2 pontos por GN⁺ 2025-04-24 | 1 comentários | Compartilhar no WhatsApp
  • A crise de interrupção do banco de dados CVE mostra que o sistema federal de segurança cibernética dos EUA pode ser abalado apenas por decisões de orçamento, pessoal e organização
  • Se o CVE, que nos últimos 25 anos foi o ponto de referência comum para vulnerabilidades de segurança, ficar instável, defensores gastarão tempo verificando se estão falando da mesma vulnerabilidade, enquanto atacantes poderão explorar essa confusão
  • A CISA estava sujeita a um corte de mais de um terço de seus funcionários, e o contrato da MITRE para o CVE foi prorrogado pouco antes do prazo final, mas expira novamente em março de 2026
  • A demissão dos chefes da NSA e do US Cyber Command, o desmonte na prática do CSRB, a interrupção da investigação sobre o Salt Typhoon, a mudança para preparação centrada em estados e municípios e os cortes em subsídios federais estão enfraquecendo a capacidade federal de defesa
  • Com o acesso do DOGE a sistemas federais sensíveis somando-se a isso, o enfraquecimento autoinfligido da segurança dos EUA pode afetar também o ecossistema tecnológico fora dos EUA

Crise de interrupção do CVE e confusão na gestão de vulnerabilidades

  • O banco de dados Common Vulnerabilities and Exposures, ou CVE, é a lista central que, na prática, catalogou todas as vulnerabilidades de segurança nos últimos 25 anos
  • A ex-diretora da CISA Jen Easterly descreve o CVE como um catálogo global que permite a equipes de segurança, fornecedores de software, pesquisadores e governos organizar e discutir vulnerabilidades usando o mesmo sistema de referência
  • Sem o CVE, cada organização passaria a usar listas diferentes ou a responder sem lista alguma; aumentaria o tempo gasto para confirmar se todos estão falando do mesmo problema, e atacantes poderiam explorar essa confusão
  • A CISA, que supervisiona o CVE, estava sujeita a um corte de mais de um terço de seus funcionários, e os funcionários foram informados de que deveriam escolher, até a meia-noite de segunda-feira, se continuariam trabalhando ou se pediriam demissão
  • O contrato da MITRE para o CVE foi prorrogado pouco antes do prazo final, mas está previsto para expirar novamente em março de 2026

Redução da CISA e das organizações cibernéticas federais

  • Os cortes de pessoal na CISA e a incerteza contratual estão diretamente ligados à questão da continuidade do CVE
  • No passado, a renovação do contrato do CVE teria sido praticamente uma decisão óbvia, mas a próxima prorrogação permanece incerta
  • Se uma base comum como o CVE ficar instável, será mais difícil coordenar a resposta a vulnerabilidades em toda a segurança tecnológica

Desmonte de altos cargos e órgãos consultivos de segurança cibernética

  • O general Timothy D. Haugh, chefe da NSA e do US Cyber Command, foi demitido no início de abril
    • Ele era visto como uma figura importante na defesa da infraestrutura cibernética nacional, inclusive na resposta à interferência russa após a eleição de 2016
    • Entre as explicações apontadas para a demissão está o fato de Laura Loomer, uma conspiracionista de extrema direita e figura ligada a Trump, não gostar dele
  • O Cyber Safety Review Board, ou CSRB, era uma organização criada no governo Biden para investigar grandes incidentes cibernéticos
    • Com o encerramento do mandato de todos os seus integrantes, ele foi efetivamente desmontado
    • Investigações de ataques cibernéticos importantes, como o hack chinês “Salt Typhoon”, foram interrompidas
  • O ataque Salt Typhoon também teve Trump e o vice-presidente JD Vance como alvos, mas há críticas de que o governo não está dando importância ao caso

Preparação centrada em estados e municípios e redução do apoio federal

  • A ordem executiva de Trump Achieving Efficiency Through State and Local Preparedness afirma que as capacidades de preparação são possuídas e geridas de forma mais eficaz nos níveis estadual, local e individual, com apoio do governo federal
  • A ordem inclui ataques cibernéticos, incêndios florestais, furacões e até clima espacial como temas para decisões e investimentos locais
  • Como ataques cibernéticos não ficam restritos a um único estado, há críticas de que é irrealista uma estrutura em que os 50 estados enfrentem separadamente equipes de hackers apoiadas por Estados-nação
  • No início do mandato, Trump também cortou verbas de um programa federal de subsídios dedicado à segurança cibernética
  • Governos estaduais podem ter dificuldade para contratar especialistas em segurança de nível mais alto em número suficiente

Acesso do DOGE a sistemas sensíveis e riscos de dados

  • O Department of Government Efficiency de Elon Musk, ou DOGE, acessou sistemas federais sensíveis
  • Entre os sistemas acessados estavam o sistema de pagamentos do Treasury Department e o Social Security System
  • Surgem preocupações de que esses dados tenham sido copiados para algum lugar e possam ter se tornado acessíveis a pessoas sem direito de vê-los ou usá-los
  • As críticas afirmam que não apenas a defesa cibernética externa foi exposta, mas também dados que poderiam servir de base para ataques de segurança em larga escala contra cidadãos individuais
  • Um caso em que informações de Social Security de 1,6 milhão de pessoas foram roubadas de uma seguradora é comparado, nesse contexto, como algo de pequena escala

Impactos que podem se espalhar para fora dos EUA

  • Como os EUA há muito exercem um papel de liderança na segurança tecnológica, o enfraquecimento da defesa cibernética federal não é apenas um problema interno do país
  • O maior dano será sofrido pelos EUA, mas o mundo inteiro também poderá sentir os efeitos

1 comentários

 
GN⁺ 2025-04-24
Opiniões do Hacker News
  • De que maneira isso ajuda o povo americano, afinal?

    • Encerrar a Mitre e o CVE contraria os interesses dos EUA tanto no setor público quanto no privado
      Do ponto de vista de custos, dá para discutir. Por exemplo, pode-se questionar se o banco de dados CVE valia US$ 50 milhões por ano, especialmente considerando o trabalho acumulado
      Também dá para supor que surgiriam alternativas privadas ou semiprivadas e que várias delas competiriam e melhorariam. Como os libertários, alguém poderia argumentar que todos os serviços que não sejam monopólio da coerção devem ficar com o setor privado
      Mas não é um bom argumento. US$ 50 milhões parece muito e talvez haja espaço para cortes. Ainda assim, eu gostaria de ver uma análise operacional real, em vez de simplesmente encerrar o programa
      O segundo argumento é pior. NIST e NOAA são exemplos de órgãos com alto benefício em relação ao custo, e um NIST com fins lucrativos ou uma NOAA com fins lucrativos parecem fazer pouco sentido. Mesmo assim, vale a pena avaliar, em termos gerais, os prós e contras de serviços financiados publicamente versus versões privadas. Mesmo um argumento ruim é melhor do que nenhum, mas a administração atual nem sequer apresenta esse tipo de argumento
    • Não ajuda. É um efeito colateral da falta de capital humano da direita populista
      Há muitas teorias da conspiração de que isso será usado para reprimir direitos e, no fim, talvez acabe sendo. Mas isso provavelmente seria mais uma reação posterior às consequências de ações desajeitadas
      A visão convencional na administração Trump agora é que esses programas de cibersegurança são desperdício de dinheiro e que o setor privado vai aparecer magicamente para nos salvar
      Agora todos vão sentir o alto custo do baixo capital humano
    • Será que não estamos presumindo que a atual gestão está de fato interessada em ajudar o povo americano?
    • Vejo isso como uma tentativa descarada de sinalizar à Rússia que ela não é mais uma ameaça direta. Uma tentativa inútil de evitar uma guerra em duas frentes na guerra mundial que se aproxima
      Infelizmente, Putin provavelmente continuará invadindo até o Fulda Gap, na Alemanha. Se ainda estivermos na OTAN, não teremos escolha a não ser declarar guerra
    • Eles parecem achar que estão economizando orçamento público. Em vez de algo sinistro acontecendo, parece mais uma decisão tomada olhando apenas para números em uma planilha do governo
      A administração Trump vê dinheiro sendo gasto em projetos que também beneficiam pessoas fora dos EUA, independentemente do valor interno, e simplesmente presume que dinheiro americano está sendo gasto em outros países
      Não são inteligentes o bastante, nem bem informados o bastante, e tampouco parecem muito dispostos a aprender ou ouvir pessoas mais inteligentes. Quando veem uma rubrica orçamentária que não entendem, acham que podem eliminá-la
      Parece haver a suposição subjacente de que, se fosse realmente importante, alguém transformaria isso em um negócio
  • O chat no Signal é apenas uma questão lateral comparado a escancarar o governo para vazamentos de dados e influência estrangeira
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • Meus familiares conservadores só veem Fox News, OAN e o Twitchy, um site de memes conservadores que parece uma tentativa de a Fox News ficar ainda mais burra
      Eles não veem esse tipo de coisa. Não há cobertura adequada. Minha mãe nem sabia o alcance das tarifas, nem do golpe de criptomoeda da DJT. Também expliquei o Signal várias vezes, mas ela realmente não entende coisas complexas
      Minha mãe diz que “sabe que Trump é uma pessoa grosseira”, mas, para citá-la, quer “os Estados Unidos para os americanos”, quer colocar a China no seu lugar e proteger a fronteira
      Eu disse ao meu pai: “por que você acha que os EUA são tão poderosos e influentes? É porque investimos no mundo e recebemos estudantes nos EUA. Não somos o centro do mundo sem motivo”. Ele simplesmente respondeu: “nós somos o centro do mundo”
      Nosso país está cheio de pessoas incapazes de pensamento abstrato e viciadas em mentiras
  • O orçamento não é o ponto central, é uma distração. Desmantelar a estrutura de cibersegurança civil é uma forma de expor o público a operações de influência e outros danos, criando depois a necessidade de mais soluções do tipo “líder forte” [0,1]
    Só depois de destruir a “defesa cibernética” é que se pode alegar uma crise e declarar “a cibersegurança morreu, viva a nova cibersegurança”
    E isso definitivamente não será segurança para você
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • O texto é meio fraco. O fato de o orçamento do CVE quase ter sido cortado é certamente trágico, mas ele não tratou do caso em que dados foram extraídos da NLRB e todos foram bloqueados fora de suas contas, e também só menciona rapidamente os cortes em subsídios federais de cibersegurança e no orçamento da CISA
    Há muito mais munição para mostrar o quanto a administração Trump e a equipe DOGE de Musk são de fato incompetentes

