DOGE como um ataque cibernético de Estado
(schneier.com)- Relatórios sucessivos indicam que pessoas ligadas ao recém-criado Department of Government Efficiency (DOGE) acessaram sistemas federais sensíveis, como os do Tesouro, da USAID, do OPM e do Medicaid/Medicare, abalando os principais controles de segurança do governo dos EUA
- O problema não envolve apenas consulta de dados, mas também privilégios de administrador, possibilidade de alterar programas centrais, acesso a chaves de criptografia, modificação de logs de auditoria, conexão de servidores não autorizados e até uso de dados sensíveis em software de IA
- O sistema federal de pagamentos do Tesouro movimenta cerca de US$ 5,45 trilhões por ano, e o OPM mantém informações pessoais detalhadas de milhões de funcionários federais e pessoas com autorização de segurança, com grande impacto potencial sobre a segurança nacional
- Mecanismos de prevenção de abuso como separação de funções, auditoria, rastreamento de mudanças, resposta a incidentes e múltiplas aprovações deveriam estar em operação, mas o maior risco apontado é que servidores públicos experientes responsáveis por isso foram afastados ou substituídos
- É necessária uma auditoria que inclua revogação de acessos não autorizados, restauração dos procedimentos de autenticação, reintrodução de monitoramento e gestão de mudanças, e a possibilidade de redefinir sistemas inteiros; quanto mais tempo durar o acesso sem restrições, mais difícil será a recuperação
A dimensão da violação de segurança causada pelo acesso do DOGE
- Em poucas semanas, o governo dos EUA pode ter sofrido uma violação de segurança historicamente grave, não por um sofisticado ataque cibernético estrangeiro ou operação de espionagem, mas por instruções oficiais de um bilionário com papel pouco claro dentro do governo
- Pessoas ligadas ao DOGE teriam acessado sistemas do Tesouro e ficado em posição de coletar ou potencialmente controlar dados de pagamentos federais de cerca de US$ 5,45 trilhões por ano
- O alcance do acesso se expandiu para vários órgãos centrais
- Pessoas ligadas ao DOGE sem autorização de segurança acessaram dados confidenciais da USAID e podem tê-los copiado para seus próprios sistemas
- O OPM, órgão que mantém informações pessoais detalhadas de milhões de funcionários federais e pessoas com autorização de segurança, é tratado como alvo comprometido
- Registros do Medicaid e do Medicare também são tratados como comprometidos
- Alguns nomes de funcionários da CIA foram enviados para uma conta de e-mail não classificada sem remoção adequada
- Há reportagens de que pessoas ligadas ao DOGE estão inserindo dados do Departamento de Educação em software de IA e de que começaram a trabalhar no Departamento de Energia
Por que bloquear o acesso ao Tesouro não é suficiente
- Em 8 de fevereiro, um juiz federal bloqueou novo acesso da equipe do DOGE aos sistemas do Tesouro
- Como os dados podem já ter sido copiados ou o software pode já ter sido instalado ou modificado, não está claro se um simples bloqueio de acesso resolve o problema
- Se funcionários federais não seguirem os protocolos destinados a proteger a segurança nacional, outras violações em sistemas governamentais críticos também podem ocorrer
Por que esses sistemas são centrais para o funcionamento do Estado
- Os sistemas acessados pelo DOGE não são infraestrutura periférica, mas parte do tecido conjuntivo central da operação do governo
- Os sistemas do Tesouro contêm o projeto técnico de como o governo federal movimenta dinheiro
- A rede do OPM contém informações sobre quem o governo contrata e com quais organizações firma contratos
- A invasão ao OPM pelo governo chinês em 2015 foi um caso grave de falha de segurança dos EUA que mostrou como dados de pessoal podem ser usados para identificar agentes de inteligência e prejudicar a segurança nacional
O aspecto sem precedentes não é apenas a escala, mas o método
- Forças estrangeiras hostis normalmente levam anos para penetrar discretamente nesses sistemas do governo e tentam esconder seus rastros
- Desta vez, operadores externos com experiência limitada e quase nenhuma supervisão obtiveram, sob observação pública, acesso administrativo de alto nível e estão alterando redes sensíveis dos EUA
- Essas mudanças podem criar novas vulnerabilidades de segurança
- A preocupação maior do que o próprio acesso é o enfraquecimento sistemático dos mecanismos de segurança que detectam e impedem abusos
- Protocolos padrão de resposta a incidentes
- Auditoria
- Mecanismos de rastreamento de mudanças
- Remoção dos servidores públicos experientes responsáveis por esses controles e sua substituição por operadores sem experiência suficiente
O risco de ignorar o princípio da separação de funções
