Justiça

Auditoria detectou 21 falhas de segurança no sistema informático dos tribunais

Em duas horas, auditores conseguiram descobrir milhares de passwords
Foto
Em duas horas, auditores conseguiram descobrir milhares de passwords Foto: Fernando Veludo/nFactos

Ministério da Justiça não explicita quais os problemas que já foram resolvidos, adiantando apenas que corrigiu as falhas que a tecnologia do actual sistema permitiu.

Uma auditoria encomendada pelo Ministério da Justiça à empresa Critical Software detectou 21 falhas na segurança do sistema informático dos tribunais, o Citius, composto por várias aplicações. Do conjunto, seis deficiências foram classificadas com risco máximo, face à probabilidade e impacto dos problemas. A auditoria é de Julho de 2009, tendo sido concluído um aditamento em Março do ano passado que confirmou 14 das falhas de segurança, não tendo, até agora, os resultados de qualquer uma delas sido conhecidos publicamente.

O Ministério da Justiça (MJ) recusa-se a explicitar quais os problemas já resolvidos, alegando razões de segurança, mas precisa que corrigiu as falhas "permitidas pelas possibilidades tecnológicas do actual sistema". Neste momento, o Citius está a ser transformado, tendo a Critical Software sido contratada em Junho do ano passado para reescrever as aplicações numa nova linguagem, que, segundo o MJ, permitirá melhorar a segurança e a eficiência do Citius. O MJ revela que o novo Citius Plus entrará em testes a partir de Setembro, na comarca-piloto de Lisboa-Noroeste.

Descobrir passwords

A auditoria dá conta da possibilidade de alterar ou remover gravações de audiências em tribunais, do risco de subverter dados no envio de peças processuais e da fraca qualidade das passwords (ver texto em baixo). "Com recurso a ferramentas de fácil acesso (disponíveis na Internet), a equipa de auditoria, através da exploração de uma vulnerabilidade e apenas em duas horas, teve acesso a 53 por cento das passwords dos mandatários", lê-se no documento.

José Tribolet, presidente do INESC- - Instituto de Engenharia de Sistemas e Computadores e consultor da Procuradoria-Geral da República, considera que a mudança tecnológica que está a ser feita era "imprescindível" e explica que esta vai "permitir melhorar significativamente os atributos de segurança global do sistema". Contudo, salienta que tal intervenção não vai permitir resolver todos os problemas detectados, já que alguns não estão relacionados com as aplicações, mas com a arquitectura do sistema (que não vai ser alterada para já), a rede da Justiça e a forma como a informação é guardada. O professor estima que a maioria dos problemas técnicos deverá estar ultrapassada até ao final de 2012. "Mas só dentro de uma década deveremos ter um novo sistema de Justiça, que implica mudanças de hardware, software, redes e, acima de tudo, mudança de mentalidades e de comportamentos", afirma.

A auditoria da Critical Software seguiu-se a uma outra realizada em Março de 2009 pela Faculdade de Engenharia da Universidade do Porto, que também detectou inúmeras fragilidades no sistema. Apesar disso, considerou que o sistema oferecia um "nível superior de segurança e consistência" relativamente à utilização do papel, aconselhando, por isso, a manutenção da obrigatoriedade da utilização do Citius nos processos cíveis, uma regra que entrara em vigor em Janeiro desse ano.

As auditorias foram pedidas após queixas de juízes, que denunciaram, por exemplo, o desaparecimento electrónico de um processo e o arquivamento de outro sem intervenção do juiz. No início da semana o sindicato dos juízes ameaçou boicotar a utilização do Citius Plus se os problemas de segurança não forem resolvidos.

Empresa atribuiu risco máximo a seis problemas

- Possibilidade de aceder, alterar ou remover gravações de audiências em tribunais sem controlo de acesso.

- Possibilidade de qualquer utilizador no interior da rede da justiça alterar ficheiros de forma maliciosa antes de chegarem ao seu destinatário.

- A possibilidade de subverter dados no envio de peças processuais na aplicação utilizada pelos advogados.

- Acesso não-autorizado ao Habilus sem necessidade de introduzir credenciais.

- Livre acesso às credenciais de administração da base de dados da produção do Habilus.

- Fraca qualidade das passwords na base de dados central e no sistema de atribuição de senhas (que podem ser iguais ao login).

- Autentificação no Habilus é possível utilizando um cartão (usado pelos juízes para assinar despachos de forma digital) forjado.

- Possibilidade dos magistrados (com credenciais de administradores) poderem instalar software malicioso de forma não-intencional.

Os números10,6 milhões

Actos praticados nas aplicações utilizadas por magistrados em três anos.


4 milhões

Peças processuais entregues por via electónica nos tribunais.


246

Sessões de esclarecimento nas quais participaram 2483 magistrados (99 por cento dos juízes e 96 de procuradores).


4,8 milhões

Notificações electrónicas desde Abril de 2009.