O que aconteceu no dia 18 de março de 2012? Por esse mundo fora, não terão faltado ocorrências dignas de registo, mas pelo menos uma delas terá passado despercebida aos responsáveis do Instituto de Gestão Financeira e Equipamentos da Justiça (IGFEJ): esse foi o último dia em que o certificado em que opera a plataforma da justiça funcionou dentro da validade. Depois dessa data – e até aos dias de hoje – o certificado de segurança, que atesta a legitimidade do site do do Citius, não voltou a ser renovado. Resultado: há dois anos e 10 meses que o Citius tem vindo a trabalhar com um certificado caduco.
Sérgio Silva, da Unidade Informática do Conselho Superior de Magistratura, lembra que a falha pode ser usada para lançar ataques do tipo “man in the middle” (ataques em que um hacker interceta as comunicações de um internauta). «Imagine que o browser está sempre a dar uma mensagem de erro quando visita o Citius. Se calhar, o internauta não vai estranhar porque já conhece o site e por isso continua a usá-lo. Mas um dia, se esse mesmo utilizador for encaminhado para um site forjado, que imita o Citius e não tem um certificado legítimo, também não vai estranhar a mensagem de erro do browser uma vez que já está habituado às mensagens de erro. Só que neste caso, o internauta já estará vulnerável e pode vir a ser atacado».
Mediante um certificado atualizado, torna-se possível garantir a legitimidade de um servidor que suporta um serviço online. Hoje, muitos dos ataques lançados contra o Google ou o Facebook têm por alvo os certificados usados pelos diferentes servidores.
José Pina Miranda, especialista em segurança eletrónica e professor da Faculdade de Ciências da Universidade do Porto, relativiza os perigos de um certificado obsoleto. «Trata-se de uma regra de segurança elementar não usar certificados expirados. Quem não conhecer poderá ficar na dúvida se está mesmo a visitar o site do Citius. Trata-se antes de mais de garantir a quem vem de fora que está realmente a visitar o site».
Mais do que uma potencial interceção de comunicações, Pina Miranda aponta para os efeitos negativos que a obsolescência do certificado pode ter para a imagem do Citius.
Ao que a Exame Informática apurou, a atualização do certificado é uma operação simples e rotineira. A esta descrição acresce outro pormenor: o certificado usado pelo site do Citius é emitido pelo IGFEJ. O que significa que o facto de o certificado ser emitido pela mesma entidade que mantém o site não evitou a expiração.
Na Internet, qualquer internauta consegue confirmar, através de ferramentas grátis, que o certificado do Citius já expirou há quase três anos.
O certificado em causa apenas é válido para o servidor que suporta o site principal do Citius, que dá acesso a processos e repositórios que já passaram para o domínio públicos. Dentro do site, há um link que encaminha o internauta para uma secção que permite a entrega de peças processuais que ainda não são públicas. Essa página não padece do problema do certificado expirado.
