Diagnóstico do 
Estado de  Adopção de
Normas de Segurança na  Internet Portuguesa

Capítulo Portugês 
da 
Internet Society
secretariado@isoc.p​t
30/04/2021
Versão 1.0

Sumário Executivo

Este documento apresenta um relatório preliminar do Projecto OSSE - uma iniciativa do Capítulo Português da Internet Society (ISOC.PT) que tem como objectivo observar o estado de adopção de normas de segurança do ponto de vista da presença na Internet de diferentes instituições e empresas portuguesas. Neste contexto, a observação é focada: (1) na análise da implementação de normas de segurança pelos servidores web (servidores Hyper Text Transfer Protocol (HTTP)); (2) na análise do grau de penetração de normas de segurança nos servidores de correio electrónico (servidores Simple Mail Transfer Protocol (SMTP)) das instituições observadas; (3) na análise da contribuição para a segurança da Internet portuguesa de algumas empresas relevantes que actuam em Portugal como fornecedores de serviços de web hosting; e (4) na análise da contribuição dos Internet Service Providers (ISPs) portugueses para a disponibilização de suporte Internet Protocol Version 6 (IPv6), das normas Domain Name System Security Extensions (DNSSEC) e das normas associadas às boas práticas de encaminhamento seguro, nomeadamente, o progresso da adesão às normas baseadas na Resource Public Key Infrastructure (RPKI).

O Referencial de observação OSSE O projecto OSSE utiliza para o seu referencial de observação uma metodologia que propicia não apenas uma observação de diagnóstico, mas também a ligação da mesma à identificação de acções concretas que visam a melhoria do estado da segurança da utilização da Internet em Portugal. O observatório OSSE diferencia-se de outros existentes nas seguintes características principais:
Independência, neutralidade e privilegiando os utilizadores Constitui um referencial de observação independente e neutral, transparente e privilegiando a visão que os utilizadores têm da Internet (como cidadãos ou consumidores) e não visão interna ou do ponto de vista dos fornecedores dos serviços.    

Baseado em ferramentas auditáveis A observação é baseada em ferramentas auditáveis e escrutinadas, em parte de código aberto e de domínio público.   
 
Gestão flexível de listas de pontos de presença a observar A Plataforma de observação OSSE suporta uma metodologia de observação que permite a gestão de listas de endpoints (i.é. domínios de sites web e de correio electrónico), de agregação de entidades por sectores ou áreas de actividade, que permite retirar indicadores qualitativos e quantitativos com rigor, detalhe e ligação dos mesmos a acções de melhoria para futuras classificações obtidas.

• Plataforma com carácter mobilizador Na plataforma OSSE as ferramentas utilizadas foram concebidas de modo a serem potenciadas em projectos mobilizadores, permitindo a possível reutilização e evolução futura em diferentes quadros de colaboração envolvendo diferentes entidades, em particular na esfera de colaboração entre entidades de representação de utilizadores ou consumidores ou, por exemplo, no âmbito da promoção de políticas públicas que visem a melhoria da qualidade e segurança da utilização de recursos na Internet em Portugal.    

• Observação com métricas quantitativas e factores de comparabilidade As observações OSSE baseiam-se na aferição de métricas quantitativas e qualitativas comparáveis, permitindo correlacionar critérios de diferentes instituições, sectores ou entidades representativas de diferentes áreas, bem como a possibilidade de suportar métricas de comparabilidade com outras plataformas e ferramentas que permitem obter métricas de classificação qualitativas e quantitativas.   

• Alinhamento com o estado da arte no que diz respeito a normas Os critérios de observação OSSE são fundados num referencial de normas e práticas de segurança estabelecidos e bem alinhados com as normas IETF, com os resultados relacionados da investigação nas áreas da Segurança da Internet e que também acompanham as preocupações de entidades que têm promovido recomendações relevantes na área, incluindo a ISOC.ORG, iniciativas colaborativas congéneres na Europa ou recomendações relacionadas por parte de agências supranacionais, nomeadamente a ENISA.

Domínios de observação Os resultados do relatório (que se consideram como resultados preliminares) foram obtidos a partir de vários domínios de observação, que incluem dois grupos de fornecedores de serviços: empresas de serviços de web hosting e ISPs, e ainda duas listas de domínios DNS:  
Lista Portugal 1000 - constituída por um conjunto de cerca de mil entidades observadas a partir da sua agregação por sectores, representando, na actual configuração, os seguintes sectores: (1) Presidência da República e órgãos do Governo; (2) serviços tutelados pelo Governo ou organismos governamentais que disponibilizam sistemas e serviços para interacção com os cidadãos; (3) órgãos e instituições da área da Justiça; Parlamento; (4) partidos políticos; (5) imprensa; (6) banca e serviços financeiros; (7) empresas ou organizações associadas a utilities; (9) organizações, instituições ou sites de confissões religiosas; (10) organizações de representativas da sociedade civil; (11) bibliotecas; (12) editoras; (13) empresas com actividade relevante na área do comércio electrónico e de fornecimento de serviços online e (14) instituições do sistema nacional de investigação e ensino superior.

• Lista Alexa Top 100 - constituída pelos 100 sites web com maior volume de tráfego online em Portugal (de acordo com as estatísticas da empresa Alexa Inc.) e que inclui entidades nacionais e internacionais entre as mais acedidas pelos utilizadores portugueses.  
O relatório apresenta não apenas os resultados das observações dos domínios acima indicados, mas também recomendações que visam a melhoria das métricas e práticas de segurança que foram observadas. Os resultados são apresentados de forma agregada, considerando-se como resultados preliminares na actual versão do relatório. Não obstante, as observações realizadas permitiram já a obtenção sistemática de observações sectoriais com métricas quantitativas e qualitativas comparativas entre diferentes sectores (não publicadas por agora).  

Conclusões da Observação e Acções de Melhoria As conclusões gerais da actual observação Open Security Standards Everywhere (OSSE) (que decorrem dos resultados de detalhe apresentados no relatório completo) mostram, como a seguir se detalha, que existem inúmeros aspectos e oportunidades de melhoria. Os mesmos são a seguir evidenciados. 

2.2 Observatórios seleccionados

As análises apresentadas neste relatório estão essencialmente sustentadas em observações realizadas com base numa implementação de um motor de análise montado usando o software disponibilizado pelo projecto Internet.nl, ​assim como com base nos resultados recolhidos pelos observatórios dos APNIC Labs. Dada a necessidade de realizar periodicamente, e no mais breve espaço de tempo possível, a análise de mais de 1000 domínios, tornou-se evidente a necessidade de montar um motor de testes próprio. Assim, porque a Internet.nl disponibiliza o código fonte e pela sua abrangência e equilíbrio, seleccionámos aquele observatório como ponto de partida.

Os testes por ele realizados são se âmbito muito largo integrando testes de IPv6,  DNSSEC,  TLS e certificados X.509 [10], normas do correio electrónico, etc. Adicionalmente, dos observatórios da sua classe acima referidos, é o único software que testa a acessibilidade por IPv6. Esta faceta, e a sua razão de ser, é clarificada na secção 2.3.

A análise realizada pela plataforma à implementação de DNSSEC é completa e semelhante à realizada pelo observatório Webcheck. No que respeita à análise da implementação do TLS e da certificação X.509, a mesma é completa e de acordo com as recomendações do Centro Nacional de Ciber Segurança dos Países Baixos, acessível em https://english.ncsc.nl/publications. 
Sob este aspecto, é apenas ultrapassada pela profundidade da análise realizada pelo observatório SSL labs. O detalhe da análise realizada aos cabeçalhos HTTP de segurança é inferior ao da implementação feita pelos observatórios Mozilla e SSL Labs.  Esses fazem uma análise com uma grande ênfase na segurança aplicacional do serviço HTTP, o que ultrapassa o fito de observação a que nos propusemos.

Dados sobre a penetração do IPv6 estão disponíveis em inúmeros observatórios. Os do APNIC labs fornecem dados sobre a adopção de IPv6, mas também dados sobre como funcionam os resolvers de DNS usados pelos utilizadores e sobre a implementação da filtragem de rotas com base nas normas  RPKI. Estes observatórios distinguem-se de outros observatórios semelhantes por adoptarem uma técnica muito original de realização das medidas. A mesma repousa na distribuição de código executável em browsers de utilizadores espalhados por toda a Internet, o que permite implementar uma infraestrutura de testes massivamente distribuída. Desta forma, as medidas que realizam dão uma visão próximo do impacto real da forma de implementação das normas nos utilizadores finais. Esta característica torna os resultados produzidos bastante singulares.

