Watch live streaming video from occupynyc at livestream.com

quarta-feira, 25 de maio de 2011

Cartão do Cidadão permite falsificar assinaturas desde 2007


O alerta acaba de ser lançado por um investigador da Faculdade de Ciências e Tecnologia da Universidade de Coimbra (FCTUC): o Cartão do Cidadão tem falhas de segurança, que permitem falsificar assinaturas digitais.

Em declarações recolhidas pela Agência Lusa, o investigador Fernando Rente informa que o Cartão do Cidadão (CC) tem uma falha ao nível do software que permite desbloquear assinaturas digitais e proceder à falsificação das mesmas. A vulnerabilidade foi detetada no software criado inicialmente para integrar os serviços dos portais das Finanças, do Cidadão e da Empresa.

O investigador, que também é coordenador do Computer Security Incident Response Team (CERT/IPN), diz que a falha de segurança se deve ao facto de a arquitetura do software usado pelo CC ter sido criada sem ter em conta eventuais infeções nos computadores dos utilizadores, que poderiam ser aproveitadas por hackers para obter o PIN que desbloqueia as assinaturas digitais.

Fernando Rente acrescenta que alertou a Agência de Modernização Administrativa (AMA) para a falha em 2007, mas reitera que nada terá sido feito depois desse alerta.

A vulnerabilidade, que já foi confirmada por outros especialistas em segurança eletrónica, não será a única.

Ricardo Mendes, outro especialista em segurança eletrónica que analisou o CC, diz que este documento apresenta ainda uma vulnerabilidade quando usado em sistemas operativos Linux, disponibilizando uma caixa de texto para a inserção do PIN, em vez do teclado virtual, que já se banalizou nos serviços de banca online. Esta vulnerabilidade já terá sido encaminhada para a AMA há cerca de dois meses.

A Agência que gere o CC já reagiu aos alertas, reiterando que, até à data, ainda não foi detetado qualquer vulnerabilidade no software do CC.

A AMA acrescenta que desconhece qualquer alerta dos investigadores da FCTUC e lembra ainda que os sistemas, o software e as infraestruturas usadas pelo CC são auditadas periodicamente por entidades externas.


Sem comentários:

Enviar um comentário

Related Posts Plugin for WordPress, Blogger...