Governos Podem Obrigar as Empresas Nacionais de Segurança Cibernética a Espalhar Ataques?

Um governo pode obrigar uma empresa doméstica de antivírus a ignorar um malware patrocinado pelo estado, ou mesmo adicionar backdoors a produtos de software ou de hardware, sem ser pego?

Essa é uma questão relevante na sequência de uma pesquisa conduzida pelo FBI nas operações da empresa de antivírus Kaspersky Lab, com sede em Moscovo, bem como avisos sobre o uso do software da empresa por parte do governo norte-americano, ouvida pelo Department of Homeland Security and the Senate Intelligence Committee (ver Russia Threatens Retaliation If US Bans Kaspersky Lab).

“Você tem que ter confiança no vendedor”.  

Em resposta à verificação relatada, Eugene Kaspersky, que lidera a empresa antivírus, ofereceu testemunhar ante o Congresso, além de compartilhar o código-fonte com o governo dos EUA.

Mas essas perguntas são mais profundas do que as verificações de código, diz Jake Williams , um consultor de segurança cibernética e ex-funcionário da NSA que questionou a perspectiva de um relatório da NBC News que equacionou Eugene Kapersky Rússia com o crescimento na Russia Soviética após o seu trabalho para as autoridades.

Uma questão de confiança

Como um filósofo famoso disse uma vez: “A confiança é ganha, não é dada”.

Por isso, também vale a pena notar que a Kaspersky Lab não é uma criança nova no bloco. Foi formada há 20 anos pela Kaspersky, e desde então ganhou uma reputação pela construção de softwares bem respeitados, além de produzir pesquisas de alto nível sobre cibercriminosos e ataques de estados-nação (nation-state)

A Kaspersky Lab – uma empresa privada com escritórios em 37 países – teve um impulso de vendas empresarial concentrado nos Estados Unidos a partir de 2014 após a criação de um escritório em Washington em 2013 para melhorar sua capacidade de vender ao governo dos EUA. Ao mesmo tempo, também trabalhou com agências de aplicação da lei, através da Europol e da Interpol, para reduzir o cibercrime e ajudou a criar o portal No More Ransom para fornecer ferramentas de descriptografia de ransomware gratuitas.

Whitelist

Quando se trata de confiar, a narrativa que sai do governo dos EUA negligencia alguns fatos relevantes.

Assim, em 2013, o grupo de direitos digitais holandeses Bits of Freedom enviou uma carta às principais empresas antivírus em vários países, pedindo se eles criariam alguma “whitelist” – como, ignorar ou permitir deliberadamente – de malware, por exemplo, em resposta a uma demanda por parte do governo. A carta foi assinada por 25 principais especialistas em segurança e privacidade.

Sete empresas – Avira, ESET, F-Secure, Kaspersky Lab, Norman Shark, Panda e Trend Micro – responderam rapidamente aos Bits of Freedom, dizendo que não o fariam sob nenhuma circunstância. Pouco tempo depois, o Avast, o AVG (agora possuído pela Avast), o Bitdefender, o Bullguard, o McAfee, a Microsoft e a Symantec disseram que, da mesma forma, nunca listavam malware em lista branca.

Como funcionam as empresas de segurança

As perguntas da lista branca foram novamente levantadas após a descoberta do malware de ciberespionagem avançado chamado Regin .

Em 23 de novembro de 2014, a empresa de antivírus da Symantec lançou o primeiro relatório técnico detalhado do Regin, levando a empresa com sede em Helsínquia a ser seguida rapidamente pela F-Secure e Kaspersky Lab.

O calendário desses alertas de segurança e o fato de que os ataques de Regin aparecem até o início de 2008 provocaram dúvidas sobre se as empresas de segurança dos EUA, finlandesas e russas estavam envolvidas com o malware. Uma outra dúvida: alguns especialistas suspeitam que Regin foi construído pelos EUA e Grã-Bretanha, e as infecções foram supostamente ligadas a ataques de hacks contra a empresa belga de telecomunicações Belgacom e o Parlamento Europeu.

Mas as empresas responderam ao dizer que os ataques de Regin tinham sido lançados em quantidades tão pequenas – aparentemente altamente direcionadas – que se perderam no enorme volume de malware detectado todos os dias. Além disso, foi somente graças às empresas que trabalham juntas que acabaram por desmascarar o malware (ver AV Firms Defend Regin Alert Timing).

O mesmo aconteceu com o Stuxnet – que foi despercebido por um ano – e, mais tarde, DuQu e Flame, todos os quais supostamente atendem a uma fábrica de código exploits dos EUA.

As conspirações são propensas a falhar

Caso um tema não esteja claro aqui, o governo russo não é a única ameaça à segurança cibernética no mundo.

Mas isso não significa que as empresas de segurança cibernética de cada país são uma ameaça.

Em 2012, por exemplo, Schneier disse que era altamente improvável que um governo tentasse obrigar qualquer empresa doméstica de segurança cibernética a colocar em  whitelist  um malware, simplesmente porque o conhecimento relacionado seria tão difícil de conter. “Meu palpite é que a NSA não fez isso, nem tem nenhuma outra agência governamental de inteligência ou de aplicação de lei”, disse Schneier. “O meu raciocínio é que o antivírus é uma indústria internacional, e enquanto um governo pode fazer com que suas próprias empresas obedeçam a tais pedidos, não seria capaz de influenciar empresas internacionais”.

Não é necessária compulsão

Esse é o ponto crucial: as agências de inteligência não precisam obrigar ninguém a construir backdoors em seus produtos. Em vez disso, eles podem encontrar ou comprar informações sobre erros exploráveis ​​em software, explorar exploits e lançar ataques altamente direcionados que explorem estas vulnerabilidades (ver Yes Virginia, Even Security Software Has Flaws).

Em quem você pode confiar?

Claro, dizer que nenhum produto construído na Rússia deve ser usado pelas agências governamentais dos EUA pode parecer improvável.

Mas a cadeia de suprimentos não é tão clara.

O U.S. Government Accountability Office, por exemplo, diz que não sabe quantos produtos utilizados pelo governo podem incluir os componentes da Kaspersky Lab. Para piorar, o governo russo observa que é um grande usuário de hardware e software construídos nos Estados Unidos. Não haveria dúvidas, se considerarmos apenas o Microsoft Windows.

Dada a dificuldade enfrentada pelos governos que possam querer obrigar as empresas domésticas de cibersegurança a seguirem suas vontade, e condenar à morte as empresas que revelassem tais instruções, devemos adotar uma abordagem baseada em risco. Em suma, devemos considerar  e analisar empresas específicas e seus antecedentes tão separados quanto possível das considerações políticas e diplomáticas.

fonte: bankinfosecurity by Mathew J. Schwartz
por MindSec  10/07/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.