terça-feira, 18 de junho de 2013

Full Mail Server: um antídoto para o PRISM

As recentes notícias publicadas pelo Guardian e The Washington Post sobre o programa do Governo Norte Americano PRISM, de controlo e monitorização do tráfego e mensagens privadas na internet, são motivo de preocupação para todos os que utilizam serviços de e-mail e outros serviços  de fornecedores como a Google, Microsoft, Yahoo, Facebook, Apple e Skype. A investigação realizada revela que de facto a privacidade das nossas comunicações na internet parece ser desrespeitada pelas autoridades norte americanas e provavelmente por outros governos de outros países, a pretexto de outros valores e interesses.

Na Full IT a privacidade e segurança da informação sempre foram motivos de especial preocupação. Há  muito que defendemos junto dos nossos clientes a adopção de sistemas de e-mail mais seguros, com boas ferramentas anti-spam, certificados digitais e mensagens assinadas e encriptadas.

Nem a propósito, num momento em que está acesa a polémica sobre a privacidade dos serviços de e-mail, a Full IT lança um novo serviço de e-mail empresarial: Full Mail Server. Este serviço permite a qualquer empresa ou organização ter o seu próprio servidor de e-mail sem os inconvenientes de instalar e gerir uma infra-estrutura exigente,  complexa e de elevado custo.

Os servidores Full Web Server permitem garantir um elevado nível de segurança e confidencialidade: são geridos por uma equipa de administração profissional e experiente que os mantém sempre actualizados, suportam certificados digitais no servidor e contas de e-mail individuais (com assinatura e encriptação), estão alojados em servidores da Full IT, na europa.

Não há sistemas de e-mail 100% seguros. Mas o Full Mail Server, pelas suas características, pode muito bem ser uma excelente alternativa aos serviços de e-mail dos grandes fornecedores e funcionar como um antídoto para os sistemas de vigilância como o PRISM.  Muito especialmente para serviços públicos e empresas que se preocupam com a segurança e privacidade das suas comunicações.

Sobre o serviço Full Mail Server: http://www.fullmailserver.com

Sobre o PRISM: http://www.washingtonpost.com/blogs/wonkblog/wp/2013/06/12/heres-everything-we-know-about-prism-to-date/


segunda-feira, 19 de novembro de 2012

Chegaram as normas abertas à Administração Pública


No dia 8 de Novembro foi publicado o Regulamento Nacional de Interoperabilidade Digital (Resolução de Conselho de Ministros 91/2012) que "...define as especificações  técnicas e formatos digitais a adotar pela Administração Pública".

Trata-se de uma pequena revolução na regulação dos formatos de ficheiros e protocolos dos sistemas de informação do Estado. Até hoje reinava o caos nesta matéria, com todos os perigos que isto acarreta: sistemas de informação que não falam entre si, fornecedores a criar situações de lock-in e em que o Estado fica refém de uma tecnologia ou produto, informação pública gerida e arquivada em sistemas cujos formatos só os fornecedores de tecnologias de informação e comunicação (TIC) conhecem.

Fazendo um paralelo com o nosso quotidiano, a utilização de normas abertas tem, no sector das TIC, o mesmo papel que a estandardização das vias para circulação automóvel  e dos sinais de trânsito, as tomadas eléctricas de 220v para ligar um secador ou uma televisão, ou o papel em formato A4 para a maioria dos documentos. Sem eles, a nossa vida seria bem mais complicada e caótica e facilmente estaríamos na dependência de fornecedores e fabricantes.

Este regulamento representa um longo caminho, percorrido por políticos e decisores da administração pública, que foram ganhando consciência da gravidade da situação reinante e da necessidade de regular este sector, a bem da informação pública, da poupança em TIC e do interesse nacional.

Portugal não é pioneiro nesta matéria, mas coloca-se agora no pelotão da frente dos países que legislaram sobre este sector.

A ESOP - associação de empresas de software open source portuguesas - de que a Full IT faz parte, teve um contributo central neste processo, ao participar activamente no debate público, defendendo a definição de normas para os sistemas da administração pública.

Um sector bem regulado, melhor fiscalizado e por isso, mais transaparente, representa uma oportunidade para as empresas nacionais de TIC com produtos e serviços de qualidade que utilizem formatos abertos, em detrimento de tecnologias proprietárias. É uma oportunidade que as empresas portuguesas podem e devem aproveitar.

O Regulamento que define os formatos adoptados: http://dre.pt/pdf1sdip/2012/11/21600/0646006465.pdf

A Lei que estabelece a adopção de normas abertas nos sistemas informáticos do Estado: http://dre.pt/pdf1s/2011/06/11800/0359903600.pdf

quarta-feira, 7 de novembro de 2012

Projecto HPIP ganha prémio da Fundação Bissaya Barreto

O projecto Património de influência portuguesa no mundo acaba de ganhar o prémio Nuno Viegas Nascimento 2012, atribuído pela Fundação Bissaya Barreto. O júri considerou que este projecto contribui para a "preservação e valorização futuras de um legado histórico e patrimonial (arquitetónico) de influência portuguesa, no mundo".

A publicação em três volumes de uma compilação de informação sobre o património arquitetónico português no mundo, composta sob a forma de dicionário de matriz geográfica, representa mais de cinco anos de trabalho e foi transformado em portal interactivo na internet com a designação HPIP.


O projecto foi coordenado por José Mattoso e contou com a colaboração de entidades como a Fundação Calouste Gulbenkian, Universidade de Coimbra, Universidade de Évora, Universidade Nova de Lisboa e Universidade Técnica de Lisboa. 


A Full IT teve o privilégio de desenvolver com a equipa do HPIP o portal na internet, o qual é já considerado um portal de referência a nível mundial, contribuindo para, de forma interactiva e participada, catalogar e divulgar o património arquitetónico português no mundo.


A equipa do HPIP está de parabéns por mais este reconhecimento de um projecto que nos orgulha a todos.

Portal HPIP: http://www.hpip.org


Mais sobre a colaboração da Full IT: http://www.fullit.pt/Default/en/Projects/Project/129


Sobre o prémio: http://www.fbb.pt/index.php/noticias-online/34-fundacao-bissaya-barreto/325-jose-mattoso-e-joao-salaviza-vencedores-ex-aequo-do-premio-nuno-viegas-nascimento-2012


Sobre o projecto Património de Influência no Mundo: http://www.gulbenkian.pt/index.php?article=2910&langId=1&format=404

terça-feira, 6 de novembro de 2012

Nova legislação sobre tratamento de dados, cookies e privacidade na internet


No passado mês de Agosto entrou em vigor em Portugal nova legislação sobre tratamento de dados pessoais e protecção da privacidade no sector das comunicações electrónicas.



A nova lei, que transpõe uma directiva comunitária, traduz-se em várias alterações significativas para as actividades on-line, das quais destaco as seguintes.

Cookies? Só com consentimento prévio

Os cookies não são mais do que ficheiros criados no computador do utilizador de um website e que servem para arquivar e enviar/receber informação entre o web browser e um servidor de páginas web. Os cookies servem para manter a persistência de sessões e para guardar informações sobre as preferências ou o perfil de um utilizador. Por exemplo, é através de cookies que um determinado website nos reconhece e nos identifica ("Olá Álvaro Pinto") quando o voltamos a visitar. 

Com a nova legislação há uma exigência de consentimento prévio dos utilizadores para que um website possa recorrer aos cookies e não basta uma mera “não oposição”.

Só não é assim  nos casos em que o armazenamento de dados tenha como único fim fornecer serviços expressamente solicitados pelo utilizador.


Tratamento e armazenamento de dados de tráfego e localização
A anterior legislação já previa que os dados de tráfego pudessem ser armazenados e tratados na medida e pelo tempo necessários à comercialização de serviços de Comunicações Electrónicas ou ao fornecimento de serviços de valor acrescentado, desde que com o consentimento prévio do titular dos dados. A nova legislação acrescenta que os dados de tráfego só podem ser armazenados e tratados desde que se obtenha previamente o consentimento expresso do seu titular; 


Envio de comunicações não solicitadas para fins de marketing directo 
Com a nova lei passa a ser estritamente proibido o envio de comunicações não solicitadas para fins de marketing directo sem a prévia e expressa autorização do titular de dados pessoais. Na legislação anterior a autorização do titular dos dados pessoais podia ser concedida tácita ou expressamente. 
Assim, dissipam-se as dúvidas sobre a necessidade de autorização prévia e expressa dos destinatários de  e-mails com publicidade.


Criação e manutenção de uma lista de consentimentos
Com a nova lei, as entidades emissoras de comunicações promocionais, para fins de marketing directo,  passam a estar obrigadas a criar e manter listas das pessoas que autorizaram, expressamente e de forma gratuita, a recepção das referidas comunicações e também listas dos clientes que não se opuseram à recepção das mesmas. Para as comunicações dirigidas a pessoas colectivas, as referidas entidades ficam obrigadas a consultar mensalmente uma lista das pessoas colectivas que manifestaram a sua oposição à recepção daquelas comunicações. Esta última lista será mantida e actualizada pela Direcção Geral do Consumidor.

Comunicação de violações à CNPD

A nova lei prevê a exigência das empresas notificarem a Comissão Nacional de Protecção de Dados no caso de se verificar uma violação de dados pessoais e de notificação dos próprios utilizadores, caso dessa violação possa resultar  usurpação ou fraude de identidade, danos físicos, humilhação séria ou danos para a reputação.


As empresas estão ainda obrigadas a manter um registo actualizado das situações de violação de dados pessoais. 

Mais medidas para garantir a segurança dos dados

A anterior legislação já previa o dever das empresas prestadoras de serviços de comunicações electrónicas adoptarem medidas para garantir a segurança dos respectivos serviços. Com a nova legislação é atribuída ao ICP-Anacom as competências para emitir recomendações sobre as melhores práticas ao nível da segurança que as medidas adoptadas pelas empresas devem alcançar e de auditar, directamente ou através de entidade independente, essas medidas e podendo ainda, realizar auditorias de segurança extraordinárias. 

Estas medidas são positivas?
As novas medidas adoptadas conferem maior protecção aos utilizadores e consumidores de serviços electrónicos/on-line. Fica a dúvida quanto à exequibilidade destas medidas, as quais exigem um maior investimento das empresas de serviços electrónicos e que operam na internet e ainda a disponibilização de mais e melhores meios às entidades responsáveis pela execução e fiscalização destas medidas.

Coloca-se ainda a questão de saber se estas novas medidas não prejudicam as empresas portuguesas (e europeias), face a uma concorrência internacional, ao impor novas obrigações que colocam um entrave à sua competitividade, num mercado que é por natureza global.



A Lei 46/2012 está disponível em http://dre.pt/pdf1sdip/2012/08/16700/0481304826.pdf


segunda-feira, 29 de outubro de 2012

Sinais de alerta: software perigoso e desactualizado


Há sinais de alerta para problemas de segurança nas empresas e instituições que todos podem ajudar a detectar e resolver. Qualquer pessoa pode ajudar, do mestre administrador de sistemas ao menos versado em informática. Tudo o que precisa é de olhar para o local certo... e depois dizer a quem na organização possa resolver o problema.

O software instalado nos computadores envelhece mal. Precisa de ser actualizado regularmente. Com o passar do tempo são conhecidos problemas de segurança que afectam versões antigas dos programas e, em alguns casos, há vulnerabilidades conhecidas que afectam as versões mais recentes.

Cuidado na escolha de software utilizado é importante. Há programas com um passado isento de vulnerabilidades graves, outros que são um completo desastre a nível de segurança (Adobe Acrobat, IE, Java e flash são bons exemplos recentes). Tendo estes elementos em conta, os administradores de sistemas profissionais precisam de fazer boas escolhas relativamente ao que é utilizado no seu parque de sistemas informáticos.

Até os próprios sistemas operativos escolhidos contam com um passado “mais ou menos colorido” no que respeita a segurança. Manter uma versão “antiga” de um Windows, Linux ou Mac OS X, implica entender os riscos inerente a não fazer as actualizações. A ideia de que funciona, logo não é necessário fazer uma actualização implica uma correcta percepção e avaliação de riscos.


Faça a sua avaliação...


Está a correr software perigoso ou desactualizado no seu computador? Faça a avaliação com um dos vários scanners online.  Utilizadores de Windows (a esmagadora maioria dos computadores utilizados em empresas nacionais) podem utilizar este link:

http://secunia.com/vulnerability_scanning/online/

Encontrou sinais óbvios de problemas? Leve o relatório dos resultados aos administradores da sua empresa. Eles saberão resolver o problema ou obter ajuda no mercado. O que não devem fazer é ser indiferentes a vulnerabilidades conhecidas e activamente exploradas.


Vectores de ataque mais explorados...


Uma boa escolha de browser é importante (e eu recomendo vivamente a utilização do Chrome ou Firefox, em detrimento do Internet Explorer, em todos os cenários). Se o seu browser por defeito é o Internet Explorer isso deverá servir como um óbvio sinal de alarme...

