Bullrun

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Bullrun es un supuesto programa secreto de la NSA cuyo objetivo es burlar la seguridad de distintas tecnologías de cifrado usadas en redes de comunicaciones. Su homólogo británico sería el programa Edgehill de la GCHQ. Ambos programas colaborarían en ciertos campos para la consecución de sus objetivos.

Origen de la información de su existencia[editar]

La supuesta existencia de este programa fue revelado por las filtraciones de Edward Snowden. La NSA no ha emitido ninguna respuesta en relación con su presunta existencia. Los informes de The Guardian, The New York Times y Propublica afirman que oficiales de inteligencia pidieron que no se publicara la información por motivos de seguridad nacional

Base legal[editar]

La base legal que ampararía la existencia programa sería el artículo 702 de la Ley de Vigilancia de la Inteligencia Extranjera. En él se establece que se puede requerir a un proveedor de servicios "que proporcione al Gobierno inmediatamente toda la información, medios o asistencia necesaria para completar la recopilación" de información de inteligencia extranjera. Se han hecho preguntas sobre si esta ley obliga a divulgar claves criptográficas pero no se ha recibido aclaración[1]

Actuaciones[editar]

Para la consecución de los objetivos del programa se han implementado distintas actuaciones:[2]

  • Influyendo para que se promuevan y adopten estándares, protocolos o sistemas con debilidades. Por ejemplo en los documentos se menciona específicamente a la utilización que la NSA hizo del NIST para insertar una puerta trasera en un estándar de 2006 para la generación de números aleatorios (Dual_EC_DRBG). Posteriormente el estándar fue adoptado como estándar por la Organización Internacional de Estandarización (ISO).[3] [4]
  • Trabajando con proveedores de software o hardware criptográfico para que liberen sistemas con debilidades. Por ejemplo implementando directamente puertas traseras o utilizando algoritmos criptográficos con debilidades. Por ejemplo se dice que se pagó a la empresa RSA, filial de EMC, para que usara la fórmula matemática Dual_EC_DRBG como método generador de números aleatorios por defecto de su software de cifrado BSafe aún a sabiendas de la existencia de debilidades.[5] [4] Según Edward Snowden hay muchos acuerdosmás de este tipo.
  • Buscando, y frecuentemente encontrando, debilidades a la seguridad en distintos sistemas de comunicaciones. Por ejemplo se afirma que consiguen descifrar conexiones SSL o tener acceso a muchas de las comunicaciones peer-to-peer de voz y de texto
  • Estableciendo una red de infiltrados en la industria de las telecomunicaciones que estén dispuestos a proporcionarles información.
  • Identificando y rompiendo claves que resguardan la seguridad de sistemas

Bibliografía[editar]

  1. Los programas de vigilancia de los Estados Unidos y sus repercusiones sobre los derechos fundamentales de los ciudadanos de la UE. Dirección general de políticas interiores. Derechos de los ciudadanos y asuntos constitucionales, libertades civiles, justicia y asuntos de interior. Parlamento Europeo
  2. On the NSA. Matthew Green. Asistente de investigación en la Universidad Johns Hopkins
  3. Government Announces Steps to Restore Confidence on Encryption Standards. Nicole Perlroth. 10 de septiembre de 2013
  4. a b The Strange Story of Dual_EC_DRBG. Bruce Schneier. 15 de noviembre de 2007
  5. Exclusive: Secret contract tied NSA and security industry pioneer. Joseph menn. Reuters 20 de diciembrebre de 2013