práticas da segurança eletrónica.
Especialistas alertam para o perigo
Não há notícia de ataques ou exploração deste erro, mas há quem admita que a informação que esteve exposta possa revelar-se útil se cair nas mãos de um hacker mais persistente ou engenhoso. «O hacker não consegue assumir logo o controlo da rede do CEGER mesmo que consiga passar pelo sistema de autenticação que surge nessa mensagem de erro, mas fica numa situação privilegiada para tentar entrar no sistema que suporta o portal e, mais tarde, tentar entrar na rede governamental através de trojans ou da criação de falsos utilizadores», explica à Exame Informática um especialista de segurança eletrónica que, seguindo o que é costume no meio, prefere manter o anonimato.
Um perito em redes e Internet que pediu igualmente anonimato também concorda que os dados expostos pela mensagem de erro, ainda que sensíveis, não chegam, por si só, para lançar um ataque, mas fornecem informação útil para os hackers testarem o sistema de segurança e tentarem vencê-lo. «Toda a gente sabe que os hackers funcionam por tentativas. Se o processo x não resultou, tenta-se o y. E por isso as boas práticas de segurança eletrónica dizem que se deve limitar ao máximo todas as informações sobre as tecnologias usadas por determinado serviço que se encontra na Internet. Mas não é este o caso (do Portal do Governo)», acrescenta a mesma fonte.
Os dois especialistas contactados pela Exame Informática concordam que, nestes casos, deveria ser apresentada apenas uma mensagem de erro simples que indica que a página não foi descoberta, ou mesmo encaminhar os internautas para o endereço certo, evitando assim a exposição de informação considerada sensível.
NOTA EDITORIAL: A Exame Informática alertou o CEGER para esta potencial fuga de informação no dia anterior à publicação deste texto. Com este aviso atempado, tentámos dar tempo ao CEGER para a tomada de medidas que evitem que o portal do Governo seja sujeito a uma eventual investida de hackers.
Pelo mesmo motivo, optámos por omitir detalhes sobre a forma de acesso e os próprios dados sensíveis que estiveram expostos, pelo menos, durante estas duas semanas.
Apesar de sabermos da potencial situação vulnerável do Portal do Governo, não tentámos averiguar outras vulnerabilidades que eventualmente pudessem existir, uma vez que implicaria uma tentativa de intrusão. O que é punível pela atual legislação nacional e é moralmente questionável.
