Tag Archive nsa

Novos vazamentos da NSA revelam ação de Unidades de Operação de Acesso Personalizado

 

nsa_malware_feature

A NSA (National Security Agency – Agência de Segurança Nacional dos Estados Unidos da América) tem se preocupado cada vez mais com o futuro da vigilância em massa e indicios recentes mostram que suas apostas futuras podem estar no desenvolvimento de malwares cada vez mais sofisticados e agressivos.

Uma reportagem da revista digital The Intercept, projeto jornalistico este fundado por Glen Greenwald, divulgou uma série de slides e memorandos vazados por Edward Snowden descrevendo a abordagem “mais agressiva” da NSA frente a desafios mais inteligentes, que visam contornar softwares de criptografia , tais como navegação na web via HTTPS e emails usando PGP.

Através da instalação de spywares e malwares diretamente em alvos específicos, o objetivo dessa abordagem é pegar os dados diretamente na fonte. As chamadas Unidades de Operação de Acesso Personalizado (TAO – Tailored Access Operations) da NSA seriam as responsáveis pelo empreendimento dessas tecnologias. Elas desenvolvem e implantam softwares malware e foram descritas em um relatório do Jornal Der Spiegel como “um esquadrão de encanadores que podem ser chamados quando o acesso normal a um alvo está bloqueado“, o que pode significar que eles são o último recurso utilizado quando outros métodos de vigilância falham.

No entanto, os novos documentos vazados revelam o crescimento explosivo da coleta de dados por intermédio das TAO através de malware implantados e sobretudo através de documentos de planejamento para aumentar o número de computadores infectados para a casa de dezenas de milhares, potencialmente, milhões, usando um sistema chamado Turbine .

De acordo com os documentos vazados, o Turbine permite a “exploração [de computadores] em escala industrial“, automatizando tarefas onerosas, tais como a recolha de dados de vigilância de sistemas infectados.

Além disso, as evidências sugerem que a NSA explora diversos gargalos da Internet para ataques man-in-the-middle* e desenvolve softwares para gerenciar milhões de implantes em redes, demonstrando que a sua intenção é a de comprometer a segurança de computadores em grande escala, ao invés de uma abordagem personalizada como vinha sendo até então.

Com o uso do Turbine, a espionagem de rede da NSA passou de algumas centenas de infiltrações em 2004, para algo entre 85 mil e 100 mil infiltrações em todo o mundo em 2012. Ainda que tomassemos como válido o argumento de que alguns sistemas importantes tivessem de ser inspecionados por questões vitais da segurança nacional estadunidense – argumento utilizado pelo Governo dos EUA -, o número de 100.000 computadores infectados, com possibilidade de extensão para milhões, rompe com qualquer noção factível de que a vigilância é feita por “questões de segurança”. Ao que parece o Turbine não é necessario e nem proporcional aos objetivos.

Não são apenas os implantes de uma violação de privacidade brutal, trata-se da exploração, em escala industrial, da base de dados de um número incomparável de computadores de cidadãos, muitas vezes comuns, fazendo a internet como um todo menos segura. O pesquisador Matt Balze chama atenção para um dos relatórios de iterceptação: “Como sabemos que esse sistema está funcionando corretamente e só visando os alvos que a NSA quer? E mesmo supondo que o sistema funcione corretamente, o que é por si só uma suposição muito duvidosa, como é esse sistema é controlado?

Até o dono da rede Facebook – uma das maiores ferramentas de retenção de dados pessoais da história – também tem se mostrado bastante preocupado. Recentemente, Mark Zuckerber ligou para o presidente Barack Obama reclamando e pedindo esclarecimentos sobre uma suposta ação da NSA que visava explorar vulnerabilidades do Facebook e roubar dados dos usuários da rede.

De acordo com reportagens recentes, a NSA criou servidores falsos do Facebook e utiliza cookies e outros dados de identificação para confundir usuários e fazer com que determinados recebessem malwares. Ele disse em declaração recente “Quando os nossos engenheiros trabalham incansavelmente para melhorar a segurança nós imaginamos que estamos nos protegendo contra criminosos, não o nosso próprio governo”.

Slides revelaram ainda que a NSA possui um protocolo de ataque man-in-the-middle chamado SECONDDATE que silenciosamente redireciona navegadores web a partir do site que eles pensam que estão visitando para servidores de malwares da NSA chamados FOXACID. A revista Intercept relatou que o “SECONDDATE é adaptado não só para ataques de vigilância ‘cirúrgicos’, tendo como alvo suspeitos individuais, como também pode ser usado para lançar ataques de malware em massa”.

A Eletronic Frontier Foundation (EFF) recomenda os seguintes cuidados para aqueles que desejam se proteger deste tipo de ataque man-in -the-middle:

  • Use HTTPS por padrão e defina o HTTP Strict Transport Security Header (http://dev.chromium.org/sts) como padrão para reduzir o risco de um ataque man-in -the-middle ou man-on-the-side. É possível baixar o plugin HTTPS Everywhere (https://www.eff.org/https-everywhere) para forçar conexões HTTPS em milhares de sites que ainda não suportam por padrão;
  • Defina a bandeira “envio seguro”, em seu navegador, para todos os cookies HTTP que seu computador acessar. Isso evita que sejam enviados textos simples ao invés de cifrados. O envio de “textos puros” para os cookies são um dos ataques explorados pelo Turbine. O HTTPS Everywhere também pode fazer isso automaticamente;
  • Se possível, apoie e use os Certificados de Transparência com SSL (https://www.digicert.com/certificate-transparency.htm) em seus sites para evitar ataques man-in -the-middle aos usuários utilizando certificados falsos;
  • Use TLS/SSL com suporte a Forward Secrecy (https://community.qualys.com/blogs/securitylabs/2013/08/05/configuring-apache-nginx-and-openssl-for-forward-secrecy) para que chaves privadas eventualmente comprometidas não possam descriptografar mensagens e arquivos antigos;
  • Implamente StartTLS (https://en.wikipedia.org/wiki/STARTTLS) para ter criptografia em servidores de e-mail;
  • Use Chaves Públicas Fixas (https://www.imperialviolet.org/2011/05/04/pinning.html) para garantir usuários só aceitem certificados SSL já pré-aprovados. Na ausência disso qualquer autoridade de certificação pode emitir um certificado malicioso para o seu domínio que será visto como confiável pelos navegadores. Infelizmente, a especificação HTTP Public Key Fixa é nova e só foi implementada no Chrome 18 e versões superiores. Nesse momento, o Mozilla vem trabalhando ativamente para o Firefox também tenha suporte a ele.

A NSA emitiu um comunicado de imprensa bastante confuso, se esquivando das questões colocadas pelas reportagens citadas e negou acusações nunca feitas no artigo do Intercept, acrescentando que mantém suas “operações de inteligência estrangeiras … adaptadas tanto quanto possíveis ” e que nunca atingiram “qualquer usuário de serviços globais da Internet sem autoridade jurídica adequada”. A EFF está cética quanto a essas declarações e recomenda que usuários e administradores de sites estejam também.

Referências:

* O Ataque Man-In-The-Middle é uma forma de ataque em que os dados trocados entre duas partes, por exemplo você e o seu banco, são de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem que as vitimas se apercebam. Numa comunicação normal os dois elementos envolvidos comunicam entre si sem interferências através de um meio, aqui para o que nos interessa, uma rede local à Internet ou ambas.

Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este de uma forma discricionária. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação. Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante.