N' 1181.22/10 A 28/10/2015. CONTINENTE E ILHAS: C3.00. SEMANAL
•
-
.
&
WWW.VISAO.SAPO.PT
JUíZE~Mo
AJOS[ SOCRAHS
OQU[ RECUSAM
NO PROC[SSO
DOS VISTOS BOLO
+
CONHEÇA,
TREZE NEGOCIDS
DE SUCESSO
POR EXPLORAR
EM PORTUGAL
,
SOMOS D[VASSADOS
V[NDIDOS [ MANIPUlADOS
;;
;:~
0=
~
Empresas aproveitam vazio legal
oara lucrar milhões com dados pessoais.
Descobrimos falhas graves de segurança
em bases informáticas do Estado.
Os seus ficheiros clínicos podem estar
aser usados contra si
TIIIs connectlon 1$ Untrusted
VOI.I hlwl5bdFird/'JKto Connect~to_'"
-h
sd pt. butwe(_'confwrnthlt~
(OfInt<!ion " MCwt.
Insegurança pública
Várias bases de dados do Estado estio vUlneráveis
•
a ataques informáticos
O
,
'
5 dados que temos como mais sagrados e que mais facilmente se
podem transformar em milhões para seguradoras ou bancos - 05
nossos reglstos cUnicos - podem ter sido acedidos num site que tem
o certiflcado inseguro (protocolo criptogréflco SHAl), e o próprio
navegador lança um aviso amarelo: -saia daqul-. Es~. portanto.
vulnerável a um IOthlrd person attack", que dará com facilidade a sua
paLavra-chave e o seu utlllzador a um pirata mediana mente competente.
Toda a plataforma, gerida pelos Serviços PartILhados do Ministério da Saúde
(SPMS" esteve "tecnicamente acessrvel" à Google através da sua ferramenta
Analytlcs durante pelo menos dois an05. A gravidade desta ligação - e a
impossibilidade de termos a garantia de que os nossos metadados não estio jti
guardados do outro lado do Atlântico - foi confirmada pela VISÃO junto de três
perltoslnformtitlcos. A situação foi corrigida pouco depois de a VISÃO ter enviado
um longo questiontirio sobre a segurança destes dados de saúde, na sexta-feira, 16
d. outubro (até ao fecho desta edição, não obUvemos resposta),
Citemos mais alguns exemplos de insegurança nas redes públicas. O gabinete
de apoio ao vice-presidente e aos membros Conselho Superior de Magistratura
podia ser contactado em [email protected]. E o site da Comisslo Nacional de
Proteção de Dados esteve algum tempo vulnerével a que qualquer pessoa com um
mínimo de habilitaç6eslnformáticas pudesse ver o nome dos autores das queixas
que recebia, por «falha de encriptação grave». O formuLtirio de apresentação de
queixa na CNPD não suportava https (o 's' significa seguro). Além disso emitia o
seguinte aviso: "05 seus dados circulam em rede aberta e correm o risco de serem
vistos e utilizados por terceiros," Fonte oficial deste órgão afirmou desconhecer
esta situação (ver caixa).
O Ministério da Educaçlo carrega nomes e números de bilhete de Identidade de
alunos na internet, enquanto o da Saúde apenas exige três campos que nlo possam
ser facilmente falseados para nos inscrevermos no portal do Utente da Plataforma
da Saúde. Os campos falseáveis são o email, telemóvel, password; 05 campos de
validação são a data de nascimento, nome, número de utente. O mais dlffcll de
obter é o último. Mas, como se Indignou um informático: "Achas mesmo que eu
nlo consigo 'sacar' o teu número de utente de sadde?" Jti a RICA, uma base de
dados que conterti o Reglsto Informático CUnico Anonimizado dos portugueses,
e será alimentada, também, pelo portal da Saúde, foi construJda, ~tencfo em
consideração o que se lA no texto da autorizaçio da Comissão Nacional de Proteção
de Dados», de forma «nada segura" - garante Luis Antunes, professor de Ciência
Computacional na Universidade do Porto.
Dias antes das elelç6es. o slte da Bolsa de Emprego Público, acessível por quem
quer que quisesse Inscrever-se em SGU.gov, Sistema Integrado de Acessos,
permitia a consulta de Informação privada de todas as pessoas que já lá carregaram
dados, mediante a simples troca do nome de logln no URL da página (olá caro
"ADMIN", "José Manuel P.F.", "Chefe de Divido de Recursos Humanos", com o
telefone "24X03XXXX", e o email .. DiY.rh.cm.XXX.pt... como está?) (Nota: os dados
estão propositadamente incompletos: são verdad~ros),
Esta base. indispensável, por exemplo para a mobilidade do emprego da Funçio
Pública, e que tem os dados de milhares de funclontirios do Estado, poderia ser
facilmente plrateada, mediante um ataque de força bruta (brute force attack), Em
poucas horas, alguém poderia usar 05 correio eletrónicos e telefones de toda esta
gente. Agora imagine-se que todos recebiam uma mensagem, no sábado anterior
às eleições. Poderia ser um chamado 10 mlnutemail [anónimo e automaticamente
destrurdo em dez minutos], com o seguinte título: "O plano secreto de Passos
Coelho para nos cortar mais 25% do salário," Poderia uma falsa Informação como
esta mudar o rumo poUtlco do Pais? E o que se fazia a seguir? Impugnavam-se as
eleições? Processava-se uma empresa sediada nas Ilhas SalomAo ou no Burundi?
