Unidade da CIA que cria ferramentas de hacking não se protegeu

O senador Ron Wyden, D-Ore., Um membro sênior do Comitê de Inteligência do Senado, obteve o relatório redigido do Departamento de Justiça depois que ele foi apresentado como evidência em um processo judicial este ano envolvendo as ferramentas de hacking roubadas da CIA.

O senador dos EUA Ron Wyden (D-OR) fala durante uma audiência do Comitê de Finanças do Senado sobre o papel do seguro-desemprego durante a pandemia da doença coronavírus (COVID-19) no Capitólio em Washington, EUA, 9 de junho de 2020. REUTERS / Leah Millis / Piscina

Uma unidade especializada da CIA que desenvolveu ferramentas sofisticadas de hacking e armas cibernéticas não fez o suficiente para proteger suas próprias operações e não estava preparada para responder adequadamente quando os segredos eram roubados, de acordo com um relatório interno preparado após a pior perda de dados na inteligência história da agência.

Essas deficiências foram emblemáticas de uma cultura que evoluiu ao longo dos anos e que muitas vezes priorizou a criatividade e a colaboração em detrimento da segurança, de acordo com o relatório, que levanta questões sobre as práticas de segurança cibernética dentro das agências de inteligência dos Estados Unidos.

O senador Ron Wyden, D-Ore., Um membro sênior do Comitê de Inteligência do Senado, obteve o relatório redigido do Departamento de Justiça depois que ele foi apresentado como evidência em um processo judicial este ano envolvendo as ferramentas de hacking roubadas da CIA.

Ele o divulgou na terça-feira, juntamente com uma carta que escreveu ao novo diretor de inteligência nacional, John Ratcliffe, pedindo-lhe que explicasse quais medidas está tomando para proteger os segredos da nação mantidos por agências de inteligência federais.

O relatório de 2017, cujas descobertas foram relatadas pela primeira vez pelo The Washington Post, examinou o roubo um ano antes de ferramentas cibernéticas confidenciais que a CIA havia desenvolvido para invadir as redes de adversários.

O WikiLeaks havia anunciado meses antes que havia obtido ferramentas criadas pelo Centro especializado de Inteligência Cibernética da CIA, e o site anti-sigilo publicou descrições abrangentes de 35 delas, de acordo com o relatório.
O relatório descreve o roubo da primavera de 2016 como a maior perda de dados na história da agência, comprometendo pelo menos 180 gigabytes a até 34 terabytes de informações. A agência não percebeu que a perda havia ocorrido até o anúncio do WikiLeaks um ano depois, disse o relatório, e identificou como principal suspeito um engenheiro de software da CIA que, segundo autoridades, copiou o arsenal de hackers sem levantar suspeitas.

O ex-funcionário, Joshua Schulte, foi acusado pelo Departamento de Justiça de roubar o material e fornecê-lo ao WikiLeaks. Mas um júri chegou a um impasse sobre essas acusações e o condenou em março por mais acusações menores, após um julgamento em Manhattan.

O relatório da CIA revelou medidas de segurança cibernética negligentes por parte da unidade especializada e os sistemas de tecnologia da informação de nicho nos quais ela depende, que é separada dos sistemas mais amplamente usados ​​pelos funcionários diários das agências. O relatório diz que, como os dados roubados estavam em um sistema sem monitoramento da atividade do usuário, eles não foram detectados até quando o WikiLeaks os anunciou em março de 2017.

Se os dados tivessem sido roubados para o benefício de um adversário do estado e não publicados, ainda poderíamos não estar cientes da perda, como seria verdade para a grande maioria dos dados nos sistemas de missão da Agência, diz o relatório.

O relatório, preparado em outubro de 2017 pela Força-Tarefa WikiLeaks da CIA, sugere que a CIA deveria ter sido mais bem preparada à luz de compromissos devastadores de informações em outras agências. O comprometimento das ferramentas de hacking ocorreu quase três anos depois que Edward Snowden, um ex-contratante da Agência de Segurança Nacional, confiscou informações confidenciais sobre as operações de vigilância da NSA e as divulgou.

A CIA agiu muito lentamente para colocar em prática as salvaguardas que sabíamos serem necessárias devido a violações sucessivas a outras agências do governo dos EUA, disse o relatório.

Entre os problemas identificados pelo relatório: armas cibernéticas confidenciais não foram compartimentadas, as senhas foram compartilhadas e os usuários tiveram acesso indefinido a dados históricos. O porta-voz da CIA, Timothy Barrett, se recusou a comentar as descobertas do relatório, mas disse que a CIA trabalha para incorporar as melhores tecnologias da classe para se manter à frente e se defender contra ameaças em constante evolução.

Sean Roche, ex-vice-diretor associado de inovação digital da CIA, que testemunhou no julgamento de Schulte, disse que embora a CIA tenha tido um problema com uma de suas redes, para dizer que o pessoal da CIA não leva a segurança a sério não é preciso. É completamente impreciso.

Falando na terça-feira em um webinar hospedado pelo Cipher Brief, um boletim online que se concentra em inteligência, Roche comparou o relatório da força-tarefa a um relatório pós-acidente do National Transportation Safety Board.

Isso quebrou. Foi isso que aconteceu, _ disse Roche. Precisamos ter certeza de que isso não aconteça novamente. Como isso não é saudável para uma organização que não tem um olhar público para o que está fazendo?

A divulgação das ferramentas de hacking teve destaque no julgamento de Shulte, com promotores retratando-o como um engenheiro de software insatisfeito que explorou uma porta dos fundos pouco conhecida em uma rede da CIA para copiar o arsenal de hackers sem levantar suspeitas.

Esses vazamentos foram devastadores para a segurança nacional, disse o procurador-geral dos Estados Unidos, Matthew Laroche, aos jurados. As ferramentas cibernéticas da CIA sumiram em um instante. As operações de coleta de inteligência em todo o mundo pararam imediatamente.
A advogada de defesa Sabrina Shroff argumentou que os investigadores não podiam ter certeza de quem pegou os dados porque a rede da CIA em questão era a coisa mais distante de ser segura e podia ser acessada por centenas de pessoas.
No final das contas, Schulte foi condenado por desacato ao tribunal e por fazer falsas declarações após um julgamento de quatro semanas. O júri não conseguiu chegar a um veredicto sobre as acusações mais significativas.