CSS, NSA e Comando Cibernético: Mudanças estruturais na abordagem cibernética através do Atlântico

NSA criará nova Diretoria de Segurança Cibernética

La Agência de Segurança Nacional anunciou planos para criar uma diretoria de segurança cibernética durante 2019 como parte de uma iniciativa mais ampla para fundir suas operações cibernéticas ofensivas (LIO) e defensivas (LID).

A NSA tem sido alvo de reorganizações há vários anos, cujo âmbito se alargou sob a direcção do General Paul Nakasone – actual chefe da Serviço Central de Segurança (CSS) – já que a agência acabou perdendo o foco na segurança cibernética. Este último acaba de anunciar a criação de uma Direção de Segurança Cibernética e nomeou Anne Neuberger para chefiá-la, após quase 10 anos na NSA.

Anne Neuberger, que atualmente atua no Conselho de Administração da NSA, foi a primeira Diretora de Risco e fez parte da equipe que ajudou a estabelecer Comando Cibernético dos EUA em 2009. Mais recentemente, ela supervisionou os esforços de segurança eleitoral da NSA antes e durante as eleições de 2018, que teriam visto a NSA e o USCYBERCOM intensificar os seus esforços contra a interferência russa e melhorar a partilha de informações com agências como o FBI e o DHS, responsáveis ​​pela vertente judicial.

A nova Diretoria de Segurança Cibernética substituirá a atual Diretoria de Garantia de Informação da NSA. Este anúncio surge num contexto em que cada vez mais vozes se levantam para afirmar a necessidade de uma separação entre a NSA e o USCYBERCOM. Estas duas entidades distinguem-se pelas suas missões, mas sobretudo pela sua autoridade jurídica.

Criado em novembro de 1952, o Agencia de Segurança Nacional/Serviço Central de Segurança (NSA/CSS) é responsável – pelo governo americano – pelos assuntos relativos à criptologia, abrangendo tanto a inteligência eletrônica (SIGINT) quanto a segurança cibernética, permitindo a exploração de redes de computadores (CNO) proporcionando uma vantagem na tomada de decisões.

Durante muito tempo único centro de competência do país, a NSA conseguiu desenvolver uma grande quantidade de know-how ligado ao ciberespaço. Só em 2008 é que os Estados Unidos fizeram um balanço dos riscos associados ao ciberespaço. Ignorância na melhor das hipóteses, sensação de invulnerabilidade na pior, Operação Yankee de chumbo grosso revelará o que muitos chamarão de a maior ameaça à segurança nacional que o país já conheceu.

Enquanto um novo malware aparecia nos radares de investigadores de cibersegurança e empresas especializadas, uma versão particularmente virulenta foi descoberta em certas máquinas do comando militar da NATO em Junho de 2008. Apelidado de “Agent.btz” pela empresa F-Secure, irá levar a um profundo questionamento das capacidades dos Estados Unidos para garantir a segurança das suas redes informáticas.

Operação Buckshot Yankee

Quase quatro meses depois, em Outubro de 2008, os analistas da NSA descobriram o mesmo malware nos sistemas dos sistemas mais críticos. Rede secreta de roteadores de protocolo da Internet, a rede através da qual as informações mais sensíveis dos Departamentos de Estado e de Defesa, bem como dentro do Articulação Sistema Mundial de Comunicação de Inteligência, a rede que permite às autoridades americanas transmitir informações sensíveis aos seus aliados.

análises de defesa do data center da nsa | Redes de Comunicação e Defesa | Espionagem
As “torres de marfim”, embora desligadas da rede global, mostraram a sua vulnerabilidade a ataques avançados

O que surpreende à primeira vista é que estas redes estão separadas da Internet e não têm – em princípio – qualquer interface com a World Wide Web, formando um “Air Gap”: uma separação física, supostamente hermética. Mas o malware “Agent.btz” já estava dentro dessas redes e comunicava informações extremamente confidenciais ao mundo exterior. Esta técnica, que deveria proteger completamente uma rede do exterior, não é perfeita e, como muitas vezes acontece, encontra-se “entre o computador e a cadeira”.

