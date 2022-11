Os serviços de correio eletrónico são seguros em Portugal? José Legatheaux Martins, presidente do Capítulo Português da Internet Society (ISOC PT), responde com base no mais recente estudo sobre a segurança da Internet em Portugal: “As grandes marcas que disponibilizam serviços de e-mail para o público em geral fazem um trabalho razoável, mas as empresas que implementam os seus próprios serviços e que não recorrem ao alojamento de correio eletrónico junto de empresas especializadas estão, geralmente, numa situação frágil”, refere o responsável do ISOC PT.

A fragilidade em que operam os serviços de e-mail das empresas é apenas uma das conclusões mais alarmantes do Diagnóstico do Estado da Adoção de Normas de Segurança da Internet Portuguesa, que acaba de ser lançado pelo Capítulo Português daquela que é uma das principais entidades de definição de normas e standards na Internet.

Também na implementação de tecnologias de segurança que garantem a legitimidade de servidores e endereços de Internet, o panorama está longe do desejado.

O Diagnóstico apresentado pelo ISOC PT recorre aos números para fundamentar a apreciação negativa quanto à falta de segurança do correio eletrónico: “A observação do estado da segurança do ecossistema de correio eletrónico em Portugal revela resultados bastante deficientes e necessidade de correções significativas. Na maior parte das entidades observadas, as classificações, (…) numa escala de 0 a 100, são francamente insuficientes (em geral abaixo de 50 e em grande parte abaixo de 30)”, refere o relatório produzido pelo ISOC PT

Legatheaux Martins considera que o estado de fragilidade em que se encontra a generalidade dos serviços de correio eletrónico que as empresas providenciam aos respetivos clientes e profissionais “é grave, porque facilita os ciberataques, como o phishing (em que um cibercriminoso se faz passar por alguém que não é)”. “O e-mail é das coisas mais usadas para lançar ataques”, frisa Legatheaux Martins.

Na origem destas fragilidades, está o "facto de quase ninguém usar soluções de cifra” e ainda a adoção incompleta ou deficiente de normas de segurança como a SPF e DMARC, por parte de empresas que gerem os seus serviços de correio eletrónico.

Legatheaux Martins admite mesmo que, em muitos casos, a adoção de normas como a DMARC ou a SPF poderão não chegar para impedir ciberataques através de e-mails forjados.

Segundo o presidente do ISOC PT, que também é um veterano da Internet e dá aulas na Universidade Nova de Lisboa, “quase ninguém implementa a norma DNSSEC". "O que significa que continua a ser possível lançar ataques contra os diferentes serviços, mesmo que tenham adotado as normas SPF e DMARC”, refere o responsável do ISOC PT.

As normas DMARC (de Domain-Based Message Authentication Message Conformance) e SPF (de Sender Policy Framework) pretendem garantir a legitimidade dos e-mails enviados pelos diferentes serviços dispersos pelo mundo. A DNSSEC foi desenvolvida com o propósito de garantir que um domínio da Internet, como por exemplo expresso.pt, é legítimo.

HTTPS em falta

Ainda nas normas de segurança usadas para navegar na Web, o ISOC PT aponta o dedo à adoção da versão segura do Protocolo de Transferência de Hipertexto, que os internautas conhecem pela sigla HTTPS que costuma surgir no endereço de navegação na Internet.

O relatório do ISOC PT analisou os 1000 sites mais populares de Portugal e acabou por apurar que cerca de 48% desses endereços usam uma camada de criptografia sobre o HTTPS, considerada desatualizada e insegura.

“Dada a situação atualmente observada, as ações indicadas permitiriam avançar para uma base mais sólida de defesa e mitigação de vulnerabilidades que podem ser articuladas com outros vetores de ataques à Web portuguesa, quer no plano de vulnerabilidades de serviços e aplicações Web, quer na correção a curto prazo de deficiências muito gritantes que se verificam em alguns sectores e instituições observadas”, refere o Diagnóstico do ISOC PT, sobre a adoção de normas e tecnologias de segurança pelos maiores sites nacionais.

A gravidade deste cenário tende a aumentar, se se tiver em conta que muitos destes endereços que não têm o HTTPS devidamente protegido são usados para a troca de informação confidencial ou sensível com os internautas. “Com as exceções da Autoridade Tributária ou dos endereços do Governo, a maioria dos sites dos serviços da Administração Pública tem um baixo nível de segurança… e há várias empresas de várias áreas do sector privado que também não têm resultados “famosos”. Uma delas está mesmo no índice PSI20 (da Bolsa portuguesa)”, refere Legatheaux Martins.

Além de hospitais e sector da cultura, o presidente do ISCO PT refere mais dois casos pouco animadores. “O site da Segurança Social tem proteções baixíssimas. E o site da Comissão Nacional de Eleições não tem qualquer tipo de segurança”, refere.

Os serviços de alojamento de sites também passaram pelo crivo do ISOC PT – e nem todos ficaram com razões para sorrir no final. Depois de analisada a adoção de diferentes normas e tecnologias de segurança, o ISOC PT divide os seis maiores prestadores de serviços de alojamento de sites em dois grupos: um primeiro grupo que tem uma prestação positiva em termos de segurança e um segundo grupo com resultados negativos. No primeiro grupo figuram a Domínios, a Sampling e a OVH, enquanto no segundo grupo encontram-se a Amen, a PTISP e a WEBSP, refere Legatheaux Martins.

O diagnóstico levado a cabo pelo ISOC PT também incidiu sobre as práticas de segurança dos operadores de telecomunicações, no que toca às funções de acesso à Internet. “Os operadores estão a começar a tomar medidas para evitar o desvio de tráfego da Internet (para endereços maliciosos), mas esse trabalho ainda não está terminado”, conclui José Legatheaux Martins.