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Aborda com bastante detalhe os indícios de que funcionários da DOGE se esforçaram deliberadamente para esconder suas atividades nas contas Azure da NLRB. Com certeza deve ser ótimo para a transparência do governo
      Segundo a denúncia de Berulis, poucos minutos depois de a DOGE acessar os sistemas da NLRB, alguém com endereço IP russo começou a tentar fazer login. As tentativas ocorreram “quase em tempo real”
      As tentativas de login foram bloqueadas, mas eram especialmente preocupantes. Segundo ele, quem tentava entrar usava uma das contas DOGE recém-criadas e sabia o nome de usuário e a senha corretos
    • Eles são bem competentes em relação ao objetivo real. O objetivo não é tornar os EUA grandes de novo, mas despedaçá-los para que bilionários possam comprar tudo, inclusive terras, a preço de banana
    • Também não podemos esquecer que colocaram Chris Krebs, que protegeu a segurança eleitoral, na mira
    • Isto não era uma reportagem, era uma coluna de opinião
  • Talvez seja necessário um banco de dados como o CVE que não dependa do governo dos EUA. É uma fragilidade do próprio mundo de TI

    • O governo dos EUA até tem feito esse tipo de trabalho bastante bem. Em geral é confiável, tem margem para gastar algum dinheiro protegendo um produto internacional de alta rentabilidade, e pode cobrar responsabilidade quando donos de plataformas escondem problemas por motivos de marketing ou os obscurecem deliberadamente
      Conhecendo a história do CVE na última década, quem alguém poderia propor seriamente? Vão terceirizar para a Cisco ou a Oracle?
    • O pessoal do CVE está trabalhando para diversificar as fontes de financiamento
      https://www.thecvefoundation.org/
  • Ideia curiosa: e se distribuíssemos o CVE por vários países, para que nenhuma organização única tivesse poder de eliminá-lo?
    Mesmo que os EUA não cooperem, não é um banco de dados público? Há algo que impeça a ONU, a UE, o Reino Unido, a Austrália etc. de copiá-lo e criar um CVE conjunto?

  • Trump vai se surpreender pela segunda vez com o fato de que “tudo é computador”

  • Isso é sabotagem; quem fez?

  • “A síndrome do Monumento a Washington, também chamada de síndrome do Monte Rushmore ou princípio dos bombeiros primeiro, é um termo que se refere ao fenômeno em que órgãos do governo dos EUA, ao enfrentarem cortes orçamentários, reduzem os serviços mais visíveis ou mais valorizados entre os serviços prestados pelo governo”
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • Não sei bem se isso se aplica a este caso. Tirando o pessoal do tipo HN, quanto o público em geral se importa com cibersegurança ou a entende?