quinta-feira, junho 04, 2009

Cidadão electrónico.

Já tenho o meu Cartão de Cidadão (CC). Cheguei às 8:20, dez minutos antes da abertura, para me despachar. E fiz bem. Às 8:35, quando entrei para tirar a senha, estavam cinquenta pessoas em fila atrás de mim. Infelizmente, quando lá cheguei já estavam 150 à minha frente. Mas em pouco mais de duas horas fui atendido.

Bom dia, sentei-me, entreguei a senha e a parte da carta com o número do processo. A senhora levantou-se para ir buscar o cartão e eu pus na mesa os vários cartões que teria de entregar para invalidar e o papelinho com os códigos virados para baixo, tudo junto a mim. A senhora entregou-me o CC, pediu-me que conferisse os dados e, enquanto eu comparava o número no CC com o do BI, ela veio pescar a folha dos códigos e começou a escrever coisas no computador. Em vez de protestar decidi ver o que ela fazia. Pôs o cartão no leitor e pediu para eu pôr o indicador no quadradinho enquanto, com os meus códigos à sua frente, escrevia no computador. O monitor estava virado para ela e eu não vi o que ela fez. Perguntou se eu queria activar a assinatura digital. Disse que não, obrigado, fazia isso mais tarde. Furou os outros cartões, devolveu-me tudo e bom dia, fui-me embora.

Ser a funcionária a introduzir os meus códigos foi certamente uma violação do procedimento. Se fizer queixa é provável que a repreendam. Mas não o fez por mal, não tenho receio que tivesse o Notepad aberto para copiar os meus códigos, e com o número de pessoas que tem de atender não é prático que cada uma digite o seu código. Episódios como este, ou como pedirem à Paula para ditar o código em voz alta (1), não são o problema. São meros sintomas de uma falha fundamental muito mais preocupante.

O elemento de segurança principal do antigo BI é a presença de quem se identifica com ele. Isto cria um risco a quem se tentar passar por outrem, o que exige uma falsificação muito boa. Porque mesmo que a probabilidade de ser apanhado seja pequena, se o criminoso tem de estar lá presente quando isso acontece, deixa de compensar. Os arabescos no cartão aumentam a probabilidade de detecção, que aumenta o risco de ser apanhado e, por isso, reduz a incidência deste crime.

Mas se aquilo que se faz passar por mim é um programa num servidor ucraniano, alugado com um cartão de crédito roubado, o risco para o criminoso é nulo. Pouco lhe importa se detectam a falcatrua e vale a pena tentar mesmo com pouca probabilidade de sucesso. O Rui Meleiros mencionou «Criar uma empresa online na Estónia» como exemplo “divertido” do que se pode fazer com o CC (2). A mim não me diverte a possibilidade de o fazerem em meu nome e eu só saber quando for preso.

Como a segurança do BI assentava na presença de quem se identificava nunca nos preocupámos com a informação no cartão. Mostrávamos o BI a quem o pedisse, dávamos fotocópias e o número não era segredo nenhum. Por isso pouca gente achará estranho que a funcionária da Loja do Cidadão peça os códigos e os digite. É o costume. Mas a autenticação remota exige mais cuidado e tem de ser muito mais segura. E, além do cartão em si, depende também do segredo dos códigos e de onde usamos o cartão.

Com o Multibanco já nos habituámos. Nunca lembraria àquela senhora pedir-me este cartão e o PIN, ou os códigos que uso para aceder à conta a partir de casa. E ninguém lhe daria tal coisa. Mas quem nos fornece um cartão Multibanco ou credenciais para home banking deixa claro que os códigos são para manter secretos, e nós sabemos que quem usar esse cartão pode tirar-nos dinheiro. É o contrário do que fazemos quando usamos o BI, que é para mostrar e dar número e fotocópias a quem pedir.

