Foi em 2014 que o maior ataque realizado à magistratura aconteceu. Mas nem por isso cinco anos depois as coisas estão melhor. Os erros continuam bem visíveis.

No dia 25 de fevereiro de 2014 o Tugaleaks dava conta de um ataque onde os Anonymous divulgavam nomes e telemóveis de Procuradores do Ministério Público devido a uma falha de segurança.
Depois disto, já este ano, foi divulgado também pelo Tugaleaks que o Ministério Público gastou 159 mil euros em sistema informático que só auditou após sofrer os referidos ataques informáticos.

Depois disto tudo, e cinco anos depois do primeiro ataque, continuam a existir falhas de segurança mais do que evidentes. Uma delas prende-se com a segurança digital e os certificados digitais.

Um certificado digital, mais conhecido como SSL (que em inglês significa secure sockets layer) é a forma de garantir que quando visitas um site a informação não pode ser espiada – no seu sentido literal – por quem estiver a monitorizar a tua rede. Isto é tão importante que há cerca de um ano o Google decidiu marcar os sites sem HTTPS (sem certificados SSL) como não seguros, aparecendo esta informação ao lado da barra de endereços.

Sites do Ministério Público mal configurados

O primeiro site em análise é o site da Procuradoria-Geral Distrital de Lisboa, com o endereço http://www.pgdlisboa.pt/. Ao entrarmos no website, obtemos a mensagem de não seguro, e se trocarmos o “http” para “https” manualmente obtemos um site não funcional. Mais, uma verificação do certificado da página, dá conta de que o certificado, comprado com o dinheiro público, foi emitido para pgr.pt mas instalado em pgdlisboa.pt

Já no site do Ministério Público, com o endereço http://www.ministeriopublico.pt/, se pretendermos aceder e alterar manualmente o “http” para “https”, somos redirecionados para um site com “http”, isto, é redirecionados da segurança para a insegurança. De forma propositada e deliberada. 

Por último, o site de denúncias ao Ministério Público, o SIMPP, também está inseguro. No endereço https://simp.pgr.pt/dciap/denuncias/, caso alguém pretenda apresentar uma denúncia, e consulte o estado do certificado de segurança, vai, à data desta publicação, encontrar a seguinte informação:

Ou seja, embora com certificado SSL, este website não cumpre as regras básicas para garantir que o certificado está corretamente configurado. Por outras palavras, é inseguro apresentar uma queixa neste Portal, podendo a informação ali introduzida estar incorretamente encriptada e protegida. Recorde-se que o site permite denúncias anónimas. 
Mais, de acordo com a mesma fonte documentada acima, o website usa PHP 5.5.36, que tem mais de vez vulnerabilidades conhecidas.

Especialistas em segurança com medo de falar

O Tugaleaks contactou cerca de meia dezena de especialistas de segurança. No contacto, relatou os problemas e enviou cópia do e-mail onde estavam explicados os problemas descritos acima que foi também enviado ao Gabinete de Imprensa da Procuradoria Grela da República. Desta entidade, obtivemos silêncio.

Apenas um dos especialistas contactados afirmou ao Tugaleaks que, sob anonimato, esta “é uma situação que se resolve em cinco minutos” e que “não custa dinheiro algum aos contribuintes”. Afirma ainda que “muito pouca gente fala nisto” mas “devia ser muito mais falado”.

 

Bem sabemos que estas análises técnicas são difíceis de entender ao comum cidadão. No entanto, a análise em si é clara e demonstra que com um pouco de vontade institucional, tudo isto se poderia resolver.

 

Conheces situações que queiras denunciar?
Podes fazer isso de forma anónima, aqui.