Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br

Função de Snowden deu ao técnico cobertura perfeita para roubo de dados

Gerais
Sexta - 20 de Setembro de 2013 às 09:31

    Imprimir


A função de Edward Snowden como gestor de sistemas deu a ele acesso fácil aos documentos da National Security Agency (NSA) colocados em um site de partilha de documentos, no portal da Intranet da agência. Os documentos eram mantidos no portal para os analistas da NSA e outros funcionários poderem lê-los e discuti-los online, disse o CTO da organização, Lonny Anderson, em entrevista à National Public Radio.

Como gestor contratado para a NSA com privilégios _ Sensitive Compartmented Information (SCI) _  Snowden teve acesso a esse site na Intranet e mover documentos especialmente sensíveis para um local mais seguro, sem desencadear alertas, explica Anderson. Assim, pôde roubar slides da NSA em PowerPoint, ordens judiciais secretas e relatórios classificados.

“A função constituiu a cobertura perfeita para alguém interessado em roubar documentos”, explicou Anderson. “O trabalho dele era fazer o que ele fez. Ele não era um fantasma. Ele não era assim tão inteligente. Fazia o seu trabalho”, defende Anderson.

Desde os vazamentos de informação, a NSA tomou várias medidas para emendar as falhas de segurança. Por exemplo, há uma regra nova – a “regra de duas pessoas” –, que estipula que dois indivíduos com funções e autoridade similares devem agir em conjunto na execução de funções específicas, incluindo o armazenamento ou o backup de dados.

Aqueles com acesso privilegiado aos sistemas, como os gestores de sistemas e de rede, deixam de ser anônimos na rede da NSA e todas as suas ações serão observáveis, revela Anderson. A NSA também começou a “etiquetar” dados mais sensíveis e documentos para garantir que apenas pessoas com determinada necessidade possam ter acesso a esses documentos.

A regra de documentos também permite aos auditores de segurança verem como os indivíduos com acesso legítimo aos dados estão os usando realmente, explica Anderson. Ainda não está claro, porém, como o consultor conseguiu fazer o download dos dados para drives USB e levá-los do local de trabalho, sem ser notado.




Fonte: CIO

Comentários

Deixe seu Comentário

URL Fonte: http://infoguerra.com.br/noticia/2986/visualizar/