Além dos problemas de agregar informação pessoal de milhões de pessoas em bases de dados que podem ser cruzadas, o erro fundamental do CC é misturar duas formas de autenticação muito diferentes. Identificarmo-nos a outra pessoa, presencialmente e mostrando o documento de identificação. E a autenticação remota, perante uma máquina e por meio de códigos secretos e encriptação. Se nem os funcionários conseguem distingui-las não é de esperar grande segurança neste sistema, porque cada vez que alguém se enganar, ou for enganado, vai facilitar a falsificação da sua identidade*.

O chip, os PIN e os dados biométricos melhorariam a segurança do CC se este fosse usado apenas como o BI, para identificar quem se apresenta com o cartão. Esta devia ser a versão atribuída a todos os cidadãos. A identificação remota devia ser independente e opcional, porque requer um cuidado diferente daquele que se associa a um documento de identificação. E nunca devia ser exigido ao utente que levasse os códigos para onde quer que fosse. Não é por razões tecnológicas. Com certeza que, no papel, o sistema do CC parece seguro. É pelos hábitos de uso e pelos problemas práticos de implementação em larga escala, que dão esta confusão e põem em causa a segurança do sistema.

*Editado: tinha "furto de identidade", mas este problema é de fraude, não de furto, se bem que a falsificação de identidade possa facilitar o furto.

1- Paula Simões, 15-1-09, Cartão do Cidadão ou porque é que eu não confio no sistema
2- Comentário em !@#&$! para o cartão de cidadão.

20 comentários:

  1. Caro Ludwig Krippahl,
    os exemplos que dei eram para assinalar o ridículo das possibilidades que estão activas, não era uma recomendação - pelos vistos as duas ou três opções não chegavam e um qualquer amanuense decidiu procurar uma utilização para encher a lista e que poderá interessar a (pfff- quê?) cinco pessoas?
    Quanto ao procedimento, é evidente que é incorrecto, mas infelizmente expectável (podia ter pedido a seguir para mudar os códigos, mas enfim). Não é muito distante de receber duas explicações diferentes e contraditórias ao balcão da mesma repartição de finanças.
    Agora, o exemplo que deu é igualmente aplicável a situações em que o programa no servidor ucraniano usa o seu cartão de crédito para pagar fotos de teor pedófilo ou lhe transfere o dinheiro da conta com o seu próprio nome de utilizador e palavra passe.

    ResponderEliminar
  2. Rui Meleiro,

    Falhas na segurança do CC não são equivalentes a "duas explicações diferentes".

    E é verdade que o servidor ucraniano também pode tentar usar o meu cartão de crédito ou credenciais bancárias. Mas, pelo que vi na Loja do Cidadão, as pessoas têm menos cuidado com as credenciais do CC que com as bancárias -- o que é de esperar porque ninguém está habituado a ter partes secretas no BI.

    E o perigo é maior, porque com a identidade falsa não só se pode fazer outras coisas mas também se pode ir ao banco tirar o dinheiro a alguém.

    ResponderEliminar
  3. Explicando...duas explicações diferentes significam que duas pessoas têm interpretações diferentes do mesmo processo, por deficiência de formação ou de aprendizagem. Aplicado a este caso, significa que alguns dos funcionários entende(ra)m as questões de segurança e outros entenderam o assunto como "verde-código-verde" e "se estou à espera que digitem os códigos nunca mais daqui saio".

    ResponderEliminar
  4. De acordo. Daí o problema de implementar um sistema como este, em que tanto a parte da identificação presencial como a parte dos certificados para autenticação digital passam pelas mãos dos tais funcionários, e são entregues a pessoas que, na maior parte dos casos, nem os vão usar nem sabem como se proteger de abusos.

    Note que a activação da assinatura digital é quase a opção por omissão. Quem não sabe o que é quase de certeza vai dizer que sim...

    ResponderEliminar
  5. «O chip, os PIN e os dados biométricos melhorariam a segurança do CC se este fosse usado apenas como o BI, para identificar quem se apresenta com o cartão.»



