NSA imita Google para monitorar ‘usuários alvo’ na internet

Os ataques usando a técnica de “man in the middle” deixariam a agência coletar dados sem precisar quebrar a criptografia. Essa é só mais um item na grande lista de estratégias que a NSA usa para espionar o que é tido como conversas de caráter estritamente privado. Por Josh Harkinson, do CNET




No meio de uma reportagem de televisão brasileira no domingo havia a informação de que a NSA “personificou” o Google e possivelmente outros sites da internet para interceptar, armazenar e ler comunicações online supostamente seguras. A agência de espionagem fez isso usando um ataque conhecido como “man in the middle” (MITM), uma técnica razoavelmente bem conhecida de hackers de primeira linha. Essa é só mais um item na grande lista de estratégias que a NSA usa para espionar o que é tido como conversas de caráter estritamente privado.



No que aparenta ser um slide retirado de uma apresentação da NSA, que também contém alguns slides da GCHQ, a agência descreve como o ataque foi feito em usuários alvo específicos do Google. De acordo com o documento, funcionários da NSA logam em um roteador de internet – mais provavelmente o mesmo usado por um provedor de internet ou uma rede de backbone (ainda não está claro se isso foi feito com permissão ou conhecimento do dono do roteador). Uma vez logada, a NSA redireciona o tráfego do alvo para um “MITM”, um site que age como um intermediário, colhendo as informações de comunicação antes de enviá-las para o site de destino.

O mais brilhante do ataque “MITM” é que ele vence a decodificação sem precisar quebrar de fato nenhum código. Se você visitar uma versão impostora do site do seu banco, por exemplo, a NSA pode colher seu login e sua senha, usar essa informação para estabelecer uma conexão segura com seu banco de verdade, e te devolver a informação necessária de sua conta – tudo isso sem você fazer nem ideia.

Os browsers deveriam automaticamente se proteger de ataques “MITM”, de acordo com o que o especialista em criptografia da John Hopkins University Matthew Green me disse. Eles contam com dados de autoridades certificadas, que verificam a veracidade dos sites e fornecem para eles certificados, ou selos digitais de aprovação. Os browsers pedem esses certificados automaticamente e alertam você se o site não tem – você pode já ter encontrado esses avisos pop-up.

“Isso é relativamente fácil de fazer”, mas também é arriscado, diz Matthew Green. Mas aqui é onde o sistema falha: nem toda autoridade certificadora é completamente confiável. “Se você for grande o suficiente e gastar dinheiro suficiente”, diz Green, “você pode fazer com que eles deem para você uma chave” – a chave que eles usam para emitir os certificados. Com isso, a NSA pode criar um certificado falso para qualquer site na internet, que é provavelmente o que ela fez quando personificou o Google, de acordo com Green. “Isso é fácil de fazer”, ele acrescenta, “porque há muitas autoridades certificadoras” – entre 100 e 200.

Grandes ataques “MITM” são raros, até onde se sabe, mas aconteceram antes. Em 2011, hackers invadiram a autoridade de certificação holandesa DigiNotar e usaram certificados roubados para espionar usuários de internet no Irã por semanas, de acordo com uma investigação feita depois. O governo holandês eventualmente apreendeu a DigiNotar – e Google, Microsoft e Mozilla bloquearam todos os seus certificados.

Os ataques “MITM” também têm desvantagens para quem o faz. Por exemplo, o Google Chrome mantém sua própria lista de chaves públicas para páginas do Google; o browser manda um alerta para a sede do Google quando ele detecta uma tentativa de forjar esses sites. Eles detectaram pelo menos dois ataques “MITM” dessa forma, Green me contou. “MITM é uma técnica de ataque bem arriscada”, diz ele, “você tem que saber que ninguém está vigiando aqueles serviços naquela hora para dar certo”.

O uso de ataques “MITM” foi descoberto pelo jornalista Glenn Greenwald em meio aos milhares de documentos dados a ele por Edward Snowden em junho. A história foi ao ar no fim de semana passado na TV Globo, e foi coescrita pela jornalista Sônia Bridi. Ela detalhou o uso de ataques “MITM” contra a companhia estatal de petróleo brasileira, Petrobras, mas também menciona que eles foram usados para interceptar informações de servidores do Google.

O Google tem redobrado seus efeitos para driblar a espionagem da NSA, apesar de ainda não estar claro se esses esforços incluem novas maneiras de evitar ataques “MITM”. A companhia respondeu a perguntas detalhadas da Mother Jones com uma pequena declaração: “Quanto às recentes informações de que a NSA descobriu formas de contornar nossos sistemas de segurança, não temos qualquer evidência de que algo assim tenha acontecido”, disse o assessor de imprensa Jay Nancarrow. “Nós fornecemos dados para o governo apenas na forma como está prevista na lei”.

Comentários