O Capítulo Português da Internet Society acabou de publicar o Primeiro Diagnóstico do Estado da Adopção de Normas de Segurança na Internet Portuguesa que dá uma panorâmica do progresso de adopção dessas normas, definidas pela IETF (Internet Engineering Task Force), por diversos sectores da Internet portuguesa.
O projecto OSSE, do Capítulo Português da Internet Society (ISOC PT), “tem por objectivo fazer este diagnóstico e apontar pistas para a melhoraria da presença na web de instituições que, ou porque atraem muito tráfego, ou porque têm grande importância para os cidadãos portugueses, importa que façam parte deste diagnóstico”.
Este relatório tem como objectivo observar o estado de adopção de normas de segurança do ponto de vista da presença na Internet de diferentes instituições e empresas portuguesas.
Neste contexto, a observação é focada:
(1) na análise da implementação de normas de segurança pelos servidores web (servidores HTTP);
(2) na análise do grau de penetração de normas de segurança nos servidores de correio electrónico (servidores SMTP) das instituições observadas;
(3) na análise da contribuição para a segurança da Internet portuguesa de algumas empresas relevantes que actuam em Portugal como fornecedores de serviços de web hosting;
(4) na análise da contribuição dos ISPs portugueses para a disponibilização de suporte IPv6, das normas DNSSEC e das normas associadas às boas práticas de encaminhamento seguro, nomeadamente, o progresso da adesão às normas baseadas na RPKI.
O diagnóstico resultante e o referencial suportado pela plataforma de software do observatório OSSE permite uma análise criteriosa com observação e detalhadas do estado de segurança da adopção das normas e melhores práticas de segurança com vista a uma Internet mais segura e confiável para todos os utilizadores.
A partir do diagnóstico e observações de detalhe, o observatório OSSE permite formular um conjunto de recomendações que teriam um impacto decisivo na melhoria das métricas e práticas de segurança observadas.
Os resultados e observações apresentadas no relatório privilegiam a apresentação de resultados agregados.
Servidores HTTPS e sua parametrização
Segundo o documento, é possível, e necessário, “melhorar significativamente a base de segurança da utilização da Internet e da exposição web em Portugal”. Isso “evitaria que várias organizações exponham “uma imagem menos interessante” ou apresentem “uma presença deficiente e mais vulnerável”.
Dificilmente se encontram entidades que consigam atingir classificações superiores a 80 na escala usada, que vai de 0 a 100.
Servidores de correio electrónico e sua parametrização
A observação do estado da segurança do eco-sistema de correio electrónico em Portugal revela “resultados bastante deficientes e necessidade de correcções significativas. Na maior parte das entidades observadas, as classificações, novamente numa escala de 0 a 100, são francamente insuficientes (em geral abaixo de 50 e em grande parte abaixo de 30)”.
Empresas de web hosting
Os chamados web hosters “podem contribuir de forma muito significativa para o aumento da segurança da Internet portuguesa dado o impacto que as normas que adoptam têm em todo o tecido dos seus clientes, constituído essencialmente por empresas de pequena ou média dimensão”.
As observações realizadas mostram que alguns destes prestadores de serviços já fizeram um trabalho que se reflecte em propriedades de segurança mais elevadas da sua oferta de serviços. Outros, no entanto, apresentam limitações na sua oferta que deveriam ser ultrapassadas.
Sobre a visibilidade, reconhecimento e compromisso com a segurança da Internet em Portugal
É necessário “promover uma maior visibilidade e reconhecimento pelas empresas prestadoras de serviços de web hosting e pelos ISPs das características de segurança dos serviços que providenciam, e é também necessário levar a que os clientes valorizem esses esforços, descartando os fornecedores que os ignorem, de modo a que os esforços de incremento da base de segurança da Internet em Portugal sejam recompensados”.
ISPs portugueses
Os ISPs “deverão continuar a reforçar a oferta de resolvers com suporte de DNSSEC e adoptarem de forma vigorosa o conjunto de boas práticas de encaminhamento recomendadas pela iniciativa MANRS (manrs.org)”. Neste campo “a situação parece ser caracterizada por um progressivo alastramento do registo de ROAs, mas uma adopção tímida de filtragem com base na infraestrutura RPKI”.
“Infelizmente, ao que parece, ainda nenhum ISP comercial português adoptou a prática de exibir o selo de qualidade MANRS, dado o não comprometimento oficial com a iniciativa”.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
pub
