NSA teria usado o Heartbleed para espionagem

Uma nova informação pode derrubar a pouca confiança reconquistada pela NSA ao longo de sua reforma, que vem sido conduzida pelo presidente Barack Obama nos últimos meses. De acordo com informações publicadas pelo site Bloomberg, a Agência de Segurança Nacional do governo dos Estados Unidos tinha conhecimento sobre o bug Heartbleed há pelo menos dois anos e teria se aproveitado dele para obter informações sigilosas a partir de serviços online.

A ideia da organização era obter dados como senhas, logins de acesso e mensagens trocadas entre cidadãos investigados ou não. Para isso, os analistas teriam usado a falha no sistema OpenSSL como um dos principais métodos, obtendo informações a partir de servidores de terceiros sem a necessidade de ações judiciais ou procedimentos legais.

O Heartbleed funciona a partir da exploração maliciosa de um pequeno pacote de dados chamado “heartbeat”, usado para garantir que a conexão entre servidores remotos e o computador do cliente continue funcionando. Uma alteração em tais dados, porém, pode fazer com que o sistema entregue a chave de criptografia do OpenSSL, literalmente habilitando a leitura e interceptação de todos os dados trafegados pela rede.

O problema é que, nesse caso, a preocupação exacerbada com a segurança nacional pode ser vista também como uma ameaça a ela. É o que afirmam os críticos do sistema de vigilância implantado pela NSA. A ideia geral é que, ao conhecer a existência do Heartbleed e não informar as partes responsáveis, o governo dos Estados Unidos também estava deixando seus cidadãos vulneráveis às ações de hackers e órgãos estrangeiros que pudessem estar realizando o mesmo tipo de espionagem.

Estudos avançados

Por enquanto, a agência não se pronunciou sobre o possível conhecimento prévio da falha de segurança. Em vez disso, lembrou ao público que possui times de especialistas dedicados justamente a encontrar falhas de segurança em sistemas utilizados amplamente por empresas da web. Nesse ensejo, o OpenSSL é um dos focos principais, tamanha sua popularidade.

De acordo com as fontes ouvidas pelo Bloomberg, esse grupo seria justamente o responsável pela descoberta do Heartbleed ainda em 2012, quando ele surgiu após um ajuste mal-sucedido no protocolo. Em vez de informar as partes responsáveis, porém, a NSA teria tornado o bug uma das partes integrantes de seu portfólio de soluções para vigilância, com o objetivo principal de roubar chaves de criptografia, logins e senhas.

Ao todo, seriam cerca de mil especialistas trabalhando no time de “descobrimento de falhas” da NSA. E eles estariam se aproveitando justamente das vulnerabilidades de sistemas de código aberto – normalmente desenvolvidos por organizações sem fins lucrativos nem recursos – para fortalecer o portfólio de sistemas usados para espionagem e vigilância ostensiva.

A revelação feita pelo Bloomberg torna a contradição dentro dos próprios organismos de segurança do governo dos EUA ainda maior. De um lado, estão os esforços para proteger a comunicação de seus próprios oficiais e de serviços essenciais para o país. De outro, está o conhecimento e manutenção de falhas de segurança que, na mesma medida em que podem ser usadas pela NSA, também poderiam ser utilizadas contra a nação por criminosos e inimigos.