Empresas de tecnologia permitiram que Rússia buscasse brechas em seus produtos

Por Redação | 25 de Janeiro de 2018 às 12h52
stevanovicigor/Depositphotos
Tudo sobre

Symantec

Uma relação perigosa entre empresas de tecnologia e o governo russo foi denunciada nesta quinta-feira (25) pela imprensa internacional. De acordo com reportagem publicada pela agência Reuters, nomes como SAP, Symantec e McAfee permitiram que autoridades do Kremlin revisassem seus softwares em busca de falhas de segurança como condição para que eles pudessem ser vendidos para corporações e setores oficiais do país.

O problema é que muitos destes mesmos programas também são usados por agências governamentais e grandes empresas dos Estados Unidos, com quem a Rússia trava uma batalha cibernética que ganhou enorme força após as eleições presidenciais de 2016. A ideia é que, ao mesmo tempo em que tentava proteger sua própria infraestrutura e companhias, o país eurasiático também poderia aproveitar as brechas encontradas para efetuar ataques contra oponentes.

Em outubro, a HPe já havia sido denunciada por um ato desse tipo, ao ter permitido que o ArcSight, um sistema proprietário de gerenciamento e segurança da informação usado, por exemplo, pelo Pentágono, fosse revisado por agências de segurança russas. Uma análise de documentos das empresas e também dos países revelou mais circunstâncias desse tipo, efetuadas por empresas de renome.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Soluções de proteção de dados, controle de usuários, antivírus e mais outros diferentes tipos de aplicações, das mais diferentes empresas, foram analisadas pelo Kremlin ao mesmo tempo em que estavam presentes nas infraestruturas da Casa Branca, CIA, FBI, NASA e departamento de estado americano, além de governos estaduais e regionais. Algumas chegam a ter mais de um dos avaliados em operação, o que aumenta ainda mais a vulnerabilidade potencial. Todos os casos teriam ocorrido entre 2014 e 2015.

E, no que soa ainda pior, o Pentágono, por exemplo, sabia o que estava acontecendo. Em comunicações trocadas entre seus diretores e senadores americanos, também obtidas pela Reuters, autoridades da agência expressam preocupação sobre a descoberta de potenciais vulnerabilidades por inimigos políticos como Rússia e China como parte da estratégia de expansão das empresas de tecnologia. Representantes do setor privado também demonstraram temor, muitas vezes levando tais comentários também ao governo e outros envolvidos.

Pouca tranquilidade

Documentos do Pentágono mostram preocupações das autoridades com processo de revisão

De acordo com reportagem da Reuters, não foram encontrados indícios de que possíveis falhas descobertas pelas autoridades russas tenham sido usadas em ataques digitais contra os Estados Unidos. Teoricamente, o protocolo nesse caso seria o envio da informação aos desenvolvedores, para que as brechas pudessem ser descobertas, mas não é possível garantir que ele tenha seguido em todas as brechas descobertas, se é que alguma, efetivamente, foi.

Mesmo permitir que agentes externos deem uma olhadinha no código-fonte de soluções usadas por setores primordiais, entretanto, já é risco o suficiente. Por mais que não existam brechas, esse tipo de acesso abre também os segredos de tais soluções, permitindo que elas sejam exploradas por indivíduos maliciosos.

Segundo a reportagem da Reuters, das empresas avaliadas, apenas a Trend Micro se recusou a enviar suas soluções para análise pelo governo russo. Em comunicados oficias, publicados pela HPe na época e, agora, pela SAP, ambas afirmaram que os processos de revisão aconteceram sob supervisão das próprias empresas e com medidas de segurança aprimoradas, de forma que os códigos não saíssem do controle de seus detentores nem pudessem ser copiados para análise por terceiros.

Já a Symantec não negou os trabalhos com o governo russo, mas afirmou que as versões de seus softwares de segurança lançados a partir de 2016 não foram analisados pelo país. A empresa garantiu que o funcionamento das soluções, hoje, é completamente diferente por conta disso. Já a McAfee anunciou que, desde o ano passado, não aceita mais pedidos de revisão de código emitidos por nenhum país.

Fonte: Reuters

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.