Hacking governamental: novas preocupações de segurança e privacidade
“Hacking governamental” refere-se a quando os investigadores do governo usam vulnerabilidades (bugs) em produtos de software e hardware para, primeiro, obter acesso remoto a computadores com informações que os investigadores desejam e pesquisar remotamente o computador, monitorar a atividade do usuário ou até mesmo interferir com o seu funcionamento.
Notícias de governos como a Rússia e a Coréia do Norte empregando equipes de tecnologia para invadir empresas por motivos políticos ganharam as manchetes nos jornais (pense na Sony após o lançamento do filme The Interview). Mas e quando o governo dos EUA “hackeia” para contornar as medidas de segurança destinadas a proteger os consumidores? Esses hacks podem sair pela culatra e nos colocar em risco? Riana Pfefferkorn, bolsista de criptografia do Centro de Internet e Sociedade da Stanford Law School, analisa essas questões em um novo documento, intitulado Security Risks of Government Hacking. Aqui, ela discute suas descobertas.
Seu artigo explora os riscos de segurança representados pelo hacking do governo.
Você pode explicar o hackeamento do governo?
“Hacking governamental” refere-se a quando os investigadores do governo usam vulnerabilidades (bugs) em produtos de software e hardware para, primeiro, obter acesso remoto a computadores com informações que os investigadores desejam e pesquisar remotamente o computador, monitorar a atividade do usuário ou até mesmo interferir com o seu funcionamento. Essas operações de hackers podem ser conduzidas por agências de inteligência ou agências de aplicação da lei, em apoio a investigações criminais, de segurança nacional ou de terrorismo.
O governo dos EUA tem o conhecimento técnico para isso? Eles são tipicamente funcionários do governo?
O governo dos EUA, particularmente suas agências de inteligência, provavelmente tem mais conhecimento técnico do que a maioria, se não todos os outros países nessa área. E as agências policiais, como o Federal Bureau of Investigation, solicitam financiamento do Congresso todos os anos para desenvolver ainda mais suas capacidades.
Às vezes as pessoas que desenvolvem técnicas de hacking do governo são funcionários do governo e outras vezes não. Como o documento explica, o governo dos EUA pode descobrir vulnerabilidades e criar “explorações” que usam essas vulnerabilidades. Mas há também um mercado em que entidades de terceiros (que não são os próprios governos) vendem software e serviços a governos para realizar suas operações de hackers, e o governo dos EUA também compra desse mercado. Por exemplo, no caso “Apple vs. FBI”, o governo comprou uma exploração de um terceiro sem nome para invadir o iPhone do atirador de San Bernardino.
Esses fornecedores terceirizados podem ser muito perspicazes e conscientes sobre quem são seus clientes, mas também podem vender para regimes opressivos ou para o crime organizado. Então, uma das coisas que o jornal discute é o que significa para o governo dos EUA participar de um mercado que também possibilita a perseguição de jornalistas, ativistas de direitos humanos e assim por diante.
Quão generalizado é o hacking do governo? E quais agências fazem isso?
Nós não sabemos o quão difundido é, porque quando isso acontece no lado da inteligência, é classificado, e quando isso acontece no lado da aplicação da lei, é no contexto de investigações criminais que permanecerão secretas enquanto estão em andamento. Uma das minhas áreas de pesquisa em Stanford além da segurança cibernética é a transparência da corte e a tentativa de descobrir com que frequência os tribunais (pelo menos os tribunais federais) autorizam o hackeamento do governo está na minha lista de tarefas.
A lista de agências do VEP inclui as que você esperaria, como o Departamento de Justiça (que inclui componentes como o FBI), o Departamento de Defesa (que inclui a Agência de Segurança Nacional), o Departamento de Segurança Interna e a Central de Inteligência. Agência. Mas há também alguns que você não pode esperar, como o Departamento de Comércio e o Escritório de Administração e Orçamento. Agências como essas provavelmente não estão conduzindo operações de hacking – elas provavelmente estão lá para avaliar outros fatores, como custo e considerações de aquisição.
Se o governo costuma invadir computadores “direcionados”, como pessoas inocentes são pegas nisso?