2.3 Parâmetros relevantes para a análise

Pelas razões expostas acima, para a realização desta análise foi utilizado o código disponibilizado pelo observatório Internet.nl. Com essa base, foi montado um servidor que realiza periodicamente e de forma automática o teste de uma lista de domínios. Os resultados são depois guardados numa base de dados.

Dada a grande diversidade dos parâmetros testados, na apresentação de resultados utilizam-se subconjuntos constituídos pelos que são mais relevantes. Diversos outros parâmetros são também agregados em indicadores qualitativos, sobretudo os que dizem respeito à análise do suporte de TLS/SSL.

Para a selecção dos parâmetros mais relevantes seguimos a organização proposta pela Internet.nl, a qual, como já foi referido, está alinhada com as melhores práticas e pode ser consultada em detalhe em

https://internet.nl/faqs/report.

Aí poderá o leitor encontrar referência a um documento do Centro de Cybersegurança dos Países Baixos, com uma discussão detalhada dos testes e recomendações embutidas no software de teste que usámos. Por exemplo, no que diz respeito ao teste das versões de TLS, o mesmo é compatível com as últimas recomendações do IETF, ver [11].

A nossa base de dados contém todos os parâmetros individuais medidos. No entanto, num esforço de síntese, a caracterização dos servidores, do ponto de vista segurança, é apresentada de forma agregada como é explicado a seguir.


Para a análise do contributo dos operadores de rede a actuarem em Portugal para a segurança da Internet do país, utilizámos exclusivamente os dados fornecidos pelo observatório dos APNIC Labs. Estes permitiram analisar o grau de adesão dos operadores ao IPv6, o nível provável de suporte fornecido pelos seus resolvers ao DNSSEC, e ainda o seu grau de adesão às normas e práticas baseadas na RPKI. No capítulo 7 são fornecidas explicações mais detalhadas sobre este conjunto de normas.

O diagnóstico sobre a disponibilização de IPv6 merece algumas observações suplementares. O IPv6 é uma versão do protocolo IP cuja principal diferença face à versão IPv4 é a disponibilidade de um espaço de endereçamento mais alargado. O IPv6 não é uma norma de segurança, apesar de nas suas versões iniciais incluir a obrigatoriedade de suporte de IPSec, opção que foi posteriormente abandonada.

Ainda que a acessibilidade por IPv6 não seja um indicador de segurança de um site web, a mesma vai sendo cada vez mais importante à medida que os novos operadores que vão surgindo já não têm possibilidade de fornecer conectividade IPv4 nativa aos seus clientes. Isso será cada vez mais uma realidade para os novos subscritores de acessos móveis G4 e G5 pelo que disponibilizar acesso por IPv6 é uma garantia de acessibilidade futura dos sites web.

Com efeito, dado que nos dias de hoje as IRRs já praticamente não dispõem de espaço de endereçamento IPv4 para afectar, muitos novos operadores só disponibilizam de forma nativa endereçamento IPv6, ficando geralmente o IPv4 apenas suportado por gateways de tradução. A implementação generalizada de IPv6 contribui portanto para facilitar a intercomunicação de todos as redes ligadas à Internet.

No entanto, não cabe aqui discutir se esta implementação é ou não imprescindível para manter essa universalidade das comunicações, nem se a adopção de IPv6 dificulta ou enfraquece a segurança dos utilizadores.

