Tradução do artigo The NSA Is Hoarding Vulnerabilities, de Bruce Schneier, publicado no blog Schneier on Security.

*

A National Security Agency está mentindo para nós. Sabemos disso porque dados roubados de um servidor da NSA foram publicados na internet. A agência está descobrindo e escondendo informações sobre vulnerabilidades nos produtos que nós usamos porque ela quer usar essas falhas para hackear computadores dos outros. Essas vulnerabilidades não estão sendo divulgadas e não estão sendo corrigidas, tornando inseguros os nossos computadores e as nossas redes.

No dia 13 de agosto, um grupo auto-denominado Shadow Brokers soltou na internet 300 megabytes de códigos de armas cibernéticas da NSA. O máximo que nós, especialistas, podemos dizer é que a rede da NSA em si não foi hackeada; o que provavelmente aconteceu foi a invasão, em 2013, de um “staging server” – servidor usado pela NSA para mascarar as suas atividades de vigilância – contendo armas cibernéticas da NSA.

A NSA tornou a se proteger de modo inadvertido nas, por coincidência, primeiras semanas do vazamento de documentos do Snowden. As pessoas por trás do link usaram o jargão informal dos hackers e fizeram uma extraordinária e implausível proposta envolvendo a realização de um leilão em bitcoins para o resto dos dados: “!!! Atenção patrocinadores governamentais de guerra cibernética e todos aqueles que lucram com isso !!!! Quanto vocês pagam pelas armas cibernéticas dos inimigos?”

Mesmo hoje, a maior parte das pessoas acredita que o ataque foi tarefa do governo russo e que a liberação dos dados foi algum tipo de mensagem política. Talvez fosse um aviso de que se o governo americano culpasse os russos pela invasão do Comitê Nacional Democrata – ou outras violações de dados de alto nível – os russos exporiam os exploits da NSA como vingança (NT: exploit – explorar, em tradução literal – é um programa, conjunto de comandos ou sequência de dados que aproveita uma vulnerabilidade para invadir um sistema).

Mas eu quero falar a respeito dos dados. As sofisticadas armas cibernéticas mostradas no vazamento dos dados incluem vulnerabilidades e “código exploit” que podem ser usados contra sistemas de segurança amplamente utilizados na internet. Os produtos-alvo incluem equipamentos da Cisco, Fortinet, TOPSEC, Watchguard e Juniper – sistemas usados tanto por organizações privadas como por organizações governamentais no mundo inteiro. De 2013 para cá, algumas dessas vulnerabilidades haviam sido descobertas e corrigidas independentemente do governo enquanto outras haviam permanecido desconhecidas até agora.

Todas são exemplos da prioridade dada pela NSA – independentemente do que ela ou os representantes do governo americano digam – à sua capacidade de exercer vigilância sobre os nossos sistemas de segurança. Eis um exemplo. O pesquisador de segurança Mustafa al-Bassam encontrou uma ferramenta de ataque de codinome BENIGHCERTAIN que engana certos firewalls Cisco por meio da exposição de algumas da suas memórias, incluindo senhas de autenticação. Essas senhas podem então ser usadas para decriptar tráfego de VPN tornando completamente inútil a segurança dos firewalls. A Cisco não vende mais esses firewalls desde 2009, mas eles ainda estão em uso.

Vulnerabiliades como essa poderiam, e deveriam, ter sido corrigidas anos atrás. E assim seria se a NSA tivesse cumprido a sua promessa de avisar as companhias e organizações americanas sobre as falhas de segurança que foi descobrindo.

Ao longo dos anos recentes, diferentes órgãos do governo americano repetidamente garantiram que a NSA não escondia “zero days” – termo usado pelos especialistas de segurança para designar vulnerabilidades desconhecidas pelos fornecedores de software. Depois do que aprendemos com os documentos de Snowden – a NSA compra vulnerabilidades zero-day de fabricantes de armas cibernéticas –, a administração Obama anunciou no início de 2014 que a NSA tinha obrigação de divulgar falhas em softwares de uso generalizado para que pudessem ser corrigidas (a menos em caso de motivo “claro de segurança nacional ou sanção legal”).

Mais tarde, naquele mesmo ano, o coordenador de segurança cibernética do National Security Council e consultor especial para o presidente sobre assuntos de segurança cibernética, Michael Daniel, garantiu que os Estados Unidos não guardava zero-days (exceto pela mesma mínima exceção). Uma declaração oficial da Casa Branca em 2014 afirmou a mesma coisa.

Os dados dos Shadow Brokers mostram que isso não é verdade. A NSA descobre vulnerabillidades e as esconde.

Descobrir e esconder vulnerabilidades zero-day é uma má idéia. Significa menos segurança para todos nós. Quando Edward Snowden expôs muitos dos programas de vigilância da NSA, houve uma discussão considerável sobre o que a agência faz com vulnerabilidades por ela descobertas em software de uso generalizado. Dentro do governo americano, o sistema de decisão sobre o que fazer com vulnerabilidades individuais é chamado Vulnerabilities Equities Process (VEP). É um processo entre agências e é complexo.

Há uma tensão entre ataque e defesa. A NSA pode manter a vulnerabilidade em segredo e usá-la para atacar outras redes. Neste caso, todos estamos sob risco de que alguém mais encontre e use a mesma vulnerabilidade. Alternativamente, a NSA pode revelar a vulnerabilidade para o fornecedor do produto para que seja eliminada. Neste caso, todos estamos seguros contra quem quer que possa estar usando a vulnerabilidade mas a NSA não poderá usá-la para atacar outros sistemas.

Há provavelmente alguns jogos de palavras pedantes demais nas declarações. No ano passado, a NSA disse que revela 91% das vulnerabilidades por ela encontradas. Deixando de lado se os 9% remanescentes representam 1, 10 ou mil vulnerabilidades, há o problema maior do significado de “vulnerabilidade” para a NSA.

Nem todas as vulnerabilidades podem ser convertidas em código exploit. A NSA não perderá a sua capacidade de ataque se divulgar as vulnerabilidades que não pode usar e, fazendo isso, conseguirá ser mais produtiva; é uma boa política de Relações Públicas. As vulnerabiliades vazadas pelos Shadow Brokers são as que realmente preocupam. São preocupantes porque deixam todos nós vulneráveis.

Como todos usam os mesmos protocolos de rede, software e hardware, não é possível, ao mesmo tempo, garantir a segurança dos nossos sistemas e atacar os sistemas deles – sejam “eles” quem forem. Ou todos ficamos mais seguros ou todos ficamos mais vulneráveis.

De modo muito uniforme, especialistas em segurança acreditam que nós devemos divulgar e corrigir vulnerabilidades. E o repetido discurso da NSA parece refletir esse ponto de vista também. Recentemente, a NSA disse – com ênfase, aliás – que não confia em zero days.

No começo deste ano, numa conferência de segurança, Rob Joyce, o chefe da organização TAO – Tailored Access Operations (Operações de Acesso Personalisadas, em tradução livre) – basicamente o hacker-chefe do país – fez um raro pronunciamento público no qual disse que o roubo de credenciais é um método de ataque muito mais frutífero do que zero days: “Muita gente pensa que governos baseiam as suas operações em vulnerabilidades zero-day mas isso não é o usual. Em grandes redes corporativas, persistência e foco levarão você para dentro sem a necessidade de usar vulnerabilidades zero-day; há muitos outros vetores mais fáceis de usar, menos arriscados e mais produtivos”.

A distinção a que ele está se referindo consiste em escolher entre explorar uma falha técnica no software e aguardar um ser humano, digamos, perder com uma senha.

Uma frase que você sempre ouve em qualquer discussão sobre o Vulnerabilities Equities Process é NOBUS, abreviatura de “nobody but us” (Ninguém além de nós, em tradução livre). Basicamente, quando a NSA encontra uma vulnerabilidade, ela tenta determinar se só ela descobriu ou se alguém mais pode ter encontrado. Se ela acredita que ninguém mais encontrou o problema, ela pode decidir não torná-la pública. É uma avaliação propensa tanto a arrogância quanto a otimismo e muitos especialistas em segurança têm colocado em dúvida a convicção comum de que somente os americanos têm a capacidade para conduzir pesquisas de vulnerabilidades.

As vulnerabilidades no vazamento de dados dos Shadow Brokers definitivamente não são do nível NOBUS. São vulnerabilidades nada especiais que qualquer um – governos, criminosos cibernéticos, hackers amadores – poderia ter descoberto, conforme ficou claro no fato de que muitas delas foram descobertas entre 2013 – quando os dados foram roubados – e esse verão, quando os dados foram publicados. São vulnerabilidades existentes em sistemas de uso generalizado utilizados por pessoas e companhias ao redor do mundo inteiro.

Então o que todas essas vulnerabilidades estão fazendo em um código secreto da NSA roubado em 2013? Se os russos foram mesmo os autores do roubo, quantas companhias americanas eles hackearam com aquelas vulnerabilidades? O Vulnerabilities Equities Process é projetado para evitar isso e ele tem falhado completamente.

Se há vulnerabilidades que – de acordo com os padrões estabelecidos pela Casa Branca e a NSA – deveriam ter sido divulgadas e corrigidas, são essas. Que isso não tenha sido feito durante os mais de três anos em que a NSA sabia delas e as explorou – apesar da insistência de Joyce em dizer que elas não eram muito importantes – demonstra a falência completa do Vulnerable Equities Process.

Precisamos corrigir isso. As investigações do Congresso existem exatamente para este tipo de coisa. Todo esse processo precisa de muito mais transparência, supervisão e atribuição de responsabilidades. Ele precisa de princípios-guia que priorizem a segurança sobre a vigilância. Um bom lugar para começar são as recomendações de Ari Schwartz e Rob Knake em seu relatório: dentre elas, um processo público claramente definido e mais público, maior supervisão pelo Congresso e outros órgãos independentes e uma forte orientação em corrigir as vulnerabilidades em vez de explorá-las.

E embora pareça sonho, nós realmente precisamos separar a missão de coleta de informações de nossa nação da nossa missão de segurança computacional: nós precisamos dividir a NSA. A missão da agência deve ser limitada a espionagem de nação estado. A investigação individual deve ser parte do FBI, as capacidades de guerra cibernética devem estar dentro do US Cyber Command e a infraestrutura de defesa crítica deve ser parte da missão do DHS (Department of Homeland Security, Departamento de Segurança Interna).

Duvido que haja qualquer investigação do Congresso este ano, mas teremos que resolver isso mais cedo ou mais tarde. Em meu livro de 2014 Data and Goliath, escrevi “não importa o que criminosos cibernéticos façam, não importa o que outros países façam, nós, nos EUA, precisamos pecar por excesso em relação à segurança corrigindo quase todas as vulnerabilidades que encontremos…” A segurança cibernética da nossa nação é importante demais para deixar que a NSA a sacrifique só para ter uma pequena vantagem sobre um adversário estrangeiro.

Publicado originalmente no Vox.com

***

Publicidade