É importante manter o JAVA e FLASH desligados (o Chrome tem essa opção, e o Firefox vários plugins para esse efeito) excepto para sites conhecidos em que a sua utilização é potencialmente mais segura (portal das finanças, youtube, etc).

O seu cliente de e-mail é o responsável pelo transporte de conteúdos perigosos, bem como links de natureza questionável, é muito importante que esteja sempre actualizado e contenha ferramentas que protejam os utilizadores. Nomeadamente, ferramentas que mostrem correctamente os resultados da avaliação de certificados digitais (quando as mensagens são assinadas digitalmente) e tenham bons filtros de spam.

Os programas que lidam (i.e. processam e mostram conteúdos) com os formatos mais populares (PDF, documentos de Office, etc) são os alvos da maioria do “Malware”. Devem ser bem escolhidos e estar sempre actualizados.


Limitação de execução de programas


O seu computador de trabalho deve limitar os executáveis que estão disponíveis. Devem estar acessíveis todos os que necessita, todos os outros não devem sequer funcionar.

Há várias abordagens para conseguir que isto aconteça, a minha recomendação é que apenas se possam executar binários assinados digitalmente por “produtores de software” que a empresa reconheça (e essa lista é curta por natureza). Isto significa que mesmo que um vírus ou troiano chegue ao disco rígido o sistema operativo  recusa-se a executar o mesmo (anulando a ameaça que representa).

Consegue instalar programas no seu sistema empresarial? Em caso afirmativo isso deverá representar um claro sinal de alerta...


Quando o “Don Quixote” está a combater o passado...


O mundo mudou e a informática mudou com ele. Quando há uns anos se criaram defesas para as redes empresariais (firewalls, detectores de intrusão, etc) o mundo era muito diferente. Hoje os computadores andam na rua, ligam-se a redes desprotegidas, aumentaram as probabilidades de serem perdidos ou roubados.

A sua empresa tem como destruir remotamente a informação de um sistema perdido ou roubado? A sua empresa assegura backups do seu sistema quando está fisicamente fora da rede empresarial? Os seus dados são sincronizados entre diferentes computadores que utilize? Se a resposta é negativa a alguma destas perguntas isso deve representar um claro sinal de alerta.

Face a novas ameaças, as soluções da "velha guarda" revelam-se catastroficamente ineficazes...


segunda-feira, 22 de outubro de 2012

Segurança nas organizações e sinais de alerta: servidor de e-mail



Há sinais de alerta para problemas de segurança nas empresas e instituições que todos podem ajudar a detectar e resolver. Qualquer pessoa pode ajudar, do mestre administrador de sistemas ao menos versado em informática. Tudo o que precisa é de olhar para o local certo... e depois dizer a quem na organização possa resolver o problema.

O e-mail de uma organização deve ter uma origem pré-determinada e ferramentas que permitam aos vários servidores de terceiros identificar e impedir falsificações. Os servidores de envio de e-mail (legítimos) devem estar previamente identificados. Todo o e-mail que tiver origem em servidores não autorizados deve ser recusado, de forma a evitar que mensagens “falsas” utilizando endereços da instituição possam ser usadas em burlas.


Faça a avaliação técnica do seu e-mail 

Existem tecnologias disponíveis para evitar mensagens vindas de servidores ilegítimos  sendo as duas mais utilizadas o SPF e DKIM. As empresas e instituições devem suportar pelo menos uma das tecnologias configurada correctamente.

Como testar? Faça “cut & paste” dos links que se seguem, alterando o nome do domínio para o da sua instituição:


Para testar se o SPF existe no servidor: 


http://www.unlocktheinbox.com/dnslookup/spf/o_seu_dominio.pt/

Se o SPF estiver correctamente configurado deverá ver uma resposta do género:

“v=spf1 include:_spf.ptasp.com ip4:83.240.128.171/32 -all” em que o mais importante é o “-all” no final. Não confundir com “~all” (um “til” antes do “all”) que significa que o sistema não está a instruir o servidor de e-mail para não entregar as mensagens falsas, que é o oposto do que se pretende.

Para testar se o DKIM existe no servidor:

http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.o_seu_dominio.pt/

Se o DKIM estiver correctamente configurado deverá ver uma resposta do género:

“dkim=discardable”, qualquer outro valor, ou a ausência de uma resposta, significa que o DKIM ou não está configurado, ou está configurado de forma deficiente, não instruindo os servidores de e-mail para destruírem as mensagens falsificadas.

