Assinaturas digitais do Cartão do Cidadão não estão protegidas
Hoje às 12:06
Especialistas em segurança informática alertam para a existência de falhas de segurança no software que está associado ao Cartão do Cidadão, que podem levar a falsificações de assinaturas.
O software que inicialmente foi desenhado para fazer parte dos serviços do Estado, como o portal das Finanças ou o portal do Cidadão, pode infectar o computador.
Contactado pela agência Lusa, Francisco Rente, investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra, explicou que basta um determinado software estar infectado para que um pirata informático tenha facilidade em saber a chave de acesso que desbloqueia as assinaturas do Cartão do Cidadão e em falsificar a assinatura digital.
Em causa não está o cartão físico, que, garante o especialista, é extremamente seguro, mas sim a aplicação informática.
Quem fizer uma assinatura digital, por exemplo no portal das Finanças, corre o risco de ver os dados capturados existindo mesmo a possibilidade da assinatura ser falsificada vezes sem conta.
Já houve outros alertas sobre esta matéria, tendo em conta que o que pode estar aqui em causa é uma questão de severa violação de segurança.
Francisco Rente garantiu que já alertou a Agência para a Modernização Administrativa em 2007, precisamente num seminário sobre o Cartão do Cidadão, e lamentou que até agora nada tenha sido feito.
Ouvida pela Lusa, uma fonte da Agência para a Modernização Administrativa garantiu que, «nenhum problema de segurança foi, até à data, identificado no software que sustenta a utilização do Cartão de Cidadão».
A fonte disse que a Agência para a Modernização Administrativa desconhece o alerta dos investigadores, indicando que os processos de utilização do Cartão do Cidadão, sistemas, software e infraestruturas «são alvo de auditorias periódicas por entidades externas e independentes».
Ana Sofia Freitas

Software do Cartão do Cidadão tem falhas e permite falsificação de assinaturas
24 de Maio, 2011
Especialistas em segurança informática da Universidade de Coimbra afirmam que existem falhas de segurança ao nível do software associado ao Cartão de Cidadão (CC) que permitem desbloquear assinaturas digitais e falsificá-las.
De acordo com Francisco Rente, investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC), o problema reside no software "inicialmente desenhado para integrar serviços do Estado como sejam o portal das Finanças, portal do Cidadão ou o da Empresa".

Em declarações à agência Lusa, o também coordenador do Computer Security Incident Response Team (CERT/IPN) argumenta que quem desenhou a arquitectura geral do software “descartou a possibilidade do computador dos utilizadores estar infectado”.

Caso o computador de um qualquer utilizador esteja infectado com determinado software, existe a possibilidade de um pirata informático "não só saber o pin [chave de acesso] que desbloqueia as assinaturas do cartão de cidadão como falsificar a assinatura digitalmente", avisou.

“O problema não está no cartão físico, que é extremamente seguro, mas sim no software. Quem vá fazer uma assinatura digital no Portal das Finanças ou Portal da Empresa pode ver os seus dados capturados levando à possibilidade da assinatura ser falsificada vezes sem conta”, acrescentou.

Francisco Rente diz ter alertado a Agência para a Modernização Administrativa (AMA), em 2007, durante um seminário técnico sobre o cartão de cidadão “mas nada foi feito”, acusou.

Outros investigadores, António Damasceno e André Martins, também estudaram o que garantem ser uma “severa violação de segurança” associada à utilização do CC, alertando para a necessidade do software utilizado ser “devidamente certificado”, algo a que a lei portuguesa não obriga, explicam.

No estudo, os autores dizem que qualquer prestador de serviços pode implementar o seu próprio programa informático de suporte à assinatura digital de documentos.

Esse software “pode ser desenhado de maneira a levar um utilizador a assinar contra a sua vontade”, alegam.

Na semana passada, num fórum da Internet especializado em tecnologia, um programador informático também assinalou uma falha de segurança “no mecanismo de emissão de assinaturas” digitais, associada à utilização do cartão em sistemas operativos Linux.

Ricardo Mendes disse à Lusa que a falha foi identificada há cerca de dois meses e sublinha tê-la “reportado de imediato” aos serviços do CC “mas ainda hoje continua por resolver”, sustenta.

Refere outros “elos fracos” no software, apontando a forma como é pedido ao utilizador que insira a chave de acesso.

O sistema “ao invés de usar teclados virtuais como nos serviços bancários online, usa uma janela com uma caixa de texto. Este mecanismo é bastante inseguro pois caso exista [no computador] algum keylogger [programa malicioso que regista secretamente tudo o que é introduzido pelo teclado] o pin poderá facilmente ficar comprometido”, explicou.

Ouvida pela Lusa, fonte AMA garantiu que, “nenhum problema de segurança foi, até à data, identificado no software que sustenta a utilização do Cartão de Cidadão”.

A fonte disse que a AMA desconhece o alerta dos investigadores, indicando que os processos de utilização do CC, sistemas, software e infra-estruturas “são alvo de auditorias periódicas por entidades externas e independentes”.

As auditorias – umas das quais, da Universidade do Minho, se encontra em curso – “asseguram uma monitorização e melhoria contínua, nomeadamente em termos de segurança”, frisou.