Meio Bit » Baú » Segurança » Agências governamentais de segurança investem pesado em auditoria de hardware: "o problema do inferno"

Agências governamentais de segurança investem pesado em auditoria de hardware: "o problema do inferno"

07/08/2011 às 20:01

Crypto Chip Hacked

'chip de criptografia hackeado... de fábrica'

Se você trabalha para a TI uma grande corporação, deve estar familizarizado com grande parte das ameaças de segurança da informação. Mas, quando o assunto passa a ser a segurança de grandes nações pelo mundo, ameaças podem ser algo que vão desde o alarme falso até o mais inimaginável dos pesadelos.

O DARPA - Agência de Pesquisa em Projetos Avançados de Defesa (EUA) - tem uma missão indigesta nas mãos: fazer valer a máxima de segurança governamental que diz que 'não se deve desconfiar necessariamente do designer, mas sim do seu fabricante".

Na semana passada o general da reserva Michael Hayden, ex-comandante da CIA e da NSA, chamou o problema de chips adulterados/manipulados no Aspen Security Forum 2011 de "um problema (direto) do inferno".

"Francamente, este não é um problema que pode ser resolvido. É apenas uma condição que você tem que administrar" -- discursou Hayden sobre a crescente preocupação dos governos em auditar micro/chips adquiridos via fabricantes estrageiros e cuja finalidade é a aplicação na defesa e na segurança nacional.

Nos últimos dois meses a DARPA gastou mais de U$ 49 milhões em contratos ligados ao projeto do programa IRIS (Integridade e Confiabilidade de Circuitos Integrados), responsável por uma checagem minuciosa de comprometimento em hardwares comprados pelo governo. Sete empresas privadas e duas universidades repartiram essa quantia e são a linha de frente do programa.

O IRIS foi formatado a partir de um programa anterior de checagem da DARPA conhecido TRUST. Este último, utilizava técnicas de imagem como Raio-X para comparar a infra-estrutura de um chip com todas as suas especificações de design.

Diferentemente do TRUST, o IRIS tem agora o objetivo de, além desta checagem comparatória de segurança, também encontrar meios de revelar a engenharia funcional de chips e microchips, mostrando literalmente tudo o que são capazes de fazer, até mesmo quando as especificações de design não estão disponíveis.

A razão para tamanha preocupação com hardwares hackeados no supply-chain do departamento de defesa está associada às contantes mudanças no padrão de construção destas peças.

A globalização, a guerra de preços e as novas demandas acabaram criando um cenário enorme e extremamente misto de padrões, com produções comumente originárias de países como a Tailância, China, Japão e Coréia do Sul -- países que fazem tudo, menos concordar em padrões industriais. Isso sem considerar, a princípio, a possibilidade de espionagem industrial embebida no design e na manufatura de hardware e muitos outros etcs.

Para combater a vulnerabilidade criada por esse modelo de cadeia de distribuição, virtualmente impossível de ser regulamentado, a IARPA (a comunidade de inteligência e contra-inteligência da DARPA) está investindo pesado em um outro programa chamado TIC (Circuitos Integrados Confiáveis) que foca exclusivamente em minimizar o risco de se comprar hardwares maliciosamente manipulados de fabricantes internacionais.

No mês passado, Greg Schaffer, sub-secretário representante para o Departamento de Segurança Nacional e seus diretorados, foi perguntado pelo Congresso noter-americano se por acaso ele tinha conhecimento de quaisquer exemplos de hardwares hackeados que tenham aparecido no país. Pergunta para a qual ele ofereceu uma única e modesta resposta:

"Eu tenho conhecimento de algumas instâncias em que isso ocorreu" - respondeu Schaffer.

O DARPA também tem se envolvido com segurança de software, adicionalmente aos seus esforços nas áreas de compra de hardware. Nesta última quinta-feira (4) a agência anunciou um novo programa com a finalidade de acelerar o desenvolvimento de projetos menores de ciber-segurança, cujos prazos são inferiores a um ano.

Leia mais sobre: , , , , .

relacionados


Comentários