de 2,3 triliães de dados são recolhidos e re
combinados a cada dia. Como? Ouçamos um
perito em business intelligence (espionagem.
na linguagem de outrOS tempos) da Datasmart, empresa que trabalha com o Ministério
da Finanças. Sim, esse ministério onde a base
dos contribuintes tinha centenas de acessos
permitidos a empresas de consultoria financeira, como se percebeu devido ,!O escândalo
das listas VIP, reveladas pela VISAO,
- "Tudo. Queremos perfis o mais assertivos possivel. Esse é o negócio."
Pouco tempo depois , troquei impressões com um alto quadro dos Serviços de
Informações (SIS), comentando algumas
revelações deste trabalho.
- "Isso é só a ponta do iceberg"
"Achas?"
- "Não acho, tenho a certeza. Tudo o que
foi desenvolvido nos últimos anos tem esse
problema, da falta de segurança por design.
A consequência é essa: os dados ficam comprometidos. Se tens um smartphone, se estás
na internet,já não escapasM'"
POR DENTRO 00 C3P
Esperam-m~ mais revelações no laboratôrio
do Centro de Competências em Cibersegurança e Privacidad.e (C3P), da Universidade
do Porto. Duas salas pequenas, cheias de
computadores, com leitores de impressão
digital desmontados na mesa. Numa parede está pregado um pequeno alvo de setas.
A última calhou bem no centro, na marca que
pontua 50,
Luís Antunes, diretor do laboratório, reproduz uma pequena experiência que realizou para um grupo de deputados, na Assembiela da República, há dois anos, Ele e um
seu colaborador homónimo, de apelido Maia,
replicam redes wi-fi com um software que
imita a identificação das redes que encontra
no telemóvel e lhe oferece sinal, no intuito de
O piratear (um'processo conhecido como Evil
Twin, ou "Gémeo Mau"), problema é que a
rede está lenta. Há uma conferência ao lado,
curiosamente dedicada aos metadados.
Dezenas de telemóveis dos conferencistas
estão a ligar-se automaticamente ao sinal do
CP3, cuja infraestrutura estâ a fraquejar. Cerca de uma dezena morde o isco e alguns estarão com os sistemas operativos desatualizados: vulneráveis a serem infetados com um
vírus. "Podemos ter acesso a toda a atividade
de internet, a todas as fotografias, contactos
e mensagens. Podemos ordenar ao telemóvel
que comece a gravar sons ou a filmar. Em
resumo, podemos tomar conta da pessoa."
Note-se: MDa pessoa" - e não só do telemôvel.
Não deixa de ser irónico: um grupo de indivíduos, muitos deles especialistas em corno
sacar, armazenar e tratar informações sobre
DÔS - numa palavra em perfilar-nos - com
toda a sua informação privada disponivel
para serem eles próprios perfilados, esmiuçados e espiolhados. Ou, pior, para serem vítimas de um crime que cresce de forma galopante, todos os anos: o "roubo de identidade",
°
Há um par de anos. Gary Kovacs. CEO da
companhia de antivírus AVG, e um reputado
perito em comunicações eletrónicas. contou,
numa conferência TED. como criou um aplicativo (ad-on) para browsers (navegadores)
que se veio a transformar num pesadelo para
a indústria dos metadados. Estava preocupado com a atividade online da filha - "uma
criança de nove anos que vai sobretudo a sites infantis" - e queria saber quem a seguia.
Alertou para o facto de estannos a viver uma
época de autêntico "faroeste" no que respeita
ao seguimento não autorizado dos comportamentos (behauioral tracking) e sem que
existissem defesas para O consumidor.
É este programa - hoje chamado
lightbeam (raio de luz) - que agora os dois
Luíses do C3P usam para me mostrar o número de ligações escondidas por detrás da
abertura de uma simples página de internet.
No site_dojornal New York Times são 50; no
da VlSAO. "apenas" 29. Há dezenas de entidades a espiar-me. sem consentimento explícito ou direto. O programa grava as pistas
destes websites. Surgem nomes como o Googletagservices.com (tag significa "catalogar").
o sniperlog.ru (sniper significa "atirador furtivo"). a Union de Banques Suisses (porquê?).
Aponta, ainda, várias entidades estranhas,
como a "p161.net". E outras mais conhecidas,
como a marktest.pt ou a sapo.pt. Todos foram informados dos meus comportamentos
online. Ao fim de uma hora de navegaçiio. o
ligthbeam revelará centenas destas ligações.