    Os dados biométricos não podem ser utilizados como forma de autenticação. São bons candidatos a uma ID mais difícil de atribuir a outros que não o autêntico - mas por se tratar de informação pública, só podem servir como identificação e nunca como autenticação (Schneier dixit).

    Não sei como funciona ao certo o CC mas se os dados biométricos estiverem a ser utilizados como forma de autenticar uma identidade, creio que se trata de uma falha de segurança.

    ResponderEliminar
  6. Já agora, fica aqui um bom artigo, recomendado pelo Bruce Schneier sobre aquilo que eu disse:

    It's Me, and Here's My Proof: Why Identity and Authentication Must Remain Distinct

    ResponderEliminar
  7. "Quanto ao procedimento, é evidente que é incorrecto, mas infelizmente expectável (podia ter pedido a seguir para mudar os códigos, mas enfim). "

    Qualquer forma de segurança só é taõ segura como o seu elo mais fraco - geralmente as pessoas. Logo, se o Rui - que pelo que eu percebo é um fervoroso adepto do CC - concorda que os procedimento é inseguro e ao mesmo tempo expéctavel, terá que concordar que o CC, tal como está, é fundamentalmente inseguro.

    E se o CC é inseguro, como é que o pode defender "com unhas e dentes" como o defende?

    Luis

    ResponderEliminar
  8. Francisco Burnay,

    Sim, a minha posição nisto é fortemente influenciada (ou mesmo totalmente determinada) pelo que escreve o Schneier :)

    As impressões digitais só servem para confirmar a identidade, e só a polícia e tribunais é que podem obrigar o utente a fazê-lo (coisa que descobri agora ao ler isto, e que não me disseram quando levantei o cartão e me mandaram pôr lá os dedinhos...)

    A autenticação é feita pelos PIN. Em teoria, este sistema é seguro. O cartão é difícil de copiar e o PIN é secreto.

    Mas isto é em teoria, porque assume que os PIN ficam secretos e que o cartão só é usado com um PIN em sitios seguros. E aí é que está o problema. 99% ou mais das pessoas que têm o CC, e mesmo dos funcionários que nos atendem, não percebem em que se baseia a segurança do sistema. Se num sítio qualquer pedirem à pessoa para inserir o cartão e digitar o PIN, a maioria fá-lo sem pensar duas vezes. E lá se foi a segurança...

    ResponderEliminar
  9. Ludwig diz:

    "ela veio pescar a folha dos códigos e começou a escrever coisas no computador".

    Ou seja: informação codificada supõe sempre inteligência. Não se conhece qualquer excepção a esta regra.

    O problema é que, como refere Richard Dawkins,

    “The genetic code is truly digital in exactly the same sense as computer codes. This is not some vague analogy. It is the literal truth”.

    Um outro problema, relacionado com este, é formulado pelo físico não criacionista Paul Davies,

    ‘How did stupid atoms spontaneously write their own software? … Nobody knows …"


    Aqui é que ele se engana. A Bíblia tem a resposta.

    O Universo, a vida e o Homem foram criados pela Palavra de Deus.

    Ela introduziu a informação codificada de que eles dependem.

    ResponderEliminar
  10. Acho que este assunto, contrariamente aos direitos de autor, é que deveria ser alvo das criticas, reparos, pedidos de esclarecimento, denuncias públicas e contactos com os “políticos”.

    O que está em causa, não é o facto de alguém esclarecido perceber que o seu CC não é correctamente respeitado.
    O que deixa muitas reservas é o facto de sabermos que o tal cartão, a breve prazo, será um inútil instrumento de identificação, cujo uso do seu sistema de segurança é feito de forma “fraudulenta – todos sabemos que isto se generalizará.

    Sendo objectivamente sério, acho que o LK deveria denunciar isto com o mesmo zelo que faz com coisas bem menos importantes.

