A defesa cibernética dos EUA está sendo desmontada por dentro
(theregister.com)- A crise de interrupção do banco de dados CVE mostra que o sistema federal de segurança cibernética dos EUA pode ser abalado apenas por decisões de orçamento, pessoal e organização
- Se o CVE, que nos últimos 25 anos foi o ponto de referência comum para vulnerabilidades de segurança, ficar instável, defensores gastarão tempo verificando se estão falando da mesma vulnerabilidade, enquanto atacantes poderão explorar essa confusão
- A CISA estava sujeita a um corte de mais de um terço de seus funcionários, e o contrato da MITRE para o CVE foi prorrogado pouco antes do prazo final, mas expira novamente em março de 2026
- A demissão dos chefes da NSA e do US Cyber Command, o desmonte na prática do CSRB, a interrupção da investigação sobre o Salt Typhoon, a mudança para preparação centrada em estados e municípios e os cortes em subsídios federais estão enfraquecendo a capacidade federal de defesa
- Com o acesso do DOGE a sistemas federais sensíveis somando-se a isso, o enfraquecimento autoinfligido da segurança dos EUA pode afetar também o ecossistema tecnológico fora dos EUA
Crise de interrupção do CVE e confusão na gestão de vulnerabilidades
- O banco de dados Common Vulnerabilities and Exposures, ou CVE, é a lista central que, na prática, catalogou todas as vulnerabilidades de segurança nos últimos 25 anos
- A ex-diretora da CISA Jen Easterly descreve o CVE como um catálogo global que permite a equipes de segurança, fornecedores de software, pesquisadores e governos organizar e discutir vulnerabilidades usando o mesmo sistema de referência
- Sem o CVE, cada organização passaria a usar listas diferentes ou a responder sem lista alguma; aumentaria o tempo gasto para confirmar se todos estão falando do mesmo problema, e atacantes poderiam explorar essa confusão
- A CISA, que supervisiona o CVE, estava sujeita a um corte de mais de um terço de seus funcionários, e os funcionários foram informados de que deveriam escolher, até a meia-noite de segunda-feira, se continuariam trabalhando ou se pediriam demissão
- O contrato da MITRE para o CVE foi prorrogado pouco antes do prazo final, mas está previsto para expirar novamente em março de 2026
Redução da CISA e das organizações cibernéticas federais
- Os cortes de pessoal na CISA e a incerteza contratual estão diretamente ligados à questão da continuidade do CVE
- No passado, a renovação do contrato do CVE teria sido praticamente uma decisão óbvia, mas a próxima prorrogação permanece incerta
- Se uma base comum como o CVE ficar instável, será mais difícil coordenar a resposta a vulnerabilidades em toda a segurança tecnológica
Desmonte de altos cargos e órgãos consultivos de segurança cibernética
- O general Timothy D. Haugh, chefe da NSA e do US Cyber Command, foi demitido no início de abril
- Ele era visto como uma figura importante na defesa da infraestrutura cibernética nacional, inclusive na resposta à interferência russa após a eleição de 2016
- Entre as explicações apontadas para a demissão está o fato de Laura Loomer, uma conspiracionista de extrema direita e figura ligada a Trump, não gostar dele
- O Cyber Safety Review Board, ou CSRB, era uma organização criada no governo Biden para investigar grandes incidentes cibernéticos
- Com o encerramento do mandato de todos os seus integrantes, ele foi efetivamente desmontado
- Investigações de ataques cibernéticos importantes, como o hack chinês “Salt Typhoon”, foram interrompidas
- O ataque Salt Typhoon também teve Trump e o vice-presidente JD Vance como alvos, mas há críticas de que o governo não está dando importância ao caso
Preparação centrada em estados e municípios e redução do apoio federal
- A ordem executiva de Trump Achieving Efficiency Through State and Local Preparedness afirma que as capacidades de preparação são possuídas e geridas de forma mais eficaz nos níveis estadual, local e individual, com apoio do governo federal
- A ordem inclui ataques cibernéticos, incêndios florestais, furacões e até clima espacial como temas para decisões e investimentos locais
- Como ataques cibernéticos não ficam restritos a um único estado, há críticas de que é irrealista uma estrutura em que os 50 estados enfrentem separadamente equipes de hackers apoiadas por Estados-nação
- No início do mandato, Trump também cortou verbas de um programa federal de subsídios dedicado à segurança cibernética
- Governos estaduais podem ter dificuldade para contratar especialistas em segurança de nível mais alto em número suficiente
Acesso do DOGE a sistemas sensíveis e riscos de dados
- O Department of Government Efficiency de Elon Musk, ou DOGE, acessou sistemas federais sensíveis
- Entre os sistemas acessados estavam o sistema de pagamentos do Treasury Department e o Social Security System
- Surgem preocupações de que esses dados tenham sido copiados para algum lugar e possam ter se tornado acessíveis a pessoas sem direito de vê-los ou usá-los
- As críticas afirmam que não apenas a defesa cibernética externa foi exposta, mas também dados que poderiam servir de base para ataques de segurança em larga escala contra cidadãos individuais
- Um caso em que informações de Social Security de 1,6 milhão de pessoas foram roubadas de uma seguradora é comparado, nesse contexto, como algo de pequena escala
Impactos que podem se espalhar para fora dos EUA
- Como os EUA há muito exercem um papel de liderança na segurança tecnológica, o enfraquecimento da defesa cibernética federal não é apenas um problema interno do país
- O maior dano será sofrido pelos EUA, mas o mundo inteiro também poderá sentir os efeitos
1 comentários
Opiniões do Hacker News
De que maneira isso ajuda o povo americano, afinal?
Do ponto de vista de custos, dá para discutir. Por exemplo, pode-se questionar se o banco de dados CVE valia US$ 50 milhões por ano, especialmente considerando o trabalho acumulado
Também dá para supor que surgiriam alternativas privadas ou semiprivadas e que várias delas competiriam e melhorariam. Como os libertários, alguém poderia argumentar que todos os serviços que não sejam monopólio da coerção devem ficar com o setor privado
Mas não é um bom argumento. US$ 50 milhões parece muito e talvez haja espaço para cortes. Ainda assim, eu gostaria de ver uma análise operacional real, em vez de simplesmente encerrar o programa
O segundo argumento é pior. NIST e NOAA são exemplos de órgãos com alto benefício em relação ao custo, e um NIST com fins lucrativos ou uma NOAA com fins lucrativos parecem fazer pouco sentido. Mesmo assim, vale a pena avaliar, em termos gerais, os prós e contras de serviços financiados publicamente versus versões privadas. Mesmo um argumento ruim é melhor do que nenhum, mas a administração atual nem sequer apresenta esse tipo de argumento
Há muitas teorias da conspiração de que isso será usado para reprimir direitos e, no fim, talvez acabe sendo. Mas isso provavelmente seria mais uma reação posterior às consequências de ações desajeitadas
A visão convencional na administração Trump agora é que esses programas de cibersegurança são desperdício de dinheiro e que o setor privado vai aparecer magicamente para nos salvar
Agora todos vão sentir o alto custo do baixo capital humano
Infelizmente, Putin provavelmente continuará invadindo até o Fulda Gap, na Alemanha. Se ainda estivermos na OTAN, não teremos escolha a não ser declarar guerra
A administração Trump vê dinheiro sendo gasto em projetos que também beneficiam pessoas fora dos EUA, independentemente do valor interno, e simplesmente presume que dinheiro americano está sendo gasto em outros países
Não são inteligentes o bastante, nem bem informados o bastante, e tampouco parecem muito dispostos a aprender ou ouvir pessoas mais inteligentes. Quando veem uma rubrica orçamentária que não entendem, acham que podem eliminá-la
Parece haver a suposição subjacente de que, se fosse realmente importante, alguém transformaria isso em um negócio
O chat no Signal é apenas uma questão lateral comparado a escancarar o governo para vazamentos de dados e influência estrangeira
https://www.newsweek.com/doge-whistleblower-stalked-threaten...
Eles não veem esse tipo de coisa. Não há cobertura adequada. Minha mãe nem sabia o alcance das tarifas, nem do golpe de criptomoeda da DJT. Também expliquei o Signal várias vezes, mas ela realmente não entende coisas complexas
Minha mãe diz que “sabe que Trump é uma pessoa grosseira”, mas, para citá-la, quer “os Estados Unidos para os americanos”, quer colocar a China no seu lugar e proteger a fronteira
Eu disse ao meu pai: “por que você acha que os EUA são tão poderosos e influentes? É porque investimos no mundo e recebemos estudantes nos EUA. Não somos o centro do mundo sem motivo”. Ele simplesmente respondeu: “nós somos o centro do mundo”
Nosso país está cheio de pessoas incapazes de pensamento abstrato e viciadas em mentiras
O orçamento não é o ponto central, é uma distração. Desmantelar a estrutura de cibersegurança civil é uma forma de expor o público a operações de influência e outros danos, criando depois a necessidade de mais soluções do tipo “líder forte” [0,1]
Só depois de destruir a “defesa cibernética” é que se pode alegar uma crise e declarar “a cibersegurança morreu, viva a nova cibersegurança”
E isso definitivamente não será segurança para você
[0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
[1] https://cybershow.uk/blog/posts/usw/
O texto é meio fraco. O fato de o orçamento do CVE quase ter sido cortado é certamente trágico, mas ele não tratou do caso em que dados foram extraídos da NLRB e todos foram bloqueados fora de suas contas, e também só menciona rapidamente os cortes em subsídios federais de cibersegurança e no orçamento da CISA
Há muito mais munição para mostrar o quanto a administração Trump e a equipe DOGE de Musk são de fato incompetentes
Aborda com bastante detalhe os indícios de que funcionários da DOGE se esforçaram deliberadamente para esconder suas atividades nas contas Azure da NLRB. Com certeza deve ser ótimo para a transparência do governo
Segundo a denúncia de Berulis, poucos minutos depois de a DOGE acessar os sistemas da NLRB, alguém com endereço IP russo começou a tentar fazer login. As tentativas ocorreram “quase em tempo real”
As tentativas de login foram bloqueadas, mas eram especialmente preocupantes. Segundo ele, quem tentava entrar usava uma das contas DOGE recém-criadas e sabia o nome de usuário e a senha corretos
Talvez seja necessário um banco de dados como o CVE que não dependa do governo dos EUA. É uma fragilidade do próprio mundo de TI
Conhecendo a história do CVE na última década, quem alguém poderia propor seriamente? Vão terceirizar para a Cisco ou a Oracle?
https://www.thecvefoundation.org/
Ideia curiosa: e se distribuíssemos o CVE por vários países, para que nenhuma organização única tivesse poder de eliminá-lo?
Mesmo que os EUA não cooperem, não é um banco de dados público? Há algo que impeça a ONU, a UE, o Reino Unido, a Austrália etc. de copiá-lo e criar um CVE conjunto?
Trump vai se surpreender pela segunda vez com o fato de que “tudo é computador”
Isso é sabotagem; quem fez?
“A síndrome do Monumento a Washington, também chamada de síndrome do Monte Rushmore ou princípio dos bombeiros primeiro, é um termo que se refere ao fenômeno em que órgãos do governo dos EUA, ao enfrentarem cortes orçamentários, reduzem os serviços mais visíveis ou mais valorizados entre os serviços prestados pelo governo”
https://en.wikipedia.org/wiki/Washington_Monument_syndrome