Na semana passada, engenheiros da Fundação pela Liberdade de Imprensa (Freedom of the Press Foundation) descobriram uma vulnerabilidade que existia há três anos no SecureDrop, o sistema de envio de informações confidenciais utilizado por The Intercept e dezenas de outros veículos de imprensa para se comunicar de forma segura com suas fontes anônimas.

A janela para explorar essa brecha é ínfima, e é muito pouco provável que nosso servidor tenha sido atacado. Além do mais, tal vulnerabilidade não teria permitido a um invasor obter os endereços IP das fontes que usavam o servidor.

Ainda assim, por excesso de cautela, tomamos algumas medidas para garantir que o SecureDrop esteja o mais seguro possível de agora em diante. Em prol da transparência, gostaríamos de informar aos leitores e às fontes sobre essas mudanças:

  • Assim que tivemos ciência do problema, na quarta-feira da semana passada, rapidamente desligamos nossos antigos servidores SecureDrop.
  • Adquirimos um novo hardware, e instalamos o SecureDrop do zero.
  • Geramos chaves de criptografia totalmente novas, por isso o endereço “.onion” do nosso servidor SecureDrop na rede Tor mudou para:  http://intrcept32ncblef.onion/
  • Fizemos backup das antigas contas de nossas fontes e restauramos tudo no novo servidor.

Se você já é uma fonte, pode fazer login no novo servidor com as suas credenciais anteriores, mas recomendamos que entre em contato conosco usando sua conta antiga e depois crie uma conta nova.

A vulnerabilidade foi descoberta semana passada por engenheiros da SecureDrop durante uma auditoria interna de código. “Não encontramos nenhuma evidência de que alguém sequer soubesse da existência desse bug, uma vez que nós mesmos o encontramos”, me contou Jen Helsby, desenvolvedor chefe do SecureDrop.

A falha de segurança está relacionada à forma como o software do SecureDrop é instalado nos servidores pela primeira vez. O instalador baixa programas acessórios usando o gerenciador de pacotes de seu sistema operacional, o Ubuntu. Como os pacotes de software provêm de servidores administrados por voluntários, eles precisam ser verificados por criptografia; ou seja, precisam ser assinados digitalmente com uma chave de criptografia confiável. Se a verificação for bem-sucedida, o pacote é instalado. Se falhar, é indício que um invasor pode ter substituído o pacote de software por outro, que inclua código malicioso, e o processo de instalação deveria parar. O instalador do SecureDrop, porém, pulou essa etapa de verificação em três pacotes de software.

“Isso significa que um invasor que tivesse condições de prever a ocorrência de uma instalação poderia interceptar [‘man-in-the-middle’, um tipo de ataque] o tráfego de dados e enviar código que seria executado no servidor SecureDrop”, explicou Helsby.

Em outras palavras, enquanto estávamos fazendo a instalação inicial do SecureDrop, houve um curto intervalo de tempo, uma questão de segundos, em que um invasor poderia ter explorado essa vulnerabilidade. O invasor teria que conhecer a brecha, saber exatamente quando e onde instalamos o SecureDrop, e, ainda, estar em condições de realizar um ataque de rede contra nós naquele exato instante.

As fontes só conseguem interagir com o SecureDrop na rede Tor. Por isso, mesmo que alguém invadisse um servidor SecureDrop, não conseguiria descobrir os endereços IP das fontes. Poderia, no entanto, ler os documentos e as mensagens enviados pelo sistema, que ficam temporariamente disponíveis na memória antes de serem criptografados e salvos em disco.

A Fundação pela Liberdade de Imprensa alertou os veículos que usam o SecureDrop sobre a vulnerabilidade. Além de The Intercept, também fazem uso do sistema veículos de imprensa como New York Times, Washington Post, Pro Publica, The New Yorker e Associated Press, entre vários outros.

“Consideramos muito baixa a probabilidade de essa falha ter sido explorada”, disse Helsby. A Fundação pela Liberdade de Imprensa, porém, recomenda que os veículos de comunicação que possam vir a ter adversários ou opositores a nível governamental reinstalem o SecureDrop, apenas por segurança.

O novo servidor SecureDrop de The Intercept já está no ar, aceitando envio de informações. Confira nossas  instruções para fontes sobre como entrar em contato com os jornalistas de The Intercept de forma segura e anônima.

Tradução: Deborah Leão