A Arte da Omissao

Revelado: como as agências de espionagem dos EUA e Reino Unido derrotam a privacidade e segurança da Internet

As agência de espionagem NSA (americana) e a GCHQ (inglesa) violam as encriptações usadas na protecção de e-mails, serviços bancários e registos médicos.

• Um programa americano que custa  $250m por ano, fica a funcionar secretamente nas empresas tecnológicas de forma a inserirem fragilidades nos seus produtos.

• Especialistas em segurança dizem que os programas ‘minam o tecido da internet”.

Computer screen data

Através de parcerias secretas com empresas tecnológicas, as agências de espionagem inseriram vulnerabilidades secretas nos programas de criptografia. Fotografia: Kacper Pempel / Reuters

As agências de espionagem dos Estados Unidos e Reino Unido violaram com sucesso, grande parte da criptografia on-line invocada por centenas de milhões de pessoas na protecção da privacidade dos seus dados pessoais, transacções on-line e e-mails, de acordo com documento ultra secreto revelado pelo ex NSA Edward Snowden.

Os arquivos mostram que a Agência de Segurança Nacional e a inglesa GCHQ comprometeram largamente as garantias que as empresas de internet deram, para tranquilizar os seus clientes que as suas comunicações, serviços bancários on-line e registos médicos seriam indecifráveis por criminosos ou governos.

As agências, revelam os documentos, adoptaram uma bateria de métodos nos seus assaltos contínuos e sistemáticos ao que consideram ser, uma das maiores ameaças  à sua capacidade de acesso a enormes faixas de tráfego de internet – “o uso da criptografia omnipresente por toda a internet” .

Nesses métodos incluem-se medidas secretas para garantir à NSA o controle sobre a criação dos padrões de criptografia internacionais, o uso de supercomputadores para quebrar a com a “força bruta”, e – o segredo mais bem guardado de todos – a colaboração de empresas TI e fornecedoras de internet.

Através dessas parcerias secretas, as agências têm inserido vulnerabilidades secretas – conhecidas como “back doors” ou “portas do fundo” – em programas comerciais de criptografia.

Os arquivos, da NSA e GCHQ foram obtidos pelo The Guardian, e os detalhes estão a ser publicados hoje em parceria com o New York Times e ProPublica. Eles revelam:

• Um programa da NSA com mais de 10 anos contra as tecnologias de criptografia, fez uma descoberta em 2010, que converteu “grandes quantidades” de dados recolhidos da internet em dados “exploráveis”.

• A NSA gasta US $250m por ano num programa que tem, entre outros objectivos, o de trabalhar com empresas TI para “secretamente influenciar” os seus projectos de produtos.

• O segredo das suas capacidades contra a criptografia está bem guardado, com analistas a advertirem: “Não perguntem nem especulem sobre  fontes ou métodos.”

• A NSA descreve os grandes programas de descodificação como o “preço do ingresso dos EUA na manutenção do acesso irrestrito e uso do ciberespaço.”

• A equipe da GCHQ tem trabalhado no desenvolvimento de formas sobre o tráfego encriptado dos “quatro grandes” fornecedores de serviços,  Hotmail, Google, Yahoo e Facebook.

 NSA diagramEste diagrama de rede, do programa piloto da GCHQ, mostra como a agência inglesa propôs um sistema para identificar o tráfego encriptado com os seus programas de escutas na internet  e decifrar o que poderia ser em tempo real. fotografia: The Guardian.

As agências insistem que a capacidade de derrotar a criptografia é vital para a sua principal missão na luta contra o terrorismo e espionagem estrangeira. (sempre a falsa bandeira por trás das actividades criminosas da mundialmente e autorizada polícia do mundo)

Mas especialistas em segurança acusam as duas agências de atacarem a própria Internet e a privacidade de todos os seus utilizadores.

“Criptografia é a base da confiança on-line”, disse Bruce Schneier, especialista em criptografia e membro do Berkman Center da Harvard for Internet and Society.

Ao deliberadamente minar a segurança on-line, a NSA está a minar a própria estrutura da Internet. (claro que é deliberado. À nova ordem mundial só falta o controlo absoluto da internet, e se esse controlo absoluto for concretizado, vai começar a caça às bruxas. Se têm algum telemóvel dos antigos, não o deitem fora!)

