Por Hugo Miranda e José Legatheaux Martins

A grande maioria das comunicações utilizando a Internet segue um modelo em que um computador (o cliente) contacta um outro computador (o servidor) para obter a prestação de um determinado serviço. Este modelo, designado simplesmente por “cliente/servidor”, é utilizado, por exemplo, quando acedemos a  qualquer website, nas apps do telemóvel e no cliente de correio eletrónico.

O servidor é quem determina a forma como a comunicação irá decorrer, incluindo os parâmetros de segurança. O observatório da Internet Portuguesa, publicado trimestralmente pelo capítulo português da Internet Society (ISOC.pt) avalia o nível de adoção de um conjunto de regras de segurança em mais de mil servidores nacionais. Falamos de regras que já foram convertidas em normas da Internet e que por essa razão são de fácil adoção e não impedem a comunicação com os clientes, desde que estes estejam minimamente atualizados. A análise é feita utilizando exclusivamente informação que os próprios servidores expõem publicamente a todos os clientes que lhe acedem e que pode ser consultada na Plataforma Holandesa de Normas da Internet. Para além dos detalhes técnicos, a plataforma resume o conjunto de regras adotadas por cada servidor a um indicador numérico, o que só por si pode dar uma boa indicação mesmo para os que não são peritos na área.

O observatório distribui os servidores analisados por categorias, em função da missão das instituições que servem. Se implementadas, as regras que o observatório verifica dificultam a falsificação de websites, a possibilidade de terceiros conseguirem compreender as comunicações ou de enviarem mensagens de correio eletrónico em nome de outros utilizadores. O observatório mostra que as categorias compostas por websites dos "Governos Centrais e Regionais" e "Câmaras Municipais" são as que têm mais de 25% de websites que não têm qualquer preocupação com a possibilidade de terceiros escutarem as conversas entre clientes e servidores, visto que não permitem que a conversa seja cifrada. No sentido oposto, destaque para os websites das categorias "Sistema Judicial", “Autoridades de Segurança e Polícias”, “Aeroportos e Portos”, "Associações Desportivas" e "Jogos Online", em que 100% dos servidores suportam a cifra das conversas. No entanto, muitos implementam sistemas de cifra com deficiências e versões consideradas atualmente com fragilidades, como é posto em evidência pelo observatório em https://observatory.isoc.pt/domains.html.

Outro critério avaliado é o suporte ao método mais seguro de prevenir a possibilidade de um atacante desviar a comunicação que o cliente tenta criar com um servidor para um outro fictício. Aqui, apenas as categorias “Sistema Judicial” e “Autoridades de Segurança e Polícias” têm mais de 75% de servidores a adotar essas técnicas avançadas de segurança.

No que toca ao correio eletrónico, os resultados são muito preocupantes. A adoção de mecanismos para prevenir o phishing (ataque em que se tenta obter informação de outro utilizador) e para evitar que terceiros enviem mensagens em nome de utilizadores legítimos é praticamente nula em todas as categorias. Ou seja, dificilmente o facto de recebermos um e-mail de um endereço x@organizacao.pt é uma garantia de que, de facto, foi alguém da organização que o enviou.

Perante este cenário, o caminho de cada um de nós para uma Internet mais segura é… desconfiar. Como clientes, podemos e devemos avaliar por onde andamos, com quem queremos conversar e com quem queremos fazer negócios. Da mesma forma que se necessitássemos de um cofre para guardar a jóia da família faríamos uma avaliação da segurança de cada banco, devemos verificar o empenho no respeito pelas normas de segurança dos websites que nos servem.

Mas o digital também não dispensa a intuição. Faz parte da natureza humana hesitar antes de atravessar um beco mal iluminado numa zona que não conhecemos bem. Os alertas que os leitores de e-mail e os navegadores nos apresentam quando visitamos alguns websites ou recebemos certas mensagens de correio eletrónico não são um incómodo. São sinais digitais da “má iluminação” da zona. Reutilizar a mesma password vezes e vezes sem conta é equivalente a ter uma única chave que abre a porta de casa, do carro, do escritório e do cofre onde guardámos a jóia da família. A Internet não é um mundo à parte. É um mundo para onde se deslocou o bom e o mau do que (ainda) temos no mundo real. Para uma Internet mais segura, cabe-nos também aqui ser vigilantes.

(*) Hugo Miranda, Subdiretor de IT e Qualidade da Faculdade de Ciências da Universidade de Lisboa, e José Legatheaux Martins,  Internet Society, ISOC Portugal