Os sites do CC e da Agência para a Modernização Administrativa estavam a funcionar com uma variante da versão 1.0 da plataforma de gestão de conteúdos Joomla!, que estreou a nível mundial em 2005 – e que entretanto já foi descontinuada pela marca. Os especialistas não hesitam em considerar que a manutenção desta plataforma é uma «má prática» do ponto de vista da cibersegurança, mas ao que a Exame Informática apurou, os hackers que atacaram os sites do CC e da AMA nem sequer precisaram de explorar as vulnerabilidades da plataforma de gestão de conteúdos para assumir o controlo dos dois sites durante o fim de semana passado.
Uma fonte bem colocada garante que os intrusos já admitiram no meio da cibersegurança e do hacking que apenas tiveram de usar ferramentas que permitem descobrir a password (Mysq@AMA) que permitia aceder à plataforma que suporta os dois sites. Estas informações contradizem outras recolhidas anteriormente que davam conta de que as vulnerabilidade do Joomla! poderiam ter estado na origem dos ataques.
O perigo das desatualizações
O facto de os hackers não terem recorrido às vulnerabilidades do Joomla não invalida que o uso desta plataforma comporte vários riscos.«Os dois sites foram atacados na mesma altura, porque usam a mesma plataforma. Tudo leva a crer que não foram feitas atualizações ao longo do tempo. Além disso, está a ser usada uma versão do Joomla!, que está cheia de vulnerabilidades», comenta Sérgio Silva, especialista de cibersegurança que trabalha na Unidade Informática do Conselho Superior da Magistratura.
O uso de uma plataforma de gestão desatualizada também suscita várias questões a Tiago Henriques, líder do fórum de especialistas em CiberSegurança PTCoreSec: «Por que é que o sistema não foi atualizado? Como é possível usarem aquela password? Como é que querem que acreditemos que não há risco de criar vulnerabilidades no software do CC, quando têm um sistema com aquelas condições de segurança? Tendo em conta que as máquinas que suportam o serviço podem ser usadas para aceder a outras máquinas, será que já resolveram tudo o que estava errado?».
Os dois sites regressaram ao ativo na passada segunda-feira mantendo vários componentes da versão descontinuada do Joomla! Os especialistas de segurança contactados pela Exame Informática revelam algum espanto sobre este regresso que, aparentemente, mantém no ativo parte da versão descontinuada do Joomla!. Ao que a Exame Informática apurou junto do circuito de cibersegurança os dois sites poderão ter regressado à operacionalidade recorrendo a um método que permite manter em funcionamento componentes do Joomla! a correr sobre uma plataforma de outra origem. Estes dados não são confirmados pela AMA, que recusa fornecer qualquer outra informação sobre este assunto e remete a questão para as respostas que enviou para a Exame Informática no início da semana. De acordo com essas declarações, o software do CC não foi afetado pelos ataques.
Sérgio Silva é crítico do regresso à operacionalidade dos sites da AMA e do CC: «Não faz muito sentido regressar à Internet com a mesma versão da plataforma. Faria mais sentido fazer o upgrade do Joomla!, verificar todos os patches de segurança e só depois voltar a pôr o site disponível».
Segundo a base de dados do site CVEDetails, desde 2005 até à atualidade foram detetadas 94 vulnerabilidades (algumas com grau de perigosidade máximo) nas plataformas Joomla!. O número de vulnerabilidades diminuiu acentuadamente depois de 2008 (ano em que saiu a versão 1.5).
O perito do Conselho Superior de Magistratura recorda que todas as plataformas têm problemas de segurança e, por isso, convém não demorar muito na instalação de updates. Os ataques do fim de semana passado podem ainda ter evidenciado uma eventual lacuna, atenta Sérgio Silva: «Os dois sites foram atacados. E quem é que os defende? Há alguém para os defender?».
Ralf Braga, CEO e fundador da ShadowSec, está convicto de que dentro do próprio Estado «há bons profissionais que sabem trabalhar com Joomla! e que saberiam criar camadas de segurança para proteger os sites».
O responsável pela empresa que se dedica à formação e aos fóruns de segurança eletrónica recorda que o problema poderá não ser tanto de âmbito tecnológico, mas sim de ordem financeira. «Todos estes sites precisam de investimento e recursos humanos especializados para serem mantidos. Alguém poderá dizer que não há verbas para investir, mas nesses casos poderá fazer mais sentido fechar os sites que não podem ser mantidos».