Isso pode acontecer se a maneira como o governo chega aos computadores de destino é atendendo seu malware a partir de um site que os computadores visitam. Eu discuto uma instância disso no jornal. Cerca de cinco anos atrás, o FBI assumiu o controle dos servidores de um serviço de hospedagem na Web, que incluíam sites que servem pornografia infantil, bem como sites com conteúdo legal. Os sites hospedados nos servidores só podiam ser acessados usando um navegador chamado Tor, que deveria obscurecer o verdadeiro endereço IP do usuário. Para identificar e rastrear os visitantes dos sites ilegais, o FBI usou malware que explorava uma falha no navegador Tor que revelava o endereço IP real de um usuário.
Mas quando o FBI implantou esse malware, ele não o fez apenas de sites ilegais – ele o fazia para todos os sites hospedados nesses servidores apreendidos. Isso significa que o malware do FBI acabou infectando os navegadores de pessoas que estavam visitando outros sites, não tentando visualizar nenhum conteúdo ilegal. Seus endereços IP verdadeiros ainda eram divulgados ao FBI. Esses outros sites incluíam um serviço de webmail anônimo usado por jornalistas, ativistas e dissidentes – pessoas que têm boas razões de segurança para tentar impedir que suas atividades on-line revelem suas verdadeiras identidades e locais, especialmente para os governos. Até onde sabemos, o FBI não notificou a ninguém que eles tinham sido infectados com malware, a menos que fossem indiciados.
O FBI parece ter reforçado suas práticas desde então, mas essa operação é uma boa ilustração de como pessoas inocentes podem ser pegas em uma operação de hackers – e talvez nunca saibam disso. Você destaca seis maneiras pelas quais o hackeamento do governo aumenta os riscos mais amplos de segurança do computador. Uma preocupação é com o dilema que os hackers do governo enfrentam: compartilhar informações sobre vulnerabilidades descobertas ou proteger seus próprios recursos de hackers. Você pode oferecer um exemplo que ilustra como isso pode funcionar e ser problemático? Uma palavra: “WannaCry”.
A Agência de Segurança Nacional tinha uma exploração chamada EternalBlue que fazia uso de uma falha no software da Microsoft. Ele tentou manter essa falha em si, porque, se notificasse a Microsoft, a Microsoft corrigia a falha e a NSA não poderia mais usá-la. Mas esse exploit tornou-se público, junto com outras ferramentas da NSA, depois que um grupo chamado “Shadow Brokers” aparentemente obteve as ferramentas de um servidor da NSA que eles hackearam em 2013. Os Shadow Brokers lançaram essas ferramentas online em abril de 2017. EternalBlue foi logo reaproveitado em WannaCry, uma peça virulenta de ransomware que infectou centenas de milhares de sistemas de computadores em todo o mundo a partir de maio do ano passado, incluindo sistemas cruciais como hospitais e bancos. A NSA descobriu que tinha perdido o controle de suas ferramentas e, eventualmente, notificou a Microsoft sobre a falha usada na EternalBlue, de modo que a Microsoft conseguiu emitir um patch de software cerca de um mês antes do lançamento público do Shadow Brokers. Mas como a NSA esperou tanto tempo, e porque nem todos os sistemas Windows tinham sido corrigidos ainda, WannaCry ainda era capaz de causar estragos e exigir um enorme custo econômico.
Mesmo agora, ainda existem cerca de um milhão de computadores e redes Windows que não foram corrigidos, por isso o WannaCry ainda está infectando computadores hoje. Como você acha que os riscos que você levanta são melhor abordados? O papel não entra realmente nisso. O que estou tentando fazer com o artigo é enumerar os seis principais riscos de segurança que vejo com o hackeamento do governo. Mas o artigo não faz recomendações normativas – ele não tenta orientar como os formuladores de políticas devem ponderar esses riscos. A lei e as questões políticas em torno do hackeamento do governo – incluindo se deve ser permitido – são um tópico muito controverso de debate, tanto aqui como em outros países que se envolvem em hackeamentos governamentais, como a Alemanha.
Eu quero que este artigo seja um recurso para as pessoas, não importa onde elas caiam nesse debate. Nós realmente não entendemos bem os riscos de segurança do governo, mas isso já está acontecendo. Assim, quaisquer que sejam as políticas ou regulamentações que eventualmente sejam postas em prática, elas precisam levar em conta esses riscos. Minha esperança é que tanto os formuladores de políticas quanto os tecnólogos tomem este documento como base para trabalhos futuros.
Com informações da Universidade de Stanford e do artigo Security Risks of Government Hacking, de Riana Pfefferkon
Com a colaboração de Riana Pfefferkon e Sharon Driscoll.