Proponha uma correção, faça uma sugestão
NSA pagou 10 milhões de dólares à empresa RSA
A saga de Edward Snowden está longe de estar resolvida ou sequer de ter um fim à vista. Este analista, que desvendou e continua a desvendar ao mundo os segredos da NSA, voltou a revelar mais um documento escandaloso.
A mais recente informação que Edward Snowden disponibilizou mostra um escandaloso contrato secreto que a NSA e a maior empresa de sistemas de segurança, RSA, realizaram a fim desta permitir um backdoor.
Já não é de agora que se sabe que esta organização de espionagem americana, usa todos os recursos que tem disponíveis para conseguir o que quer.
A informação que agora foi revelada pelo canal noticioso Reuters, resulta de mais um conjunto de documentos que Edward Snowden libertou, e dão a conhecer que "se não os consegues vencer, compra-os", um contrato secreto celebrado entre a NSA e a RSA.
Em documentos revelados em Setembro deste ano, veio-se a saber que a NSA criou e promoveu uma fórmula de geração de números aleatórios que continha um backdoor e que se usada em mecanismos de criptografia permitia que hackers pudessem quebrar facilmente a encriptação.
A RSA tornou-se no maior distribuidor desta formula ao a implementar num software chamado de bSafe que ainda até há cerca de 3 meses era usado em vários mecanismos de segurança de sistemas e noutros produtos.
Em Setembro ficou provado a existência de um backdoor no sistema usado pela RSA em vários produtos de segurança, uma vez que os documentos não revelavam se foi intencional ou não, a RSA negou ter inserido intencionalmente o backdoor.
Desconhecido até agora, os documentos revelados pelo ex consultor da NSA no passado dia 20 de Dezembro, mostraram que a RSA recebeu 10 milhões de dólares através de um acordo realizado com a NSA. O contrato visava que a RSA teria de definir o sistema de geração de números aleatórios Dual_EC_DRBG como padrão no software bSafe e noutros produtos de segurança da empresa.
O sistema de geração de números aleatórios Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) foi disponibilizado originalmente pelo Instituto Nacional de Padrões e Tecnologia (NIST - National Institute of Standard and Technology) em 2006 como parte de um programa chamado de Recomendação para geração de números aleatórios usando determinados geradores de bits aleatórios (NIST SP 800-90A).
Pouco tempo depois da NIST ter revelado este sistema, Bruce Schneier, conhecido criptógrafo americano e especialista em privacidade e segurança informática, escreveu um artigo em 2007, baseado nas descobertas feitas pelos criptógrafos Dan Shumow e Niels Ferguson, onde falou que o RNG do Dual_EC_DRBG, poderia ter um backdoor da NSA.
Mais tarde, devido à polémica gerada pelos documentos revelados por Snowden em Setembro, a RSA emitiu um comunicado a sugerir a substituição deste sistema por outro.
Durante décadas e na actualidade, empresas, sistemas, infraestruturas de segurança, comunicações e utilizadores foram e são alvo de espionagem, sejam através de acordos bilaterais com as empresas, seja através de inclusões de backdoors escondidos em algum sitio que não possa ser detectado facilmente ou através de ataques informáticos.
Estas agências de inteligência financiadas pelos seus governos, têm na sua posse supercomputadores capazes de processar terabytes e terabytes de dados ou desencriptar milhares de dados em alguns dias.
A NSA, apesar de tentar sempre acordos bilaterais, não precisa de qualquer backdoor para aceder a servidores e atacar sistemas. Esta agência, juntamente com a Government Communications Headquarters (GCHQ) britânica têm ferramentas como a Bullrun (NSA) ou a Edgehill (GCHQ) para desencriptar dados altamente protegidos. Bem como, têm enormes base de dados com ferramentas capazes de atacar qualquer sistema existente, por melhor segurança que estes sistemas possam ter.
O acesso a estes programas de ataques informáticos são estritamente limitados a um grupo conhecido como Five Eyes (FVEY) e aos SIA (Signals Intelligence Agencies) do Reino Unido, Canada, Austrália e Nova Zelândia.
Quando um "sinal" não pode ser desencriptado com a tecnologia que têm, estas agências recorrem à tentativa de bruteforce até que consigam desencriptar, com o equipamento que possuem, este processo não deverá durar mais do que alguns dias também.
