Dois senadores dos Estados Unidos estão acusando o Departamento de Defesa (DOD) de não tomar medidas suficientes para proteger as comunicações do pessoal militar, em meio a uma campanha de hacking conduzida pela China contra grandes empresas de telecomunicações e internet americanas. Os senadores afirmam que o DOD ainda depende demais de chamadas em linhas fixas ultrapassadas e de ligações e mensagens celulares sem criptografia, que são vulneráveis à espionagem de espiões estrangeiros.
O senador democrata Ron Wyden, do Oregon, e o senador republicano Eric Schmitt, do Missouri, destacaram especificamente as ameaças representadas por grupos de espionagem do governo chinês, como o Salt Typhoon, recentemente acusado de invadir grandes provedores de telecomunicações dos EUA, incluindo AT&T e Verizon, para espionar cidadãos americanos.
“A adoção generalizada de ferramentas inseguras e proprietárias é resultado direto da falta de liderança no DOD para exigir o uso de criptografia de ponta a ponta como padrão, uma prática recomendada de cibersegurança, além de uma falha em priorizar a segurança das comunicações ao avaliar diferentes plataformas de comunicação,” escreveram os senadores em uma carta bipartidária dirigida ao órgão de fiscalização do governo no DOD. “A incapacidade do DOD de proteger suas comunicações de voz, vídeo e texto não classificadas com tecnologia de criptografia de ponta a ponta o deixou desnecessariamente vulnerável à espionagem estrangeira.”
Os senadores também destacaram o protocolo SS7, uma tecnologia obsoleta usada por operadoras de telefonia para rotear chamadas e mensagens, que é rotineiramente explorada para espionagem, assim como seu sucessor, o protocolo Diameter. Ambas as tecnologias continuam a expor os funcionários do DOD, já que as operadoras globais ainda não adotaram métodos mais seguros para proteger as comunicações durante o trânsito.
Propostas dos Senadores:
Wyden e Schmitt pediram que o DOD revisasse seus contratos com as operadoras de telecomunicações dos EUA e renegociasse para exigir que elas adotassem defesas cibernéticas significativas contra ameaças de vigilância. Eles também sugeriram que essas operadoras compartilhassem auditorias de segurança cibernética de terceiros com o DOD, caso solicitado.
A carta dos senadores inclui dois documentos técnicos — um de julho e outro de outubro — enviados pelo DOD ao gabinete de Wyden em resposta a perguntas sobre a postura do departamento em relação à cibersegurança.
Admissões do Departamento de Defesa:
O diretor de informações do DOD admitiu que tanto o SS7 quanto o Diameter não são seguros e que existem “proteções limitadas” contra as vulnerabilidades presentes nos sistemas das operadoras. Para mitigar esses riscos, o DOD afirmou que suas soluções móveis gerenciadas criptografam dados em trânsito para evitar interceptações passivas.
No entanto, o DOD revelou que não conduz suas próprias auditorias, confiando apenas em auditorias realizadas pelas operadoras ou por terceiros contratados. Além disso, essas auditorias não foram analisadas pelo DOD, pois as operadoras consideram essas informações protegidas por sigilo advogado-cliente.
Outra revelação alarmante foi que o DOD não desativou roaming ou rejeitou tráfego dos protocolos SS7 e Diameter, mesmo para usuários do DOD em países de alto risco, como Rússia e China, conhecidos por ataques cibernéticos direcionados a dispositivos móveis.
Resposta do Órgão de Fiscalização:
Jeffrey Castro, porta-voz do inspetor-geral do DOD, confirmou que a carta dos senadores foi recebida e está sob revisão.
Via - TC
Comments