- Os sistemas computacionais do Tesouro têm impacto tão grande sobre a segurança nacional que foram projetados com o princípio de que uma única pessoa não deve ter autoridade ilimitada, assim como nos protocolos de lançamento nuclear
- Assim como dois oficiais precisam girar as chaves ao mesmo tempo para lançar um míssil nuclear, mudanças em sistemas financeiros críticos tradicionalmente exigem a atuação conjunta de várias pessoas autorizadas
- Essa abordagem é o princípio de segurança da separação de funções (separation of duties) e não um simples procedimento burocrático
- Como na verificação de grandes transferências bancárias ou na aprovação de relatórios financeiros importantes em empresas, processos em que várias pessoas validam funções separadas são salvaguardas essenciais contra corrupção e erro
- A situação em que essas medidas foram contornadas ou ignoradas foi comparada a demitir os guardas de Fort Knox e anunciar uma política que permite visitas desacompanhadas ao cofre
Autorizações e mudanças que geram preocupação concreta
- Segundo a equipe do senador Ron Wyden, os invasores obtiveram poder para modificar programas centrais que validam pagamentos federais em computadores do Tesouro, acessar chaves de criptografia que protegem transações financeiras e alterar logs de auditoria que registram mudanças no sistema
- No OPM, há relatos de que pessoas ligadas ao DOGE conectaram servidores não autorizados à rede
- Também há reportagens de que dados sensíveis estão sendo usados para treinar software de IA
- Não se conhecem a função nem as configurações desses novos servidores, e não há evidência de que o novo código tenha passado por protocolos rigorosos de teste de segurança
- Esses sistemas de IA não são suficientemente seguros para esse tipo de dado e se tornam alvos ideais para adversários estrangeiros ou domésticos interessados em acessar dados federais
Vulnerabilidades de longo prazo deixadas por mudanças no sistema
- Mudanças de hardware ou software passam por processos complexos de planejamento e mecanismos sofisticados de controle de acesso justamente por causa da importância desses sistemas
- Agora, os sistemas se tornaram muito mais vulneráveis a ataques perigosos, ao mesmo tempo em que administradores legítimos treinados para protegê-los foram bloqueados
- Alterar sistemas centrais pode deixar vulnerabilidades que afetem não só a operação atual, mas também futuros ataques que explorem essas brechas
- Adversários como Rússia e China há muito tempo miram esses sistemas, buscando não só coletar informações, mas entender como perturbá-los em uma crise
- Detalhes técnicos do funcionamento dos sistemas, de seus protocolos de segurança e de suas vulnerabilidades podem ter sido expostos a partes desconhecidas sem as salvaguardas habituais
O impacto de segurança se divide em três áreas
-
Manipulação do sistema
- Operadores externos podem modificar o funcionamento e também alterar os rastros de auditoria que permitiriam acompanhar essas mudanças
-
Exposição de dados
- Além do acesso a informações pessoais e registros de transações, pode haver cópia de toda a arquitetura do sistema e de suas configurações de segurança
- No caso do Tesouro, isso inclui o projeto técnico da infraestrutura federal de pagamentos dos EUA
-
Controle do sistema
- Ao alterar sistemas centrais e mecanismos de autenticação, também é possível desativar ferramentas projetadas para detectar essas mudanças
- Isso não é apenas uma mudança operacional, mas uma alteração da própria infraestrutura da qual a operação depende
Medidas imediatas necessárias
- É preciso revogar acessos não autorizados e restaurar os protocolos de autenticação adequados
- É preciso reintroduzir monitoramento abrangente de sistemas e gestão de mudanças
- Como é difícil sanear sistemas comprometidos, pode ser necessário redefinir completamente os sistemas
- Deve-se realizar uma auditoria minuciosa de todas as mudanças feitas nos sistemas durante esse período
- A continuidade de um acesso irrestrito torna a recuperação final mais difícil e aumenta o risco de danos irreversíveis a sistemas críticos
1 comentários
Opiniões no Hacker News
As preocupações que ele levantou, especialmente a parte de que países adversários e agentes hostis ganham mais oportunidades de coletar dados e entender como desestabilizar ou atacar os EUA, parecem válidas
Há diferença entre autoridades eleitas fazerem algo estúpido ou inseguro e pessoas não eleitas poderem fazer isso sem qualquer sistema de freios e contrapesos
Como observação à parte, parece que posts sobre este tema continuam sendo marcados com flag, então dei upvote neste, e respeito Bruce Schneier e muitas de suas opiniões
Lembro que houve um caso bastante famoso envolvendo um servidor de e-mail pessoal
Comparado ao que está acontecendo agora, é realmente incompreensível
