Sobre a autenticação com o Cartão de Cidadão

Foi publicado, há poucos dias, mais um relatório ENISA. Desta vez o tema é a utilização de eID smartcards, também conhecidos por Cartões de Cidadão, para autenticação forte e garantia da privacidade em sites na Internet. Está disponível, como sempre, no espaço da agência de segurança europeia, sob o título Privacy and Security Risks when Authenticating on the Internet with European eID Cards.

O documento apresenta uma avaliação da utilização destes cartões, sustentada por uma análise de risco detalhada, como forma de autenticação online da identidade dos utilizadores. O âmbito da análise foi limitado a duas aplicações-tipo, nomeadamente, às aplicações bancárias (e.g. home banking) e às redes sociais.

A análise de risco é extensa e considera, por um lado, uma lista numerosa de atacantes e ameaças (incluindo a probabilidade da sua ocorrência, o impacto e uma estimativa qualitativa do risco) e, por outro lado, um conjunto de mecanismos de autenticação habitualmente usados (e.g. passwords, códigos de confirmação, e SMSs) aos quais acrescenta, naturalmente, os eID smartcards, vulgo, cartões de cidadão. A análise compara a eficácia de cada um destes mecanismos para fazer face às ameaças, e apresenta uma avaliação qualitativa do risco residual, indispensável para suportar as conclusões sobre a qualidade do eID enquanto controlo para autenticação.

As conclusões principais, que destaco nesta nota, são apresentadas no final da introdução como sumário, e são as seguintes, como podemos ler no documento:

Os cartões de identidade electrónica oferecem autenticação segura e de confiança para serviços na Internet; e

Cartões eID universalmente utilizáveis e que protejam a privacidade, são tecnologicamente exequíveis.

Estas asserções são importantes e, na minha opinião, merecem alguma reflexão adicional. A escolha do Cartão de Cidadão como mecanismo para autenticação online, tal como é sugerido pela análise da ENISA, deve considerar, previamente, o seguinte:

  1. Para a autenticação inicial nos sites na Internet, habitualmente designada por login ou sign in, o Cartão de Cidadão é um dos controlos mais fortes do leque analisado, dificilmente ultrapassável, e dificilmente duplicável. Para além disso, os custos de emissão e gestão operacional são suportados pelo Estado;
  2. No entanto, é importante ter presente que, para além da autenticação inicial, é igualmente importante — quiçá mais importante — autenticar as operações que são realizadas pelos utilizadores, no contexto da sua interacção no site após o login. São exemplos, as ordens de pagamento e as transferências interbancárias, e ainda, num contexto diferente, a informação residente e as mensagens transmitidas numa rede social;
  3. Existe uma classe de ataques, designados por 'real-time browser-in-the-middle' (BITM), que actuam (ou podem actuar) após a autenticação e entrada nos sites. Estes ataques são levados a cabo por programas que, tendo sido instalados sub-repticiamente nos computadores (através, por exemplo, de um vírus ou uma acção de phishing), aproveitam as sessões que estiverem abertas, após o login, para realizar acções fraudulentas sem intervenção nem conhecimento dos utilizadores, e.g. transferências ilegítimas;
  4. Para mitigar o risco destes ataques é necessário autenticar as operações que são, efectivamente, ordenadas pelos utilizadores. Como podemos ler no documento (na página 31, na matriz de análise de ameaças e controlos), a única forma de mitigar esta ameaça (T7) é a utilização de um canal independente do computador. Por exemplo, um SMS com a informação da transacção e um código de confirmação (AT5, ilustrado na figura 1, na página 12). O controlo por SMS, note-se, não anula o ataque; mitiga-o, considerando que os utilizadores têm a possibilidade de ler, nessas mensagens, a informação relevante sobre a operação que irá ser realizada (se, de facto, for confirmada através da introdução do código). Mas é o único que consegue mitigá-lo — o Cartão de Cidadão é impotente contra este ataque. Só a combinação destes dois controlos poderia construir uma solução robusta.
  5. Podemos, ainda assim, interrogar-nos sobre a probabilidade de ocorrência de um ataque da classe BITM. É legítimo, é responsável, e pode condicionar a avaliação do risco real. No entanto, a informação sobre estas matérias não é veiculada, muitas das vezes, por razões de sigilo e manutenção da confiança e tranquilidade dos utilizadores. Por esse motivo, não existem estatísticas oficiais, a nível mundial, sobre o número de ataques deste tipo, com ou sem sucesso. Apesar disso, é legítimo assumir, pela informação que é conhecida e pode ser extrapolada, que (a) já foram efectivamente levados a cabo e (b) existe uma tendência para aumentarem. Este aumento é previsível, em particular, se forem utilizados controlos que só possam ser contornados dessa forma e, claro, se não restar, aos atacantes, outra alternativa1;
  6. Finalmente, para quem estiver a considerar a utilização deste mecanismo, parece-me importante levar em linha de conta o seguinte: apesar de vivermos, na Europa, em Estados democráticos, que respeitam os cidadãos e o Estado de Direito, a delegação da autenticação e, por consequência, a delegação indirecta do acesso a informação, pessoal ou de negócio, de pessoas ou empresas, vai em oposição a tudo o que tem sido feito até hoje. Num cenário em que, em algum dos países Europeus, o controlo do Estado seja tomado por Governos com um carácter totalitário, esse controlo, embora indirecto, poderia ser usado contra as pessoas e organizações. Num cenário menos apocalíptico, podemos imaginar que um conjunto de funcionários(as) menos sérios, e em articulação, poderia emitir um cartão ilegítimo, com acesso a tudo o que estivesse disponível em nome do titular original.

Algumas ideias finais:

O problema da autenticação das pessoas na Internet, e a viabilidade dos ataques actuais, tem duas fontes bem identificadas: as próprias pessoas, e os computadores pessoais. Em relação aos primeiros, talvez por ingenuidade, ou talvez por teimosia, continuo a pensar que devemos investir em acções de formação e sensibilização para o tema da segurança. Nesse campo, existe ainda muito espaço para melhoria e, para além das empresas que investem actualmente, creio que o Estado pode ter um papel mais activo. Em relação à segunda fonte, os computadores pessoais, penso que ainda existe espaço, apesar de haver alguma melhoria, para reforçar os controlos técnicos que são activados quando as máquinas são instaladas. Como já disse em outras ocasiões2. O problema que resulta destes dois vectores pode viabilizar, no futuro mais próximo, o crescimento dos ataques BITM.

Finalmente, para fechar esta nota, quero acrescentar uma última ideia: actualmente, não é possível determinar, olhando apenas para uma pessoa, se ela tem acesso a home banking ou quaisquer outros serviços financeiros. No entanto, sabemos que é provável que traga consigo, na carteira, o seu bilhete de identidade ou, mais recentemente, o seu Cartão de Cidadão (quanto mais não seja porque, em Portugal, a apresentação da identificação, quando é solicitada pelas autoridades, é obrigatória). Se, no futuro, o cartão ganhar uma faceta adicional e controlar, na prática, o movimento de quantidades de dinheiro relevantes, não estaremos a criar (mais) insegurança para as pessoas? Não estaremos a potenciar os assaltos com uma mão armada, e outra num "Magalhães"?

Food for (a lot of) thought.

1 O carjacking, por exemplo, tornou-se uma das formas de roubo de viaturas mais frequente porque, com o aumento da segurança das fechaduras e da ignição dos motores, os atacantes precisam mesmo da chave para arrancar e conduzir os automóveis.

2 Vide Controlos mínimos na máquina da mãe, do pai, do cão e do periquito, Confraria Security & IT, Outubro 2009.