Especialistas na área de cibersegurança indicam que há indícios de que Paulo Abreu dos Santos tinha “privilégios de administrador” no computador, o que, por regra, não deveria ser permitido em nenhuma empresa, por razões de segurança
“Quem falhou aqui, além daquele senhor, foi o sítio onde este senhor trabalhava. Porque o sítio onde este senhor trabalhava não detetou que tinha um criminoso lá dentro.” O “sítio” é o Ministério da Justiça que, segundo Nuno Mateus-Coelho, especialista na área da cibersegurança, “falhou” no caso do ex-adjunto da ministra Catarina Sarmento e Castro, no último governo de António Costa.
Esta opinião é partilhada por outros especialistas em cibersegurança ouvidos pela CNN Portugal, que garantem que, com a tecnologia existente, o Ministério da Justiça teria os meios necessários para “detetar” casos como o de Paulo Abreu dos Santos, e apontam falhas nos mecanismos de controlo e segurança no ministério, desde logo o facto de permitir que os seus funcionários tenham acesso a plataformas de comunicação encriptadas, como o Signal e Telegram.
Paulo Abreu dos Santos usava aquelas plataformas para aceder e partilhar conteúdos de pornografia infantil, no computador profissional, dentro do próprio ministério. Nestas plataformas, a comunicação é feita através de criptografia de ponta-a-ponta, o que significa que as conversas são privadas entre remetente e destinatários pretendidos, impossibilitando a leitura por parte de terceiros. Os especialistas ouvidos pela CNN Portugal explicam que, por esta razão, uma empresa, neste caso o Ministério da Justiça, não tem como saber o conteúdo a que Paulo Abreu dos Santos estava a aceder nesses grupos.
“Eu diria que a falha número um é essa”, aponta Bruno Castro, especialista em cibersegurança e fundador e CEO da VisionWare, referindo-se ao facto de o Ministério da Justiça permitir o acesso a essas plataformas, seja através das aplicações instaladas no computador, seja através do browser, já que não consegue “escrutinar” o conteúdo das mesmas.
Regra geral, as empresas, sejam do setor privado ou do Estado, têm mecanismos de controlo para bloquear o acesso a determinados sites no local de trabalho. Dependendo da política da organização, podem ser bloqueados sites de conteúdo adulto, sites desportivos, casinos online, redes sociais, entre outros. Esta análise é feita por aquilo a que Bruno Castro designa como “portão digital”. “Cada organização tem o seu portão digital - firewalls ou sistemas de proxy”, explica. E são estes servidores que analisam tudo o que é pesquisado pelo utilizador, bloqueando os acessos proibidos e gerando “alarmística” nos serviços de segurança.
O facto de Paulo Abreu dos Santos ter conseguido aceder àquelas plataformas no local de trabalho leva a crer que no Ministério da Justiça “não foi implementado um controlo que bloqueie o acesso a redes anonimizadas”, como o Signal ou o Telegram, admite o fundador da VisionWare.
Acresce a isto que o advogado tinha instalado no computador o programa uTorrent para fazer o download e partilhar vídeos de abuso sexual de menores no Signal e Telegram. De acordo com Nuno Mateus-Coelho, “não há justificação nenhuma” para um funcionário ter instalado no computador um “programa associado à pirataria informática”, conhecido pelo download de conteúdos ilegais, e com risco de malware.
Este facto leva a crer que Paulo Abreu dos Santos tinha “privilégios de administrador” no computador, o que, por regra, não deveria ser permitido, segundo os especialistas ouvidos pela CNN Portugal.
“Isto mostra que há zero preocupação com a cibersegurança no Estado”, lamenta Nuno Mateus-Coelho, que diz mesmo que estamos perante “um problema grave” quando uma determinada empresa permite que um funcionário seja administrador do seu computador profissional. “O facto de ele [Paulo Abreu dos Santos] conseguir instalar o Signal, o Telegram ou o Whatsapp no computador já é um problema grave. Os funcionários não devem ter direito a permissão de administrador”, argumenta.
