Sobre comentários

Pessoal, algumas vezes recebo comentários defendendo, ou com alguma propaganda, de um ou outro produto de mercado. Quando iniciei o blog decidi que seu foco seria temas relacionados à segurança em geral ou tecnologias, mas nunca a defesa ou crítica de produtos em específico. Quando cito fabricantes procuro fazer dentro desses contextos. Com esse principio em mente eu não aprovo comentários que façam apologia a algum produto. Espero que compreendam.

Espionagem

A espionagem deve existir desde que o mundo é mundo e as tribos antigas começaram a brigar entre si, e, claro, não poderia deixar de usar novos meios para chegar aos seus objetivos. Um exemplo é um caso ocorrido em 2008 com os quadros digitais da marca Insignia, fabricados sob encomenda e vendidos nos Estados Unidos pela Best Buy, velha conhecida dos turistas brasileiros. Naquele ano um lote de quadros foi infectado durante o processo de fabricação, com o malware sendo implantado nos chips do aparelho e mirando senhas de jogos em computadores Windows. Pode não ser um caso isolado, tanto que o site Rationally Paranoid possui uma lista de produtos comerciais infectados em sua página ( http://rationallyparanoid.com/articles/malware-in-commercial-products-list.html ). Não verifiquei toda a lista mas alguns casos são reais e reconhecidos pelos fabricantes. 

Pois nações como o Estados Unidos estão com receio de que malwares voltados à espionagem sejam implantados também nos equipamentos de telecomunicações usados pelas empresas privadas do país. Um programa de controle bastante estrito já existe para os chips usados pelos sistemas militares que controlam as armas, e agora as autoridades parecem estar preocupadas com possíveis ações nas redes comerciais. Esse foi o teor de uma pesquisa que o Departamento de Comércio está realizando entre as empresas de telecomunicações americanas, para levantamento de hardware e software fabricado no exterior e em uso nas redes dessas empresas.  A principal inquietação parece ser a China mas inclui também funcionários de indústrias eletrônicas.   A China por eventuais ações patrocinadas pelo governo do país para interceptar dados confidenciais e os funcionários por ações individuais para infiltrar malware para ataques de negação de serviço ou roubo de dados, como aliás já foi feito, por má-fé ou acidente, nos casos relatados acima. De acordo com os sites de notícias há uma baita polêmica ao redor dessa ação, mas a preocupação é séria o suficiente para o governo americano ameaçar as empresas que não colaborarem com uma lei da época da guerra fria, da década de 50, que trataria a recusa em responder ao questionário como crime.

A infecção de componentes de hardware por malware não é algo novo, e há programas e métodos já conhecidos para implantar código malicioso diretamente na BIOS além do caso da vulnerabilidade no chip que controla a bateria dos MacBooks da Apple. A HP também divulgou recentemente uma vulnerabilidade, até onde sei não explorada, em sua impressora HP Laserjet. Mas a possibilidade da instalação de malware diretamente na fábrica é algo diferente e bem mais ameaçador.  O principal problema é a falta de controle dos clientes finais sobre o hardware que estão adquirindo. Computadores e dispositivos diversos de informática são hoje fabricados literalmente ao redor do mundo, com componentes vindo dos lugares mais diversos, independente da marca ser de uma companhia americana, europeia ou chinesa. Assim, ao adquirir um equipamento, seja um roteador de rede ou servidor, a empresa estará adquirindo um conjunto desconhecido de componentes, de origem também desconhecida. Os analistas de segurança dessa empresa irão pesquisar sobre vulnerabilidades no Windows da Microsoft ou no IOS da Cisco, mas nunca no flash disco que acompanha o equipamento. Aliás um controle de tal magnitude seria algo impensável e impossível. É do fabricante do equipamento acabado a responsabilidade dos componentes integrados, mas é justamente nesse quesito que reside as dúvidas dos americanos. E se o fabricante não tiver tal controle? E se o próprio fabricante estiver sendo usado pelo governo de seu país para espionar? No final uma eventual ação mal intencionada seria somente detectada durante ou após a execução de alguma função não esperada ou suspeita. Em se tratando de segredos comerciais ou nacionais, tarde demais.