Um aluno de 23 anos de mestrado em Engenharia Informática, no Instituto Superior Técnico, Illya Gerasymchuk, de origem ucraniana e a viver em Portugal há 12 anos, detetou e tornou públicas as falhas de segurança no site da Chave Móvel Digital (CMD), criado pelo Governo para facilitar a autenticação dos cidadãos em serviços online do Estado. Vulnerabilidades estas que, no pior dos cenários, podem levar ao roubo de identidade dos utilizadores, defende em declarações ao Dinheiro Vivo.
No seu blogue pessoal, Illya Gerasymchuk revela este domingo, dia 13, que reportou os erros à Agência para a Modernização Administrativa (AMA) no dia 21 de janeiro, não tendo recebido qualquer resposta por parte do organismo do Estado.
Ao fim de três meses, o estudante de engenharia decidiu fazer uma "publicação responsável" das vulnerabilidades - no sentido em que primeiro alertou a AMA dando oportunidade para a correção das falhas em 90 dias, um método popularizado pela Google antecipando a divulgação pública deste tipo de informação sensível. Este procedimento geralmente acelera a correção destes problemas.
Questionada pelo Dinheiro Vivo, a Agência para a Modernização Administrativa esclarece: “No que diz respeito à nossa resposta, a política da AMA é a de analisar e responder a todo e qualquer cidadão, seja qual for o assunto ou tema em apreço. Estamos por isso a averiguar a eventual ausência de resposta ao contacto de email original, o que, a confirmar-se, lamentamos desde já.”
O que está em causa para os utilizadores da Chave Móvel Digital
A CMD é um mecanismo que está disponível para os cidadãos residentes em Portugal e que permite fazer uma autenticação em sites online de entidades públicas - Portal das Finanças por exemplo - e privadas, utilizando o telemóvel ou o email. Ou seja, é uma ferramenta que valida a identidade do cidadão em serviços online. Foi criada pelo Governo para simplificar o acesso a diferentes serviços, pois com um único login é possível aceder a várias plataformas.
Ao ter acesso à CMD de um cidadão, um potencial criminoso ganha acesso a um conjunto de informações e serviços que pode fazer em nome dessa pessoa. Pode por exemplo aceder ao portal das Finanças, ao portal da Saúde, da Segurança Social, Registo Criminal Online e ao portal do Instituto de Mobilidade e Transportes. A CMD permite também assinar eletronicamente documentos em formato PDF.
Além de um número de telemóvel ou email, o utilizador tem de autenticar-se com dois códigos numéricos: o PIN, que definiu no ato de ativação da CMD, e um segundo código temporário único que recebe por SMS ou email. “A segurança do sistema advém precisamente da natureza conjugada dos dois tipos de segredo (um fixo, só de conhecimento do titular, outro variável e gerado aleatoriamente, tal como sucede em sistemas multifator usados já em soluções comerciais de homebanking)”, explica a AMA.
A agência, contudo, não revela os números atuais de utilizadores da CMD ativos. Os últimos dados contabilizam 60 mil até finais de 2017. Importa referir que as falhas de segurança foram detetadas no site oficial da Chave Móvel Digital e não no sistema em si.
Como pode ser roubada e utilizada informação pessoal
Illya Gerasymchuk detetou quatro problemas. Dois dos quais são cruciais. Um deles é uma vulnerabilidade que permite injetar código malicioso no site, conhecida como site-crossscripting (XSS). O outro permite descobrir quais os números de telemóvel que já estão registados no serviço Chave Móvel Digital.
De referir que estas falhas e outros problemas de segurança foram encontrados em apenas 30 minutos.
O estudante de engenharia explica que estas duas falhas do site não permitem o roubo direto de identidade de utilizadores, mas abrem portas para que isso possa acontecer, sobretudo quando conjugadas. Por exemplo, um pirata informático depois de saber que um determinado número de telemóvel está registado na CMD, pode focar-se nessa vítima em específico.
Por exemplo, através de ferramentas online que são de fácil acesso, seria possível um hacker enviar uma mensagem à vítima com a identificação ‘CMD’, na tentativa de se fazer passar pela plataforma oficial, explicou Illya Gerasymchuk ao Dinheiro Vivo. Caso o utilizador fosse enganado para entrar numa versão modificada do site, por exemplo, podia entregar inadvertidamente os seus dados a piratas informáticos.
Duas falhas já confirmadas por um outro especialista
Um investigador independente, João Pena Gil, diretor de segurança informática na empresa IT Sector, confirmou a existência destas duas vulnerabilidades.
“É de facto um cross-site scripting (XSS) válido - confirmei que ainda estava vulnerável [dia 14] -, que pode permitir a extração remota de credenciais de acesso. A única forma do utilizador se proteger contra este ataque - enquanto a vulnerabilidade não é mitigada no portal -, é mesmo escrevendo manualmente na barra de endereços do browser autenticacao.gov.pt e não [acedento ao site] através de links, que poderão ser maliciosos”, explica o especialista em resposta enviada ao Dinheiro Vivo por email.
Em relação ao problema de identificação dos números de telemóvel, João Pena Gil refere que “um atacante que enumere todos os números de telemóvel válidos na CMD, poderá levar essa lista até ao Facebook (ou serviço semelhante) e efetuar pesquisas por número de telefone, onde poderá correlacionar mais dados sobre os cidadãos que lhe permitam montar um ataque de phishing relativamente difícil de detetar (alavancando o XSS da página de autenticação)”.
Por seu turno, a AMA garante que “a Chave Móvel Digital (CMD) é um serviço público inovador e seguro” e que a forma como o sistema de autenticação está desenhado segue “as melhores práticas internacionais”.
Mas há mais vulnerabilidades?
No seu blogue, Illya Gerasymchuk aponta outros dois problemas de segurança associadas ao site da Chave Móvel Digital. O primeiro está relacionado com o facto de o utilizador só precisar de definir uma palavra-passe numérica (PIN) com quatro a oito números - sem incluir letras e símbolos. O estudante de 23 anos defende que a definição de uma palavra-passe constituída apenas por números pode ser descoberta através de tentativas múltiplas (ataques brute force) feitas por um computador com boa capacidade de processamento.
Neste ponto, João Pena Gil tem uma visão diferente e lembra que a ferramenta tem associada um mecanismo de proteção por tempo - ou seja, depois de três tentativas falhadas de autenticação, é preciso esperar três minutos para tentar novamente e, na tentativa seguinte falhada, será preciso esperar mais cinco minutos, até que uma nova falha determina o bloqueio. Mas por muito tempo que possa ser necessário, a verdade é que o facto de as passwords contemplarem apenas números - e às vezes só quatro números - tornam a tarefa mais fácil.
“Devia pelo menos ser permitida a opção de [definir] uma palavra-passe de maior complexidade aos utilizadores mais sofisticados - ou que se preocupem mais com a segurança -”, defende João Pena Gil.
“Tal como acontece com os códigos PIN de outros sistemas (nomeadamente os cartões bancários), o formato de PIN utilizado pela CMD garante ambos os objetivos: segurança e conveniência na utilização”, defende por seu lado a AMA. Sobre possíveis ataques por tentativas múltiplas, os chamados brute force, a agência esclarece que muitas tentativas de acesso “culminam com o bloqueio completo da conta de CMD”.
O quarto problema identificado por Illya Gerasymchuk está relacionado com uma falha no sistema de fim de sessão do site da Chave Móvel Digital - na prática o utilizador fazia ‘log out’, mas apenas se fechasse o navegador de internet é que isso surtia efeito. Um refresh (atualização) na página ou a abertura de um novo separador não era suficiente para fazer ‘esquecer’ a sessão antiga. Foi inclusive publicado um vídeo que atesta este problema.
https://www.youtube.com/watch?time_continue=49&v=f5I1wwP0_UM
Ainda que este seja um problema de segurança válido, acaba por não ser tão preocupante, como justifica João Pena Gil. “O quarto ponto referido é o menos crítico de todos, pois um atacante que pretenda abusar da falha do logout não destruir a sessão atual necessita de alguma forma já ter acesso aos cookies de sessão da vítima, o que sugeriria um acesso privilegiado já existente ou o abuso de uma outra falha mais crítica”.
A AMA confirmou ao Dinheiro Vivo que já corrigiu este problema. “A situação reportada refere-se apenas à área reservada de um site (que permite a adesão ao sistema de certificação de atributos empresariais). Este serviço usa a Chave Móvel Digital, tal como outros sites públicos. Assim, o comportamento registado diz apenas respeito à configuração deste site, e não ao serviço de autenticação CMD. Embora se trate de um aspeto de configuração desta área reservada, esclarecemos ainda que este site específico foi entretanto alterado para evitar futuras interpretações ou ocorrências semelhantes”.
“Finalmente, não podemos deixar de agradecer as questões, bem como todos os alertas e contributos que nos permitem melhorar o uso, comunicação e renovação dos sistemas públicos de governo eletrónico. Estamos igualmente sempre recetivos para robustecer práticas de segurança quando tal ficar evidente e se manifestar necessário, o que não acontece nas situações reportadas”, defende a agência.