As conversas sobre backdoors em serviços criptografados estão mais uma vez fazendo as rodadas depois que surgiram relatos de que o governo do Reino Unido está buscando forçar a Apple a abrir a oferta de backup de dispositivos criptografados de ponta a ponta do iCloud (E2EE). Dizia -se que as autoridades estavam apoiadas na Apple para criar um “backdoor” no serviço que permitiria que os atores estaduais acessem dados no Clear.
O Reino Unido teve poderes abrangentes para limitar o uso de criptografia forte pelas empresas de tecnologia desde que passou uma atualização de 2016 para os poderes de vigilância do estado. De acordo com o relatório do Washington PostAs autoridades do Reino Unido usaram a Lei de Ponses de Investigação (IPA) para colocar a demanda na Apple-buscando acesso “cobertor” aos dados que seu serviço de proteção de dados avançados no iCloud (ADP) foi projetado para proteger do acesso de terceiros, incluindo a própria Apple.
A arquitetura técnica do serviço ADP da Apple foi projetada de tal maneira que mesmo a gigante da tecnologia não possui chaves de criptografia-graças ao uso de criptografia de ponta a ponta (E2EE)-permitindo que a Apple prometesse que possui “zero conhecimento” dos dados de seus usuários.
Um backdoor é um termo normalmente implantado para descrever uma vulnerabilidade secreta inserida no código para contornar ou minar as medidas de segurança, a fim de permitir terceiros. No caso do iCloud, o pedido permite que agentes de inteligência do Reino Unido ou aplicação da lei obtenham acesso aos dados criptografados dos usuários.
Enquanto o governo do Reino Unido se recusa rotineiramente a confirmar ou negar relatórios de avisos emitidos pelo IPA, os especialistas em segurança alertaram que uma ordem secreta poderia ter ramificações globais se o fabricante do iPhone for forçado a enfraquecer as proteções de segurança que ele oferece a todos os usuários, incluindo aqueles localizados fora do Reino Unido.
Uma vez que existe uma vulnerabilidade no software, existe o risco de que ele possa ser explorado por outros tipos de agentes, dizem hackers e outros maus atores que desejam obter acesso para fins nefastos – como roubo de identidade, ou adquirir e vender dados sensíveis, ou mesmo para implantar ransomware.
Isso pode explicar por que o fraseado predominante usado em torno de tentativas de estado para obter acesso ao E2EE é essa abstração visual de um backdoor; pedindo um vulnerabilidade ser intencionalmente Adicionado ao código torna as trade-offs mais simples.
Para usar um exemplo: quando se trata de portas físicas – em edifícios, paredes ou similares – nunca é garantido que apenas o proprietário ou o suporte da propriedade terão o uso exclusivo desse ponto de entrada.
Uma vez que existe uma abertura, ela cria um potencial de acesso – alguém pode obter uma cópia da chave, por exemplo, ou até mesmo forçar o caminho, quebrando a porta.
Conclusão: não existe uma porta perfeitamente seletiva que exista para deixar apenas uma pessoa em particular passar. Se alguém puder entrar, segue -se logicamente que alguém também poderá usar a porta.
O mesmo princípio de risco de acesso se aplica a vulnerabilidades adicionadas ao software (ou, de fato, hardware).
O conceito de Nobus (“Ninguém além de nós”) Backdoors foi lançado por serviços de segurança no passado. Esse tipo específico de backdoor geralmente se baseia em uma avaliação de suas capacidades técnicas para explorar uma vulnerabilidade específica superior a todos os outros-essencialmente um backdoor ostensivamente mais seguro que só pode ser acessado exclusivamente por seus próprios agentes.
Mas, por muito natureza, a capacidade de tecnologia e a capacidade é um feito móvel. Avaliar as capacidades técnicas de outras pessoas desconhecidas também dificilmente é uma ciência exata. O conceito “nobus” está em suposições já questionáveis; Qualquer acesso de terceiros cria o risco de abrir novos vetores para ataques, como técnicas de engenharia social destinadas a direcionar a pessoa com o acesso “autorizado”.
Sem surpresa, muitos especialistas em segurança descartam o Nobus como uma idéia fundamentalmente falha. Simplificando, qualquer acesso cria riscos; Portanto, pressionar por backdoors é antitético à forte segurança.