Parâmetros dos servidores de sites web

A Tabela 2.1 introduz os parâmetros usados nas tabelas de apresentação de resultados da análise de um domínio, do ponto de vista da segurança do serviço web fornecido (servidor ou servidores HTTP). Para cada um deles é introduzida a nomenclatura com que figura nas tabelas de resultados, assim como uma breve descrição. A forma mais expedita de conhecer o significado completo de cada agregação é executar interactivamente o teste de um site web via o Internet.nl, usando por exemplo isoc.pt como referência, e consultar as explicações fornecidas no diagnóstico.
Tabela 2.1: Nomenclatura e significado dos parâmetros da análise de um site web através da análise do ou dos servidores HTTP associados ao seu domínio
Parâmetro Descrição
Classificação Valor da classificação final atribuída na sequência do teste Internet.nl.
Tem IPv6 Os servidores DNS e os  servidores  HTTP do domínio são acessíveis por IPv6.
Tem DNSSEC Os RRs correspondentes aos nomes dos servidores estão assinados de forma verificável por DNSSEC.
Tem HTTPS É possível abrir uma conexão HTTPS para os servidores.
Tem HTTPS red. Os pedidos HTTP são redirected para HTTPS.
Tem HSTS Os servidores apresentam um cabeçalho  HSTS comvalidade de pelo menos 1 ano.
Só tem versões TLS ok O servidor só usa versões TLS/SSL recomendadas.
Tem versões TLS não recomendadas O servidor usa versões TLS/SSL recomendadas e outras phasedout.
Só tem cypher suites ok O servidor só usa suites criptográficas adequadas.
Tem cypher suites não recomendados O servidor usa suites criptográficas adequadas e outras phasedout.
Certificado Os servidores apresentam um certificado  X.509 válido cobrindo o domínio e a sua trust certificate chain também foi validada.
OCSP stapling O servidor suporta OCSP Stapling.
Tem DANE Existem entradas DANE válidas no domínio.
HTTP headers Os servidores respondem com o conjunto completo de cabeçalhos HTTP de segurança requeridos.

3. Listas de domínios analisados

Em muitos estudos é comum usarem-se diversos tipos de listas públicas de domínios para obter radiografias da adopção de normas de segurança. Por exemplo, podem usar-se listas de domínios considerados mais relevantes, listas de domínios ordenadas pelo critério do nível de utilização ou popularidade (elaboradas através de painéis de utilizadores, código de rastreio colocado nos sites web ou análise de diversos tipos de tráfego), listas organizadas por sectores de actividade, ou ainda listas tendencialmente exaustivas. Naturalmente, listas exaustivas são muito difíceis de organizar e incluem certamente uma longa lista de domínios irrelevantes.

O artigo de Victor Le Pochat et al [12] para além de propor uma nova lista de grande dimensão (consultar https://tranco-list.eu), apresenta igualmente uma panorâmica das listas disponíveis e de como estas são organizadas. Duas dessas listas de acesso público merecem algum realce:
Neste trabalho resolvemos adoptar as seguintes três diferentes listas especialmente adaptadas a Portugal.

3.1 Lista web hosters

A primeira lista usada neste estudo é a de um subconjunto de serviços de apoio à montagem de presença na web para entidades e pessoas individuais, mais conhecidos por serviços de hosting. No calão internacional do meio, estas empresas são designadas por cloud web hosters. Como muitas entidades de pequena e média dimensão recorrem aos serviços dos cloud web hosters, as características do serviço disponibilizado têm um grande impacto sobre a presença na web de inúmeras entidades. Esta lista e a sua análise são objecto do capítulo 4.

3.2 Lista Alexa 
Top 100 — Portugal

Alexa Internet Inc. (https://alexa.com) é uma empresa do grupo Amazon que faz estudos de popularidade dos sites web com base em diversos tipos de estatísticas, nomeadamente a percentagem do tempo que os utilizadores visualizam páginas de cada domínio Internet. As estatísticas são coligidas através de plugins para os browsers, código inserido em páginas e utilizadores pagos cuja navegação é rastreada. A empresa disponibiliza diversas listas, nomeadamente listas de popularidade globais, por país e por sector de actividade. O conteúdo das listas é dinâmico.

A lista Alexa Top 100 — Portugal corresponde aos 100 mais populares sites web em Portugal e foi compilada pela Alexa no meio do mês de Março de 2021. Naturalmente, a mesma lista obtida noutra data conteria um conjunto distinto de sites web.

Mais de 50% dos sites web que integram esta lista têm nomes de domínio não terminado em .PT, sendo a terminação .COM dominante. Também, é provável que mais de 50% destes sites web pertençam a empresas estrangeiras com a sua presença web gerida fora de Portugal. Assim, as características de segurança recenseadas com esta lista são significativas do ponto de vista da segurança com que os portugueses acedem à Internet, mas, possivelmente, menos significativas para a caracterização da cultura de segurança prevalecente na comunidade técnica portugueses.

No capítulo 5 são apresentados os resultados da análise usando esta lista.

3.3 Lista Portugal 1000

A lista Portugal 1000 é uma lista constituída por cerca de 1000 sites web portugueses. Estes sites web foram seleccionados manualmente e contém grupos, de pelo menos 10 sites web (mas geralmente bastante mais), distribuídos por diferentes áreas, nomeadamente:
  • Todos os órgãos de soberania. Serviços oficiais ou equiparados de apoio ao cidadão.
  • Partidos políticos e correspondentes grupos parlamentares.
  • Autoridades policiais e de segurança nacional. Autoridades e infraestruturas de navegação aérea e marítima. Entidades de regulação e supervisão. Entidades de certificação.
  • Utilities públicas e privadas, incluindo as de distribuição de combustíveis.
  • Serviços oficiais ou equiparados da área da cultura. Bibliotecas e Arquivos documentais. Editoras.
  • Serviços públicos e privados de saúde.
  • Universidades e sistema científico nacional público e privado.
  • Banca, serviços financeiros e seguradoras. Empresas do PSI20. Empresas de consultoria e engenharia e de serviços nas várias áreas de actividade.
  • Transportes públicos e privados de camionagem, marítimos, ferroviários e aéreos.
  • Comunicação social incluindo jornais, rádios, televisão, redes sociais, serviços de streaming operando em Portugal e portais de notícias e afins.
  • Associações empresariais e profissionais, incluindo ordens profissionais e sindicatos.
  • Empresas de distribuição e de comércio electrónico dos vários tipos de artigos acessíveis ao público. Lojas online de aplicações, software e jogos.
  • Instituições religiosas.
  • Clubes desportivos, sites web de jogos online e equiparados.
Esta lista constituí uma primeira tentativa de cobrir diferentes tipos de sites web e áreas de actividade, independentemente da sua popularidade, mas tendo em consideração o seu impacto horizontal na vida dos cidadãos. É também uma primeira tentativa de diferenciar as culturas sobre a segurança dos diferentes tipos de presença na web. A análise com base nesta lista é apresentada no capítulo 6.

4. R​esultados: lista web hosters

Os resultados reportados nesta secção foram obtidos montando um site web tipo em 6 fornecedores de serviços de hosting em Portugal. Os 6 fornecedores escolhidos foram-no entre os 10 com maior número de registos de domínios terminados em .PT   . Não foram seleccionados mais fornecedores por limitações orçamentais deste projecto.

Os sites web montados nos fornecedores testados são, por ordem alfabética do nome da empresa fornecedora dos serviços, os seguintes:
Ptisp - AlmourolTec - Servicos de Informatica e Internet Lda
https://teste-osse-isoc-ptisp.pt

Amen - Amenworld Serviços Internet - Sociedade Unipessoal Lda
https://teste-osse-isoc-amen.pt

Dominios - Domínios, S.A. - https://teste-osse-isoc-dominios.pt

Ovh - Société par Actions Simplifiée - https://teste-osse-isoc-ovh.pt

Sampling - Sampling Line - Serviços e Internet, Lda
https://test-osse-isoc-ptservidor.pt

WebSP - Comércio e Prestação de Serviços Informáticos Lda
https://teste-osse-isoc-wh.pt
_____________________________________
 Dados obtidos em Fevereiro de 2021, podendo no entretanto ter evoluido
De acordo com o relatório de execução e contas de 2020 da associação DNS.PT, que gere o domínio .PT, 4 destes 6 fornecedores seleccionados geriam em 2020 cerca de 200.000 domínios. Por essa razão, é natural que estes 6 fornecedores forneçam suporte a várias dezenas de milhar de páginas web acessíveis através de domínios terminados em .PT. As características do serviço fornecido representam portanto uma fracção não negligenciável do panorama do suporte das normas de segurança na web Portuguesa visto que um pouco mais dos 30% de sites web activos em Portugal têm nomes de domínio terminados em .PT. Para a obtenção de uma amostra mais significativa, seria necessário alargar muito o leque de empresas testadas.
Para a realização dos testes, de forma anónima, o Capítulo Português da Internet Society contratou (via um utilizador anónimo) os serviços de cada fornecedor, chamemos-lhe fornecedor (r), e executou as seguintes acções:
A Tabela 4.1 apresenta a caracterização do serviço web providenciado aos clientes das empresas de hosting seleccionadas. Analisando a tabela verifica-se que apenas uma delas suporta IPv6 o que mostra o atraso na adopção desta versão do protocolo IP em Portugal. Como esta adopção vale cerca de 20 pontos na classificação Internet.nl, sem a mesma, a OVH teria uma pontuação da mesma ordem de grandeza que a pontuação da Domínios. 
Assim, as 3 empresas que disponibilizam DNSSEC, 50% do universo, coincidem com as empresas que maior cuidado revelam na adopção de normas de segurança e constituem o pelotão da frente da segurança no serviço web. Apesar disso, verifica-se que todas as empresas analisadas não adoptam HSTS. Apesar de todas as empresas fornecerem certificados LetsEncrypt correctos, poucas adoptam OCSP e nenhuma adopta DANE.

No que diz respeito às versões de TLS suportadas, apenas 66% suportam versões aconselhadas tendo descontinuado as desaconselhadas. Também apenas 66% suportam apenas cypher suites recomendadas.

Estes números mostram que o mercado não valoriza a disponibilização de IPv6 e que a exigência de um nível de segurança adequado e ao nível das melhores práticas recomendadas para os servidores web não está enraizado no mercado.

As características do suporte de normas de segurança pelos servidores de correio electrónico oferecidos aos clientes desses fornecedores são apresentados na Tabela 4.2. Os resultados indicam que, de forma geral, o investimento na segurança dos serviços de correio electrónico providenciados é bastante inferior ao realizado nos serviços de hosting de páginas web e gestão dos domínios. Tudo indica que se trata de um serviço que as empresas, e naturalmente também os seus clientes, tratam de forma menos rigorosa do ponto de vista da segurança. 

5. Resultados - lista Alexa Top 100 — Portugal

Neste capítulo apresentam-se e analisam-se os resultados obtidos com a lista Alexa Top — 100 Portugal. A Tabela 5.1 permite caracterizar sinteticamente os 100 sites web mais populares em Portugal do ponto de vista da segurança.

Desde logo importa realçar que a penetração de IPv6 é bem superior entre estes sites web apesar de continuar a ser minoritária. No entanto, é um facto que todas as plataformas mais conhecidas já fornecem acesso via IPv6. Em contrapartida, a oferta de DNSSEC é muito escassa mesmo entre sites web com grande visibilidade pois apenas 9% deles suportam essa norma de segurança.

Em contrapartida, a quase totalidade suporta acesso por HTTPS, sendo o número das que implementam redirecção para HTTPS quase 60%, ainda muito longe da totalidade. Em contrapartida apenas 32% suportam HSTS pelo que ainda existe neste campo um grande caminho de melhoria possível. Também, no que respeita às versões de TLS e às cypher suites suportadas existe necessidade de melhoria ao mesmo nível da melhoria necessária no HSTS. O mesmo se aplica à utilização de cabeçalhos HTTP de segurança pois nenhum dos sites web da lista os apresenta de forma completa.

Finalmente, verifica-se bastante cuidado com os certificados X.509 pois 94% dos sites web têm um bom certificado e uma correcta cadeia de certificação e quase 50% já suportam OCSP stapling.

Importa realçar que a classificação média é aproximadamente 50%, provavelmente muito influenciada pela penalização devido à quase ausência de suporte de DNSSEC (20 pontos de penalização) e à ainda baixa penetração de IPv6 (também 20 pontos de penalização). O desvio em relação à média das classificações é muito elevado (14%), provavelmente bastante influenciado por este dois factores.

7. Contribuição dos ISP

Nesta secção analisamos a popularidade do fornecimento de conectividade IPv6, assim como o grau de apoio e adesão dos fornecedores de conectividade Internet portugueses a um conjunto de normas de segurança de natureza infraestrutural, nomeadamente  Domain Name System Extensions (DNSSEC) e Resource Public Key Infrastruture (RPKI).

Os dados que se seguem foram obtidos através dos observatórios dos APNIC Labs (https://labs.apnic.net) no início do mês de Abril de 2021. Para consultar a metodologia usada para realizar as medidas, o leitor deve consultar a documentação explicativa fornecida pelos APNIC Labs no seu blog, com especial realce para os posts de Geoff Houston, o seu director.