Sessões informativas classificadas entre as agências comemoram o seu sucesso na “derrota da segurança da rede e da sua privacidade.”

“Na última década, a NSA liderou um esforço agressivo  em várias frentes para quebrar as tecnologias de criptografia usadas na internet”, refere um documento da GCHQ de 2010.

“Grandes quantidades de dados encriptados da internet que até agora eram descartados, passam agora a ser   exploráveis”

O avanço, não descrito em detalhe nos documentos, significa que as agências de espionagem são capazes de monitorizar “grandes quantidades” do fluxo de dados que passam através dos cabos de fibra óptica do mundo e de quebrar as suas encriptações, apesar das garantias que os executivos das empresas de internet deram, que esses dados não estariam ao alcance do governo.

O componente chave da batalha da NSA contra a criptografia, a sua colaboração com empresas TI, é detalhado no pedido de orçamento “top-secret“ para 2013 da comunidade de espionagem dos EUA sob o título ” Sigint [signals intelligence] enabling

NSA Bullrun 1

Briefings classificados entre  a NSA e  GCHQ comemoram o  sucesso da “derrota da segurança da rede e da sua privacidade.” fotografia: The Guardian

De acordo com documentos anteriores da NSA, o financiamento para o programa é de – $254.9m para este ano – “peanuts” em comparação com o do programa Prism. Desde 2011, a despesa total do programa “Sigint enabling” excedeu os US $800 milhões. O documento refere que este programa “envolve activamente indústrias norte-americanas e estrangeiras TI, para secretamente as influenciar nos desenhos dos seus produtos comerciais”. Nenhuma das empresas envolvidas em tais parcerias é identificada; esses detalhes estão num nível muito alto de secretismo.

Entre outras coisas, o programa foi concebido para “inserir vulnerabilidades nos sistemas de criptografia comerciais”. Estas seriam conhecidos só pela NSA. Ninguém mais as conheceria, incluindo clientes comuns, referidos repetidamente no documento como “adversários”.

“Estas alterações aos projectos, tornam os sistemas em questão exploráveis através do “Sigint collection”. com conhecimento prévio da mudança. Para o consumidor e outros adversários, no entanto, a segurança dos sistemas permanece intacta.”

O documento mostra claramente os objectivos gerais do programa, incluindo o desenvolvimento de software de criptografia comercial que torne os ataques da NSA “mais dóceis”, ao “moldarem” o mercado mundial e a prossecução dos esforços para invadir a criptografia usada pela próxima geração de telefones 4G. Entre os feitos específicos para 2013, a NSA espera que o programa obtenha acesso a “dados que fluem através de um hub para um grande fornecedor de comunicações” e a um “grande sistema peer-to-peer de comunicações por voz e escrita da internet.”

As empresas de tecnologia afirmam que trabalham com as agências de espionagem somente quando são legalmente obrigadas a fazê-lo. The Guardian relatou anteriormente que a Microsoft colaborou com a NSA para burlar a criptografia do serviço de email, Outlook.com, assim como os serviços de chat. A empresa insistiu que foi obrigada a cumprir as “exigências legais existentes ou futuras” ao projectar os seus produtos.

Os documentos mostram ainda que a agência já alcançou outro dos objetivos estabelecidos no pedido de orçamento: o de influenciar as normas internacionais sobre as quais se baseiam os sistemas de criptografia.

Especialistas independentes em segurança já suspeitavam que a NSA tivesse introduzido algumas fraquezas nas normas de segurança, facto confirmado agora e pela primeira vez por outro documento secreto, que mostra que a agência trabalhou secretamente para obter a sua própria versão de um projecto de normas de segurança emitido pelo US National Institute of Standards and Technology, aprovado para uso em todo o mundo em 2006.

“Eventualmente, a NSA tornou-se no único editor”, afirma o documento.

  Um guia de classificação para os empregados e contractados da NSA, descreve em termos gerais as suas meta:

 “O projecto Bullrun lida com a habilidade da NSA em derrotar a criptografia usada em tecnologias específicas de redes comunicação. O Bullrun envolve múltiplas fontes, todas elas extremamente sensíveis.”

O documento revela que a agência tem recursos contra protocolos encriptados amplamente usados on-line: como o HTTPS, voz sobre ip e o Protocolo de Camada de Sockets Segura  (SSL), protocolos utilizados na protecção de transacções bancárias e compras on line.

O documento mostra também que o Centro de Soluções Comerciais da NSA, ostensivamente o organismo através do qual empresas TI podem ter os seus produtos de segurança avaliados e apresentados a potenciais compradores do governo, tem um outro papel mais clandestino. Ele é também usado pela NSA para “influenciar  relações sensíveis de cooperação com parceiros específicos da indústria” e inserir vulnerabilidades nos produtos de segurança. Os agentes foram avisados que esta informação deve ser mantida “no mínimo” em segredo”.

Um guia mais geral de classificação da NSA revela mais detalhes sobre as profundas parcerias da agência com a indústria, assim como a sua capacidade em modificar os produtos. O mesmo guia adverte os analistas para dois factos que devem permanecer secretos: que a NSA altera software comercial de criptografia e dispositivos “para os tornar exploráveis”, e que a NSA através das suas relações industriais, “obtém detalhes criptográficos dos sistemas comerciais de informações encriptadas“.

As agências ainda não desencriptaram todas as tecnologias de encriptação, sugerem os documentos. Snowden parecia confirmar isso em Junho passado, durante um Q&A ao vivo com leitores do Guardian.” A encriptação funciona. Sistemas com fortes encriptações devidamente implementadas são uma das poucas coisas que você pode confiar”, disse ele antes de avisar que a NSA pode com frequência encontrar formas de contornar essa segurança, resultado da fraca segurança nos computadores de cada lado da comunicação.

Os documentos estão espalhados com avisos sobre a importância de se manter sigilo absoluto em torno dos recursos da desencriptação.

NSA Bullrun 2

Um slide que mostra como o sigilo das capacidades das agências sobre a criptografia está muito bem guardado. Photograph: The Guardian

Foram estabelecidas directrizes rígidas no complexo da GCHQ em Cheltenham, Gloucestershire, sobre como discutir os projectos relacionados com a desencriptação. Os analistas foram instruídos: “Não perguntem nem especulem sobre fontes ou métodos que sustentam o programa Bullrun”. Esta informação estava tão bem guardada, de acordo com um documento, que mesmo aqueles com acesso a aspectos do programa eram avisados: “Não há necessidade de saber.”

As agências supostamente deveriam ser “selectivas em relação às empresas que contratam e que ficam conhecedoras destas informações”, mas acabou sendo visto por Snowden, uma das 850 mil pessoas nos EUA com certificação ultra secreto. Um documento de 2009 da GCHQ refere  as consequências significativas resultantes das fugas, incluindo “danos nas relações industriais”.

“A perda de confiança na nossa capacidade de aderir a acordos de confidencialidade, levaria à perda de acesso a informações confidenciais que podem poupar tempo ao desenvolvimento de novas capacidades”. Um pouco menos importante para a GCHQ foi a confiança do público, que foi marcada como um risco moderado, lê-se no documento.

“Alguns produtos exploráveis são utilizados pelo público em geral; algumas fraquezas exploráveis são bem conhecidas, como por exemplo, a possibilidade de recuperação de senhas mal escolhidas”, disse. “O conhecimento de que a GCHQ explora esses produtos e a escala da nossa capacidade aumentaria a percepção do público, gerando uma publicidade indesejada para nós e nossos mestres políticos”.

O esforço na desencriptação é particularmente importante para a GCHQ. A  vantagem estratégica  do seu programa Tempora – intercepta directamente informação que passa pelos cabos transatlânticos de fibra óptica de grandes empresas de telecomunicações – estava em perigo de erosão à medida que mais e mais maiores empresas da internet encriptam o seu tráfego, respondendo às exigências dos seus clientes no que diz respeito à garantia de privacidade.

Sem grande atenção, um documento datado de 2010 da GCHQ avisou que “a utilidade do Sigint do Reino Unido se iria degradar. Com as mudanças dos fluxos de informação, são desenvolvidas e implementadas novas aplicações e a criptografia generalizada torna-se casa vez mais comum.” Documentos mostram que o objectivo inicial do programa Edgehill foi o de descodificar o tráfego encriptado certificado por três grandes empresas (sem nome) de internet e 30 tipos de Rede privadas virtuais (VPN) – utilizados pelas empresas para fornecer acesso remoto seguro aos seus sistemas. Em 2015, a GCHQ espera ter quebrado os códigos utilizados por 15 grandes empresas de internet e 300 VPNs.

