O ataque à NSA prova que a Apple afinal tinha razão

Após a violação, sem precedentes, das ferramentas e de exploits roubados da unidade de hackers de elite da Agência Nacional de Segurança dos EUA, alguns defensores da privacidade olham agora com outros olhos para as reivindicações da Apple, quando esta negou ao FBI o desbloqueio de um iPhone 5C do terrorista de San Bernardino.

No passado mês de Fevereiro, um juíz ordenou à Apple que desbloqueasse um iPhone para ajudar o FBI nas suas investigações. Este iPhone 5C havia sido usado pelo terrorista Syed Rizwan Farook, um dos dois criminosos que mataram 14 pessoas num ataque em San Bernardino, na Califórnia.

A ordem decretada pelo juíz provocou um vigoroso debate à escala mundial, e colocou frente a frente a empresa de Cupertino e as forças de autoridade. A Apple foi, assim, acusada de não colaborar com a defesa nacional, neste ataque terrorista.

O ataque à NSA prova que a Apple afinal tinha razão

A Apple lutou contra esta determinação judicial, com a sua equipa de advogados e, até o CEO, Tim Cook, escreveu uma carta argumentando que estava a ser obrigado a desenvolver um acesso “secreto”, vulgo backdoor, no seu sistema operativo móvel, o que iria subverter as medidas de criptografia aplicadas. Esta medida não só haveria de ajudar o FBI a entrar dentro do iPhone do terrorista, como poderia ser usado para entrar nos milhões de iPhones dos utilizadores Apple.

A maioria dos players do segmento tecnológico, como o Facebook ou a Google, reuniram-se em torno da Apple para suportar a posição da empresa de Cupertino. Estes argumentaram que, acatando o pedido do FBI, estariam a enfraquecer o sistema de criptografia dos dispositivos deixando vulneráveis os seus clientes.

O ataque à NSA prova que a Apple afinal tinha razão

NSA: roubada e publicada online informação TOP-SECRET

Agora, com a publicação online de material roubado da NSA (confirmado por Edward Snowden), a documentação secreta sobre exploits criados pela NSA para entrar em campos do foro privado, mostra que a Apple afinal tinha razão.

Depois de alguma pressão, de algumas tentativas de manipulação da opinião pública, o governo, no início de Março passado, lá recuou na sua exigência. Nessa altura, os investigadores disseram que foram capazes de desbloquear o telefone do atirador com “a ajuda de um terceiro”. Nunca revelaram quem havia sido ou como foi possível a invasão do dispositivo.

Saber exactamente como é que o FBI conseguiu o acesso a este iPhone, é um assunto. Agora o Governo ter informação de vulnerabilidades “zero days,” ou informação sobre exploits quando as empresas visadas ou os utilizadores desconhecem este problema, isso já mexe com outro nível de problemas.

Isto porque os exploits, quando detectados, são comunicados à empresa que detém o equipamento ou o sistema, para que haja uma correcção do software. Esta informação, nas mãos dos hackers, pode provocar danos estrondosos, mais ainda quando esta informação é vendida no mercado negro.

Mas e o exploit que desbloqueou o iPhone 5C?

Os especialistas acreditam que o exploit que o FBI usou para entrar no iPhone 5C não está nessa lista que vagueia pelo web browser Tor. Mas, após serem divulgados estes exploits guardados pela NSA, levantam-se várias questões problemáticas em torno da legalidade do “hacking governamental”.

Quando o Governo descobre, cria ou encontra uma vulnerabilidade num sistema, podem acontecer duas coisas: o Governo pode divulgar a vulnerabilidade ou pode usar a mesma. Contudo, as regras que regem qualquer destas opções estão “quebradas”.

O ataque à NSA prova que a Apple afinal tinha razão

PEV – Um plano que Obama criou, mas que não é vinculativo

Existem algumas directrizes que indicam, ao Governo, como este deve lidar com as vulnerabilidades. Essas directrizes designam-se de Processo de Equidade das Vulnerabilidades. Este processo supostamente descreve as situações em que devem as vulnerabilidades serem expostas e quando não devem ser reveladas. Isto deveria permitir avaliar quando o proveito da utilização da vulnerabilidade é maior que o risco a correr pela empresa visada.

Mas o PEV são apenas linhas orientadoras e não vinculativas. Quem esteve por detrás da criação do processo foi a administração Obama – não foi uma ordem executiva ou lei – e, por isso, não tem legitimidade legal.

Neste quadro, os especialistas concluem que a Apple teve razão dado o fraco compromisso da Agência Nacional de Segurança em realmente assegurar a informação valiosa para as empresas intervenientes.

Fonte: https://pplware.sapo.pt/informacao/ataque-nsa-prova-apple-afinal-razao/

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *