Barata Eletrica22:(MSFT.TXT):08/01/2000 << Back To Barata Eletrica22


Estou traduzindo (com permissπo) esta matΘria aos poucos. ╔ notφcia velha, mas "panela velha tambΘm faz comida boa". O original se encontra em http://www.cryptonym.com/hottopics/msft-nsa/msft-nsa.html#details Microsoft Instala AgΩncia de Espionagem Americana com Windows Research Triangle Park, NC - 31 Agosto 1999 - Entre "furadas" do Hotmail e problemas de browser, a Microsoft tem um lamentßvel registro em seguranτa informßtica. A maior parte de n≤s aceitam essas pequenas falhas de seguranτa e vπo adiante com a vida. Mas como deve se sentir um gerente de TI (Tecnologia de Informaτπo) quando descobre que em cada c≤pia vendida do Windows, a Microsoft pode ter instalado uma backdoor para a NSA (National Security Agency) tornado o acesso do governo americano aos seus computadores uma brincadeira de crianτa? Enquanto investigava os subsistemas de seguranτa do Windows NT4, o cientista chefe do Cryptonym descobriu exatamente isso - uma "porta dos fundos" para o NSA em cada c≤pia do Win95/98/NT4 e Windows 2000. Trabalhando em cima de achados de Nicko van Someren (NCipher), e Adi Shamir ( 'S' no 'RSA'), Andrew estava investigando a arquitetura "CryptoAPI" da Microsoft para falhas de seguranτa. Jß que a CryptoAPI Θ a peτa base da seguranτa criptogrßfica no Windows, qualquer falha nela deixaria o Windows aberto a um ataque eletr⌠nico. Normalmente, os componentes do Windows sπo destituφdos de informaτπo identificante. Se o computador estß calculando "n·mero_de_hora = 24 * n·mero_de_dias", a ·nica coisa que o ser humano pode entender Θ que o computador estß multiplicando "a=24*b". Sem o sφmbolo "n·mero de horas " e "n·mero de dias", n≤s podemos nπo ter nenhuma idΘia sobre o que 'a' e o 'b' significam ou mesmo que eles calculem unidades de tempo. No sistema CryptoAPI, era bem sabido que o Windows usou n·meros especiais chamados "cryptographic public keys" para verificar a integridade de um componente CryptoAPI antes de usar os serviτos do componente. Em outras palavras, programadores jß sabiam que o windows fazia o cßlculo "component_validity =crypto_verify(23479237498234...,crypto_component)", mas ninguΘm sabia o que a chave criptogrßfica "23479237498234..." significava semanticamente. Entπo veio o WindowsNT4's Service Pack 5. Nesta distribuiτπo do software da Microsoft, a companhia esqueceu de remover a informaτπo simb≤lica que identificava os componentes de seguranτa. Acontece que hß realmente duas chaves usadas pelo Windows, a primeira pertence a Microsoft, e permite o carregamento dos serviτos do CryptoAPI; a segunda pertence ao NSA. Isso significa que o NSA tambΘm pode, com certeza, carregar serviτos CryptoAPI .. no seu computador, sem a sua autorizaτπo. O resultado Θ que Θ tremendamente mais fßcil para o NSA carregar c≤pias nπo autorizadas de serviτos de seguranτa em todas as c≤pias do Windows da Microsoft e uma vez que estes serviτos estejam carregados, eles podem efetivamente comprometer todo seu sistema operacional. Para gerentes de TI nπo americanos, confiar no Win NT para operar centros de seguranτa altamente seguros, isto Θ horripilante. O governo nore-americano estß fazendo tπo difφcil quanto possφvel a criptografia "forte" fora dos EUA; que eles tenham tambΘm instalado uma porta dos fundos no sistema operacional mais abundante do mundo, deveria mandar uma mensagem sΘria para gerentes de TI estrangeiros. Hß boas notφcias entre as mßs, porΘm. Parece que existe uma falha no jeito que a funτπo "crypto_verify" Θ implementada. Por causa do jeito que a verificaτπo de cripto funciona, os usußrios podem eliminar ou repor a chave NSA dos sistema operacional sem modificar qualquer dos componentes originais da Microsoft. Jß que a chave NSA Θ facilmente reposta, isso significa que companias nπo americanas sπo livres para instalar serviτos de cripografia "possantes" no Windows sem a aprovaτπo da Microsoft ou do NSA. Entπo o NSA efetivamente removeu o controle de exportaτπo de criptografia "possante" do Windows. Um programa de demonstraτπo que rep⌡e a chave da NSA pode ser encontrado no website da Cryptonym. Interview Contact: Andrew Fernandes Telephone: +1 919 469 4714 email: andrew@cryptonym.com Fax: +1 919 469 8708 Cryptonym Corporation 1695 Lincolnshire Boulevard Mississauga, Ontario Canada L5E 2T2 http://www.cryptonym.com