Outro programa, de nome Cheesy Name, destinou-se a destacar as chaves de encriptação, conhecidas como ‘certificados’, cujas seguranças podem ficar vulneráveis e serem quebradas por supercomputadores da GCHQ.

Analistas do projecto Edgehill trabalharam nas redes de grandes fornecedores de webmail, fazendo parte do projecto da descodificação. Uma actualização trimestral a partir de 2012, refere que as equipes do projecto “continuam a trabalhar para compreender” os quatro grandes fornecedores de comunicações, referidos no documento como Hotmail, Google, Yahoo e Facebook, e acrescenta que “o trabalho foi predominantemente focado neste trimestre na Google devido a novas oportunidade de acesso que estão a ser desenvolvidas”.

Para ajudar a garantir uma vantagem interna, a GCHQ também estabeleceu uma Equipe de Operações Humint (HOT). Humint, abreviação de “inteligência humana”, refere-se a informações obtidas directamente de fontes ou agentes infiltrados. Esta equipa da GCHQ foi, de acordo com um documento interno, “responsável pela identificação, recrutamento e colocação de agentes secretos na indústria global das telecomunicações.” “Isto permitiu que a GCHQ enfrentasse alguns dos seus alvos mais difíceis”, disse o relatório. Os esforços feitos pela NSA e GCHQ contras as tecnologias de encriptação podem ter consequências negativas para todos os utilizadores da internet, alertam os especialistas.

Backdoors (portas do fundo) estão fundamentalmente em conflito com uma boa segurança”, disse Christopher Soghoian, tecnólogo principal e analista político sénior da American Civil Liberties Union. “Backdoors expõem todos os utilizadores de um sistema, não apenas os alvos da espionagem, a um aumento do risco de comprometimento dos dados.” Isto, porque a inserção dessa brechas num software, particularmente nos que podem ser utilizados para obter as comunicações do utilizador ou dados não codificados, aumenta significativamente a dificuldade na concepção de um produto seguro”. (gente, é isso mesmo que é pretendido)

Esta foi uma visão que ecoou num artigo recente de Stephanie Pell, ex-promotor do Departamento de Justiça dos EUA e membro não residente do Center for Internet and Security, na  Stanford Law School.

“[Um] sistema de comunicações encriptado, com uma intercepção legal através de Backdoors, tem mais probabilidade de resultar numa perda catastrófica do sigilo das comunicações versus um sistema que nunca teve acesso a comunicações não encriptadas dos seus utilizadores”, afirmou.

Autoridades da inteligência pediram ao The Guardian, New York Times e ProPublica para não publicar este artigo, argumentando que o sistema poderá fazer com que alvos estrangeiros mudem para novas formas de encriptação  ou de comunicações que seriam mais difíceis de recolher ou ler.

As três, removeram alguns factos específicos, mas decidiram publicar a história, devido à necessidade urgente de um debate público sobre as acções do governo que enfraquece as mais poderosas ferramentas para proteger a privacidade dos utilizadores da internet nos EUA e no mundo.

Fonte: Revealed: how US and UK spy agencies defeat internet privacy and security

ligne-rouge

Afinal quem é o terrorista?

Com que moral esta nação combate o ciber crime e chantageia outras nações a o fazerem?

E mais preocupante ainda, como é que o mundo mais uma vez deu e continua a dar cobertura a este monstro?

Nota: Links e frases desta cor são da minha responsabilidade.

Artigos relacionados; O Aterrador Futuro dos EUA e do Mundo!

Anúncios

2 comments on “Revelado: como as agências de espionagem dos EUA e Reino Unido derrotam a privacidade e segurança da Internet

  1. Pingback: Curiosidades do polvo da cyber espionagem da NSA 4 – Programas Bullrun e Edgehill | A Arte da Omissao

  2. Pingback: O programa Prism da NSA espiam em segredo utilizadores da Apple, Google e outros | A Arte da Omissao

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s

Categorias

%d bloggers like this: