_Cibersegurança

Kaspersky confirma ter baixado documentos confidenciais, mas culpa erro da NSA

A fabricante de antivírus Kaspersky Lab continuou sua defesa contra as acusações de que teria ajudado a inteligência russa no roubo de documentos confidenciais da NSA (Agência Nacional de Segurança dos EUA). A empresa lançou os resultados de sua investigação do incidente e, se o relatório estiver correto, ele certamente não faz a NSA parecer […]

A fabricante de antivírus Kaspersky Lab continuou sua defesa contra as acusações de que teria ajudado a inteligência russa no roubo de documentos confidenciais da NSA (Agência Nacional de Segurança dos EUA). A empresa lançou os resultados de sua investigação do incidente e, se o relatório estiver correto, ele certamente não faz a NSA parecer bem.

A investigação da Kaspersky sobre o incidente vem depois de relatos de que o software da empresa estaria sendo banido dos computadores do governo dos Estados Unidos por acharem que ele foi usado para roubar intencionalmente documentos da NSA para a inteligência russa. Funcionários do governo norte-americano acreditam que a Kaspersky foi hackeado por serviços de inteligência russos, que usaram o software para buscar por informações ultrassecretas no computador pessoal de um contratado da NSA. Os resultados da investigação da Kaspersky são notáveis porque confirmam que a empresa de fato teve acesso às ferramentas de hackeamento da NSA, mas existe uma explicação razoável, alega a companhia.

Em um post de blog, a Kaspersky Lab detalhou a cronologia de eventos que aconteceram em 2014, quando seu software pegou ferramentas de vigilância digital e as subiu nos servidores em Moscou.

De acordo com a Kaspersky, a empresa vinha rastreando ferramentas de malware conectadas a um coletivo hacker que veio a ser conhecido como Equation Group, que dizem estar conectado à NSA. O software da empresa, o Kaspersky Security Network, foi instalado no computador pessoal de um homem que foi anonimamente descrito como um contratado para a NSA. A Kaspersky diz que o computador do analista foi infectado com malware por meio de “um gerador de chave de ativação ilegal do Microsoft Office”, que aparentemente foi usado para ativar algum software pirata baixado no computador. A detecção para esse tipo particular de backdoor fazia parte do pacote da Kaspersky desde 2013.

“Executar o gerador de chaves de ativação não teria sido possível com o antivírus habilitado”, escreveu a Kaspersky Lab. “O malware solto a partir do gerador de chave com trojan foi um backdoor completo que pode ter permitido a terceiros o acesso à máquina do usuário”, disse a empresa.

Ao reativar o produto da Kaspersky, o usuário escaneou o sistema diversas vezes e o software detectou “variantes novas e desconhecidas” de malware conectadas ao Equation Group. Foi aí que as coisas deram errado.

Um arquivo 7-zip de documentos foi recuperado para análise porque o usuário havia configurado o software para enviar relatórios de detecções maliciosas. Quando os pesquisadores da Kaspersky abriram o arquiva, descobriram que os cabeçalhos de dados rotulavam os documentos como propriedade confidencial. O fundador da empresa, Eugene Kaspersky, conta à Associated Press que disse a seus empregados para deletá-los imediatamente.

Da reportagem da AP:

A versão da Kaspersky ainda tem alguns buracos. Por exemplo, por que não alertar as autoridades americanas sobre o que havia acontecido? As reportagens de jornal alegaram que os Estados Unidos descobriram que a Kaspersky havia adquirido ferramentas da NSA por meio de uma operação de espionagem israelense.

Kaspersky recusou-se a dizer se havia alertado ou não as autoridades americanas sobre o incidente.

“Você realmente acha que eu quero ver no noticiário que tentei entrar em contato com a NSA para relatar esse caso?”, ele disse em um momento. “Definitivamente, não quero ver isso no noticiário.”

De acordo com Kaspersky, a culpa é do contratado da NSA, que supostamente teria levado para casa ferramentas de vigilância governamentais e então decidido ativar seu software antivírus.

O ponto de Kaspersky sobre não querer que o mundo soubesse se sua empresa compartilhava informações com a NSA ilustra um dilema que naturalmente surge em seu negócio. Como uma empresa de segurança que tenta proteger uma internet global, ele não pode ser visto como enviesado ao ajudar governos individuais a continuarem suas operações de espionagem. Ainda assim, empresas de segurança precisam ter sede em um país ou outro, estando sujeitas às leis do local. No caso da Kaspersky Lab, a empresa precisa obter uma licença do governo russo e seus dados precisam ser roteados por meio de provedores de internet russos, que são supostamente monitorados pela inteligência russa. Kaspersky alega que isso não é um problema, porque os dados são criptografados.

Complicando ainda mais as coisas, está o fato de que governos rotineiramente se envolvem em práticas de propagação de malware para seus próprios propósitos. Quando Kaspersky diz à AP que “se vemos informações confidenciais, elas serão imediatamente deletadas, e isso foi exatamente (o que aconteceu) nesse caso”, isso levanta uma questão sobre se ele sequer deveria fazer isso ou não. Se um malware é confidencial, ele ainda é malware e deve ser adicionado à análise de detecção de ameaças. A AP solicitou uma cópia das regras da empresa sobre como lidar com materiais confidenciais, mas ainda não recebeu o documento.

Portanto, a Kaspersky Lab está argumentando que seu software estava fazendo exatamente o que deveria e que deletou materiais confidenciais quando percebeu que os tinha. Mas um ponto chave que ela está negando, um que funcionários do governo norte-americano usaram para justificar a proibição do software nos computadores federais, é a acusação de que ela pode ter customizado suas ferramentas para caçar palavras-chave como “confidencial” ou “ultrassecreto”. A empresa escreve em seu comunicado: “A investigação confirmou que a Kaspersky Lab nunca criou qualquer detecção de documentos não-armados (não-maliciosos) em seus produtos baseados em palavras-chave”. A investigação interna da companhia em breve será entregue a um “terceiro confiável” para verificação. Na segunda-feira (23), a Kaspersky prometeu permitir que terceiros revisassem seu código-fonte.

Como aponta a AP, a história da Kaspersky se alinha com o que fontes disseram a vários veículos de imprensa: alguém trabalhando para a NSA quebrou protocolo e levou para casa informações confidenciais que foram então transmitidas para a Rússia porque o trabalhador era burro. Não acredita-se que o ineficaz analista tenha tido qualquer intenção maliciosa, mas uma investigação ainda está em andamento. O ponto em que a história da Kaspersky se diferencia é quando a empresa insiste que não compartilhou a informação com o governo russo, afirmando que o computador do contratante tinha uma backdoor instalada que poderia ter sido explorada por alguém.

Infelizmente para a empresa de segurança, tenha ela trabalhado em nome da operação de espionagem da Rússia ou não, sua reputação com o público está significativamente danificada. A indústria em que atua depende altamente de confiança, e as acusações vindo do governo dos Estados Unidos, junto com a paranoia em torno do governo russo, colocaram a Kaspersky em uma situação quase impossível de vencer. Por enquanto, é melhor guardar o julgamento para depois de termos os detalhes de uma análise independente.

[Kaspersky, Associated Press, Reuters]

Imagem do topo: AP

Sair da versão mobile