Cartão de Cidadão tem problemas de segurança e assinaturas

Propaganda
Com a devida vénia transcrevemos artigo publicado na edição de hoje do Jornal de Negócios on line
Cartão de Cidadão tem problemas de segurança e
assinaturas podem ser falsificadas
Filomena Lança - [email protected]
Investigadores da Universidade de Coimbra dizem que o software do cartão tem falhas que o tornam
acessível a qualquer pirata informático. A Agência para a Modernização Administrativa, que gere o
cartão, diz que nunca houve nenhum problema.
O software associado ao Cartão de cidadão apresenta falhas de segurança que permitem desbloquear
assinaturas digitais e falsificá-las. O alerta foi lançado por Francisco Rente, investigador da Faculdade de
Ciências e Tecnologia da Universidade de Coimbra (FCTUC), segundo o qual o problema reside no software
"inicialmente desenhado para integrar serviços do Estado como sejam o portal das Finanças, portal do
Cidadão ou o da Empresa".
Francisco Rente, que coordena o Computer Security Incident Response Team (CERT/IPN), salienta que quem
desenhou a arquitectura geral do software "descartou a possibilidade do computador dos utilizadores estar
infectado".Assim, se isso acontecer, torna-se possível que um pirata informático possa "não só saber o pin
[chave de acesso] que desbloqueia as assinaturas do cartão de cidadão como falsificar a assinatura
digitalmente", avisa o especialista em declarações à agência Lusa.
"O problema não está no cartão físico, que é extremamente seguro, mas sim no software. Quem vá fazer uma
assinatura digital no Portal das Finanças ou Portal da Empresa pode ver os seus dados capturados levando à
possibilidade da assinatura ser falsificada vezes sem conta", avisa Francisco Rente.
O especialista revela que alertou a Agência para a Modernização Administrativa (AMA) em 2007,durante a
realização de um seminário técnico sobre o cartão de cidadão "mas nada foi feito".
Segundo a Lusa, já na semana passada, num fórum da Internet especializado em tecnologia, um
programador informático também assinalou uma falha de segurança "no mecanismo de emissão de
assinaturas" digitais, associada à utilização do cartão em sistemas operativos Linux. Ricardo Mendes disse à
Lusa que a falha foi identificada há cerca de dois meses e sublinha tê-la "reportado de imediato" aos serviços
do Cartão de Cidadão, "mas ainda hoje continua por resolver".
E refere também outros "elos fracos" no software, apontando a forma como é pedido ao utilizador que insira
a chave de acesso. O sistema "ao invés de usar teclados virtuais como nos serviços bancários online, usa uma
janela com uma caixa de texto. Este mecanismo é bastante
inseguro pois caso exista [no computador] algum keylogger [programa malicioso que regista secretamente
tudo o que é introduzido pelo teclado] o pin poderá facilmente ficar comprometido", explicou.
A Lusa confrontou a AMA com estes alertas e acusações, mas foi garantido que "nenhum problema de
segurança foi, até à data, identificado no software que sustenta a utilização do Cartão de Cidadão".E a
mesma fonte acrescentou que a Agência desconhece que tenham sido feitos quaisquer alertas, indicando que
os processos de utilização do Cartão de Cidadão, sistemas, software e infraestruturas "são alvo de auditorias
periódicas por entidades externas e independentes". Estas auditorias - como é o caso de uma, actualmente
em curso, a realizar pela Universidade do Minho na sequência dos problemas com o Cartão de Cidadão nas
eleições presidenciais - "asseguram uma monitorização e melhoria contínua, nomeadamente em termos de
segurança", frisou a mesma fonte.
2011-05-24
Download