Muitos dos dados apresentados nesta secção estão organizados por Sistemas Autónomos ou Autonomous Systems (ASs). Um AS é uma rede visível pelo Border Gateway Protocol (BGP), o protocolo de encaminhamento no core da Internet (ver os RFC 2283 [13] de 1998 e RFC 4271 [14] de 2006). Grosso modo, um AS é uma rede constituinte da Internet, com capacidade de participar em decisões de encaminhamento global e com gestão autónoma. Cada ISP tem pelo menos um sistema autónomo próprio. A Tabela 7.1  dá uma estimativa da dimensão relativa dos diferentes ASs de Portugal de acordo com o método de medida usado pelos APNIC Labs. Como já referimos essa visão é uma tentativa de análise do tipo “caixa preta “com base numa visão a partir da periferia dos diferentes ASs. A informação permite relativizar alguns dos quadros que serão a seguir apresentados.

É, no entanto, importante tomar em consideração que o método de observação usado pelos APNIC Labs mostra sempre uma “fotografia” tirada da periferia dos ASs, isto é, a partir de computadores ligados directamente à rede do AS ou às redes dos seus clientes. Assim, um AS sem clientes individuais residenciais pode ser representado nas medidas de forma enviesada. Por esta razão são sempre listadas o número de amostras recolhidas para obter um indicador.

A Tabela 7.2 apresenta uma estimativa do grau de penetração entre os utilizadores dos diferentes ASs portugueses da disponibilidade / utilização de endereços IPv6 para envio e recepção de pacotes IP e para estabelecer conectividade com sistemas apenas endereçáveis em IPv6. Verifica-se claramente que essa disponibilidade apenas é relevante entre os utilizadores de 2 dos vários operadores de telecomunicações portugueses. Assim, a utilização de IPv6 entre os operadores é semelhante à das outras entidades do país. No entanto, é necessário ter presente que no caso de operadores sem utilizadores individuais, é possível que estes suportem IPv6 mas os seus clientes não. Este é, por exemplo, o caso do AS RCCN FCT, I.P.

8. Como melhorar

Existem diversos guias que permitem aos gestores de serviço web e de correio electrónico introduzirem melhorias na forma como os seus servidores implementam as normas de segurança (e não só). O mesmo se aplica ao IPv6, ao DNSSEC e às normas RPKI.

Entre esses diversos guias disponíveis encontram-se os a seguir referidos.

8.1 Servidores HTTP

ISOC

O projecto OSE da ISOC mantém uma knowledge base no repositório GitHub:
https://github.com/internetsociety/ose-documentation com informação sobre como parametrizar alguns dos servidores HTTP mais conhecidos de forma a obterem a classificação 100% nos testes Internet.nl.

Mozilla Foundation

Na página https://ssl-config.mozilla.org é disponibilizado um gerador de configurações do software de uma grande quantidade de servidores HTTP distintos, incluindo a geração de configurações com diversos níveis de segurança.

Internet.nl

Este projecto mantém uma knowledge base sobre HTTPS e outras facetas da segurança dos sites web, acessível em

https://Internet.nl/faqs/https e
https://internet.nl/faqs/appsecpriv

com bastante informação sobre as normas de segurança e de como as implementar.

8.2 Servidores e serviços de correio electrónico

Internet.nl

O repositório GitHub do projecto Internet.nl

https://github.com/internetstandards/toolbox-wiki

tem vários howtos, nomeadamente, sobre a parametrização de servidores de correio electrónico seguros e sobre como parametrizar o domínio do DNS para a introdução de registos DMARC, DKIM e SPF. A página https://internet.nl/faqs/mailauth tem muita informação complementar sobre estes registos.

Centro Nacional de Ciber Segurança de Portugal (CNCS)

O CNCS fornece as seguintes recomendações sobre o serviço de correio electrónico e os registos DMARC, DKIM e SPF que merecem igualmente referência: 

https://www.cncs.gov.pt/content/files/cncs_rt0119_spf_dkim_dmarc.pdf 

https://www.cncs.gov.pt/content/files/recomendao_tcnica_0120.pdf  

8.3 Servidores DNS seguros — DNSSEC

Associação DNS.PT

A associação DNS.PT disponibiliza uma página com informação sobre DNSSEC

https://www.dns.pt/pt/seguranca/dnssec

na qual existem bastantes indicações e um apontador para um tutorial.

