Segurança informática à tuga

8 comments

1. Thread com os piores exemplo do funcionamento da videovigilância em Portugal.
   (por “funcionamento” entenda-se “bandalheira”)

   ⚠️ Disclaimers: ⚠️
   1. Não recomendado a pessoas sensíveis a direitos, liberdades e garantias.

   ***

   posted by [@direitosdig](https://twitter.com/direitosdig)

   ^[(Github)](https://github.com/username) ^| ^[(What’s new)](https://github.com/username)

2. Para quem preferir ler tudo corrido:

   _____________________

   Thread com os piores exemplo do funcionamento da videovigilância em Portugal.
   (por “funcionamento” entenda-se “bandalheira”)

   Disclaimers:

   1. Não recomendado a pessoas sensíveis a direitos, liberdades e garantias.

   2. Estes são exemplos reais, dados pela própria CNPD. Nem todos os sistemas sofrem de todos estes problemas, esta é uma distinta selecção de tesourinhos.

   3. É thread sobre problemas de segurança de sistemas de videovigilância usados pelas autoridades policiais, logo é mt longa. Pedimos desde já desculpa por isso… mas culpa não é nossa. Nem nos vamos dar ao trabalho de numerar os posts, que queremos ver se acabamos a thread ainda hoje.

   O relatório da CNPD pode ser consultado aqui:
   https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?BID=121083

   E vamos lá começar:

   Supostamente a PSP é a responsável pelo tratamento dos dados. Mas como a instalação e manutenção é feita entre municípios e empresas privadas, a PSP não tem legitimidade para pedir correcções e actualizações dos sistemas.

   E há sistemas desactualizados? Óbvio. A CNPD encontrou software e firmware desactualizados, ainda na mesma versão de aquando a instalação, com todos os riscos de segurança que isso implica.

   Estes contratos não têm quaisquer regras de protecção de dados, como a lei impõe, nem obrigam à credenciação dos técnicos junto do Gabinete Social de Segurança.

   Mas a PSP pelo menos controla os perfis de administração do sistema, não? Nope!

   Sistemas de controlo de acessos à sala de operações e data center: Num caso, o sistema estava avariado. Noutro caso, estava desligado. Nos restantes, os cartões de acesso eram facilmente clonáveis com apps gratuitas, e aqui “2FA” parece apenas ser uma sigla estranha.

   Mas esta leva a taça: num dos casos, o data center (com controlos de acesso desligados) era o único caminho de passagem para o vestiários dos agentes. Sim, leram bem. Onde é que esta gente anda a espetar os data centers?

   Também digno de destaque: utilização partilhada da rede do Município (em vez de redes segregadas). Mas esperem, que melhora: os dispositivos dessa rede estavam colocados no chão, em espaço público, podendo ser facilmente acedidos.

   Sabem aqueles logs, i.e. os registos de operações no sistema, que têm o tipo de operação (ex: acesso, eliminação de filtros de privacidade) e quem a fez? CNPD apanhou casos em que eram I N E X I S T E N T E S.

   Outros às vezes recebem visitas: a CNPD detectou acessos de utilizadores que não estavam autenticados no sistema, nem de serviço (escala). Terá sido um ataque? Não sabemos, porque nem a empresa privada nem a PSP deram por eles.

   Talvez porque sistemas que deviam funcionar em rede isolada curiosamente tinham Facebook, Twitter, Netflix, Skype e sabe-se lá que mais instalado.

   A hora dos sistemas não estava sincronizada com a horal legal. Dispositivos e postos de trabalho não apresentavam as mesmas horas.

   Nenhum dos sistemas tinham plano de Disaster Recovery, nem sequer backups. (talvez este não conte como ponto negativo?)

   O suposto barramento de locais privados (máscaras) *não* impedia a gravação de portas, janelas e varandas.

   E de qualquer forma, a opção de activar/desactivar estas máscaras de privacidade não ia para os logs, pelo que nada garante que elas estejam mesmo ligadas, ou que não possam ser desligadas a bel-prazer pelo voyeur de serviço.

   Existência de mais de 400 pastas e 6000 ficheiros com fotos e vídeos guardados desde o início do funcionamento do sistema (quando deveriam ser apagados em 30 dias).

   Isto é o estado ACTUAL das coisas. Antes da expansão e banalização da videovigilância que se está a discutir agora no Parlamento, e que ainda vai meter inteligência artificial, reconhecimento facial e sistema de gestão analítica de dados ao barulho…

   Mas não se preocupem, que o @govpt pediu para o Parlamento aprovar isto com o máximo de urgência, na contagem decrescente para a dissolução do Parlamento, portanto certamente todas as vossas preocupações relacionadas com direitos fundamentais serão tidas em devida conta.

   E todas as entidades devidas serão também ouvidas. Certo, @zmaglh, @DuarteMarques, @jmpureza, @AntonioFilipe, @KatarMoreira, @lnes_Sousa_Real et al (na comissão)?

   Afinal, trata-se apenas, nas palavras da CNPD, de “uma violação grosseira do princípio da proporcionalidade” na restrição de direitos fundamentais dos cidadãos.

   Não havia uma comissão qualquer na AR que deveria estar atenta a estas coisas, principalmente quando vêm do Governo?

3. Foda-se. Ja imaginava que era meio à trolha, mas foram full-trolha nesta cena.

4. E consequências?

5. Confiar o que quer que seja ao poder local e à PSP, LOL

   O poder local existe apenas e só para adjudicar obras. E a PSP, bem, não consigo perceber exactamente para que existe… às vezes estão a fazer babysitting às obras, se calhar é isso.

6. Numa empresa onde trabalhei, agência de marketing:

   “Não temos nenhuma placa a avisar das câmaras”
   “Isso só é preciso em locais de acesso público, aqui ninguém entra” os funcionários são gente, e os clientes entravam lá.

   “CCTV significa que o circuito de TV é fechado, as imagens não podem ser acedidas do exterior”, depois de o patrão dizer que tinha que ver não sei o quê porque não conseguia ver as imagens em casa.
   “Para se ver as imagens é preciso palavra passe”

   É generalizado o abuso das câmaras, infelizmente.
   Isto para não entrar em casos de câmaras que capturam som, estão viradas apenas e só para postos de trabalho, etc…

7. Não é de espantar. Lidei durante muito tempo com uma das maiores empresas mundiais de videovigilancia e sistemas de controlo onde, em Portugal, era uma vergonha total.

   Desde não saberem o que estavam a montar, não saberem regras básicas de segurança, não saberem o que o próprio software fazia, enfim a lista é demasiado grande e triste.

   Cheguei a ver uma esquadra de policia onde a) as câmaras que tinham ou era só a carcaça exterior porque estavam à anos há espera de receber o modelo funcional ou estavam desligadas e b) os servidores de CCTV – incrivelmente ultrapassados mas vendidos como material topo gama – tinham 2 discos avariados e num dos casos o RAID tinha ido à vida.

   Manutenção? 0

   Controlo? -1

   Certas empresas deviam falir pois são incrivelmente nocivas para a sociedade, em todos os aspectos.

8. E ainda querem expor o tesouro nacional no palácio da ajuda…

   Vai desaparecer mais coisas, podem crer, com uma segurança destas…