O
governo dos Estados Unidos liberou um documento que revela a existência do Vulnerabilities Equities Process (VEP), um procedimento que define se uma vulnerabilidade descoberta por um funcionário do governo será informada ao fabricante do software ou será mantida em sigilo para ser usada para fins de segurança nacional e investigações policiais.
Especialistas em segurança especulavam que o governo dos Estados Unidos mantinha diversas vulnerabilidades em segredo. Isso se mostrou verdadeiro com os vazamentos de Edward Snowden, referentes à Agência Central de Inteligência (CIA) e, mais recente, com os vazamentos do grupo "Shadow Brokers", cujo conteúdo é atribuído à Agência de Segurança Nacional (NSA).
O vírus WannaCry, que atingiu centenas de milhares de computadores no mundo todo, foi criado a partir de uma vulnerabilidade divulgada pelo Shadow Brokers, que pertenceria à NSA, e que até então era mantida em sigilo pelo governo norte-americano.
O processo do VEP consiste em um conselho deliberativo formado por representantes de 10 órgãos do governo, desde o Departamento de Defesa até o Departamento do Tesouro e o Departamento do Comércio. O conselho se reúne mensalmente para decidir o que será feito com cada vulnerabilidade. É possível agendar reuniões extraordinárias, se necessário.
Falhas que estão restritas para uso secreto do governo precisam ser reavaliadas anualmente para que seja decidido se elas continuarão restritas ou não.
O documento justifica a postura do governo de manter certas vulnerabilidades em sigilo argumentando que "o governo não criou essas vulnerabilidades" e que, mesmo que todas as falhas descobertas pelos Estados Unidos sejam comunicadas aos fabricantes, ainda haverá brechas que serão exploradas por outras entidades.
Embora o governo argumente que "não criou as vulnerabilidades", há evidências de que a NSA teria se envolvido ativamente para padronizar uma fórmula de segurança "envenenada", ou seja, que continha uma fragilidade intencional para facilitar o trabalho de espiões.
O documento também afirma que o "saldo" pode ser positivo. "Às vezes, a inteligência e as evidências descobertas por meio do uso da exploração ponderada de uma vulnerabilidade são o único meio de compreender uma ameaça muito maior. Muitas vezes, assumir um risco calculado de restringir o conhecimento de uma vulnerabilidade é o único meio de descobrir intrusos significativas que estão comprometendo a segurança e a privacidade", diz o texto.
O processo do VEP existe pelo menos desde a administração do ex-presidente Barack Obama, mas é a primeira vez que o governo explica o processo e quem pode se manifestar a respeito das falhas. O documento pode ser baixado no site da Casa Branca (aqui, PDF, em inglês).
(Foto: Larry Downing/Reuters)
'Meio indireto'
Em um trecho, o documento admite que o governo norte-americano pode optar por avisar o fabricante de um software da vulnerabilidade por um "meio indireto". O documento não especifica, em nenhum momento, quais seriam esses meios.
Esse "meio indireto" poderia explicar como a Microsoft aparentemente ficou sabendo da falha do WannaCry dois meses antes do vírus ser disseminado. A empresa nega que tenha sido contada por algum agente do governo norte-americano sobre a vulnerabilidade.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
