Gizmodo



Rússia

Dados biométricos pertencentes a milhões de americanos podem ou não estar sob risco — sinceramente, não está claro —, baseado em uma reportagem do BuzzFeed publicada nesta terça-feira (26). Pelo menos dois especialistas estão preocupados, de acordo com o site.

A matéria completa, com boas fontes e reportagem completa, detalha como um código desenvolvido por uma empresa russa chegou ao software de reconhecimento de impressão digital supostamente usado pelo FBI, pelo programa TSA PreCheck, assim como por 18 mil agências de aplicação da lei americanas, incluindo o Departamento de Polícia da Cidade de Nova York.

Segundo o BuzzFeed, uma empresa francesa chamada Sagem Sécurité, que teve seu nome depois alterado para Morpho, fornecia o software, mas “deliberadamente escondia” que uma porção do código havia sido comprada por uma empresa russa chamada Papillon AO. A Sagem Sécurité teria pago o equivalente a US$ 6 milhões antecipadamente para usar o código em seu próprio programa de análise de impressão digital, além de algumas taxas anuais recorrentes.

De acordo com o BuzzFeed, a Papillon se gaba em materiais de marketing de colaborar no desenvolvimento de produtos com várias agências do Kremlin, incluindo o ministério da Defesa e o Serviço de Segurança Federal, principal agência de segurança da Rússia e também conhecida como FSB. O BuzzFeed declara que a associação levanta “preocupações de que hackers russos possam ganhar acesso de backdoor a informações biométricas sensíveis sobre milhões de americanos, ou mesmo comprometer os sistemas computacionais de segurança nacional e aplicação da lei”.

Embora um ex-diretor de políticas da NSA tenha dito ao BuzzFeed que saber sobre o código secreto da empresa feito por russos teria o deixado “nervoso”, e embora um antigo funcionário da Morpho tenha afirmado que isso o deixaria “um pouco” preocupado, nenhuma das fontes parece afirmar que o código em si tem uma backdoor. O BuzzFeed sugere que nenhum dos especialistas de cibersegurança que consultou havia examinado o código — caso tivessem, provavelmente saberíamos se alguma prova dessa backdoor especulativa de fato existe — e que nenhuma das duas fontes tratadas como denunciantes esteve pessoalmente envolvida na implementação do código ou na venda dele para o FBI.

Nenhum outro detalhe sobre uma potencial backdoor apareceu no artigo; a Papillon nega que exista uma backdoor; e o FBI aponta, geralmente falando, que a segurança por trás de qualquer software que compra passa por examinação rigorosa antes de ser lançado. Além disso, o contrato visto pelo BuzzFeed também conteria uma declaração de que, pelo que a Papillon sabia, o código que havia licenciado para a Morpho não contém qualquer backdoor ou capacidades de cavalo de troia.

A matéria é contextualizada com referências a ciberataques que visaram Democratas de alto escalão durante as eleições de 2016, cuja culpa o serviço de inteligência norte-americano atribuiu, com muita certeza, ao governo russo, assim como uma controvérsia mais recente envolvendo a Kaspersky Labs, com sede em Moscou, dona de um software que as agências federais dos EUA não estão mais autorizadas a utilizar, por ordem do Departamento de Segurança Nacional e, depois, por uma lei assinada pelo presidente Donald Trump (a Kaspersky está processando o governo Trump por causa da proibição).

O código em torno do qual gira o artigo do BuzzFeed foi vendido há aproximadamente uma década, de acordo com uma cópia não-assinada de um acordo de licenciamento entre a Morpho e a Papillon obtida pelo site. E em relação à Kaspersky, o fato de que a empresa transportava dados era uma função conhecida de seu software antivírus, e não uma backdoor, e a companhia não está sendo acusada credivelmente de ter comprometido “laços com o Kremlin” o tanto quanto está sendo alvo de ataques.

Uma cláusula chave no contrato estipula que as empresas concordaram em “não divulgar (o contrato) de jeito algum”, relata o BuzzFeed. O fato de empresas estrangeiras estarem divulgando ou não as origens de seu código-fonte ao vender softwares para o governo dos Estados Unidos é, por si só, provavelmente algo bastante relevante.

Um dos denunciantes citados pelo site faz parte de uma ação judicial antitruste contra a antiga empresa-mãe da Morpho, a Sofran — agora a Morpho é propriedade de uma firma americana e teve seu nome mais uma vez alterado, agora para Idemia —, que afirma que a Sofran e a Papillon haviam concordado, secretamente, não competir por contratos em certos países, incluindo, aparentemente, os Estados Unidos. Um juiz federal rejeitou o caso neste ano por causa de aspectos técnicos, e o processo está atualmente em recurso.

O FBI se negou a responder a perguntas específicas do BuzzFeed sobre o software biométrico, o que não é surpresa alguma. Ainda assim, apontou: “Como é típico de qualquer software comercial com que operamos, revisões de segurança apropriadas foram feitas antes da aplicação operacional”.

Você pode ler a matéria completa (em inglês) no BuzzFeed.

Imagem do topo: AP




VOLTAR AO TOPO