O que quero falar hoje não é sobre vulnerabilidades ou sistemas comprometidos mas sim sobre credibilidade de um site.

Como puderam ler aqui https://www.cybers3c.pt/analise-registo-de-dominio-pt-vs-aumento-ataques-de-phishing/ , existe um aumento de casos de phishing em sites com a terminação .pt  logo é crucial como forma de consciencialização garantir que os sites tenham credibilidade.

Ora para demonstrar o que ainda é feito em 2018 fui analisar o recente site manuaisescolares.pt

 

Pela imprensa sabemos que :

A plataforma Mega vai distribuir manuais escolares a 500 mil alunos de escolas públicas do 1.º ao 6.º ano e deverá estar activa até ao final de Outubro.

Pela análise da página inicial vemos que existem trackers dos utilizadores que não deveriam existir,

Temos o google analytics

 

 

Cujo perfil pode ser visto em https://apps.ghostery.com/en/apps/google_analytics

Depois temos chamadas a outro tracker o HotJar

 

De realçar que o domínio hotjar.zendesk.com para onde este tracker envia os dados está alojado nos  estados unidos

 

 

Ou seja temos um problema de transferência de dados do espaço europeu

O perfil deste tracker pode ser visto em : https://apps.ghostery.com/en/apps/hotjar

Seguidamente vamos analisar os dados do domínio manuaisescolares.pt

 

E aqui não temos nenhuma informação sobre o proprietário, ou seja não temos nenhuma certeza de que é um domínio governamental, de seguida vamos ver onde está alojado o servidor

 

 

E vemos que está na Holanda, ou seja não está em Portugal !

Talvez o certificado digital nos consiga dar alguma certeza de credibilidade

 

Mas não, o certificado é um letś Encrypt ou seja qualquer pessoa o poderia produzir e não garante nenhuma autenticidade do site ou domínio …

 

Resumindo:

  1. Existem trackers não declarados no site
  2. Existem dados que são transmitidos para fora do espaço europeu
  3. O domínio não exibe propriedade governamental
  4. O servidor está alojado na Holanda
  5. O certificado digital é genérico
  6. Não existe Política de cookies
  7. Não existe Política de Privacidade
  8. Não existe contacto nem informação sobre RGPD

 

Ora o que destinge este site de um site de phishing?  Nada !!

Nenhum profissional de segurança consegue garantir que efetivamente este é um site governamental e legitimo, temos de acreditar ou seja ter fé !

Agora como se consegue explicar então a diferença entre  um site real e um site de phishing ?

Como devia ser feito ?

Em primeiro lugar o endereço deveria ser manuaisescolares.gov.pt garantido assim a Resolução do Conselho de Ministros n.º 34/2016 onde pode ser lido o seguinte:

 

 

Desta forma era garantido que efetivamente era um site governamental

Em segundo lugar o certificado digital deveria ser emitido pelo CEGER

O CEGER tem competência para exercer as funções de entidade certificadora, no âmbito do Sistema de Certificação Electrónica do Estado – Infra-estrutura de Chaves Públicas (SCEE), nos termos das alíneas h) a m) do n.º 2 do artigo 2.º do Decreto-Lei n.º 16/2012, de 26 janeiro, que aprova a sua Lei Orgânica.

Em terceiro lugar deveria existir uma política de segurança e privacidade respeitando é claro o RGPD

 

Resumindo, estas plataformas quando são lançadas deveriam ter em conta todos estes aspetos que iriam garantir a sua credibilidade digital e desta forma seriam um enorme contributo para a consciencialização da população em geral, esperemos que esse dia esteja próximo )