Tudo o que fiz - os sites visitados, de
onde saí e aqueles a que fui a seguir, a forma
como o rato "mexeu" na página, onde cliquei,
quantas vezes cliquei, onde hesitei, como hesitei, tudo isso será transmitido às empresas,
através dos cookies, dos weblogs, dos clickstreams (ver glossário). Dependendo da
agressividade de cada um destes pedaços de
código, será verificado o sistema operativo
em que trabalho, a minha data de nascimento
e email. Ao fim de um dia,já transmiti vários
milhares de data points a estranhos.
'PIRATA', EX SEMINARISTA, CIENTISTA
Jantar nõ;restãilfaQte Galeria de' Paris. no
Porto. de decoraçiio artística. HáTuma garrafa
de tinto do Douro na..mesa ~comemos carne.
. Luís Antune é cientista eyrofessor universitário de,..ciência com~tacional na Universidade do Porto. Também poderia ser descrito
como um perito em segurança ativa. Antigo
seminarista, casado,-pais de duas crianças,
desloca-se num monoVblume.{amiliarjá-c:em
alguns anos. Ninguém diria que se está perante alguém capaz de atacar os sistemas informáticos mais sofisticados. Mas estamos.
Ele é, também, um dos portugueses mais
preocupados com as ameaças à privacidade
do indivíduo neste novo mundo tecnológico.
Durante o jantar, contei-lhe da minha irritação com a chamada data industry. Há
uns meses, tentei comprar um carro (passe a
publicidade, um Volvo). Procurei-o num site
de compra e venda de material em segunda-
"JI Ve I JCiC2:le
méjia jc VIS ta a um
,,('I'tro ccme-cia. é d;: 1.79 netos
por segundo, sendo mais lenta ao
rim de semana. HOJe conseguimos
saber onde estão as pessoas com
uma precisão de 50 centimetros.
Portugal tem UIJ13 taxa de
:Jcnetracão ce telE!:1évcisje 14llo/:
LJgo. cobrincs 9810 dJ uriverso
nacional. Só não 'escutamos
crianças abaixo de três onos",
revela Roberto Hugo, CIO
da empresa Movvo
-mão, e num stand virtual de automóveis,
ambos portugueses. De seguida fui ao Google. e depois ao Facebook - e rapidamente
me mostraram anúncios sobre o Volvo que
eu queria comprar. Isto repetiu-se durante
vários dias, tanto nos computadores de casa
(2) como no da redação (I) e ainda nos aparelhos Apple que uso (2). Eu desconbecia. mas
tanto para a Google como para o Facebook
possuo um número de identificador único,
o que explica que a publicidade que me é
dirigida "passe" entre as minhas várias máquinas. Nào muito tempo depois, recebi uma
sms no telemóvel. Era do stand Leal e Catita,
a mostrar-me os seus carros ... Um pouco
mais tarde. o Flipboard. um agregador de
notícias que instalei no iPad, aconselhava:
"Releia aqui a crítica ao Volvo s40 do ano
2001:'
"Sinto-me espiado", disse ao professor
de ciência computacional. "São os cookies",
explica-me, "que permitem isso". Quando
se apercebeu do grau de intrusão a que os
seus cidadãos estavam sujeitos, a Europa
tentou agir, aprovando uma diretiva sobre
privacidade e comunicações eletrónicas. Em
Portugal. a chamada ."lei dos cookies" entrou
em vigor em 2012. E por isso. que. hoje. na
maioria dos sites que visitamos, nos é pedido
que aceitemos ou rejeitemos a "política de
cookies". Mas a rejeição, muita vezes, torna
a experiência de navegação incompleta, desagradável ou mesmo impraticável. De qualquer forma, aponta o cientista, "a tecnologia
vai sempre muito à frente da lei e criou o device fingerprint, a impressão digital única do
aparelho". Em breve, "os cookies não serão
precisos para nada!", afiança.
A ultima moda, explica o professor, é a
das grandes empresas, como a GooglePlus,
Linkedin e Facebook. por exemplo. oferecerem aos sites os seus serviços de autenticação. É quando tu, leitor, entras num outro
site através da tua conta FB, G+ ou LI. O site
confia na autenticação destas companhias
- "provedores de identidade". como lhes
chama Luís Antunes. Apenas o internauta
fica mais desprotegido. porque. a partir daí.
essas empresas começam a saber e a seguir
tudo o que fazemos dentro de mais um site.
"O negócio qual é? Os sites não pagam
nada. E o utilizador também não. Mas trata-se de um engano. Nada é gratuito. Estamos
a pagar com a nossa privacidade", explica,
enquanto tira os óculos. "Os dados que as
empresas estão a agregar são imensos e muitas ainda nem sabem bem para que servirão,
no futuro. Mas sabem que valem muito dinheiro, que estão sentadas numa mina de
ouro." Uma ONG britânica, dedicada a mudar o paradigma do negócio desta indústria, calcula que os dados de um indivíduo
pouco preocupado com a sua privacidade
e que quisesse vender hoje a sua informação. poderia ganbar 3 675 euros. Um banco
pagaria 200 euros para saber que você está
interessado em comprar casa.
Interrompamos, por ora, este agradável
mas um pouco assustador jantar.
22 OUTUBRO 2015 YI5Ao
55
Download

SOMOS D[VASSADOS V[NDIDOS [ MANIPUlADOS