Denunciantes do governo dos EUA deixou vulnerável a espionagem

US government whistleblowers left vulnerable to eavesdropping

Homem com fechadura, imagem cortesia do Shutterstock Denunciantes que relatam desperdícios e fraudes em agências federais dos EUA, como o Departamento de Justiça e do Departamento de Segurança Interna estão sendo deixados vulneráveis ​​à exposição pela falta de criptografia básica em sites de denúncia.

A questão foi levada à atenção de Tony Scott, os EUA Chief Information Officer, por uma carta aberta de A American Civil Liberties Union.

A carta, escrita pelo diretor Michael W. Macleod-Ball atuar, é uma resposta a uma proposta do governo dos EUA chamou a HTTPS-Only Padrão . A norma exigiria o uso de HTTPS em todos os sites de acesso público federais e serviços web dentro de dois anos.

Macleod-Ball elogia a iniciativa, mas destaca a necessidade premente de alguns sites de adotar HTTPS muito mais rápido do que o prazo de dois anos da proposta:

Apesar de sermos um modo geral favoráveis ​​a sua proposta ... nós acreditamos que este prazo não é em breve para alguns sites sensíveis, como os utilizados pelos inspectores geral, pelo menos vinte e nove dos quais atualmente não usam HTTPS para proteger os relatórios de resíduos , fraude ou abuso submetidos via suas linhas directas de internet.

HTTPS é a forma segura e criptografada do Hypertext Transfer Protocol (HTTP) e fornece duas proteções importantes para as pessoas que não querem que as suas comunicações snooped diante.

Ele usa assinado certificados para provar a identidade do site que você está falando e ele garante que as comunicações com esse site são criptografados.

Sem HTTPS é trivial para um atacante na mesma rede que você leia todas as informações que você está enviando a um site ou até mesmo para se inserir entre você e o site que você está falando (a assim chamada man-in-the ataque -middle).

Para os denunciantes que poderia supor que suas identidades estão sendo protegidos isso é um descuido grave.

Os autores do HTTPS-Only da Standard provavelmente não são responsáveis ​​pelo actual estado de coisas e para seu crédito que reconhecem a necessidade de sites do governo que lidam com informação sensível para mudar para HTTPS como uma questão de prioridade.

Para sites e serviços existentes, as agências devem priorizar a implantação usando uma análise baseada no risco. Serviços da Web que envolvem a troca de informações de identificação pessoal (PII), onde o conteúdo é inequivocamente sensível na natureza, ou onde o conteúdo recebe um alto nível de tráfego devem receber prioridade.

Nomes da letra da ACLU 29 ramos do governo Federal que não salvaguardar as informações compartilhadas por denunciantes que passa por toda a internet:

VOCÊ DISSE; o Departamento de Agricultura; Amtrak; Comissão Regional Appalachian; o arquiteto do Capitólio; a Comissão de Segurança de Produtos de Consumo; a Corporation for National & Community Service; a Corporation for Public Broadcasting; Comissão de Assistência Eleitoral; a Agência Federal Housing Finance; a Autoridade Federal de Relações Trabalhistas; Comissão Marítima Federal; Administração de Serviços Gerais; o Departamento de Segurança Interna; a Comissão de Comércio Internacional dos Estados Unidos; Departamento de Justiça; a Corporação de Serviços Jurídicos; Arquivos Nacionais; o National Endowment for the Humanities; o Conselho Nacional de Relações do Trabalho; National Science Foundation; o Escritório de Gestão de Pessoal; a Comissão Reguladora Postal; a US Small Business Administration; o Smithsonian; o Inspetor Geral Especial para a Reconstrução do Afeganistão; o Inspetor Geral Especial para o Troubled Asset Relief Program; o Departamento do Tesouro; eo Tesouro Inspector-Geral da Administração Tributária.

HTTPS tem sido em torno de um longo tempo, mas para a maior parte da história da web a sua utilização tem sido confinado para acessar telas, pagamentos de cartão de crédito e outras interações, obviamente, altamente sensíveis.

Como a nossa consciência colectiva dos problemas de segurança da Web e de privacidade tem melhorado gradualmente (ajudada por programas como o Firesheep ) o uso de HTTPS tem aumentado também, mas até alguns anos atrás, havia poucas pessoas que achavam que ele deve ser usado em todos os lugares, por padrão.

Tudo isso mudou quando Edward Snowden quebrou capa e disse-nos apenas a quantidade de informação a NSA (e eu assumo todos os outros cabala espião globalmente significativo) é aspirar a partir da internet.

Desde então, tem havido uma onda de interesse em criptografia; um esforço renovado para garantir a criptografia contamos com realmente funciona corretamente e é está livre de backdoors; e toda uma gama de organizações adotando HTTPS e empurrando para torná-lo mais a regra do que a exceção .

Na verdade, o aumento do interesse em HTTPS é tão abrangente que até mesmo o governo dos Estados Unidos que desencadeou, sem querer, agora foi pego nele.

Conexões privadas e seguros estão se tornando cada linha de base da Internet, tal como expresso pelas políticas dos organismos de normalização da Internet, browsers populares, e com a comunidade Internet da prática. O governo federal tem de se adaptar a esta paisagem mudando ...

É importante que as organizações referidas por carta a transição da ACLU para HTTPS o mais rápido possível, mas, como tanto a letra como o ponto de saída padrão, isso representaria um bom começo, em vez de uma proteção completa para os denunciantes.

HTTPS pode proteger o conteúdo de uma comunicação entre um usuário e um site, mas ainda é possível escutar os metadados que revela quem está falando, se não o conteúdo que revela o que está sendo dito.

Em sua carta Macleod-Ball usa o exemplo de alguém no Paquistão ou Iêmen visitar as Recompensas para a Justiça website; o simples fato de sua visita ao site é, diz ele, informações extremamente sensíveis que não é protegido por HTTPS e que poderia colocar a vida dos usuários em risco.

Uma solução fácil para o problema de metadados está disponível sob a forma de o navegador anônimo Tor mas várias agências federais realmente bloquear usuários que visitam seus sites usando Tor.

Governos são grandes, alastrando, muitas cabeças animais que muitas vezes não concordam com eles mesmos. Se qualquer prova adicional fosse necessário, em seguida, ela deve ser amplamente fornecido pelo fato de que Tor – uma ferramenta que protege-lo melhor do que qualquer outro de espionagem na web – é em si um produto criado e doado pelo mesmo governo que espiona tudo você faz e não quer que você usá-lo.


Imagem do homem com bloqueio cortesia do Shutterstock .