Tal como o Stuxnet, este malware foi introduzido, conscientemente ou não, na rede protegida através de uma chave USB previamente infectada. Depois de penetrar no sistema alvo, o malware se espalha por ação capilar, infectando todos os dispositivos removíveis que estarão conectados à máquina.

Mas para operar o Agent.btz teve que se comunicar com seu patrocinador externo. Esses sinais, evidências tangíveis de atividade maliciosa, foram detectados por um analista da equipe Operações de rede avançadas (ANO) da NSA responsável pela vigilância das telecomunicações (SIGNIT) dos inimigos dos Estados Unidos no estrangeiro (em teoria apenas porque, de facto, as revelações de Edward Snowden apoiaram largamente casos de vigilância de cidadãos americanos em território nacional).

Após vários dias de investigações, os operadores da ANO chegaram à conclusão de que a violação de segurança era suficientemente grave para a encaminhar para o mais alto nível do aparelho de segurança americano. Em 24 de outubro de 2008, Richard C. Schaeffer Jr., então chefe de segurança de redes de computadores da NSA, e o general Keith Alexander, diretor da agência, participaram de um briefing de segurança durante o qual informaram o presidente da época, George W. Bush – então prestes a deixar o cargo – o Chefe da Casa Civil, o Vice-Secretário de Estado, bem como os líderes do Congresso.

Nas semanas seguintes, foram implementados todos os meios da Agência de Segurança Nacional para conter, senão eliminar, Agent.btz sem causar danos à infraestrutura das redes seguras do país: c é o início da operação Yankee de chumbo grosso estritamente falando.

Além de “limpar” os sistemas, os operadores de serviços de inteligência chegaram ao ponto de desconectar fisicamente da rede as máquinas infectadas para substituí-las totalmente ou trocar diretamente os discos rígidos.

Além da ANO, a NSA recorreu a outro dos seus componentes, que posteriormente se tornaria famoso, o Operações de acesso sob medida (TAO). Esta unidade secreta, altamente especializada em ações ofensivas, desenvolveu expertise na exploração de dados de espionagem informática desde o início da década de 1990. Esta experiência contribuirá largamente para a descoberta de variantes de malware e contribuirá para o desenvolvimento da nova doutrina de proteção de rede “ativa”: a defesa cibernética.

De acordo com algumas autoridades dos EUA, a natureza da resposta ao Agent.btz tem sido objecto de um longo debate dentro do aparelho executivo e militar dos EUA. O GAT teria proposto ações para neutralizar as redes civis identificadas como retransmissores do patrocinador e do seu sistema de Comando e Controle (C2 ou C&C). A decisão será tomada para qualificar o malware (como toda a operação) como um ato “clássico” de espionagem e não como um ataque propriamente dito, que portanto não justificava uma resposta armada e muito menos cinética dos Estados Unidos.

Em última análise, a utilização de chaves USB e de todos os discos removíveis será temporariamente proibida em sistemas críticos, mas o “paciente zero” – a fonte da violação de segurança – nunca será formalmente estabelecido, mesmo que fortes suspeitas tenham pesado sobre a Rússia.

Ao analisar o código de todas as variantes do Agent.btz, a ANO e a TAO ainda serão capazes de rastreá-lo até sistemas conectados a redes seguras do Afeganistão e do Iraque. O malware permanecerá ativo até o início de 2009, antes de ser finalmente declarado inativo e erradicado de todas as redes comprometidas.

Uma realização decisiva

Yankee de chumbo grosso em qualquer caso, terá aumentado a consciência real sobre a vulnerabilidade das redes militares críticas. Mas, de um ponto de vista mais amplo, é a abordagem à protecção destes últimos que foi posta à prova e que provou a sua ineficácia face a uma ameaça recorrente, precisa e tecnicamente sofisticada. A proteção passiva, o “muro”, ou seja, a cibersegurança, provou a sua incapacidade de enfrentar todas as ameaças. A omnipresença e virtualidade deste novo espaço de conflito significa que o efeito e a surpresa estarão sempre do lado do agressor.

A operação levada a cabo pela NSA terá, portanto, o efeito de mudar radicalmente a sua abordagem de segurança no ciberespaço. A protecção já não deve ser apenas passiva (cibersegurança), mas também activa (ciberdefesa) ou mesmo proactiva.

