Falhas de segurança no software permitem falsificar assinaturas digitais do Cartão de Cidadão

0
67
Cartão de Cidadão

Cartão de CidadãoEspecialistas em segurança informática da Universidade de Coimbra afirmam que existem falhas de segurança ao nível do software associado ao Cartão de Cidadão (CC) que permitem desbloquear assinaturas digitais e falsificá-las.

 De acordo com Francisco Rente, investigador da Faculdade de Ciências e Tecnologia da Universidade de Coim-bra (FCTUC), o problema reside no software “inicialmente desenhado para integrar serviços do Estado como sejam o portal das Finanças, portal do Cidadão ou o da Empresa”.
 O também coordenador do Computer Security Incident Response Team (CERT/IPN) argumenta que quem desenhou a arquitectura geral do software “descartou a possibi-lidade do computador dos utilizadores estar infetado”.

 Caso o computador de um qualquer utilizador esteja infectado com determinado software, existe a possibilidade de um pirata informático “não só saber o pin [chave de acesso] que desbloqueia as assinaturas do cartão de cidadão como falsificar a assinatura digitalmente”, avisou.
 “O problema não está no cartão físico, que é extremamen-te seguro, mas sim no software. Quem vá fazer uma assinatura digital no Portal das Finanças ou Portal da Empresa pode ver os seus dados capturados levando à possibilidade da assinatura ser falsificada vezes sem conta”, acrescentou.
 Francisco Rente diz ter alertado a Agência para a Modernização Administrativa (AMA), em 2007, durante um seminário técnico sobre o cartão de cidadão “mas nada foi feito”, acusou.
 Outros investigadores, António Damasceno e André Martins, também estudaram o que garantem ser uma “severa violação de segurança” associada à utilização do CC, alertando para a necessidade do software utilizado ser “devidamente certificado”, algo a que a lei portuguesa não obriga, explicam.
 No estudo, os autores dizem que qualquer prestador de serviços pode implementar o seu próprio programa informático de suporte à assinatura digital de documentos.

 Esse software “pode ser desenhado de maneira a levar um utilizador a assinar contra a sua vontade”, alegam.
 Recentemente, num fórum da Internet especializado em tecnologia, um programador in-formático também assinalou uma falha de segurança “no mecanismo de emissão de assinaturas” digitais, associada à utilização do cartão em sistemas operativos Linux.
 Ricardo Mendes disse que a falha foi identificada há cerca de dois meses e sublinha tê-la “reportado de imediato” aos serviços do CC “mas ainda hoje continua por resolver”, sustenta.

 Refere outros “elos fracos” no software, apontando a forma como é pedido ao utilizador que insira a chave de acesso.
 O sistema “ao invés de usar teclados virtuais como nos serviços bancários online, usa uma janela com uma caixa de texto. Este mecanismo é bastante inseguro pois caso exis-ta [no computador] algum keylogger [programa malicioso que regista secretamente tudo o que é introduzido pelo teclado] o pin poderá facilmente ficar comprometido”, explicou.
 Fonte da AMA garantiu que, “nenhum problema de segurança foi, até à data, identificado no software que sustenta a utilização do Cartão de Cidadão”.

A fonte disse que a AMA des-conhece o alerta dos investigadores, indicando que os processos de utilização do CC, sistemas, software e infraestruturas “são alvo de auditorias periódicas por entidades externas e independentes”.
 As auditorias – umas das quais, da Universidade do Minho, se encontra em curso – “asseguram uma monitorização e melhoria contínua, no-meadamente em termos de segurança”, frisou.