Videovigilância à portuguesa…

Thread com os piores exemplo do funcionamento da videovigilância em Portugal (e por “funcionamento” entenda-se “autêntica bandalheira”).

Disclaimers:

1. Não recomendado a pessoas sensíveis a direitos, liberdades e garantias.

2. Estes exemplos são reais, dados pela própria CNPD. Nem todos os sistemas sofrem de todos estes problemas, esta é uma distinta selecção de tesourinhos.

3. Sendo uma thread sobre problemas de segurança (e não só) de sistemas de videovigilância usados pelas autoridades policiais, vai ser longa. Pedimos desculpa, mas culpa não é nossa. E não nos vamos dar ao trabalho de numerar os posts, a ver se ainda a conseguimos acabar hoje.


Ora, supostamente a PSP é a responsável pelo tratamento dos dados. Mas como a instalação e manutenção é feita entre municipios e empresas privadas, a PSP não tem legitimidade para pedir correcções e actualizações dos sistemas.

E há sistemas desactualizados? Óbvio. A CNPD encontrou software e firmware desactualizados, ainda na mesma versão de aquando a instalação, com todos os riscos de segurança que isso implica.

Estes contratos não têm quaisquer regras de protecção de dados, como a lei impõe, nem obrigam à credenciação dos técnicos junto do Gabinete Social de Segurança.

Mas a PSP pelo menos controla os perfis de administração do sistema, não? Nope!

Sistemas de controlo de acessos à sala de operações e data center: Num caso, o sistema estava avariado. Noutro caso, estava desligado. Nos restantes, os cartões de acesso eram facilmente clonáveis com apps gratuitas, e aqui “2FA” parece apenas ser uma sigla estranha.

Mas esta leva a taça: num dos casos, o data center (com controlos de acesso desligados) era o único caminho de passagem para o vestiários dos agentes. Sim, leram bem. Onde é que esta gente anda a espetar os data centers?

Também digno de destaque: utilização partilhada da rede do Município (em vez de redes segregadas). Mas esperem, que melhora: os dispositivos dessa rede estavam colocados no chão, em espaço público, podendo ser facilmente acedidos.

Sabem aqueles logs, i.e. os registos de operações no sistema, que têm o tipo de operação (ex: acesso, eliminação de filtros de privacidade) e quem a fez? CNPD apanhou casos em que eram I N E X I S T E N T E S.

Outros, às vezes, recebem visitas: a CNPD detectou acessos de utilizadores que não estavam autenticados no sistema, nem de serviço (escala). Terá sido um ataque? Não sabemos porque, nem a empresa, nem a PSP deram por eles.

Talvez porque sistemas que deviam funcionar em rede isolada curiosamente tinham Facebook, Twitter, Netflix, Skype e sabe-se lá que mais instalado.

A hora dos sistemas não estava sincronizada com a hora legal. Dispositivos e postos de trabalho não apresentavam as mesmas horas.

Nenhum dos sistemas tinham plano de Disaster Recovery, nem sequer backups. (Talvez este não conte como ponto negativo?)

O suposto barramento de locais privados (máscaras) *não* impedia a gravação de portas, janelas e varandas. 

Mas de qualquer forma, a opção de activar/desactivar estas máscaras de privacidade não ia para os logs, pelo que nada garante que elas estejam mesmo ligadas, ou que não possam ser desligadas a bel-prazer pelo voyeur de serviço.

Existência de mais de 400 pastas e 6000 ficheiros com fotos e vídeos guardados desde o início do funcionamento do sistema (quando deveriam ser apagados em 30 dias).

Isto é o estado ACTUAL das coisas. Antes da expansão e banalização da videovigilância que se está a discutir agora no Parlamento, e que ainda vai meter inteligência artificial, reconhecimento facial e sistema de gestão analítica de dados ao barulho…

Mas não se preocupem, que o Governo pediu para o Parlamento aprovar isto com o máximo de urgência, na contagem decrescente para a dissolução do Parlamento, portanto certamente todas as vossas preocupações relacionadas com direitos fundamentais serão tidas em devida conta, e todas as entidades devidas serão ouvidas.

By: D3

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Site no WordPress.com.

EM CIMA ↑

%d bloggers like this: