NSA: Aprendemos nossa lição depois que espiões estrangeiros usaram um de nossos backdoors cripto – mas não podemos dizer exatamente como

Views: 148
0 0
Read Time:3 Minute, 11 Second

Diz-se que a NSA elaborou um relatório sobre o que aprendeu depois que um governo estrangeiro explorou um esquema de criptografia fraco, defendido pela agência de espionagem dos EUA, no software de firewall Juniper.

No entanto, curiosamente, a NSA não conseguiu encontrar uma cópia desse relatório.

Na quarta-feira, o repórter da Reuters Joseph Menn publicou um relato dos esforços do senador norte-americano Ron Wyden para determinar se a NSA ainda está no negócio de colocar backdoors em produtos tecnológicos dos EUA.

Wyden (D-OR) se opõe a tais esforços porque, como o incidente de Juniper demonstra, eles podem sair pela culatra, prejudicando assim a segurança nacional, e porque diminuem o apelo dos produtos tecnológicos americanos.

Mas as investigações de Wyden, como membro do Comitê de Inteligência do Senado, foram interrompidas pela falta de cooperação da agência de espionagem e do setor privado. Em junho, Wyden e vários colegas enviaram uma carta ao CEO da Juniper, Rami Rahim, perguntando sobre “vários backdoors prováveis em sua linha de firewalls NetScreen”.

Juniper reconheceu em 2015 que “código não autorizado” havia sido encontrado no ScreenOS, que alimenta seus firewalls NetScreen. Foi sugerido que o código estava em vigor desde cerca de 2008.

O relatório da Reuters, citando uma declaração não revelada ao Congresso de Juniper, afirma que o negócio de redes reconheceu que “um governo nacional não nomeado havia convertido o mecanismo criado pela PRIMEIRA VEZ pela NSA”.

Funcionários de Wyden em 2018 foram informados pela NSA que um relatório “lições aprendidas” sobre o incidente havia sido escrito. Mas o porta-voz de Wyden, Keith Chu, disse à Reuters que a NSA agora afirma que não consegue encontrar o arquivo. O escritório de Wyden não respondeu imediatamente a um pedido de comentário.

A razão pela qual esse código malicioso foi capaz de descriptografar conexões VPN ScreenOS foi atribuída à “decisão da Juniper de usar o Gerador de Números de Pseudorandom Dual EC projetado pela NSA”.

A empresa ainda não esclareceu exatamente por que tomou essa decisão. Juniper não respondeu a um pedido de comentário.

Quando o ex-contratado da NSA Edward Snowden vazou segredos da agência em 2013, a Reuters informou que anos antes a empresa de segurança RSA, agora parte da empresa de armazenamento EMC, havia aceitado um contrato de US$ 10 milhões com a NSA para usar a Dual Elliptic Curve, ou Dual EC, criptografia. A RSA na época negou algumas das reivindicações sem contestar a existência do contrato.

A NSA estava interessada em ver a Dual EC adotada e trabalhou com o Departamento de Comércio dos EUA para promovê-la. Mas em 2007, dois pesquisadores da Microsoft relataram que havia sérias falhas com o Dual Elliptic Curve Deterministic Random Bit Generator que o levou a produzir criptografia fraca. Em 2014, a agência de padrões dos EUA NIST retirou o suporte ao Dual EC.

Juniper em algum momento entre 2008 e 2009 parece ter adicionado suporte dual CE a seus produtos a pedido de “um único cliente”, amplamente acredita-se ser a NSA.

Após as revelações de Snowden sobre a extensão das operações de vigilância dos EUA em 2013, a NSA disse ter revisado suas políticas para comprometer produtos comerciais. Wyden e outros legisladores tentaram aprender mais sobre essas políticas, mas foram emparedadas, de acordo com a Reuters.

A NSA também se recusou a fornecer detalhes da política de backdoor à Reuters, afirmando que não compartilha “processos e procedimentos específicos”. A agência de notícias diz que três ex-altos funcionários da inteligência confirmaram que a política da NSA agora requer um plano de precipitação com alguma forma de aviso no caso de uma porta traseira implantada ser descoberta e explorada.

O The Register pediu à NSA para comentar. Não tivemos resposta.

FONTE: THE REGISTER

Previous post A maioria das empresas tem vulnerabilidades de alto risco em seu perímetro de rede
Next post Não espere por uma brecha antes de implementar a segurança cibernética, diz especialista

Deixe um comentário