Quanto tempo deve demorar a correção de vulnerabilidades críticas depois de serem reportadas? Idealmente, o mais rápido possível. No entanto, como revela uma investigação realizada por Mário Lima, investigador de segurança informática, vulnerabilidades críticas em portais do governo português demoraram até quatro anos para serem corrigidas.

O investigador, que partilhou recentemente os resultados numa publicação no seu blog, levanta também questões sobre a falta de proteção para investigadores de segurança que descobrem e reportam vulnerabilidades de forma ética, uma vez que, em Portugal, não existe um mecanismo nacional de CVD (Coordinated Vulnerability Disclosure).

Como realça Mário Lima, existem muitos investigadores da área segurança que recorrem ao processo de divulgação ética para reportar vulnerabilidades críticas, “mesmo que não existam diretrizes formais estabelecidas para o fazer de forma segura”.

Porém, é possível que existam ainda mais pessoas que encontraram falhas de segurança críticas em portais governamentais, mas que têm receio de as reportar devido a essa mesma falta de diretrizes de divulgação.

Domínios web das 500 maiores empresas portuguesas têm fragilidades preocupantes de segurança
Domínios web das 500 maiores empresas portuguesas têm fragilidades preocupantes de segurança
Ver artigo

Em 2020, um ano em que a pandemia de COVID-19 “baralhou” as tendências no mundo da cibersegurança, o investigador decidiu verificar o quão vulneráveis eram os portais governamentais em Portugal.

Como explica, durante este processo encontrou uma vulnerabilidade de upload arbitrário de ficheiros que permitia a execução de código num sistema de plataformas usado em portais governamentais portugueses, sendo um deles portugal.gov.pt.

Foi realizada uma prova de conceito de execução de código e um relatório foi enviado imediatamente ao CERT.PT, detalhando a falha de segurança.

Embora a vulnerabilidade tenha sido corrigida em portugal.gov.pt num período de dias, o mesmo não se pode aplicar aos restantes portais em que a vulnerabilidade foi detetada, num processo de correção que chegou a demorar anos, como é possível ver na timeline partilhada pelo investigador.

Vulnerabilidades críticas em portais do governo português demoraram quatro anos para serem corrigidas
créditos: Mário Lima

O investigador indica que “o CERT de Portugal, Masterlink e as principais entidades governamentais como CEGER, DGS e SGE agiram rapidamente na correção da vulnerabilidade e as suas entidades afetadas”. No entanto, outros websites governamentais não seguiram o mesmo processo de mitigação rápida.

A falta de recursos humanos e financeiros do CERT.PT é apontada como um dos principais factores que impactam a forma como enfrenta as divulgações de falhas de segurança mais complexas e que dizem respeito a entidades públicas. A possível falta de diretrizes adequadas para que o CERT.PT possa impor correções de vulnerabilidades nas entidades governamentais é outro dos motivos apontados.

Além de auditorias regulares de segurança ofensiva por parte da maioria das entidades do sector público, Portugal ainda não tem um CVD nacional, que permitiria proteger legalmente os investigadores e facilitaria a coordenação com as entidades afetadas, aponta o investigador.

Apesar disso, como detalhado num relatório de 2022 da Agência Europeia para a Segurança das Redes e da Informação (ENISA), está a ser desenvolvida uma proposta para um CVD em Portugal, aponta o investigador, realçando a necessidade de mais financiamento e recursos humanos atribuídos ao CERT.PT e ao Centro Nacional de Cibersegurança (CNCS).