“Isto não deve acontecer”, concorda Rui Pedro Martins, fundador da Iniciativa Cidadãos pela Cibersegurança. “Nem mesmo o primeiro-ministro nem o Presidente da República devem ter permissões locais de administração nos seus computadores”, argumenta o especialista em cibersegurança, que defende que os funcionários “devem ser simples utilizadores”, sem capacidade para “poder instalar software”.
A arquitetura de Confiança Zero: uma estratégia comum nas empresas
No mesmo computador, foram encontrados vídeos de abuso sexual de menores, guardados em pastas comuns, como “documentos”. Neste cenário, segundo os especialistas ouvidos pela CNN Portugal, os sistemas de segurança do Ministério da Justiça não teriam forma de saber o conteúdo de um ficheiro descarregado no computador. “Para os sistemas, foi descarregado um vídeo” e nada mais do que isso, explica Bruno Duarte, especialista em cibersegurança da Check Point.
Todavia, existe hoje tecnologia capaz de detetar conteúdo de pornografia infantil, nomeadamente softwares baseados em hashing criptográfico e machine learning. Na prática, estes softwares reconhecem uma imagem de abuso sexual de menores e identifica-a, gerando um código, ou uma “hash”, que funciona como a “impressão digital” dessa imagem. Essa “hash” fica num banco de dados e, sempre que a imagem for descarregada ou armazenada em dispositivos, o software deteta a correspondência e a imagem é retirada.
Estas soluções são usadas “sobretudo por grandes plataformas tecnológicas ou em contextos muito específicos”, como em análise forense, indica Rui Shantilal, especialista em cibersegurança. Foi assim no caso de Paulo Abreu dos Santos, investigado pela Polícia Judiciária após sinalização da Homeland Security Investigation, dos EUA.
Ou seja, embora esteja hoje ao alcance de algumas organizações, esta tecnologia “não é uma coisa comum” no meio corporativo, ainda para mais na Europa, onde, como refere Bruno Castro, “somos mais conservadores e mais restritivos” no que diz respeito às regras de privacidade dos utilizadores. Ainda assim, Rui Shantilal entende que “poderia ser uma excelente prática” incluir este software no setor corporativo e no Estado, ainda que levante “questões legais e de privacidade”.
Não sendo possível descodificar, em tempo real, imagens de conteúdo pornográfico infantil, nem fazer um “varrimento” de todos os postos de trabalho à procura desse conteúdo, os especialistas em cibersegurança são perentórios - a regra deve ser impedir o acesso a todas as plataformas que não sejam usadas para fins corporativos.
Esta é, aliás, uma prática comum nas empresas, assente na arquitetura de Confiança Zero, explica Nuno Mateus-Coelho. Na prática, bloqueia-se o acesso a tudo o que não for estritamente necessário para a realização de tarefas na empresa. “Se o princípio de cibersegurança no Estado fosse este, ele [Paulo Abreu dos Santos] não conseguia fazer nada”, assume o especialista.
Sendo certo que, como refere Bruno Duarte, “a maior parte das empresas usa o Whatsapp para fins corporativos”, os especialistas avisam que “não é recomendável” usar estas aplicações para a comunicação a nível institucional - sobretudo quando se trata do Estado, onde os funcionários lidam com “informações sensíveis”, sublinha Nuno Mateus-Coelho.
Rui Pedro Martins, da Iniciativa Cidadãos pela Cibersegurança, afirma que o bloqueio de sites e conteúdos nocivos ou ilegais é uma “prática normal” nas empresas, “mesmo em empresas de média dimensão”. “Aparentemente, no Estado português e no Governo da República, não há estes mecanismos, que é uma coisa que me deixa consternado”, lamenta.
“Numa empresa privada de média dimensão portuguesa, eu não acredito que isto tivesse acontecido de uma forma tão silenciosa, porque basicamente nada foi descoberto”, assume Rui Pedro Martins.
A CNN Portugal tentou contactar o Ministério da Justiça e o Ministério da Presidência para procurar saber se foi feito, entretanto, algum reforço dos sistemas de segurança e dos mecanismos de controlo internos. O Ministério da Presidência recusou responder, alegando motivos de segurança.
