Notícias
Pesquisa do Ifal aponta vulnerabilidades em 91 portais de câmaras municipais de Alagoas
TCC com a pesquisa sobre as câmaras foi apresentado e aprovado em dezembro de 2022
Navegar em portais das câmaras municipais alagoanas pode ser um risco para o cidadão. Uma pesquisa realizada pelo Instituto Federal de Alagoas (Ifal), Campus Arapiraca, mostra que 91 portais de câmaras municipais do estado apresentam vulnerabilidades em relação à segurança dos sites. A análise foi feita nos 100 sites que estavam disponíveis aos cidadãos em setembro do ano passado. Os portais das câmaras dos municípios de São Brás e Traipu não foram avaliados porque não foram encontrados durante o levantamento de dados.
A pesquisa foi desenvolvida como atividade acadêmica para o Trabalho de Conclusão de Curso de Eduardo Vítor Vieira Torres, recém-formado em Sistemas de Informação, pelo Ifal Arapiraca. O estudo contou com a orientação do professor Daniel Fireman e foi concluído em dezembro de 2022, quando foi aprovado pela banca formada pelos professores Matheus Torquato de Melo e Felipe Alencar Lopes.
De acordo com a pesquisa, vulnerabilidades são pontos fracos em um sistema ou site que podem resultar em indisponibilização, como queda de serviço; falsificação, que é a alteração de dados legítimos do site; e acesso não autorizado de hackers maliciosos com fins de roubo e destruição de dados, além de golpes de engenharia social.
“Na perspectiva do cidadão, uma situação que pode ocorrer é um atacante enviar para ele o endereço do site da câmara com um código malicioso a fim de extrair cookies do seu navegador e, dessa forma, conseguir obter acesso a todas as contas nas quais o cidadão está logado. Na perspectiva dos vereadores e demais servidores, hackers maliciosos poderiam alterar ou deletar quaisquer informações do site. Um exemplo seria a alteração de informações sobre despesas dos vereadores ou servidores a fim de fraudar uma denúncia de corrupção baseada nas informações contidas no site”, explica Eduardo Torres.
A situação ameaça a efetivação da transparência pública, pela qual ações e informações diversas sobre as câmaras municipais e os servidores que atuam nelas deveriam estar disponíveis à consulta dos cidadãos. Dados do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) mostram que, até maio de 2023 foram registradas 272.595 notificações de incidentes relacionados à segurança de sites de forma geral, enquanto em todo o ano passado foram 481.652 registros.
“Com a adequação dos órgãos públicos à Lei de Acesso à Informação (LAI) e a popularização do acesso à internet, cresceu também o aumento da participação cidadã virtual no monitoramento e cobrança de ações governamentais. Ao mesmo tempo observa-se também o crescimento do número de pessoas mal-intencionadas explorando vulnerabilidades (ou brechas) das plataformas para realização de crimes cibernéticos, visando roubo de informações ou o comprometimento da usabilidade”, alerta o professor Daniel Fireman.
Vulnerabilidades nos portais das câmaras
O estudo é o primeiro a analisar vulnerabilidades nos portais das câmaras municipais alagoanas. Com o uso de um software especializado em segurança, foram testadas dezenas de vulnerabilidades nos portais encontrados. Foram encontradas 667 vulnerabilidades nos portais das câmaras municipais de Alagoas, o maior número, 26, foi registrado em portais de dois municípios, mas dez apresentaram vulnerabilidades críticas, que precisam ser corrigidas de forma rápida.
Na perspectiva do cidadão, uma situação que pode ocorrer é um atacante enviar para ele o endereço do site da câmara com um código malicioso a fim de extrair cookies do seu navegador e, dessa forma, conseguir obter acesso a todas as contas nas quais o cidadão está logado.
“No TCC e no artigo publicado existem recomendações e sugestões para eliminação de cada tipo de vulnerabilidade encontrada. Os gestores de Tecnologia da Informação (TI) de cada município devem ler o trabalho e entender a definição e o impacto de cada uma das vulnerabilidades. Em seguida, um plano de correção deve ser feito para ser executado pelos analistas de TI priorizando vulnerabilidades com maior gravidade. Me coloco à disposição para fornecer detalhes específicos de como a exploração das vulnerabilidades é feita enviando códigos ou qualquer outro tipo de ajuda relacionada ao trabalho”, afirma Eduardo Torres.
A conclusão da pesquisa indica que os gestores de TI dos municípios e a mesa diretora das câmaras municipais precisam dar mais atenção aos portais para impedir que hackers maliciosos possam afetar cidadãos e informações públicas. “Os resultados nos permitem, não apenas desvelar problemas críticos, mas também discutir soluções viáveis, como a adoção de melhores práticas ou a utilização do Portal Modelo Interlegis, criado pelo Senado Federal. Esperamos com isso que o poder público melhore ainda mais a transparência das Casas do Povo, trazendo mais segurança e melhores condições para exercício da cidadania”, complementa o professor Daniel.
Premiação no SBSI
O estudo sobre a vulnerabilidade nos portais das câmaras municipais de Alagoas foi apresentado no XIX Simpósio Brasileiro de Sistemas de Informação realizado pela Sociedade Brasileira de Computação no começo do mês, no Centro de Inovação do Jaraguá, em Maceió. Eduardo Torres e o professor Daniel Fireman foram premiados com o segundo lugar no V Concurso de Trabalhos de Conclusão de Curso em Sistemas de Informação realizado pelo evento.
“A conquista no SBSI foi incrível, não esperava que meu trabalho pudesse concorrer no pódio da premiação. Fiquei feliz de poder representar o Ifal e o estado de Alagoas no evento. Os estudantes que concorreram comigo eram de Brasília, Rio de Janeiro e Sergipe”, conta Eduardo, que agora busca o primeiro emprego em tecnologia, nas áreas de DevOps (infraestrutura e desenvolvimento) e Segurança da Informação. Além do curso técnico de informática e da graduação de Sistemas da Informação no currículo, ele leva as experiências desse premiado TCC e dos projetos de pesquisa e extensão realizados no Ifal.
O Trabalho de Conclusão de Curso de Eduardo Torres, com a orientação do professor Daniel Fireman está disponível no Repositório Institucional do Ifal, acesse diretamente aqui, e um artigo sobre o tema também foi publicado nos anais do Simpósio Brasileiro de Sistemas de Informação, acesse diretamente aqui.