Agência federal que compra dados de internet de americanos é questionada • The Register

As agências do governo dos EUA estão comprando detalhes da atividade de internet dos americanos de corretores de dados até certo ponto – o senador norte-americano Ron Wyden (D-OR) quer uma explicação.

Na quarta-feira, Wyden escreveu uma letra [PDF] Envie uma solicitação aos inspetores gerais dos Departamentos de Segurança Interna, Defesa e Justiça para que os reguladores da agência investiguem a compra não autorizada de dados de tráfego de internet dos americanos.

Nos EUA, a Quarta Emenda protege as pessoas de buscas e apreensões injustificadas, e é por isso que as agências de aplicação da lei geralmente precisam obter um mandado de busca para solicitar a um terceiro sob investigação dados ou dados sobre eles. Wyden está preocupado que as agências governamentais estejam desrespeitando a Quarta Emenda ao obter informações de corretores de dados de terceiros e contornar o processo de revisão judicial exigido por lei.

Wyden disse que está investigando a compra de registros de localização e navegação na Internet pelo governo há anos, mas foi impedido pelo Pentágono. O Departamento de Defesa respondeu ao seu inquérito no ano passado, mas aplicou uma classificação que impediu Wyden de divulgar detalhes. Os esforços do senador democrata para levantar o limite foram rejeitados.

Apesar das defesas do Departamento de Defesa, Wyden disse que informações de denunciantes e contratos públicos do governo indicam que várias agências compraram acesso a metadados sobre o tráfego de pessoas na Internet. Essas organizações incluem o Comando Cibernético dos EUA, o Exército, o Serviço de Investigação Criminal Naval da Marinha (NCIS), a Agência de Segurança e Contrainteligência de Defesa, a Agência de Inteligência de Defesa, o FBI e o Serviço Secreto dos EUA.

“De acordo com o denunciante, o NCIS está comprando acesso a dados, incluindo registros de fluxo de rede e algumas comunicações, do Team Cymru, um corretor de dados cujas vendas de dados eu investiguei anteriormente”, escreveu Wyden.

Wyden disse que os registros públicos indicam que o NCIS tem um contrato para usar o Augury, um serviço de assinatura oferecido pelo Team Cymru, “que fornece acesso a dados de e-mail (‘IMAP/POP/SMTP) [packet capture] dados’) e dados sobre a atividade do navegador da web (‘uso de cookies’, ‘dados do UserAgent’ e ‘URLs visitados’). “

Dito isso, o senador sugeriu que o NCIS – sim, é uma agência real, não feita para TV – está comprando logs de tráfego de internet interceptado de pessoas, que inclui mais do que apenas metadados – como endereços IP de origem e endereço IP de destino – também inclui o conteúdo de alguns dados.

Perguntas práticas

Os dados de captura de pacotes ou PCAP podem ser obtidos por meio de ferramentas de análise de rede; uma que você pode usar em sua própria rede é o Wireshark.A quantidade de informações disponíveis pode ser extensa e esclarecedora, pois essas amostra programa. Registros NetFloworiginado da Cisco, semelhante ao e complementar Mas não muito detalhado.

Wyden afirma que, com base no que viu, Augury da equipe Cymru fornece acesso a “petabytes” de dados de “mais de 550 pontos de coleta em todo o mundo” e “atualiza pelo menos 100 bilhões de novos registros todos os dias”.

Certamente é possível para nós que o Augury (agora conhecido por outra marca, a equipe Cymru Pure Signal Recon) possa observar pelo menos alguns pacotes de internet de nós ao redor do globo. O software deve permitir que os clientes estudem o tráfego de interesse, como comunicações entre dispositivos infectados e servidores de controle remoto, e identifiquem e monitorem endereços IP usados ​​para fins maliciosos.

Se o conteúdo do pacote estiver disponível, definitivamente são dados não criptografados, como o HTTP simples e antigo que não deveria ser usado de qualquer maneira nos dias de hoje. Navegação na Web, e-mail e outros tráfegos usando protocolos criptografados (incluindo HTTPS, TLS, SSH e IPsec) devem ficar fora do escopo, não os metadados do pacote, como endereço IP, carimbo de data/hora e porta de rede envolvidos.

Em outras palavras, sim, o Augury pode rastrear pelo menos o tráfego de internet de algumas pessoas, mas devido ao uso crescente de criptografia, a visibilidade do conteúdo desses dados deve ser limitada. Como lembrete, se você estiver enviando conteúdo em texto simples pela Web, suponha que alguém possa vê-lo e vendê-lo.

para responder às nossas perguntas, Symuru No início desta semana, a mídia contestou as alegações de Wyden e sugeriu que seu produto Augury não é o que as pessoas dizem que é – ele revela praticamente tudo o que todo mundo faz online.

registro A equipe Cymru foi solicitada a comentar mais especificamente sobre as alegações de Wyden e a demonstrar o produto, mas ainda não recebemos resposta. Se alguém que usou o Augury e ferramentas semelhantes – existem concorrentes por aí – gostaria de descrever esses kits para nós, por favor, envie-nos uma nota.

Curiosamente, o rabino Rob Thomas, CEO da equipe Cymru, esteve no conselho do projeto Tor até junho deste ano, que também Hospede usando Cymru para seu site .org.

No mês passado, membros do Comitê Judiciário da Câmara dos EUA enviou uma carta Procure informações semelhantes sobre a coleta de dados do Tio Sam com os chefes do Departamento de Justiça, FBI, Alfândega e Proteção de Fronteiras dos EUA, Imigração e Alfândega dos EUA, Administração de Repressão às Drogas e Bureau of Alcohol, Tobacco, Firearms and Explosives.

Anteriormente, tais investigações tiveram sucesso limitado e não resultaram em nenhuma política governamental. No ano passado, o inspetor geral do Tesouro J. Russell George respondeu a perguntas de Wyden e da senadora Elizabeth Warren (D-MA) sobre o IRS comprando dados de localização do empreiteiro Venntel.ele escreveu [PDF] Os funcionários do IRS acreditam que não precisam de um mandado para usar os dados da Venntel porque “as informações disponíveis foram voluntariamente entregues com consentimento individual” nos aplicativos e dispositivos que usam.

Em outras palavras, os americanos optaram pela vigilância.

A carta de George continua dizendo que a investigação criminal do IRS “mostra que não usa mais nenhum dado relacionado a celulares de qualquer fornecedor que se mostrou inútil na investigação”, e mudou sua abordagem e fez uma revisão. o uso de futuras ferramentas de investigação para determinar se isso pode exigir um mandado.

Laura Hecht-Ferrera, pesquisadora do Brennan Center for Justice do Instituto de Direito e Política da Universidade de Nova York, sem fins lucrativos, citou a carta do ano passado pedindo ação por parte dos legisladores.

“A capacidade do governo de comprar informações confidenciais de localização sem supervisão judicial ou legislativa derruba o antigo equilíbrio de poder entre o povo e o governo estabelecido pela Quarta Emenda”, disse ela em um comunicado. uma postagem ano passado.

“Isso cria oportunidades para a fiscalização da aplicação da lei que, de outra forma, seria inviável devido a recursos e restrições tecnológicas, facilitando a fiscalização desimpedida do governo em uma escala inimaginável há apenas algumas décadas.” ®

Leave a Reply

Your email address will not be published.