Agent.btz, cujo sucesso ainda está por demonstrar ao seu instigador, terá sido uma excelente “catálise” para a evolução das mentalidades do aparelho de segurança dos EUA. A necessidade de proteção ativa de redes críticas, bem como de infraestruturas estratégicas no exterior do Atlântico, será agora objecto de especial atenção.

Sala de Análise Cibernética de Defesa | Redes de Comunicação e Defesa | Espionagem
O US CYBERCOM é responsável por proteger a integridade e a sustentabilidade das redes e informações de todas as forças armadas americanas.

Com um orçamento de 155 milhões de dólares e 750 funcionários, uma nova organização foi criada em 31 de outubro de 2010: US Cyber ​​Command ou USCYBERCOM. Este é "responsável por planejar, coordenar, integrar, sincronizar e conduzir atividades para dirigir as operações e defesa das redes de informação do Departamento de Defesa, preparar-se para conduzir operações militares ciberespaciais de amplo espectro para permitir ações em todos os domínios, garantir a liberdade de ação para os Estados Unidos e os seus aliados no ciberespaço e negá-lo aos seus adversários.”

A criação do Cyber ​​Command, porém, não deu todas as respostas.

Várias questões fundamentais serão em última análise levar à remodelação estrutural a que hoje assistimos. A governação das operações americanas no ciberespaço tem sido objecto de debate entre autoridades civis e militares há vários anos. Quem é a autoridade responsável pelas operações ofensivas? A condução de uma operação para neutralizar a rede de um invasor faz parte da defesa cibernética ou da guerra cibernética ofensiva?

Na verdade, a NSA e o USCYBERCOM estavam agrupados no CSS (Serviço Central de Segurança) e chefiados por um soldado. Inicialmente, este “chapéu duplo” fazia sentido devido a uma semelhança fundamental entre os aspectos técnicos das operações militares no ciberespaço (domínio do Comando Cibernético) e das operações de rede informática relacionadas com a inteligência (domínio NSA). O general Michael Hayden, primeiro diretor do CSS, destacou que as operações ofensivas no ciberespaço e a inteligência de sinais são tecnicamente indistinguíveis umas das outras.

É desta observação que nasceu a ideia de unificar o comando das duas organizações responsáveis ​​por cada uma destas áreas. A necessidade imperiosa de estabelecer uma capacidade sólida para operações militares no ciberespaço motivou, em última análise, a decisão de ligar as duas entidades e de desenvolver tecnologias e técnicas em estreita colaboração.

“A NSA tem capacidade para conduzir tais ações, o USCYBERCOM tem autoridade” General Michael Hayden.

Operação Gladiador Fênix

A partir do Verão de 2009, o Pentágono começou a desenvolver um conjunto de regras de combate e, mais amplamente, uma doutrina para a utilização de ferramentas cibernéticas.

Desta reflexão nasceu uma “ordem executiva” sob a qual apenas o USSTRATCOM e o USCYBERCOM poderiam dirigir as operações e a defesa das redes militares em todo o mundo. Inicialmente, isto aplicava-se a sistemas informáticos privados essenciais nos Estados Unidos.

A directiva estabelece um certo número de condições adicionais que devem ser satisfeitas para desencadear uma resposta militarizada:

  • Deve ser uma acção hostil dirigida aos Estados Unidos, à sua infra-estrutura crítica e/ou aos seus cidadãos;
  • Deve envolver a provável iminência de morte, ferimentos graves ou danos que possam ameaçar a segurança nacional ou económica dos Estados Unidos;
  • A intervenção deve ser coordenada com as agências governamentais e unidades de combate envolvidas;
  • A ação deve limitar-se ao espectro necessário para interromper o ataque, minimizando ao mesmo tempo os impactos colaterais sobre os alvos civis.

Mas o esforço contínuo para chegar a um consenso sobre as regras de combate e sobre a autoridade encarregada de liderar estas operações de defesa cibernética e de guerra informática ofensiva (LIO) falhou. Pressionada por numerosas agências de inteligência – a CIA na liderança – e pelos Departamentos de Segurança Interna e Justiça, a tentativa de compromisso foi sacrificada no altar de disputas entre agências.

