Pensado para alertar para comportamentos de risco online e combater o cyberbulling — e apesar de ter descrito como objetivos a "promoção de uma utilização segura da Internet" e a "consciencialização da sociedade para os riscos associados à utilização da Internet"—, o website da Internet Segura está com problemas de segurança.
O episódio foi registado por João Pina, o programador responsável pelo Fogos.pt, com alguma ironia, na rede social Twitter: o website da iniciativa Internet Segura é, ele próprio, inseguro.
No cerne da utilização da Internet está o HTTP, o Protocolo de Transferência de Hipertexto responsável por fazer a comunicação entre os servidores — onde está a informação do website — e os clientes que navegam online. Se olhar para o canto superior esquerdo desta página, encontrará estas letras antes do endereço do website.
Contudo, para que um website consiga assegurar que a troca de informações entre as duas partes é privada, é necessário utilizar um protocolo de segurança, chamado TLS. Este, explicou João Pina ao SAPO24, “encripta as comunicações entre o site e a pessoa, ou seja, se alguém pelo meio tentar intercetar os pedidos, essa pessoa vai ver um monte de lixo em vez de ver em texto o que é que está ali a acontecer.”
Se o protocolo de encriptação não foi aplicado, a intercepção da informação já é possível. “A password vai em texto e uma pessoa que esteja a ver essa rede pode ver a password e fazer login com as minhas credenciais”, exemplifica João Pina.
É por isso que os websites atualmente são configurados em HTTPS, sendo que o “S” significa “Secure” (“Seguro”) e indica que o protocolo TLS está a ser aplicado. “Hoje em dia não há um único banco, uma única entidade que não tenha o seu site com TLS, é completamente fundamental”, adianta o programador.
Contudo, ter o protocolo TLS não é suficiente para que o site esteja seguro, é preciso que esteja bem configurado, o que não acontece com o website da Internet Segura. “Eles têm o certificado TLS, ou seja, se acedermos com HTTPS a página abre com segurança”, diz João Pina. Na prática, isto significa que digitando “https://www.internetsegura.pt” entra-se neste website de forma segura.
O problema, adianta o responsável pelo Fogos.pt, é que “quem acede diretamente, como foi o meu caso - e eu até segui um link que foi partilhado por um deputado - não é feito o redirecionamento para HTTPS”. Por outras palavras, digitando “www.internetsegura.pt” ou “http://www.internetsegura.pt”, o website é apresentado de forma insegura porque este não garante que o protocolo TLS está a ser aplicado.
Na primeira imagem pode ler "not secure" imediatamente antes da barra de endereço, que significa "inseguro". Na segunda imagem pode ver um cadeado, que significa que o site é "seguro".
Marco Almeida também identificou este problema. O autor do blog Wonderm00n, também ele programador, recorda ao SAPO24 que “há dois ou três anos atrás, 80% ou 90% dos sites trabalhavam em HTTP e não em HTTPS”, mas que “as boas práticas de hoje em dia dizem que o site deve trabalhar, por omissão, em HTTPS” e que “quando uma pessoa acede a um site por HTTP, este deve redirecionar automaticamente para a versão segura”.
Não tendo um formulário para fazer “login” com um e-mail e uma password, o facto do website da Internet Segura poder ser acedido de forma insegura não é muito perigoso. Contudo, para João Pina, o problema vai para além disso, pois “eles têm o certificado, está comprado, até podiam dizer que é caro e que não tinham capacidade para o comprar, mas ele até lá está”.
A falha de segurança, adianta o programador, deve-se a “um problema de configuração” que demora “30 segundos a resolver”, mas que é comum porque são “configurações de que as pessoas se esquecem, que ficam perdidas”. Para si, sendo esta a sua área de trabalho, é algo que está “completamente interiorizado”, mas que “na cultura do Estado ainda não acontece”, especialmente porque muitos dos trabalhos ocorrem por outsourcing, “são coisas que não estão refletidas em cadernos de encargos ou contratos e acabam por ficar abandonadas.”
No entanto, se o caso do Internet Segura demonstra essa falha de segurança sem ameaçar ter consequências graves, o mesmo não se pode dizer do Seguranet.pt, um website criado em 2004 com o intuito de promover “a navegação segura, crítica e esclarecida da Internet e dos dispositivos móveis nas comunidades educativas”. Neste caso, o website tem uma zona de registo e de login para aceder a materiais educativos.
Marco Almeida alerta que aqui o caso “já é grave porque já existe um registo e nem sequer se está a forçar a navegação segura”, ou seja, em última análise, é possível roubar a password a quem navegue neste website. Tal como ocorre com o Internet Segura, diz o programador, “o certificado foi pago e instalado, mas depois houve incompetência de não se fazer com que o site esteja sempre a ser forçado a navegar em HTTPS”, sendo para si irónico que isto ocorra “em sites de segurança em que são gastos fundos da República Portuguesa e que são financiados pela União Europeia”.
Segundo a informação prestada no website do Internet Segura, o projeto surge de um “consórcio coordenado pela FCT — Fundação para a Ciência e Tecnologia, e que também envolve a DGE - Direção Geral da Educação do Ministério da Educação, a Fundação para a Computação Científica Nacional – FCCN, IPDJ — Instituto Português do Desporto e Juventude, e a Microsoft Portugal”, enquadrando-se no âmbito do programa europeu Safer Internet Plus. Já o Seguranet é “da responsabilidade da Direção-Geral da Educação/Equipa de Recursos e Tecnologias Educativas”, fazendo parte do “consórcio público-privado Centro Internet Segura”.
Contactada pelo SAPO24, uma fonte do Gabinete de Comunicação da FCT disse que a fundação ainda não tinha sido informada da falha de segurança. A mesma fonte informou que os técnicos informáticos da FCT encontravam-se num seminário dedicado à temática da segurança na Internet a decorrer durante todo o dia no auditório da Reitoria da Universidade da Madeira.
Comentários