Em 2012, quase três milhões de contribuintes portugueses usaram o Java para apresentar declarações de IRS diretamente na Internet. Em 2013, metade dos contribuintes já terá recorrido ao mesmo processo. Os números revelam que Portugal pode ser um caso de sucesso para a Oracle, mas também podem ganhar contornos de ameaça: nos três primeiros meses de 2013, as autoridades dos EUA aconselharam, por mais de uma vez, os internautas a desativar a tecnologia por motivos de segurança. Em Portugal, a equipa de peritos CERT.PT, que tem por missão alertar as diferentes ameaças que pairam no ciberespaço, também chegou a fazer uma recomendação similar. A Autoridade Tributária e Aduaneira não comenta o assunto, apesar de a tecnologia ser obrigatória para todos os contribuintes que pretendam apresentar o IRS na Internet.
«O Java é uma má escolha, porque regularmente saem alertas de vulnerabilidade nesta tecnologia. E por isso já houve várias recomendações para que os internautas deixem de usar esta tecnologia. O sistema que suporta o IRS online não está em risco, porque é gerido pela Autoridade Tributária e Aduaneira (ATA), mas obriga milhões de pessoas a instalarem uma solução com vulnerabilidades», explica Tiago Henriques, perito em cibersegurança e líder do fórum especializado em cibersegurança PTCoreSec.
Tiago Henriques classifica como «bastante fácil» para um hacker explorar as vulnerabilidades do Java, a partir de ferramentas que já têm elencadas essas falhas de segurança. O especialista do PTCoreSec recorda que o atacante apenas tem de criar uma página forjada e usar uma Java applet, que permite explorar vulnerabilidades em computadores que tenham instalada a tecnologia. «Em seguida, o atacante só tem de convencer as pessoas a visitar a sua página. Isto pode ser feito de forma simples, enviando e-mails em massa, ou mandando tweets com os links para esta página, ou até ataques mais focados em engenharia social… como por exemplo, com um mail a dizer “Entre nesta pagina para receber ajuda com o preenchimento do seu IRS”», refere Tiago Henriques.
A ameaça recorrente
No CERT.US, o “tema Java” já não é propriamente novo: em agosto de 2012, o conhecido centro de alerta e combate ao cibercrime dos EUA lançou um primeiro alerta sobre vulnerabilidades dos Java 7, que permitiam executar códigos maliciosos remotamente. Em janeiro, foi a vez do Departamento de Segurança Interna dos EUA aconselhar os internautas a desativarem a tecnologia Java. Nesta mensagem, o governo dos EUA recomendava “apenas” a desativação temporária da tecnologia. Só que, nos dois meses seguintes, essa recomendação haveria de ser repetida por mais três vezes, devido a «múltiplas vulnerabilidades», que permitiam a um hacker mal-intencionado assumir o controlo de máquinas infetadas por códigos maliciosos.
Nos quatro alertas emitidos entre janeiro e março, os peritos norte-americanos recomendam, por mais de uma vez, que se desative o Java nos browsers de quem o instalou, devido a falhas de segurança encontradas na versão 7, e também nas versões anteriores desta tecnologia detida pela Oracle. Uma única frase publicada num dos relatórios de segurança do CERT.US dá uma noção aproximada da dimensão da ameaça: «As vulnerabilidades do Java têm sido exploradas regularmente por cibercriminosos, e há uma grande probabilidade de virem a ser descobertas novas vulnerabilidades».
Em Portugal, estes alertas também produziram eco. Ao que a Exame Informática apurou, instituições nacionais também receberam alertas da equipa de peritos do CERT.PT que aconselhavam à desativação temporária da tecnologia. Mas estes ecos não terão sido suficientes para a ATA rever o uso do Java.
