N' 1181.22/10 A 28/10/2015. CONTINENTE E ILHAS: C3.00. SEMANAL • - . & WWW.VISAO.SAPO.PT JUíZE~Mo AJOS[ SOCRAHS OQU[ RECUSAM NO PROC[SSO DOS VISTOS BOLO + CONHEÇA, TREZE NEGOCIDS DE SUCESSO POR EXPLORAR EM PORTUGAL , SOMOS D[VASSADOS V[NDIDOS [ MANIPUlADOS ;; ;:~ 0= ~ Empresas aproveitam vazio legal oara lucrar milhões com dados pessoais. Descobrimos falhas graves de segurança em bases informáticas do Estado. Os seus ficheiros clínicos podem estar aser usados contra si TIIIs connectlon 1$ Untrusted VOI.I hlwl5bdFird/'JKto Connect~to_'" -h sd pt. butwe(_'confwrnthlt~ (OfInt<!ion " MCwt. Insegurança pública Várias bases de dados do Estado estio vUlneráveis • a ataques informáticos O , ' 5 dados que temos como mais sagrados e que mais facilmente se podem transformar em milhões para seguradoras ou bancos - 05 nossos reglstos cUnicos - podem ter sido acedidos num site que tem o certiflcado inseguro (protocolo criptogréflco SHAl), e o próprio navegador lança um aviso amarelo: -saia daqul-. Es~. portanto. vulnerável a um IOthlrd person attack", que dará com facilidade a sua paLavra-chave e o seu utlllzador a um pirata mediana mente competente. Toda a plataforma, gerida pelos Serviços PartILhados do Ministério da Saúde (SPMS" esteve "tecnicamente acessrvel" à Google através da sua ferramenta Analytlcs durante pelo menos dois an05. A gravidade desta ligação - e a impossibilidade de termos a garantia de que os nossos metadados não estio jti guardados do outro lado do Atlântico - foi confirmada pela VISÃO junto de três perltoslnformtitlcos. A situação foi corrigida pouco depois de a VISÃO ter enviado um longo questiontirio sobre a segurança destes dados de saúde, na sexta-feira, 16 d. outubro (até ao fecho desta edição, não obUvemos resposta), Citemos mais alguns exemplos de insegurança nas redes públicas. O gabinete de apoio ao vice-presidente e aos membros Conselho Superior de Magistratura podia ser contactado em [email protected]. E o site da Comisslo Nacional de Proteção de Dados esteve algum tempo vulnerével a que qualquer pessoa com um mínimo de habilitaç6eslnformáticas pudesse ver o nome dos autores das queixas que recebia, por «falha de encriptação grave». O formuLtirio de apresentação de queixa na CNPD não suportava https (o 's' significa seguro). Além disso emitia o seguinte aviso: "05 seus dados circulam em rede aberta e correm o risco de serem vistos e utilizados por terceiros," Fonte oficial deste órgão afirmou desconhecer esta situação (ver caixa). O Ministério da Educaçlo carrega nomes e números de bilhete de Identidade de alunos na internet, enquanto o da Saúde apenas exige três campos que nlo possam ser facilmente falseados para nos inscrevermos no portal do Utente da Plataforma da Saúde. Os campos falseáveis são o email, telemóvel, password; 05 campos de validação são a data de nascimento, nome, número de utente. O mais dlffcll de obter é o último. Mas, como se Indignou um informático: "Achas mesmo que eu nlo consigo 'sacar' o teu número de utente de sadde?" Jti a RICA, uma base de dados que conterti o Reglsto Informático CUnico Anonimizado dos portugueses, e será alimentada, também, pelo portal da Saúde, foi construJda, ~tencfo em consideração o que se lA no texto da autorizaçio da Comissão Nacional de Proteção de Dados», de forma «nada segura" - garante Luis Antunes, professor de Ciência Computacional na Universidade do Porto. Dias antes das elelç6es. o slte da Bolsa de Emprego Público, acessível por quem quer que quisesse Inscrever-se em SGU.gov, Sistema Integrado de Acessos, permitia a consulta de Informação privada de todas as pessoas que já lá carregaram dados, mediante a simples troca do nome de logln no URL da página (olá caro "ADMIN", "José Manuel P.F.", "Chefe de Divido de Recursos Humanos", com o telefone "24X03XXXX", e o email .. DiY.rh.cm.XXX.pt... como está?) (Nota: os dados estão propositadamente incompletos: são verdad~ros), Esta base. indispensável, por exemplo para a mobilidade do emprego da Funçio Pública, e que tem os dados de milhares de funclontirios do Estado, poderia ser facilmente plrateada, mediante um ataque de força bruta (brute force attack), Em poucas horas, alguém poderia usar 05 correio eletrónicos e telefones de toda esta gente. Agora imagine-se que todos recebiam uma mensagem, no sábado anterior às eleições. Poderia ser um chamado 10 mlnutemail [anónimo e automaticamente destrurdo em dez minutos], com o seguinte título: "O plano secreto de Passos Coelho para nos cortar mais 25% do