O debate ficou atolado no papel do USCYBERCOM e até onde deveria ser capaz de ir na prossecução da sua missão. A questão é ainda mais crítica quando se trata de servidores localizados em território nacional.

Em fevereiro de 2011, oordem executiva está assinado. Esta, amplamente revista desde a sua primeira versão, limita o exército à defesa das suas próprias redes e só pode desviar-se desta regra com o acordo expresso do presidente.

Ineficácia do sistema “double hat”

Como consequência direta da relação entre a NSA e o Comando Cibernético, cujos comandos são confiados a um único indivíduo (o diretor do CSS), a motivação inicial desta organização – supostamente temporária – foi permitir que o nascente Cyber ​​O Comando se beneficiará dos conhecimentos, capacidades e experiência da NSA para atingir sua plena capacidade operacional.

Na prática, a relação permite que uma única pessoa pondere os interesses muitas vezes concorrentes de duas organizações cujas responsabilidades no domínio do ciberespaço frequentemente se sobrepõem e até se canibalizam. Este comando partilhado tem sido continuamente revisto pelas administrações presidenciais desde a sua criação, e os especialistas apresentaram argumentos contraditórios a favor da dissolução e continuação do acordo.

Embora a maioria dos argumentos para acabar com este sistema se concentre no sucesso do estabelecimento do USCYBERCOM, ou no risco para as operações e capacidades da NSA, relativamente pouca atenção tem sido dada à forma como a sobreposição organizacional com a NSA afecta a condução contínua de operações militares no ciberespaço.

de acordo com um oficial do Comando Cibernético, "a interdependência entre as duas organizações permitiu-lhe habituar-se ao apoio operacional e logístico praticamente ininterrupto dos escritórios da NSA. Esta dependência organizacional profundamente enraizada nas técnicas e processos da NSA moldou fundamentalmente a forma como o comando aborda as operações no ciberespaço. Especificamente, ao basear-se nos procedimentos e na cultura da NSA, o USCYBERCOM tornou-se cada vez mais avesso ao risco […] os processos de revisão e aprovação devem mudar de paradigma.”

Se o Serviço Central de Segurança reunir hoje a NSA e o USCYBERCOM conseguiu desenvolver capacidades e conhecimentos técnicos únicos no mundo, em grande parte graças à estreita colaboração entre técnicos de altíssimo nível. A NSA tem aproximadamente 30 militares e civis e mais de 000 estudantes de doutorado nas áreas de matemática, ciências físicas e engenharia. Agrupados nas instalações de Fort Meade, em Maryland, a NSA e o USCYBERCOM evoluíram simbioticamente durante uma década e é esta organização que desde então fez o sucesso dos Estados Unidos na condução das suas operações militares e de inteligência (Jogos Olímpicos, Flame, DuQu e Gauss em particular).

Isto pesa agora na continuidade deste desenvolvimento, mesmo na posição de liderança dos Estados Unidos no ciberespaço. O trabalho iniciado com a Operação Gladiador Phoenix terá de ser retomado para estabelecer regras claras de governação entre a NSA e o USCYBERCOM, permanecendo a arbitragem, em última análise, da responsabilidade do executivo.

Deste debate deverá surgir do outro lado do Atlântico uma nova doutrina para a condução de operações no ciberespaço. Se a França optou por separar as atividades de defesa cibernética (ComCyber), segurança cibernética (ANSSI) e inteligência (DRM, DGSI e DGSE); o combate informático ofensivo (LIO) continua a ser da responsabilidade do Primeiro-Ministro, contando com as capacidades militares e a direção técnica da DGSE (DT-DGSE). A falta de informação não permite tirar conclusões sobre a eficácia desta colaboração. Resta que a sobreposição entre as diferentes dimensões das operações no ciberespaço representa um verdadeiro desafio em termos de cooperação entre as diferentes partes interessadas. Ao adoptar um modelo próximo do dos Estados Unidos, a França conseguiu até agora poupar-se à miséria, em particular confiando nas pessoas. Recorde-se que o primeiro diretor da Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) é, desde 1 de março de 2014, diretor técnico da DGSE.

Resta esperar que “Titi” tenha aprendido a ser discreto.


Jean Lebougre
Especialista em Guerra Cibernética

Para mais

REDES SOCIAIS

Últimos artigos