José Tribolet, presidente do Instituto de Engenharia de Sistemas e Computadores (INESC), lembra que a inexistência de custos e a relativa universalidade desta tecnologia terão sido determinantes para a popularidade das declarações de IRS na Internet na atualidade. O responsável do INESC relativiza a ameaça e recorda que alertas como os que agora são emitidos relativamente ao Java são cada mais frequentes, mesmo noutras tecnologias. «É como comprar um carro. Há que garantir a manutenção e estar sempre alerta para os avisos das marcas. Mas é uma questão que vale a pena levantar. Até para saber que alternativas mais seguras ao Java podem ser adotadas», sublinha o responsável do INESC.
Questionada pela Exame Informática, a Oracle limitou-se a enviar um link para a mais recente atualização de segurança do Java, que promete eliminar 42 vulnerabilidades, através de um denominado «April 2013 Critical Patch Update».
A Exame Informática também tentou entrar em contacto com a Autoridade Tributária e Aduaneira (ATA), mas a entidade que gere o IRS on-line optou por não comentar. Além da confirmação dos riscos que pairam sobre os contribuintes que são obrigados a usar Java, o silêncio da ATA impede de saber se está prevista uma migração para uma tecnologia alternativa; se alguma vez o sistema foi alvo de ataques; se algum contribuinte já apresentou queixa; ou que medidas poderão vir a ser tomadas para limitar os potenciais danos que podem vir a ser causados nos computadores dos contribuintes; ou que responsabilidade pode o Fisco vir a assumir em casos de contribuintes que, comprovadamente, foram atacados através de vulnerabilidades do Java.
Do mesmo modo, não foi possível saber qual a percentagem dos contribuintes que entregam o IRS através da versão offline, que exige a instalação de um aplicação no computador pessoal, mas não recorre ao Java.
Tecnologias web
João Miguel Neves, um dos líderes da Modelo 3 que é conhecido no meio tecnológico pela defesa do software livre, lembra que «tirando o site das Finanças, não há mais serviços de grande dimensão que ainda usem Java».
Desde o ano passado que a Modelo 3 tem vindo a ganhar a preferência dos contribuintes portugueses (e também ingleses) por disponibilizar um serviço online que permite preencher a declaração de IRS. João Miguel Neves admite que é parte interessada no assunto, uma vez que o serviço da Modelo 3 permite preencher a declaração de IRS sem exigir Java, mas isso não o impede de fazer uma análise negativa sobre esta tecnologia e a atuação de quem gere o serviço de IRS na Internet: «Há 15 anos era uma escolha tecnológica natural, mas agora há muitas razões de ordem técnica para revisitar essa escolha e optar por outras tecnologias, como o HTML ou o JavaScript».
A opinião de Pedro Fortuna, diretor de Tecnologias da empresa Auditmark, não difere muito da de João Miguel Neves: «Há uns anos, fazia sentido que se usasse Java, porque permitia uma interação mais rica, que permitia obter dados mais rapidamente da Internet, mas hoje há tecnologias web que fazem o mesmo e que podem ser mais seguras, desde que devidamente certificadas e protegidas».
No entender do especialista da Auditmark, a migração para uma tecnologia alternativa não é complexa nem tem de ser morosa: «Não é preciso mudar tudo – apenas a interface que é usada pelos internautas tem de ser mudada. A tecnologia que está nos servidores (da ATA) mantém-se».
Sérgio Silva, especialista à cibersegurança que trabalha na Unidade Informática do Conselho Superior da Magistratura, recorda que o uso do Java no IRS online tem ainda outra característica polémica, que seria sanada facilmente caso se optasse por tecnologias universais como HTML, o HTML5 ou JavaScript: «Não me parece correto que um serviço do Estado obrigue alguém a usar a tecnologia que é detida por uma determinada marca… mesmo que essa tecnologia fosse segura».
O Java foi lançado em 1995 pela Sun Microsystems. Nos anos que se seguiram, esta linguagem de programação foi ganhando quota de mercado entre os programadores que produziam sites e serviços baseados na Net. Em 2010, a tecnologia passou a ser detida pela Oracle, após aquisição da Sun.
ATUALIZAÇÃO: mudança dos números iniciais apresentados no texto.