No entanto, independentemente dessas preocupações de segurança claras e atuais, os governos continuam pressionando por backdoors. É por isso que continuamos tendo que falar sobre eles.
O termo “backdoor” também implica que essas solicitações podem ser clandestinas, e não públicas-assim como os backdoors não são pontos de entrada voltados para o público. No caso iCloud da Apple, uma solicitação de comprometer a criptografia feita sob o IPA do Reino Unido – por meio de um “aviso de capacidade técnica” ou TCN – não pode ser legalmente divulgado pelo destinatário. A intenção da lei é que esses backdoors sejam secretos por design. (Detalhes vazando de um TCN para a imprensa é um mecanismo para contornar um bloco de informações, mas é importante observar que a Apple ainda não fez qualquer comentário público sobre esses relatórios.)
De acordo com o grupo de direitos, o Fundação Eletrônica Frontiero termo “backdoor” remonta à década de 1980, quando backdoor (e “Trapdoor”) foram usados para se referir a contas secretas e/ou senhas criadas para permitir que alguém desconhecido tenha acesso a um sistema. Mas, ao longo dos anos, a palavra foi usada para rotular uma ampla gama de tentativas de degradar, contornar ou comprometer a segurança dos dados habilitada pela criptografia.
Enquanto os backdoors estão nas notícias novamente, graças ao Reino Unido depois de backups criptografados do iCloud criptografado da Apple, é importante estar ciente de que as demandas de acesso a dados datam das décadas.
Na década de 1990, por exemplo, a Agência de Segurança Nacional dos EUA (NSA) desenvolveu hardware criptografado para processar mensagens de voz e dados que tinham um backdoor assinado – com o objetivo de permitir que os serviços de segurança interceptem comunicações criptografadas. O “Clipper Chip”, como era conhecido, usou um sistema de custom -chave – o que significa que uma chave de criptografia foi criada e armazenada por agências governamentais para facilitar o acesso aos dados criptografados no caso de as autoridades estaduais queriam.
A tentativa da NSA de açoitar chips com backdoors assados falhou com a falta de adoção após uma reação de segurança e privacidade. Embora o Clipper Chip seja creditado por ajudar a demitir os esforços dos criptoologistas para desenvolver e espalhar um forte software de criptografia, em uma tentativa de garantir dados contra a imitação de ultrapassagem do governo.
O clipper chip também é um bom exemplo de onde uma tentativa de exigir o acesso ao sistema foi feita publicamente. Vale a pena notar que os backdoors nem sempre precisam ser secretos. (No caso iCloud do Reino Unido, os agentes do estado claramente queriam obter acesso sem que os usuários da Apple soubessem sobre isso.)
Acrescente a isso, os governos frequentemente implantam propaganda emotiva em torno das demandas para acessar dados em uma tentativa de aumentar o apoio público e/ou pressionar os provedores de serviços a cumprir – como argumentando que o acesso ao E2EE é necessário para combater o abuso infantil ou o terrorismo , ou impedir algum outro crime hediondo.
Backdoors pode ter uma maneira de voltar para morder seus criadores, no entanto. Por exemplo, os hackers apoiados pela China estavam por trás do compromisso de sistemas de escutas telefônicas exigidas pelo governo federal no outono passado-aparentemente obtendo acesso a dados de usuários de telcos e ISPs dos EUA, graças a uma lei federal de 30 anos que exigiu o acesso backdoor (por ainda Nesse caso, de dados não-E2EE), ressaltando os riscos de assar intencionalmente pontos de acesso aos sistemas.
Os governos também precisam se preocupar com os backdoors estrangeiros, criando riscos para seus próprios cidadãos e segurança nacional.
Houve vários casos de hardware e software chinês sendo suspeitos de abrigar backdoors ao longo dos anos. As preocupações com os possíveis riscos de backdoor levaram alguns países, incluindo o Reino Unido, a tomar medidas para remover ou limitar o uso de produtos de tecnologia chinesa, como componentes usados na infraestrutura crítica de telecomunicações, nos últimos anos. Os medos dos backdoors também podem ser um motivador poderoso.