Pode haver um erro no raciocínio de Schneier:
They are also reportedly training AI software on all of this sensitive data.Executar inferência não é o mesmo que treinar
Ainda assim, não acho que este texto deva receber flag. Parece contrário à liberdade de expressão, e outros textos dele no HN também foram bem avaliados; claramente há muita gente que valoriza suas percepções. Se alguém discorda, é melhor expressar isso nos comentários do que tentar fazer o texto desaparecer
A posição do outro lado é que acabaram de receber, pela eleição, um mandato para auditar e reduzir o desperdício do governo, e que o acesso direto aos dados é necessário para evitar um problema de principal-agente em que burocratas do governo distorcem relatórios para proteger seus orçamentos e atividades de fiscalização e supervisão indesejadas
Ao enquadrar dessa forma, mesmo que haja pontos válidos como manter o controle de mudanças, é praticamente pedir para ser marcado com flag pelo lado oposto
Mas minha hipótese é que o objetivo deles, na prática, é treinar modelos com a totalidade dos resultados produzidos por cada órgão
Em termos de execução técnica, acho que o que estamos vendo acaba se reduzindo a BigBalls e companhia perguntando a grandes modelos de linguagem o que fazer em seguida. Aposto que, se forem indiciados no futuro, essa será a defesa
Schneier não deveria receber flag. Há dias eu vinha esperando que alguém apresentasse uma avaliação de risco de cibersegurança calma e bem organizada, e este texto é o mais perto disso que provavelmente conseguiremos
É preciso ter em mente o princípio da cerca de Chesterton
Se o país sobreviver a essa loucura, o software terá de ser reescrito do zero. Caso contrário, não haverá como saber quais agentes, nacionais ou estrangeiros, têm conhecimento dos sistemas
As empresas são, na prática, um quarto poder informal do governo. Se o mercado de ações despencar, elas desaparecerão num instante
O fluxo de dinheiro de campanha e de lobistas para os políticos vai secar, virá o pânico e a liderança também mudará
Sei que, por causa da decisão Citizens United, dinheiro de origem não identificada pode entrar de qualquer lugar e sustentar campanhas eleitorais indefinidamente, mas isso não deve ser suficiente para compensar um colapso do mercado acionário causado pela perda de confiança no dólar americano e nos mercados
O estranho é que Trump, ao que parece, está seguindo de forma desastrosa o manual do ditador logo no começo. Já existem ditadores vivos que escreveram esse manual. Para expurgar o Estado administrativo, é preciso dominar o governo ao longo de vários mandatos. Primeiro, é preciso recolocar a economia ou a qualidade de vida no rumo normal o mais rápido possível para consolidar o poder máximo de si mesmo ou de um sucessor. Depois, ao longo de vários mandatos, usar o poder que o povo concedeu voluntariamente para desmontar os freios ao próprio poder e encher os bolsos e a cabeça da base de apoio. Depois disso, mesmo que a economia desmorone, a rã da resistência já terá sido cozida lentamente, e ninguém conseguirá derrubá-lo. E então, quando as pessoas começarem a reclamar, começa-se a desenhar uma oposição para que ainda reste uma aparência de liberdade política a ser exibida
Trump parece estar fazendo isso ao contrário. Em vez de se concentrar na economia, está primeiro alimentando sua base, o que é uma estratégia relativamente mais perigosa. Ainda assim, nem sequer se passou um mês, então ainda há tempo para ele começar a seguir o manual corretamente
Até que haja consequências impostas, esse tipo de ação continuará
Aliás, essas consequências devem ser de natureza legislativa ou jurídica
Ao modificar sistemas essenciais, os invasores não apenas comprometeram as operações atuais, como também deixaram vulnerabilidades que poderão ser exploradas em ataques futuros. Isso deu a adversários como Rússia e China uma oportunidade sem precedentes. Esses países miram esses sistemas há muito tempo e não querem apenas coletar informações; também querem entender como desestabilizá-los em situações de crise
Neste momento, é realmente difícil imaginar que todo esse golpe não seja um ataque no estilo Rússia/China contra o mundo ocidental. É vantajoso demais para eles, de um jeito absurdo, para parecer coincidência
Talvez elas se vejam como algo diferente do governo, mas a disputa de que participaram foi justamente uma disputa para serem eleitas para fazer o trabalho do governo
Em algum momento, as ferramentas para funções governamentais úteis serão destruídas o bastante para não restar mais capacidade utilizável
Será mesmo?
Se Deus quiser, o Estado administrativo será posto de joelhos por autoridades legitimamente eleitas para controlá-lo
Artigo relacionado: “Treasury was warned DOGE access to payments marked an ‘insider threat’”