A descoberta nesta semana do bug Heartbleed, brecha de segurança que permite que hackers roubem senhas de usuários em muitos sites da web e aplicativos móveis, a qual fez soar o alarme nas empresas em todo o mundo, não chega a ser propriamente uma novidade. Ao menos para a Agência de Segurança Nacional dos EUA (NSA) ele já era bastante conhecido, há pelo menos dois anos, segundo duas pessoas familiarizadas com o assunto revelaram à imprensa internacional nesta sexta-feira, 11.
O mais grave é que o órgão de inteligência americano teria se aproveitado desse bug para coletar de dados em massa regularmente para seu polêmico programa de espionagem, segundo as mesmas fontes.
O bug Heartbleed — algo como hemorragia cardíaca — é uma falha no OpenSSL, protocolo de criptografia usado na internet para proteger informações sigilosas, como as senhas. Ele foi descoberto pela empresa de segurança finlandesa Codenomicon. O Google, que ficou sabendo antes de outras empresas, avisou algumas delas sobre o problema antes de divulgar a informação para o público.
O bug já está sendo considerado uma das maiores falhas da história da internet, abrindo brecha na segurança básica de dois terços dos sites do mundo. Sua descoberta e a criação de uma correção por pesquisadores há cinco dias levou usuários a alterar suas senhas, além de ter feito o governo canadense a suspender a declaração do Imposto de Renda pela internet e levado fabricantes de equipamentos de rede como a Cisco Systems e a Juniper Networks a fornecer correções para seus sistemas.
Fragilidade do código aberto
Ainda de acordo com as fontes, o bug Heartbleed possibilitou a NSA obter senhas e outros dados básicos, além de ter deixado milhões de usuários vulneráveis a hackers criminosos. Especialistas dizem que a busca de falhas é fundamental para a missão da NSA, embora a prática seja controversa. Segundo eles, a NSA e outras agências de inteligência destinam milhões de dólares para caçar falhas de software, que são fundamentais para obtenção de dados. E protocolos de código aberto como o OpenSSL, onde a falha foi encontrada, são os alvos primários. A falha para muitos deles, aliás, expõe a fragilidade dos softwares de código aberto.
Isso sem falar que a agência americana tem mais de mil especialistas dedicados a esmiuçar essas falhas usando técnicas sofisticadas de análise, muitas delas classificadas. A NSA encontrou a falha Heartbleed logo após a sua introdução, de acordo com uma das pessoas familiarizadas com o assunto, e se tornou parte fundamental do conjunto de ferramentas da agência para roubar senhas de contas e outras tarefas comuns.
A NSA, que tem enfrentado nove meses de duras críticas devido a amplitude de seu programa de espionagem, a partir do vazamento de documentados à imprensa pelo ex-colaborador da agência, Edward Snowden, deve sofrer outro revés com essa nova revelação, o que contribuirá também para acelerar a reformulação do programa, proposta pelo presidente dos EUA, Barack Obama, ao Congresso Nacional.
A revelação também permite uma visão mais clara dos papéis, por vezes contraditórios, da agência, segundo os especialistas. Ou seja, ao mesmo tempo em que protege sistemas do governo e das empresas do país de ciberataques, durante a coleta de informações ataca computadores de terceiros, incluindo cidadãos americanos. Com informações de agências internacionais.
