outubro 31, 2013

[Segurança] NSA, Até o Papa !?!?

As denúncias de espionagem descontrolada e descabida por parte da Agência de Segurança Nacional americana (NSA) não param de chegar.

Se até pouco tempo atrás as denúncias de espionagens contra chefes de estado estavam restritas a presidenta do Brasil, Dilma Roussef, e ao presidente do México, agora vários outros países já ficaram sabendo de que foram alvos da mega-estrutura de cyber espionagem montada pela NSA. Incluindo, até mesmo, o Papa...

Segundo o The Guardian, a NSA espionou ligações telefônicas de 35 líderes mundiais. Além do mais, entre 08 de fevereiro e 8 de Março de 2013, a NSA coletou 124,8 bilhões de informações de telefonia em todo o mundo e 97,1 bilhões de informações oriundas de dados de computador.

Vejamos o que dizem as principais noticias até o momento...
  • Soubemos, através do Fantástico, que a NSA espionou as ligações telefônicas da Dilma
  • Também pelo Fantástico, vimos que a NSA interceptou mensagens de SMS do celular do atual presidente mexicano, Enrique Peña Nieto, quando ele ainda era candidato.
  • A NSA também espionou mais de 70 milhões de chamadas de cidadãos franceses em apenas um mês, incluindo o presidente da França, François Hollande.
  • Também foi alvo de monitoração a chanceler do governo alemão Angela Merkel.
  • Recentemente, a revista alemã Der Spiegel divulgou que a NSA espionou o presidente Mexicano Felipe Calderón quando ele ainda era presidente, entre 2006 e 2012.
  • O jornal australiano The Sydney Morning Herald denunciou que a NSA utilizou as embaixadas australianas na Ásia para espionar diversos líderes locais, inclusive da Indonésia
  • A NSA também espionou o Vaticano, incluindo o papa Bento XVI antes da sua renúncia e o então cardeal Jorge Bergoglio, antes de sua eleição para novo Papa. Segundo as notícias, a espionagem no Vaticano também ocorreu durante o conclave deste ano, e os EUA buscariam vantagens diplomáticas e segredos financeiros.

Mas isso não é o pior. Uma nova revelação indica que a NSA, em parceria com a agência de espionagem britânica GCHQ, também espionava os links de comunicação utilizados por grandes empresas de Internet, como o Google e Yahoo!. Ou seja, mesmo que a comunicação entre os usuários e os sites seja protegida pela criptografia SSL, a NSA percebeu que a comunicação interna entre os servidores e os datacenters destas empresas raramente é criptografada. Assim, interceptando estes links de comunicação entre os datacentes, a NSA conseguiu interceptar a comunicação dos usuários deste serviço.



A NSA percebeu que mesmo gigantes como o Google se preocupam mais com a segurança de perímetro do que com a segurança interna. Afinal, normalmente as empresas acreditam que suas redes internas são naturalmente seguras. Mas grandes empresas com vários escritórios e até mesmo com vários data centers tem um calcanhar de Aquiles: a interconexão entre suas redes, que normalmente é realizada através de empresas de telefonia contratadas para este fim. Poucas empresas (ou melhor, quase nenhuma) jamais se preocupou em proteger estas comunicações, o que pode ser realizado facilmente com equipamentos próprios de criptografia VPN.

O pessoal do Estadão construiu um Infográfico que distribui as principais denúncias contra a NSA em uma linha de tempo. Ótima referência.

2 comentários:

Gustavo Araujo Bittencourt disse...

O Anchises, excelente artigo. Contudo ressalto que fazer sincronização de datacenters utilizando canais criptográficos não é um desafio trivial (até mesmo para o Google) como o seu texto deixa a entender.

Anchises disse...

Oi Gustavo,

Com certeza não é algo trivial, senão todo mundo usava criptografia para proteger os links.

A solução mais simples de se imaginar seria colocar dois equipamentos em cada ponta fazendo um tunel VPN entre os sites, mas seria correto supormos que estes links de comunicação entre os datacenters do Google (e outras empresas gigantes) são links de grande largura de banda, e há poucas ou nenhuma solução de segurança que daria conta do throughput.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.