Reprodução
A NSA (Agência de Segurança Nacional dos EUA, na sigla em inglês) sabia há pelo menos dois anos da existência da falha de segurança apelidada de Heartbleed, que pode expor inúmeras transações criptografadas de diversos sites, e a utilizou regularmente para coletar dados, segundo uma reportagem da Bloomberg publicada nesta sexta-feira (11/04). O Heartbleed, descoberto neste ano, afeta sites como Facebook, Twitter, Instagram, Yahoo! e Google.
[A falha no OpenSSL, um software de criptografia, foi apelidada de Heartbleed]
Segundo as fontes ouvidas pela Bloomberg, a NSA manteve a existência do bug em segredo por interesse da segurança nacional, o que pode renovar o debate sobre até que ponto o governo dos EUA deve ter acesso à privacidade de indivíduos não apenas em seu território, mas em outros países.
Através do Heartbleed, a NSA pôde obter senhas e outros dados básicos para a construção de sofisticadas operações de hackeamento realizadas em suas missões, mas, ao mesmo tempo, deixou milhões de usuários comuns vulneráveis às inteligências de outros países e a hackers criminosos.
Descoberto por pesquisadores do Google e de uma empresa de segurança chamada Codenomicon, o Heartbleed é uma falha no OpenSSL, um software de criptografia que protege inúmeros sites de ter seus dados roubados por hackers, como números de cartão de crédito e senhas de acesso. O Heartbleed deixou grandes sites – como Yahoo, Flickr e Imgur – vulneráveis a roubo de dados por anos, desde 2011.
Quando as primeiras notícias sobre a existência do Heartbleed começaram a circular na mídia, algumas pessoas suspeitaram de que a NSA já tivesse conhecimento da falha, o que agora foi comprovado pela Bloomberg.
De acordo com uma dessas fontes, a NSA descobriu o Heartbleed logo depois de sua criação, há mais de dois anos. A agência tem mais de mil especialistas trabalhando para descobrir esse tipo de falha em softwares, utilizando técnicas sofisticadas, muitas das quais são confidenciais.
NULL
NULL
Segundo James Lewis, especialista em segurança virtual do Centro para Estudos e Estratégias Internacionais, o fato de que a falha existia na transmissão de dados ordinários – ainda que seja o tipo de dado sobre a qual a maioria dos usuários esteja preocupada – pode ter influenciado a decisão da NSA de manter o Heartbleed em segredo.
“Eles têm um processo quando descobrem esse tipo de coisa que vai até o diretor” da agência, disse Lewis. “Eles analisam o quão provável é que outras pessoas tenham descoberto a falha e possam usá-la, e também analisam qual o risco para o país”. Ainda segundo ele, a NSA tem duas opções: explorar a falha ou notificar o software, para que seja consertada.
Atualmente, a NSA tem um acervo de milhares de falhas desse tipo, as quais podem ser usadas para atingir alguns dos computadores mais sensíveis do mundo, segundo a Bloomberg. Especialistas da inteligência norte-americana dizem que a capacidade dos EUA de localizar ameaças terroristas e compreender as intenções de líderes hostis seria drasticamente reduzida se o uso dessas falhas fosse proibido.
Obama
Pressionado pelas revelações sobre a espionagem da NSA, em sua maioria feitas pelo ex-analista da CIA Edward Snowden, o presidente Barack Obama convocou um grupo para rever as atividades de vigilância dos EUA e sugerir reformas. Entre as dezenas de alterações apresentadas, uma recomendava que a NSA agisse rapidamente para corrigir falhas de softwares em vez de explorá-las e que elas fossem utilizadas apenas em “casos raros” e por curtos períodos de tempo.
O Heartbleed já foi resolvido pela maioria dos sites que utilizam o OpenSSL, porém, é impossível para um usuário saber se seus dados foram hackeados ou não. Por isso, a recomendação é que as senhas utilizadas nesses sites sejam trocadas. Facebook, Instagram, Pinterest, Tumblr, Twitter, Yahoo!, Yahoo! Mail, Appel, Google (e os serviços adjacentes), GoDaddy, Dropbox, Minecragt, Netflix e SoundCloud formam a lista dos afetados pelo bug, considerado um dos mais devastadores da internet.