salário," Poderia uma falsa Informação como esta mudar o rumo poUtlco do Pais? E o que se fazia a seguir? Impugnavam-se as eleições? Processava-se uma empresa sediada nas Ilhas SalomAo ou no Burundi? de 2,3 triliães de dados são recolhidos e re combinados a cada dia. Como? Ouçamos um perito em business intelligence (espionagem. na linguagem de outrOS tempos) da Datasmart, empresa que trabalha com o Ministério da Finanças. Sim, esse ministério onde a base dos contribuintes tinha centenas de acessos permitidos a empresas de consultoria financeira, como se percebeu devido ,!O escândalo das listas VIP, reveladas pela VISAO, - "Tudo. Queremos perfis o mais assertivos possivel. Esse é o negócio." Pouco tempo depois , troquei impressões com um alto quadro dos Serviços de Informações (SIS), comentando algumas revelações deste trabalho. - "Isso é só a ponta do iceberg" "Achas?" - "Não acho, tenho a certeza. Tudo o que foi desenvolvido nos últimos anos tem esse problema, da falta de segurança por design. A consequência é essa: os dados ficam comprometidos. Se tens um smartphone, se estás na internet,já não escapasM'" POR DENTRO 00 C3P Esperam-m~ mais revelações no laboratôrio do Centro de Competências em Cibersegurança e Privacidad.e (C3P), da Universidade do Porto. Duas salas pequenas, cheias de computadores, com leitores de impressão digital desmontados na mesa. Numa parede está pregado um pequeno alvo de setas. A última calhou bem no centro, na marca que pontua 50, Luís Antunes, diretor do laboratório, reproduz uma pequena experiência que realizou para um grupo de deputados, na Assembiela da República, há dois anos, Ele e um seu colaborador homónimo, de apelido Maia, replicam redes wi-fi com um software que imita a identificação das redes que encontra no telemóvel e lhe oferece sinal, no intuito de O piratear (um'processo conhecido como Evil Twin, ou "Gémeo Mau"), problema é que a rede está lenta. Há uma conferência ao lado, curiosamente dedicada aos metadados. Dezenas de telemóveis dos conferencistas estão a ligar-se automaticamente ao sinal do CP3, cuja infraestrutura estâ a fraquejar. Cerca de uma dezena morde o isco e alguns estarão com os sistemas operativos desatualizados: vulneráveis a serem infetados com um vírus. "Podemos ter acesso a toda a atividade de internet, a todas as fotografias, contactos e mensagens. Podemos ordenar ao telemóvel que comece a gravar sons ou a filmar. Em resumo, podemos tomar conta da pessoa." Note-se: MDa pessoa" - e não só do telemôvel. Não deixa de ser irónico: um grupo de indivíduos, muitos deles especialistas em corno sacar, armazenar e tratar informações sobre DÔS - numa palavra em perfilar-nos - com toda a sua informação privada disponivel para serem eles próprios perfilados, esmiuçados e espiolhados. Ou, pior, para serem vítimas de um crime que cresce de forma galopante, todos os anos: o "roubo de identidade", ° Há um par de anos. Gary Kovacs. CEO da companhia de antivírus AVG, e um reputado perito em comunicações eletrónicas. contou, numa conferência TED. como criou um aplicativo (ad-on) para browsers (navegadores) que se veio a transformar num pesadelo para a indústria dos metadados. Estava preocupado com a atividade online da filha - "uma criança de nove anos que vai sobretudo a sites infantis" - e queria saber quem a seguia. Alertou para o facto de estannos a viver uma época de autêntico "faroeste" no que respeita ao seguimento não autorizado dos comportamentos (behauioral tracking) e sem que existissem defesas para O consumidor. É este programa - hoje chamado lightbeam (raio de luz) - que agora os dois Luíses do C3P usam para me mostrar o número de ligações escondidas por detrás da abertura de uma simples página de internet. No site_dojornal New York Times são 50; no da VlSAO. "apenas" 29. Há dezenas de entidades a espiar-me. sem consentimento explícito ou direto. O programa grava as pistas destes websites. Surgem nomes como o Googletagservices.com (tag significa "catalogar"). o sniperlog.ru (sniper significa "atirador furtivo"). a Union de Banques Suisses (porquê?). Aponta, ainda, várias entidades estranhas, como a "p161.net". E outras mais conhecidas, como a marktest.pt ou a sapo.pt. Todos foram informados dos meus comportamentos online. Ao fim de uma hora de navegaçiio. o ligthbeam revelará centenas destas ligações. Tudo o que fiz - os sites visitados, de onde saí e aqueles a que fui a seguir, a forma como o rato "mexeu" na página, onde cliquei, quantas vezes cliquei, onde hesitei, como hesitei, tudo isso será transmitido às empresas, através dos cookies, dos weblogs, dos clickstreams (ver glossário). Dependendo da agressividade de cada um destes pedaços de código, será verificado o sistema operativo em que trabalho, a minha data de nascimento e email. Ao fim de um dia,já transmiti vários milhares de data points a estranhos. 'PIRATA', EX SEMINARISTA, CIENTISTA Jantar nõ;restãilfaQte Galeria de' Paris. no Porto. de decoraçiio artística. HáTuma garrafa de tinto do Douro na..mesa ~comemos carne. . Luís Antune é cientista eyrofessor universitário de,..ciência com~tacional na Universidade do Porto. Também poderia ser descrito como um perito em segurança ativa. Antigo seminarista, casado,-pais de duas crianças, desloca-se num monoVblume.{amiliarjá-c:em alguns anos. Ninguém diria que se está perante alguém capaz de atacar os sistemas informáticos mais sofisticados. Mas estamos. Ele é, também, um dos portugueses mais preocupados com as ameaças à privacidade do indivíduo neste novo mundo tecnológico. Durante o jantar, contei-lhe da minha irritação com a chamada data industry. Há uns meses, tentei comprar um carro (passe a publicidade, um Volvo). Procurei-o num site de compra e venda de material em segunda- "JI Ve I JCiC2:le méjia jc VIS ta a um ,,('I'tro ccme-cia. é d;: 1.79 netos por segundo, sendo mais lenta ao rim de semana. HOJe conseguimos saber onde estão as pessoas com uma precisão de 50 centimetros. Portugal tem UIJ13 taxa de :Jcnetracão ce telE!:1évcisje 14llo/: LJgo. cobrincs 9810 dJ uriverso nacional. Só não 'escutamos crianças abaixo de três onos", revela Roberto Hugo, CIO da empresa Movvo -mão, e num stand virtual de automóveis, ambos portugueses. De seguida fui ao Google. e depois ao Facebook - e rapidamente me mostraram anúncios sobre o Volvo que eu queria comprar. Isto repetiu-se durante vários dias, tanto nos computadores de casa (2) como no da redação (I) e ainda nos aparelhos Apple que uso (2). Eu desconbecia. mas tanto para a Google como para o Facebook possuo um número de identificador único, o que explica que a publicidade que me é dirigida "passe" entre as minhas várias máquinas. Nào muito tempo depois, recebi uma sms no telemóvel. Era do stand Leal e Catita, a mostrar-me os seus carros ... Um pouco mais tarde. o Flipboard. um agregador de notícias que instalei no iPad, aconselhava: "Releia aqui a crítica ao Volvo s40 do ano 2001:' "Sinto-me espiado", disse ao professor de ciência computacional. "São os cookies", explica-me, "que permitem isso". Quando se apercebeu do grau de intrusão a que os seus cidadãos estavam sujeitos, a Europa tentou agir, aprovando uma diretiva sobre privacidade e comunicações eletrónicas. Em Portugal. a chamada ."lei dos cookies" entrou em vigor em 2012. E por isso. que. hoje. na maioria dos sites que visitamos, nos é pedido que aceitemos ou rejeitemos a "política de cookies". Mas a rejeição, muita vezes, torna a experiência de navegação incompleta, desagradável ou mesmo impraticável. De qualquer forma, aponta o cientista, "a tecnologia vai sempre muito à frente da lei e criou o device fingerprint, a impressão digital única do aparelho". Em breve, "os cookies não serão precisos para nada!", afiança. A ultima moda, explica o professor, é a das grandes empresas, como a GooglePlus, Linkedin e Facebook. por exemplo. oferecerem aos sites os seus serviços de autenticação. É quando tu, leitor, entras num outro site através da tua conta FB, G+ ou LI. O site confia na autenticação destas companhias - "provedores de identidade". como lhes chama Luís Antunes. Apenas o internauta fica mais desprotegido. porque. a partir daí. essas empresas começam a saber e a seguir tudo o que fazemos dentro de mais um site. "O negócio qual é? Os sites não pagam nada. E o utilizador também não. Mas trata-se de um engano. Nada é gratuito. Estamos a pagar com a nossa privacidade", explica, enquanto tira os óculos. "Os dados que as empresas estão a agregar são imensos e muitas ainda nem sabem bem para que servirão, no futuro. Mas sabem que valem muito dinheiro, que estão sentadas numa mina de ouro." Uma ONG britânica, dedicada a mudar o paradigma do negócio desta indústria, calcula que os dados de um indivíduo pouco preocupado com a sua privacidade e que quisesse vender hoje a sua informação. poderia ganbar 3 675 euros. Um banco pagaria 200 euros para saber que você está interessado em comprar casa. Interrompamos, por ora, este agradável mas um pouco assustador jantar. 22 OUTUBRO 2015 YI5Ao 55