Entre as diversas denúncias de espionagem feitas pelo ex-analista Edward Snowden, está a informação de que a NSA teria pagado US$ 10 milhões à RSA para inclusão de uma backdoor em seus sistemas de criptografia. Agora, cientistas de três universidades americanas descobriram brechas em outro sistema de segurança da companhia, permitindo uma entrada fácil de agências de segurança no que deveria ser um bloqueio de intrusos.
Os achados foram publicados pela agência Reuters e estarão presentes em um estudo que ainda deverá ser publicado pelas universidades de Wisconsin, Illinois e Johns Hopkins. Os achados revelaram que o já desacreditado sistema Dual Elliptic Curve não era o único a manter as portas abertas para a NSA, com um segundo protocolo conhecido como Extended Random também possuindo backdoorspara a agência.
A tecnologia acabou não se tornando popular e a RSA, quando procurada para comentários, negou ter reduzido a segurança de suas aplicações sob ordens da NSA. Além disso, a companhia informou que essa não foi a primeira falha de segurança encontrada na proteção Extended Random, que há seis meses não está mais disponível em nenhum dos produtos fabricados e vendidos por eles.
De acordo com os pesquisadores, a NSA teria atuado como consultora da RSA com o intuito de melhorar seus sistemas de segurança, mas teria agido ao contrário, implementando soluções que a permitissem espionar os pacotes trocados entre os usuários e a internet. A própria empresa de segurança não negou tais atos e admitiu que deveria ter sido mais cética quanto às intenções da agência.
O lado bom dessa história, se é que ele existe, é o fato de que, teoricamente, apenas os analistas da própria NSA possuíam os meios para quebrar a encriptação dos dados a partir de tais backdoors. Sendo assim, tirando a espionagem governamental, os usuários dos sistemas da RSA estavam protegidos contra ações de terceiros.
Geradores de aleatoriedade
Os protocolos de segurança quebrados pela NSA se baseavam em números randômicos, que eram processados por um software. As chaves de acesso, então, deveriam ser as mesmas criadas pelo provedor do serviço. Alguns destes sistemas, porém, se provaram previsíveis, e foi exatamente aí que a RSA, juntamente com a agência de segurança, criou a proteção Extended Random.
Além de revelar as brechas obtidas pelo órgão americano, os pesquisadores foram além, afirmando que a Extended Random nem sempre significava uma camada a mais de proteção. Eles ainda chamam atenção para o fato do protocolo ter sido criado pouco após a queda de popularidade da Dual Elliptic Curve.
A ideia da RSA era que a Extended Random fosse adotada como um padrão da indústria, assim como outras de suas soluções. Quando os esforços para esse fim não demonstraram frutos, porém, a RSA partiu para outras iniciativas e deixou o protocolo de lado.
Esse abandono, na opinião dos pesquisadores, foi a melhor coisa a se fazer. Os responsáveis pelo estudo se dizem capazes de quebrar a segurança de redes protegidas pela solução em cerca de uma hora, com equipamento computacional no valor de US$ 40 mil. Foi justamente esse baixo valor e o pouco tempo necessário que trouxe a tecnologia aos olhos da NSA e a transformou em um ótimo foco para espionagem.
Fonte: Espionagem Segurança
Matéria completa: http://canaltech.com.br
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.