Ataque de sinal: a realidade política morde o administrador de TI

O facto de os recentes ataques de phishing contra políticos, funcionários públicos, jornalistas e outros intervenientes na bolha do capital terem sido parcialmente bem sucedidos ainda pode ser descartado como um acto por si só. Porque ninguém deveria cair nesta tentativa de phishing. Mas permanece um problema e muitas das “soluções” actualmente propostas não o abordam.

Entre outros, a presidente do Bundestag, Julia Klöckner (CDU), considerada afetada, recomendou agora o Messenger Wire aos deputados, que está disponível como alternativa nos dispositivos oficiais do Bundestag.

Wire – fechado e federado

Na verdade, uma versão adaptada do mensageiro chamada “Wire Bund” foi testada pelo Escritório Federal de Segurança da Informação (BSI) e considerada segura o suficiente para cumprir o nível de sigilo mais baixo da República Federal. Wire Bund é aprovado até o nível de Informações de Classificação – Para Uso Oficial (VS-NfD).

O Wire Bund segue o princípio de um grupo fechado de usuários: somente dispositivos aprovados podem ser registrados lá. Por exemplo, é possível formar uma federação, por exemplo para permitir a comunicação entre o Bundestag e o BSI.

Outros serviços também são considerados melhores: Threema, que foi um tanto esquecido, se concentrará novamente, Matrix e Element são usados ​​​​pela Bundeswehr como “BWMessenger” e “Bundesmessenger”, pois um desenvolvimento adicional deste também pode atrair outros interesses.

Mas a carta de Klöckner mostra acima de tudo o que talvez seja difícil de compreender fora da cena política de Berlim: o Presidente e o administrador do Bundestag só têm influência sobre a administração informática do Bundestag (“Parlakom”) e dos seus funcionários, mas não sobre os membros do parlamento e grupos parlamentares.

Além disso, o sistema deve refletir a lógica da administração federal e as necessidades de segurança: a comunicação segura ocorre em um ambiente encapsulado – se por meio de “VS-NfD” deve ser discutido em um sistema separado. O Signal, por exemplo, não pode ser instalado em dispositivos de serviço que sigam o padrão “Secure Inter-Network Architecture” (SINA) porque não foi testado.

A Comissão do Conselho de Anciãos para Tecnologia da Informação e Digitalização (Comissão de I&D) do Bundestag alemão é responsável pelos padrões de segurança. Ele enfatizou que deveria ser “assumido que o cenário de TI do Bundestag alemão reflete um sistema em rede”. Existem serviços para parlamentares, comissões parlamentares e administração do Bundestag, mas os grupos parlamentares operam a sua própria tecnologia de informação “devido à sua posição independente”.

Membros do parlamento e grupos políticos independentes

O Bundestag é um parlamento de representantes eleitos livremente. E a liberdade garantida por esta constituição também significa: cada membro do parlamento tem o direito de utilizar as suas próprias TI. A TI do grupo parlamentar também é independente, embora – depois de algumas más experiências – muitas vezes se baseie no conceito principal da casa.

Para todos os que vêem o Bundestag principalmente através das lentes das organizações de TI, esta é uma parte importante do problema: as pessoas precisam de ser capazes de trabalhar de forma interoperável no ambiente “Bundestag” com diferentes ferramentas de trabalho de acordo com diferentes padrões.

Os deputados ao Parlamento gozam de um nível de protecção muito elevado – mesmo por parte do poder executivo. Embora alguns possam não ter problemas com o Gabinete para a Protecção da Constituição a verificar a caixa de entrada para evitar perigos ou com o BSI a configurar eficazmente a firewall, para outros pode não ser aceitável – porque isso permitirá o controlo por parte do Parlamento, aquele que é realmente suposto controlar o poder executivo, ou seja, as autoridades.

Além das fronteiras organizacionais

Um exemplo inócuo ajuda a ilustrar isto: a agenda do Bundestag. Isto deve ser acordado entre os grupos parlamentares, geralmente pelo gestor parlamentar. Devem procurar obter feedback dos funcionários dos grupos parlamentares e dos deputados. E como a política não acontece apenas no Bundestag, outros atores entram em jogo. Se o ministro quiser falar, a casa dele deverá ser incluída. Do ponto de vista do Bundestag, isto está fora da organização. Os ministros são frequentemente, mas nem sempre, membros do parlamento ao mesmo tempo.

Talvez o mais difícil: o partido e o aparato – com a sede do partido, gestores federais, funcionários. Os membros do presidium podem ser primeiros-ministros, ministros federais, presidentes do Bundestag ou líderes de grupos parlamentares. Então talvez a ala dos empregados ou um grupo empresarial de médio porte deva ser consultado.

Os partidos não são organizações estatais, mas associações privadas – e não estão autorizados a utilizar os serviços das autoridades federais. Para o trabalho partidário, não é permitido o uso de ferramentas e softwares oficiais para funções estatais, caso contrário, isso seria o uso de recursos estatais para fins não destinados a esses fins.

Além disso, os políticos muitas vezes desempenham múltiplas funções: Friedrich Merz é chanceler, presidente do partido, membro do parlamento e membro cooptado do conselho da associação distrital da CDU Hochsauerland. Como Chanceler, ele deve ser capaz de se comunicar de maneira segura. Como membro do parlamento, ele é livre; o uso de TI parlamentar e serviços de grupo, como unidades compartilhadas, estão sujeitos às respectivas regras para isso. Como presidente do partido e membro do conselho da associação distrital de origem, ele é oficialmente um cidadão normal.

Todas estas são as razões pelas quais uma simples “solução” – “admin” permite “mensageiros seguros” e controla a infra-estrutura – falha em muitos contextos organizacionais. Portanto, na realidade, os dispositivos pessoais são frequentemente o meio de comunicação preferido. E como a política muitas vezes exige que a comunicação seja rápida e transfronteiriça, dificilmente existem alternativas mensuráveis.

Entre preocupação e abertura tímida

Portanto, parece impossível garantir totalmente a segurança dos canais de comunicação dos políticos. A próxima onda de phishing está chegando – e pode ser ainda mais sofisticada. Isso pode acontecer com qualquer um. É por isso que temos que continuar pensando em hedge. Também inclui a opção de que o Signal seja capaz de desabilitar a conta se o proprietário original mostrar sinais de perda de controle. Para fazer isso, o usuário autorizado deve poder dar gorjeta ao operador do mensageiro. O Signal, por sua vez, deve ser capaz de verificar a propriedade da conta – isso está disponível pelo menos como uma oferta opcional ao configurar uma conta.

O fato de um mensageiro como o Signal não ser mais visto como uma coisa nerd usada por alguns denunciantes, mas ter chegado à política como mensageiro, é realmente positivo. O fato de os usuários também precisarem saber o que estão fazendo pode ter se tornado mais óbvio para muitas pessoas que não vivenciaram isso antes do que aconteceu nas últimas semanas. E alguma disciplina de rádio, que consiste em pensar no que compartilhar, com quem e quando, geralmente é recomendada.

Muitos dos nomes afetados não foram divulgados e apenas alguns reconheceram publicamente que foram vítimas de ataques de phishing. Alguns só foram notados porque as contas de outros usuários foram surpreendentemente removidas dos bate-papos em grupo ou indicaram off-line que suas contas agora estavam sendo operadas de outro lugar.

O ex-representante do BND Arndt Freytag von Loringhoven, por exemplo, fez isso de forma mais inteligente e merece reconhecimento por: Ele decidiu que a vergonha deveria receber menos peso do que o perigo para as pessoas afetadas e respondeu publicamente a isso várias vezes. Porque esta é uma boa lição para a política do mundo normal da TI: as notificações de violação de dados são importantes para as pessoas afetadas indiretamente.

(vbr)