Internet.nl

A FAQ do site web Internet.nl sobre DNSSEC tem informação sobre este tema, com uma ênfase na importância da sua adopção e menos em indicações práticas.

https://internet.nl/faqs/dnssec

8.4 IPv6

ISOC

A introdução de IPv6 é sobretudo um esforço que depende dos operadores e das empresas de serviços e menos dos utilizadores. A página da ISOC dedicada ao IPv6 para operadores é um bom ponto de partida:

https://www.internetsociety.org/deploy360/network-operators/ipv6

Internet.nl

A FAQ do site web Internet.nl sobre IPv6 tem também imensa informação sobre este tema incluindo referência para diversos observatórios.

https://internet.nl/faqs/ipv6

8.5 Resource Public Key Infrastructure — RPKI

MANRS

Uma das principais fontes de informação e formação sobre segurança do encaminhamento BGP é o projecto MANRS apoiado pela Internet Society. Consultar

https://www.manrs.org

em particular a secção 4 das recomendações MANRS e as recomendações do IETF.

IRRs

Todas as IRR mantém informação detalhada de forma actualizada sobre a utilização da RPKI, tal também é o caso do RIPE NCC. Consultar

https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/what-is-rpki

9.1 Servidores HTTPS e sua parametrização

E possível, e necessário, melhorar significativamente a base de segurança da utilização da Internet e da exposição web em Portugal. Isso evitaria que várias organizações exponham “uma imagem menos interessante” ou apresentem “uma presença deficiente
e mais vulnerável”.
Dificilmente se encontram entidades que consigam atingir classificações superiores a 80 na escala usada, que vai de 0 a 100. A maioria das entidades observadas
ficam classificadas de forma intermédia (próximo de 50) nessa escala. Por outro lado verifica-se que existem algumas instituições e sectores com fragilidades muito acentuadas, seja porque exibem grande vulnerabilidade no suporte HTTPS, ou porque nem sequer adoptam HTTPS.
Nesta vertente, as seguintes acções parecem ser necessárias.
1. Promoção de uma gestão com um controlo mais fino e mais rigoroso dos parâmetros de segurança TLS e da criptografia “ponto-a-ponto” que lhe está subjacente. Em particular o abandono imediato das versões deprecated de TLS, ou seja, abandono de TLS1.0 e TLS1.1 [11] e transição de TLS1.2 para TLS1.3.

2. O reforço da utilização dos headers de segurança HTTP e do suporte DANE, em articulação com adopção de DNSSEC.

3. Particular atenção deve prestada à inclusão do suporte de HSTS e de OCSP Stappling.
Estas acções permitiriam obter uma base mais sólida para a segurança dos serviços e aplicações web, com melhores defesas e mitigação das vulnerabilidades passíveis de serem articuladas com outros vectores de ataques à web portuguesa, bem como corrigir, a curto prazo, as deficiências muito gritantes que se verificam em alguns sectores.

9.2 Servidores de correio electrónico e sua parametrização

A observação do estado da segurança do ecosistema de correio electrónico em Portugal revela resultados bastante deficientes e necessidade de correcções significativas. Na maior parte das entidades observadas, as classificações, novamente numa escala de 0 a 100, são francamente insuficientes (em geral abaixo de 50 e em grande parte abaixo de 30).
Embora o trabalho futuro a ser desenvolvido no observatório deva abarcar uma análise progressivamente mais fina de todo este ecosistema, algumas conclusões resultam imediatamente da observação realizada, nomeadamente:
1. A reduzida penetração DNSSEC nos domínios associados aos endereços do correio. Tal tem um impacto significativo na segurança da informação anti phishing registada nos domínios DNS relevantes.

2. A não conformidade ou a incompletude do suporte ao correio electrónico seguro, nomeadamente a introdução no DNS dos registos: DKIM, DMARC e SPF, e a
necessidade da introdução de transporte seguro do correio através do suporte de START/TLS nos servidores SMTP.
Estando o eco-sistema de correio electrónico particularmente associado a vectores de ataque com grande relevância actual, o reforço das práticas de segurança listadas acima e a adopção das respectivas normas, não constituindo por si só a panaceia para a globalidade desses ataques, poderia, no entanto, constituir uma importante base comum de incremento de garantias de segurança, associadas a outras, necessárias, medidas complementares.