http://imgs.sapo.pt/gfx/79945.gif
O sistema de pagamentos online MBNet foi lançado pela SIBS e a Unicre, em conjugação com os bancos, no dia 19 de Setembro com o objectivo de facilitar os pagamentos em ambientes virtuais, quer se trate da Internet ou da Televisão Interactiva e provavelmente também as redes de comunicação móveis (veja o artigo do TeK: “SIBS e Unicre juntas no MBNet”)

Porém, desde o dia do lançamento do MBNet que a Phibernet, um grupo que agrega pessoas de várias áreas, tem vindo a colocar algumas dúvidas sobre o sistema, nomeadamente relacionadas com a segurança (veja a notícia do TeK de dia 24 de Setembro “Phibernet continua a contestar MBNet” )

Manuel Lopes da Cunha, director do departamento de sistemas de pagamento da SIBS, em entrevista, respondeu às questões do TeK, esclarecendo algumas dúvidas e mostrando argumentos para algumas das falhas apontadas pela Phibernet..

TeK: O sistema MBNet foi posto em causa em termos de segurança no dia do seu lançamento por uma análise do grupo Phibernet. O que tem a dizer sobre isso?
Manuel Lopes da Cunha:
O comentário referia aspectos de segurança. Nós permitimo-nos discordar que estivessem em causa aspectos de segurança. Aceitamos sim que estivessem em causa aspectos de comunicação, mas não de segurança, ou seja (e isto é algo em que somos muito claros) nunca esteve em causa a segurança do funcionamento do sistema ou dos dados de quem pudesse usá-lo.

TeK: E considera que os problemas são de comunicação como?

MLC:
Podemos passar os problemas que foram apontados em revista: o Certificado, por exemplo, é emitido por uma entidade que não é reconhecida pelo browser e como tal automaticamente o browser alerta o utilizador. Não é um aspecto de segurança, é um warning que o browser faz a quem emitiu. Podemos ver isto de duas maneiras : como favorável ou desfavorável. Pode ser negativo porque se eu não explicar que isso vai acontecer quem vê tem receio. Daí eu referir aspectos de comunicação.
Mas ao mesmo tempo pode ter componentes favoráveis, porque eu me apresento, ou seja, as janelas de alerta dizem que a entidade Multicert emitiu o certificado que não é reconhecido, mas identifica-se essa entidade. Ao termos um certificado que gera uma informação sobre de quem é esse certificado que está a ser emitido pensamos que podemos ter aí uma base para melhor informação ao público.

TeK: Essa identificação da entidade emissora é fornecida por todos os certificados, mas não um alerta a menos que esta não seja reconhecida.
MLC:
Nós usámos a Multicert, uma empresa da SIBS criada já há algum tempo, porque consideramos que temos Know-how para estar nessa actividade. A Multicert não foi criada por causa do MBNet. Quando o MBNet nasce e necessita de certificado pareceu-nos fazer todo o sentido usar essa estrutura para emitir o certificado.

TeK: Mas é um processo pouco claro, assim como o da certificação de entidades certificadoras em Portugal.

MLC:
Neste momento não existe nenhuma entidade em Portugal que esteja certificada e nós estamos no início do processo de certificação junto do Instituto das Tecnologias de Informação para a Justiça.

TeK: Não seria mais fácil usar um certificado emitido por entidades internacionais para evitar esse problema, mesmo que seja apenas uma questão de comunicação?
MLC:
Nós temos de rever o processo de comunicação e de informação do browser. Na nossa perspectiva não temos de usar outros certificados, mas rever esse processo. Temos de explicar ao utilizador que está perante uma entidade pela qual a SIBS se responsabiliza e que assume um papel de referência nos sistemas de pagamento em Portugal.

A Multicert baseia a sua responsabilização sobre a SIBS, o que achamos que é de credibilidade acrescida para o utilizador, e seria difícil para nós - que estamos no processo de criação da Multicert e num processo avançado de concertação com outras entidade a nível do nosso país para se juntarem na Multicert -, seria quase que uma confissão de incapacidade dependermos de terceiros para fazer a certificação do MBNet.

TeK: No entanto, o próprio certificado foi alterado depois do lançamento do MBNet, de 64 bits para 128 bits, mudando também o nome do certificado.
MLC:
Até dia 19 tínhamos um certificado do piloto Multicert que foi substituído pelo certificado definitivo Multicert.

TeK: Isso foi em que dia?
MLC:
Penso que foi até ao final da semana do lançamento

TeK: E foi substituído porquê?
MLC:
Não era uma questão de segurança. Dizia lá "piloto Multicert", não era um termo que se adequasse ao serviço que estava em causa.

TeK: Em relação à identificação do utilizador e à escolha da password, estas também foram postas em causa a nível de segurança. Ou será de comunicação?
MLC:
Vejamos, o que é a segurança, ou melhor o que é que a insegurança? É eu poder fazer coisas que não me são permitidas, e ao fazê-las, neste caso nos meios de pagamento, utilizar indevidamente meios de pagamento que não são meus. E isso nunca esteve em causa, seja com estas User IDS [identificação do utilizador], seja com outras.

Quando desenvolvemos o sistema considerámos que seria útil, visto que iríamos criar dois conjuntos de informação para entrar, que uma informação deveria ser de fácil memorização, conjugada com outra secreta que seria da escolha do utilizador. Então, decidimos usar um User ID baseado em elementos do nome para melhor identificação, e damos a liberdade de seleccionar a password, sendo certo que apenas com a conjugação dos dois elementos se poderia aceder ao sistema e que à terceira tentativa inválida o processo seria bloqueado, podendo o utilizador desbloquear essa situação no ATM.

Quando temos um sistema de criação de User IDs compostos por elementos de nome, num momento inicial, num universo muito pequeno, é natural que consiga deduzir que alguns User são válidos, mas não a quem pertencem. A dimensão do nome do User é sempre a mesma, a sua composição é que varia, consoante o número de utilizadores já registados.

Queremos ter condições em que se permita que o User ID seja facilmente memorizável pelo utilizador e que este defina a sua password e nunca esteve em causa a possibilidade de alguém saber a quem pertence o User e menos ainda a de usar o User e password para os utilizar indevidamente.

TeK: Quanto à password, o facto de ser composta apenas por algarismos torna-a menos segura do que uma combinação de letras, número e outros caracteres...

MLC:
O facto da password ser composta apenas por números destina-se a permitir que as pessoas nos multibancos as possam alterar. Pensamos que é extremamente funcional e que faz apelo a um sistema a que as pessoas estão habituadas.

Quando criamos um serviço novo, pensamos que na medida do possível deve corresponder ao prolongamento dos serviços existentes e não fazer rupturas. Mas, naturalmente há outros processos implementados que permitem controlar a utilização do sistema.

Fátima Caçador