Exemplos de empresas que fazem uso correcto do SPF:

http://www.unlocktheinbox.com/dnslookup/spf/digal.pt/
http://www.unlocktheinbox.com/dnslookup/spf/zon.pt/
http://www.unlocktheinbox.com/dnslookup/spf/fnac.pt/
http://www.unlocktheinbox.com/dnslookup/spf/ctt.pt/
http://www.unlocktheinbox.com/dnslookup/spf/tap.pt/
http://www.unlocktheinbox.com/dnslookup/spf/millenniumbcp.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_spf.bancobpi.pt/
http://www.unlocktheinbox.com/dnslookup/spf/cgd.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplos de empresas que fazem uso incorrecto (insuficiente) do SPF:

http://www.unlocktheinbox.com/dnslookup/spf/worten.pt/
http://www.unlocktheinbox.com/dnslookup/spf/continente.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplos de empresas que fazem uso correcto do DKIM:

http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.fullit.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.missprint.com/

Nota: avaliação técnica executada em 19 de Outubro 2012

Exemplo de um dominio que não usa qualquer sistema de controle:

http://www.unlocktheinbox.com/dnslookup/spf/bes.pt/
http://www.unlocktheinbox.com/dnslookup/spf/_adsp._domainkey.bes.pt/

Nota: avaliação técnica executada em 19 de Outubro 2012

Não custa nada testar a sua organização, é só aceder a duas páginas web e comparar os resultados. Se um dos sistemas estiver activo e bem configurado está tudo bem. Se nenhum dos sistemas estiver presente (e bem configurado) fale com o responsável de informática da empresa.

Riscos externos e internos

Porque é que isto é importante? Porque o nome e prestígio da sua empresa ou instituição contam para o seu potencial de sucesso. Porque ter pessoas burladas e o email da sua organização ser o meio que torna a burla possível, é uma associação profundamente negativa. Porque existirem burlas viabilizadas por manifesta incapacidade técnica, ou desconhecimento, dos profissionais da sua organização é um cenário que não lhe interessa de todo expor e explicar.

Não é só uma questão de imagem externa e de proteger os seus clientes contra a utilização ilícita da imagem da sua organização. Um e-mail falsificado pode induzir pessoas dentro da organização a fornecerem informação a terceiros, julgando que estão a lidar com colegas. Os resultados de uma confusão de identidade são potencialmente catastróficos. Uma simples pergunta sobre um sistema interno, sobre um negócio confidencial, um pedido de alteração de password, podem resultar na exposição dos sistemas informáticos da organização ou prejudicar o seu negócio. Um link para spyware pode deixar o computador que o seguir totalmente dominado por terceiros.


quinta-feira, 11 de outubro de 2012

TIC na Justiça portuguesa são um bom exemplo

Parece que nem tudo vai mal no mundo da justiça portuguesa. Quem o diz é a Comissão Europeia para a Eficiência da Justiça (CEPEJ), que acaba de publicar o relatório sobre a qualidade e eficiência da justiça na europa. O relatório é de 2012 mas baseia-se em dados até 2010. 

Para a avaliação do nível de informatização dos sistemas judiciais europeus foram consideradas três áreas:
  • Infra-estruturas e equipamentos informáticos utilizados para prestar apoio a magistrados e funcionários judiciais (Q62);
  • Aplicações e sistemas de registo e gestão de processos (Q63);
  • Sistemas para a comunicação e troca de informações entre tribunais e os restantes interlocutores nos processos (Q64).

E como fica Portugal na fotografia europeia?




Como resulta da tabela e do texto que a acompanha no relatório, só há quatro países que se destacam, cumprindo todos os requisitos definidos: Áustria, Estónia, Malta e surpresa, Portugal!

Sempre considerei que as TIC são uma ferramenta estratégica para transformar o panorama de falta de eficiência e qualidade na justiça portuguesa. Este é uma área que deve merecer a atenção e o consenso de governantes, magistrados, advogados , funcionários judiciais e de todos os que trabalham para uma justiça melhor.

Entre 2005 e 2008 tive o privilégio de coordenar o projecto de informatização dos tribunais e de contribuir para o  lançamento do projecto Citius. Os resultados agora publicados são motivo de orgulho para todos os que trabalharam para a informatização dos tribunais nos últimos anos. E são também um bom incentivo para o muito trabalho que ainda está por fazer.