Como o FBI forçou o Yahoo a modificar o filtro da caixa de entrada

Marissa Mayer foi criticada por sua incapacidade de fornecer medidas de segurança sob pressão da inteligência do governo. Foto: AP Photo / Michel Euler

Para o departamento de segurança do Yahoo, a situação atual é como se a empresa tivesse sido invadida. Em meados de 2015, um invasor instalou um backdoor que verificava o tráfego de mensagens (o relatório diz sobre a pesquisa de uma "assinatura" específica, seja lá o que isso significa). Isso pode ser feito por inteligência estrangeira, que deseja encontrar informações específicas. Mas, neste caso, a inteligência estrangeira não era culpada. Como a Reuters descobriu , os executivos seniores do Yahoo ajudaram agentes do governo dos EUA a criar um backdoor especial para verificar o tráfego do Yahoo Mail.

Como se viu , isso foi feito em segredo pelo departamento de pessoal e segurança do Yahoo. Apenas alguns de seus participantes sabiam sobre a operação. Eles dizem que quando o chefe do departamento de segurança, um conhecido especialista Alex Stamos soube disso em junho de 2015, ele imediatamente apresentou uma carta de demissão. Alex não precisou procurar um novo emprego por muito tempo .

O Yahoo recebeu uma ordem judicial para conceder acesso ao seu sistema de correio de um tribunal secreto de vigilância secreta para inteligência estrangeira (FISC). De acordo com a FISA(Ato de vigilância secreta para informações estrangeiras), o destinatário de uma ordem judicial não tem o direito de divulgar informações sobre o recebimento do mandado. Se a decisão for contestada, ela será considerada novamente em um tribunal secreto, e a empresa novamente não tem o direito de divulgar informações sobre a consideração de um caso. No final, nenhum dos usuários deve receber uma notificação direta de que a vigilância foi instalada em sua conta.

Algumas empresas, temendo receber ordens secretas do FISC, usam um truque conhecido como “evidência canária” - publicam com antecedência no site uma declaração de que ainda não receberam ordens do tribunal do FISC. Se esse pedido for recebido, eles simplesmente removerão a declaração que se tornou falsa do sitesem violar formalmente o requisito de não divulgação de informações. A Electronic Frontier Foundation monitora especificamente evidências de canários em vários locais para que os usuários possam tirar conclusões sobre as ações secretas do governo dos EUA.

Imediatamente após o surgimento da mensagem sobre o acesso de serviços especiais do governo ao tráfego de e-mails do Yahoo, quase todas as grandes empresas emitiram declarações oficiais de que não possuíam esse sistema para verificar mensagens confidenciais de usuários. Tais declarações foram feitas pela Apple, Google, Twitter e Microsoft .

O Yahoo emitiu uma "negação sem negação" típica. Alex Stamos se recusou a comentar .

Assim, o Yahoo foi deixado sozinho. Marissa Mayer foi criticada por colegas por não ser capaz de fornecer medidas de segurança e proteger os usuários.

O Yahoo está tentando inventar desculpas: “O artigo da [Reuters] é enganoso. Interpretamos estritamente cada solicitação de estado para minimizar o vazamento de dados, disse a empresa. "A digitalização de cartas descrita no artigo não existe em nossa empresa."

O que realmente aconteceu?

Nos últimos tempos, surgiram novas informações sobre como organizar um sistema de verificação de tráfego nos servidores do Yahoo Mail. Naturalmente, o Yahoo está proibido de divulgar essas informações, mas em uma entrevista ao NY Times, dois funcionários do governo e outra pessoa compartilharam informaçõessob condição de anonimato. Eles confirmaram que o Departamento de Justiça dos EUA recebeu no ano passado um mandado de um juiz da FISC para receber informações de uma organização terrorista estrangeira. Para cumprir os requisitos legais, o Yahoo modificou o sistema existente para verificar o tráfego recebido , que na situação normal é usado para filtrar malware e spam.

Após essa modificação, o sistema encontrou e manteve cópias para o FBI de todas as mensagens que continham a “assinatura digital” indicada. No momento, o sistema não está mais funcionando.

O advogado da FEP Andrew Crocker diz que as autoridades provavelmente usaram o parágrafo 702 Um ato de vigilância secreta da inteligência estrangeira, que permite "a coleta em massa de informações dos canais de comunicação para coletar dados sobre um indivíduo estrangeiro".



Essa solicitação não é muito usual, porque força a empresa a verificar sistematicamente todo o tráfego, e não o conteúdo de caixas de correio específicas. Como mencionado acima, várias grandes empresas de TI declararam inequivocamente que não encontraram essas solicitações FISC.

A varredura no tráfego de 500 milhões de usuários de uma empresa privada para encontrar traços de um criminoso é uma operação bastante incomum de serviços especiais. Mas foi realizado legalmente, aparentemente.

Essa história foi motivo de outra discussão sobre o equilíbrio entre segurança nacional, privacidade e proteção da correspondência de usuários particulares. Não, o FBI não leu as cartas de outras pessoas. Mas ele se infiltrou no sistema e vasculhou sua caixa de entrada, procurando as informações corretas. Deixe isso acontecer automaticamente. Permita que os filtros de spam e os sistemas contextuais de seleção de anúncios para analisar o conteúdo dos e-mails do Google façam o mesmo. Mas ainda desagradável.

Alguns especialistas acreditam que o momento do escândalo que desacredita a reputação do Yahoo e Marissa Mayer foi escolhido muito bem. "Não consigo me livrar da sensação de que uma possível compra dos ativos do Yahoo e uma possível recompensa para Marissa Mayer com essa transação poderiam levar a algumas especulações mal informadas sobre o que estavam fazendo com o correio dos usuários, -diz o professor Alan Woodward, especialista em segurança da Universidade de Surrey (Reino Unido). "Suspeito que as ações do Yahoo não sejam muito diferentes do que outros provedores de serviços dos EUA estão fazendo".

Ao mesmo tempo, o diabo está escondido nos detalhes. Se o FBI teve acesso a um sistema para verificar o tráfego de e-mail em busca de palavras-chave arbitrárias , isso é realmente um problema. A legalidade de tal sistema é duvidosa, esse tópico precisa ser seriamente discutido.

Um relatório da Reuters sobre a estreita colaboração do Yahoo com o FBI ocorreu duas semanas após a notícia do vazamento de credenciais dos 500 milhões de usuários do Yahoo .

Parece que Marissa Mayer terá dificuldade em fazer um acordo lucrativo para vender os ativos do Yahoo e obter uma taxa decente.



PS O parágrafo 702 da Lei de vigilância de informações privadas expira no final de 2017. A Free Frontier Foundation organizou uma campanha pública End 702 pedindo ao Congresso dos EUA para não estender este parágrafo porque simplifica muito as escutas telefônicas em massa de comunicações eletrônicas por serviços governamentais e viola os direitos dos cidadãos dos EUA.

Source: https://habr.com/ru/post/pt398043/