Edward Snowden está neste momento sobre protecção do governo russo, mas a qualquer momento esta protecção pode ser terminada e ser extraditado para os Estados Unidos. Apesar da sua tentativa de pedido de exílio ao Brasil através de ajudar a nação contra os métodos de espionagem da NSA, a presidente Dilma Rousseff não aceitou o pedido, possivelmente por ter medo de sofrer represálias vindas de Washington DC.
Este artigo tem mais de um ano
Loading ...
e novidades não há?
Apresentamos todos os dias novidades.
Esta e outras noticias do género, nunca devem ser deixadas de lado até porque o que toca à privacidade e protecção de dados é importante.
Apesar de já se conhecerem as capacidades desta agência de espionagem, é sempre novidade e escandaloso os meios que usam para conseguirem os objectivos.
Dez milhões de euros,só?Isso é uma bagatela 🙂 Ainda por cima para espionar as pessoas!!Esse valor é ridículo para um propósito destes.Há empresas que ofereciam milhões e milhões só para terem acesso aos dados que a NSA dispõe não hà anos a esta parte mas há décadas!!Sem falar em Google’s,Facebook’s,Yahoo’s e por aí fora.Até no Spam que nos chega via E-mail,nós somos confrontados!!É querem os nossos dados para tudo e mais alguma coisa.Enfim…Sugiro mas é a todos para terem cuidado a darem os vossos dados.Sabe-se lá o propósito de certas empresas.:-X
Já faltou mais para ele ser extraído para os USA. Não estou a imaginar outro final para ele, visto que os outros países têm medo de enfrentar DC.
Há países que lhe dão exílio permanente como por exemplo o Equador. Mas para isso é preciso conseguir fazer o voo até lá.
E além disso, a própria Rússia disse que lhe dava protecção permanente se ele deixasse de revelar os documentos.
Façam um artigo sobre dogecoins, as novas bitcoins
ja a algum tempo que tinhamos aqui falado disto…
se o mecanismo que gera chaves aleatorias…afinal segue determinado padrão, é muito facil reduzir o numero de hipotses a apenas alguns milhões…e que com muito poder de processamento, se obtém resultados…
O NIST Americano…não é de confiança…
É aconselhado o uso de ferramentas abertas como openssl, e GNUTls
O GNUTLS parece-me de momento uma implementação mais limpa que o openssl, mais isenta(parece a toda a gente…)…mas a maioria dos browsers por exemplo usa openssl…
Até se fala que os mechanismos de cifra que veem nos processadores trazem backdoors…porpositadamente…
isto esta mau, o melhor é um pombo correio á prova de bala 🙂
cmps
Ferramentas abertas são mais seguras… não concordo.
As mais seguras são as que são feitas por “ti” (se souberes o que fazes), pois sabes o que está lá feito e mais ninguém sabe como foi feito, de forma a dificultar as tuas falhas de desenvolvimento.
PS: Quando me refiro a “ti”, refiro-me no geral a cada pessoa
pois talvez penses isso, mas é graças ao facto de o openssl ser aberto que hoje sabemos que inclui backdors para RSA…se assim não fosse comia-mos e calavamos…
O código aberto, e escrutinado por muitos criptólogos, e developers, e isso é muito bom 😉
Alias, nem de próposito…a empresa que vende o bSafe(RSA), que recebeu o guito, ela própria aconselha o uso ou de openssl ou GNUTLS, apesar de vender no seu producto um backdor 😉
Ela própria não aconselha o uso deste mecanismo de geração aleatório 😉 , mas vende um producto com o mesmo…muito possivelmente porque faz parte do acordo com a NSA…
A maioria dos peritos em Segurança aconselham ou openssl ou GNUTLS, e aconselham mais até o segundo, porque é mais imune á NSA…é europeu, na sua totalidade…e a implementação é mais limpa e mais facil de rever código…eu não sou especialista no assunto, mas leio bastante em diversos locais…e prefiro seguir os conselhos de alguém que trabalha unicamente com tecnologia de segurança…eles próprios dizem isso mesmo…o código aberto mostra os podres todos, e por isso são descubertos e corregidos…
Se for para coisas pequenas o código feito por ti, é a melhor solução, mas quanto envolve este tipo de tecnologia…o código desenvolvido por ti, é a pior das escolhas…são implementações altamente técnicas e requerem muito conhecimento diverso…e isso não existe apenas em uma pessoa, junta um conjunto de experts de varias Áreas, e cada um trabalha a sua parte…isto é diferente de fazer um programa normal…além de que os tools para teste são um quebra cabeças..
Por esse motivo, ficas muito mais seguro, com uma implementação limpa e fidedigna