A 8 de julho, o Centro Nacional de Cibersegurança e a associação DNS.pt, que gere os domínios de topo terminados relativos a Portugal (.pt), lançaram um serviço de análise de segurança de sites com a denominação de Webcheck. A distribuição da ferramenta é gratuita e tem por objetivo elevar a fasquia dos sites portugueses, mas não demorou a produzir resultados diferentes do esperado: o site do CNCS (CNCS.gov.pt) não passa nos testes de segurança Webcheck.
Os testes Webcheck revelam que o site do CNCS falha na assinatura do protocolo DNSSEC (de Domain Name System Security Extensions), que tem por objetivo certificar a legitimidade de um endereço perante os internautas e evitar o redirecionamento para sites que tentam fazer passar-se pelos originais. Também o serviço de e-mail do CNCS chumba nos testes do Webcheck.
O CNCS admite que a Webcheck tem por objetivo levar a comunidade de programadores a adequar os respetivos sites às melhores práticas de segurança, mas reitera que o “chumbo” do próprio site da instituição no que toca ao DNSSEC poderá não ser o fator mais importante: «O facto que gostaríamos relevar é, portanto, a existência de uma ferramenta que ajuda os portugueses a melhorar os seus níveis de maturidade neste domínio e assim a aperfeiçoar a forma como estão presentes na Internet. E é precisamente por este facto que não deixamos de lançar esta importante ferramenta, mesmo sabendo que o processo de implementação de todas as boas práticas no próprio CNCS ainda não se encontra concluído», refere o Centro em resposta oficial para a Exame Informática.
Sérgio Silva, fundador e responsável da CyberS3c, tem uma visão um pouco diferente do CNCS sobre o assunto: «É uma situação negativa do ponto de vista da consciencialização, porque a ferramenta é disponibilizada pelo CNCS, mas depois é o próprio CNCS que não cumpre as regras. As pessoas podem olhar para aquilo e achar que é normal… mas se acharem que é normal, então vão perguntar: para que é que serve o DNSSEC? Ou então podem achar que não é normal ter aquele erro num teste de DNSSEC e aí vão perguntar por que é que o CNCS não usada de forma adequada o DNSSEC?».
As vias de comunicação entre internautas e o site do CNCS são limitadas – e as que existem não obrigam ao envio de dados pessoais ou financeiros. O que significa que o facto de o site do CNCS chumbar nos testes do Webcheck poderá produzir mais danos na imagem da instituição do que ameaças para a navegação dos internautas. Apesar dos alertas e das campanhas de sensibilização para a necessidade de implementar o DNSSEC, muitos sites continuam sem adotar o protocolo de segurança – entre eles o da Exame Informática. Endereços de entidades como o do Millennium BCP, do BPI, da Caixa Geral de Depósitos ou do Portal das Finanças também “chumbam” nos testes de assinatura do DNSSEC. Vários sites estrangeiros também chumbam nos testes da Webcheck. O que pode ser revelador de que o DNSSEC está longe de ter uma implementação generalizada.
Sites legítimos e cópias falsas
Quando um utilizador pretende aceder a um site, coloca uma questão ao sistema de domínios de topo, que atribui um número de IP (Protocolo Internet) a cada endereço, e em troca recebe como resposta o encaminhamento para o site desejado, caso esteja ativo ou o endereço tenha sido escrito corretamente. «O que o DNSSEC traz é a possibilidade obter uma resposta com uma assinatura que valida a fidedignidade e que o endereço é aquele que se pretende visitar e não um site criado por alguém para ataques de phishing», explica Nuno Loureiro, diretor executivo da empresa de cibersegurança Probely.
A mesma lógica de validação é aplicável ao correio eletrónico – mas com uma diferença: o atacante teria de encontrar forma de uma potencial vítima mandar informação para um endereço que parece o legítimo, mas não é.
O responsável da Probely admite que a não conformidade com o DNSSEC poderá ser problemática quando um internauta se encontra a navegar na Internet a partir de uma rede pública, que poderá não respeitar o protocolo de segurança e, eventualmente, abrir caminho para versões de sites que replicam os originais, com o propósito de obter informação “sensível” dos utilizadores.
Nuno Loureiro admite que «faz sentido que os diferentes sites passem a usar DNSSEC», mas também lembra que o protocolo gerou resistência entre gestores de sites e programadores que receiam que alguns serviços deixem de funcionar. A este fator junta-se outro tão ou mais importante: «Por definição, os sistemas operativos não têm o DNSSEC ativado e têm de ser os utilizadores a configurá-lo para que possa ser usado», explica Nuno Loureiro, numa alusão ao facto de o DNSSEC apenas ser adotado entre os utilizadores com conhecimentos de informática mais avançados.
Sérgio Silva não tem dúvidas de que a inconformidade do CNCS com o protocolo DNSSEC tem de ser levada a sério: «Se não fosse grave, não teria sido lançada aquela ferramenta, que por sua vez considerou esta falha como grave».
Apesar da falta de conformidade com a ferramenta Webcheck, o CNCS reitera a importância da ferramenta para obter um diagnóstico indiciador da segurança de um site:«A ferramenta webcheck.pt tem precisamente como objetivo aferir o nível de conformidade de um domínio de internet e de correio eletrónico com as melhores práticas internacionais de cibersegurança. O dono de um site, mesmo com poucos conhecimentos técnicos, pode assim verificar o seu nível de conformidade e solicitar ao seu prestador os serviços adicionais necessários. O webcheck.pt também disponibiliza a ajuda necessária à sua configuração».
