Vídeo: Criando Trojan e Backdoor na prática e suas diferenças - Hacker Security (Novembro 2024)
Em uma recente conferência de segurança da RSA, Nico Sell estava no palco anunciando que sua empresa - Wickr - estava fazendo mudanças drásticas para garantir a segurança de seus usuários. Ela disse que a empresa mudaria da criptografia RSA para a curva elíptica e que o serviço não teria porta traseira para ninguém.
Quando ela saiu do palco, antes mesmo de ter a chance de tirar o microfone, um homem se aproximou dela e se apresentou como um agente do Federal Bureau of Investigation. Ele então passou a "casualmente" perguntar se ela estaria disposta a instalar um backdoor no Wickr que permitiria ao FBI recuperar informações.
Uma prática comum
Esse encontro, e o comportamento casual do agente, são aparentemente normais, como as agências de inteligência e policiais procuram obter maior acesso a sistemas de comunicação protegidos. Desde seu encontro com o agente da RSA, Sell diz que é uma história que ela ouviu várias vezes. "Parece que é assim que eles fazem agora", disse ela ao SecurityWatch. "Sempre casual, testando, porque a maioria das pessoas diria que sim."
O objetivo do FBI é ver sistemas criptografados e seguros, como o Wickr e outros. De acordo com a legislação da CALEA (Communications Assistance for Law Enforcement Act), a aplicação da lei pode tocar em qualquer telefone nos EUA, mas eles não conseguem ler as comunicações criptografadas. Também vimos como a polícia seguiu a liderança da NSA e coletamos dados em massa das torres de telefonia celular. Com a alegação de que a NSA instalou backdoors em hardware instalado nas instalações da UPS e supostamente trabalhava para minar os padrões criptográficos, não é de surpreender que o FBI estivesse operando de maneira semelhante.
A diferença
Ficou claro que o agente do FBI não sabia com quem estava lidando, porque Sell não recuou. Em vez disso, ela o ensinou sobre tópicos que vão desde a Primeira e a Quarta Emenda à Constituição, até a criação de uma agência dos correios nos EUA por George Washington. "Meu antepassado era um baterista de Washington", explicou Sell. "Washington pensou que era muito importante ter liberdade de informação e correspondência privada sem vigilância do governo".
Concluída sua palestra, ela começou a grelhar o agente. "Perguntei se ele tinha papelada oficial para mim, se esse era um pedido oficial, quem era seu chefe", disse Sell. "Ele recuou muito rapidamente."
Embora ela não tenha se mudado para o agente, Sell deixa claro que a vigilância e a segurança são uma questão complicada. "Dez anos atrás, eu teria dito que sim", disse Sell. "Porque se a polícia pedir que você pegue bandidos, quem não gostaria de ajudar?"
A diferença agora, ela explicou, eram suas experiências no BlackHat. Entre eles, Sell apontou para um evento BlackHat em que Thomas Cross demonstrou como invadir máquinas de interceptação legais - ou escutas telefônicas. "Ficou muito claro que um backdoor para os mocinhos é sempre um backdoor para os bandidos".
Como ser um bom rapaz
"Não sou contra ajudar a aplicação da lei, mas a coisa mais importante para mim é proteger meus amigos e familiares da melhor maneira que sei", disse Sell. Ela sugeriu que a NSA e outras agências voltassem a um modelo em que os indivíduos são direcionados, em vez de monitorar todas as comunicações e resolvê-las mais tarde. "Existem muitas maneiras de rastrear pessoas sem atropelar os direitos humanos", disse ela.
Como um exemplo de como fazer a segurança corretamente, Sell surpreendentemente apontou para o Wickr. Ela disse que sua empresa não possui as chaves de criptografia para descriptografar as mensagens dos usuários ou ver suas identidades. Dessa forma, se o Wickr for obrigado a entregar dados de uma ordem judicial, os investigadores encontrarão apenas lixo. Além de empregar quem Sell chama as "melhores pessoas de criptografia", Sell disse que as mensagens individuais estão vinculadas ao dispositivo pretendido. "Mesmo em 20 ou 100 anos, se a NSA milagrosamente quebrar essas equações, elas ainda não serão capazes de ler essas mensagens".
É claro que, para a Sell, isso é mais do que uma boa segurança. "Estou fazendo a coisa certa aqui, e é a coisa certa para eles também", disse ela. "Eu não tenho medo deles."