    Em vez de se insurgir sobre algo que nada perturba a normalidade dos interesses sociais e culturais, por que não denunciar as subversões do sistema?
    Por que não mostrar a aldrabices e vícios dos sistema?

    A estupidez funciona bem. Por exemplo: por que razão tenho que me fazer acompanhar do BI ou CC quando conduzo, se a Carta de Condução é também um elemento de identificação?

    ResponderEliminar
  11. Caro Luis, eu não sou adepto de coisíssima nenhuma e muito menos defendo acriticamente seja lá o que for. De igual forma não sigo qualquer tipo de gurus (cf.as multiplas referências a um tal de Schneier) e estou muito distante de utilizar qualquer parte do meu corpo para defender projectos em que não esteja directamente envolvido.
    Dito isto, reconheço algum interesse neste conceito, até porque conheço profissionalmente algumas das empresas envolvidas e pelo menos a reputação de algumas das pessoas.
    De igual forma, por deformação profissional, tenho acompanhado indirectamente o evoluir do mesmo.
    Depois desta declaração de intenções, agradeço o favor de me indicar que expressões minhas me identificam como acólito do CC, para que possa fazer a devida penitência.

    ResponderEliminar
  12. Rui,

    "eu não sou adepto de coisíssima "
    não apoia o CC? não acha que é uma coisa boa? se não acha, ha uma dezena de comentarios com o seu nome que foram escritos por outra pessoa...

    "muito menos defendo acriticamente seja lá o que for."
    palavras suas, não minhas.

    "De igual forma não sigo qualquer tipo de gurus "
    O facto das opinioes quer do Ludwig quer do Francisco se basearem na opinião de um perito da area, devia contar para pouco. As opiniões devem ser analisadas pelo seu proprio mérito e não pelo assumido mérito de quem as proferiu. Discorda das opiniões desse tal de schneier e outros? se sim o que acha que está mal?

    "agradeço o favor de me indicar que expressões minhas me identificam como acólito do CC"

    E mais uma vez palavras suas, não minhas. E não vou reler todos os seus comentarios à procura de um "eu sou um acólito do CC", ou de um "CC ou morte!!", nem de um
    "CC para sempre!" porque duvido que vá encontrar. Mas o facto de até agora não ter reconhecido, explicitamente, nenhum mal ao CC quando já varios aspectos negativos lhe foram apontados parece-me um bocado "acolitismo" da sua parte.

    Mas voltando à minha singela questão inicial:

    Sabendo que a segurança depende sempre das pessoas, se o próprio Rui afirma que as acções dos funcionarios (que têm mais formação que os demais cidadãos) são incorrectas e expectaveis, minando assim qualquer possivel segurança do cartão, continua a achar que o CC é uma boa solução?

    Luís

    ResponderEliminar
  13. Ludwig,

    «A autenticação é feita pelos PIN. Em teoria, este sistema é seguro. O cartão é difícil de copiar e o PIN é secreto.»

    Mas é possível alterar o PIN? E é o utilizador que escolhe?

    ResponderEliminar
  14. Francisco,

    «Mas é possível alterar o PIN? E é o utilizador que escolhe?»

    Boa pergunta. Vou ver se descubro.

    Pelo menos o da morada tem um backdoor para a polícia e serviços administrativos acederem a essa informação mesmo que o utente não divulgue o PIN. Isto é um grande buraco na segurança (basta alguém descobrir a chave de acesso e pode ler todas as moradas).

    Também quero ver se os certificados digitais, uma vez gerados, podem ser guardados independentemente do cartão. Isso era outro buracão... espero que não.

    ResponderEliminar
  15. Ah, pelo sim pelo não, não activei a minha assinatura digital. Nem vou activar enquanto não souber bem o que isso implica, como se faz e se é seguro.

    ResponderEliminar
  16. Soube de fonte segura que o nome é "Cartão Unitário" ou "Cartão Unificado".

    Sem comentários em relação a iniciais.

    ResponderEliminar
  17. How did stupid atoms spontaneously write their own software?


    Well, may be they are intelligent after all... they surely must be! :)

    Mas já vi que por aqui apenas se gosta da cómoda segurança do que já é conhecido e não existe nem a coragem, nem o gosto e muito menos a ambição de explorar os terrenos para além da "comfort zone" das ideias de cada um.

    Logo, um blog sem dúvida agradável mas muito consensual, e onde a solitária divergência de alguém que pugna pela inteligência no "design" do universo continua a não ser aproveitada para o alargar do debate a novos campos bem mais vastos e profícuos do que a aridez "9 to 5" do funcionalismo rotineiro ao serviço de uma ciência que se confunde apenas com tecnologia prática... e chega!

    Anyway... essa referência ao físico britânico Paul Davies, recordou-me a fascinante série de vídeos da conferência "Beyond Belief: Science, Reason, Religion & Survival", que decorreu no Salk Institute em Novembro 2006.

    A intervenção de Davies pode ser vista separadamente neste conjunto de vídeos no You Tube:

    Paul Davies on an Ultimate Explanation

    Enfim, talvez algum visitante curioso se desvie da sua rota para escutar novos contos, sem medo nem temor de nenhum bicho papão ou de perder a razão!

    Porque a questão não é sobre a inteligência natural imanente no universo - é isso que são as famosas leis físicas universais! - mas sim sobre a sua origem e natureza e significado. Não há nem nunca haverá ciência... conhecimento!... sem a resposta a essa pergunta básica, que nem tem a ver com o filosófico "porquê" mas tão somente com o bem mais prosaico "como":

    How is intelligence - natural laws! - related with the universe and how did it evolve since the beginning of time and space?

    Para os menos inquisitivos ou mais apressados, que não disponham de 45 minutos para ver os vídeos, deixo ainda este artigo do mesmo autor no "New York Times":

    Taking Science on Faith


    It seems to me there is no hope of ever explaining why the physical universe is as it is so long as we are fixated on immutable laws or meta-laws that exist reasonlessly or are imposed by divine providence. (...) The laws [of physics and the universe] should have an explanation from within the universe and not involve appealing to an external agency.


    So the true nature of these intelligent laws is by far the first and fundamental question of Science and Philosophy alike!

    ResponderEliminar
  18. Outro pormenor interessante é o facto do Cartão do Cidadão também fazer as vezes de cartão de eleitor. Apesar de isso ser uma aparente melhoria (deixamos de ter que ir procurar o malfadado cartão que só é utilizado de 4 em 4 e que muitos de nos nem sabemos onde o colocámos), o facto do número de eleitor não vir indicado no cartão vem trazer um desafio interessante. Claro que a razão para tal é que o número de eleitor depende da freguesia em que o eleitor se encontra recenseado, e se o número de eleitor fosse indicado no cartão obrigaria à emissão de um novo cartão sempre que o eleitor mudasse de residência (o que aparentemente até é necessário se o cidadão tiver o tal cartão de versão anterior que a Paula fala no seu blog).
    Mas se o número de eleitor não se encontra no cartão os únicos métodos que restam ao cidadão é ou ir à internet (ou via sms) consultar o local onde vota e apontar o número de eleitor num papel qualquer, coisa que me parece complicada para muitos cidadãos mais idosos, ou ter que se dirigir à delegação da junta de freguesia na assembleia de voto para obter essa informação, o que com o aumento da atribuição do cartão do cidadão poderá vir a trazer problemas logisticos complexos de resolver.

    Claro que esta questão teria sido resolvida através da criação de um número único de eleitor e da revisão do processo eleitoral especialmente em termos de cadernos eleitorais, mas como de costume em Portugal continuamos a querer construir casas pelo telhado..

    ResponderEliminar

Se quiser filtrar algum ou alguns comentadores consulte este post.