Software do FBI para analisar impressões digitais contém código russo, denunciantes dizem

Image result for putin hack

Em um acordo secreto, uma empresa francesa comprou código de uma empresa conectada ao Kremlin, incorporou-o em seu próprio software e escondeu sua existência do FBI, de acordo com documentos e dois denunciantes. As alegações suscitam preocupações de que os hackers russos possam comprometer os sistemas informáticos de aplicação da lei.

O software de análise de impressões digitais utilizado pelo FBI e mais de 18 mil outras agências de aplicação da lei dos EUA contém o código criado por uma empresa russa com vínculos estreitos com o Kremlin, de acordo com documentos e dois denunciantes. As alegações suscitam preocupações de que os hackers russos poderiam obter acesso de backdoor a informações biométricas sensíveis em milhões de americanos, ou mesmo comprometer sistemas de segurança nacionais e de segurança pública mais amplos.
O código russo foi inserido no software de análise de impressão digital por uma empresa francesa, disseram os dois denunciantes, que são ex-funcionários dessa empresa. A empresa - uma subsidiária do enorme conglomerado parisiense Safran - deliberadamente escondeu do FBI o fato de ter comprado o código russo em um acordo secreto, disseram eles.
Nos últimos anos, os hackers russos ganharam acesso a tudo, desde os servidores de e-mail do Comitê Nacional Democrático até os sistemas de empresas de energia nuclear para os computadores não classificados do Joint Chiefs of Staff , de acordo com as autoridades dos EUA.
A sede da empresa russa de segurança cibernética Kaspersky Lab.
Sergei Savostyanov / Sergei Savostyanov / TASS
A sede da empresa russa de segurança cibernética Kaspersky Lab.
Em setembro, o Departamento de Segurança Interna ordenou que todas as agências federais deixassem de usar produtos fabricados pela empresa Kaspersky Lab, com sede em Moscou, incluindo seu popular software antivírus, e os meios de comunicação informaram que os hackers russos a exploraram para roubar informações confidenciais sobre os programas de inteligência dos EUA . O departamento depois esclareceu que o pedido não se aplicava ao "código Kaspersky incorporado nos produtos de outras empresas". O fundador da empresa, Eugene V. Kaspersky, negou qualquer envolvimento ou conhecimento sobre o hack.
A empresa russa, cujo código acabou no software de análise de impressões digitais do FBI, possui ligações do Kremlin que devem suscitar preocupações semelhantes de segurança nacional, disseram os denunciantes, ambos franceses que trabalharam na Rússia. A empresa russa, Papillon AO , possui em suas próprias publicações sobre sua estreita cooperação com vários ministérios russos, bem como com o Serviço Federal de Segurança - a agência de inteligência conhecida como FSB que é um sucessor da KGB da era soviética e está envolvida em outros hacks de alvos dos EUA.
"O fato de haver conexões com o FSB me deixaria nervosa para usar esse software".
Os especialistas em segurança cibernética disseram que o perigo de usar o código feito na Rússia não pode ser avaliado sem examinar o próprio código. Mas "o fato de que havia conexões com o FSB me deixaria nervosa para usar esse software", disse Tim Evans, que trabalhou como diretor de política operacional da unidade de inteligência de inteligência de elite da Agência de Segurança Nacional conhecida como Operações de Acesso Personalizado e agora ajuda a executar o empresa de segurança cibernética Adlumin.
A revisão do FBI de sua tecnologia de reconhecimento de impressões digitais, revelada em 2011, fazia parte de uma iniciativa maior chamada Next Generation Identification para ampliar o uso da biometria da agência, incluindo a tecnologia de reconhecimento de rosto e íris. A TSA também conta com o banco de dados de impressão digital do FBI.
Na esperança de conquistar o contrato do FBI, a subsidiária Safran Sagem Sécurité, mais tarde renomeada para Morpho, licenciou a tecnologia Papillon para aumentar o desempenho de seu próprio software de reconhecimento de impressões digitais, disseram os denunciantes. Ambos trabalharam para Morpho: Philippe Desbois foi o ex-CEO das operações da empresa na Rússia, e Georges Hala trabalhou para a equipe de desenvolvimento de negócios da Morpho na Rússia.
A Sagem apresentou um novo passaporte biométrico em 2007.
Jean-Paul Ney / Getty Images
A Sagem apresentou um novo passaporte biométrico em 2007.
A BuzzFeed News analisou uma cópia não assinada do acordo de licenciamento entre as empresas francesas e russas, que ambos os homens disseram ter obtido enquanto trabalhavam para Morpho; é datado de 2 de julho de 2008 - um ano antes de a empresa vencer algumas das maiores empresas biométricas do mundo, incluindo um concorrente americano, para garantir o negócio do FBI. Concede à Sagem Sécurité o direito de incorporar o código Papillon no software da empresa francesa e vender o produto final como sua própria tecnologia. Também estipula que a Papillon fornecerá atualizações e melhorias durante o período de cinco anos que terminou no último dia de 2013. Em troca, a Sagem Sécurité concordou em pagar uma taxa inicial de aproximadamente 3,8 milhões de euros - equivalente a quase US $ 6 milhões no momento - mais taxas anuais.
Tem uma dica? Você pode enviar e-mail para tips@buzzfeed.com. Para saber como nos alcançar de forma segura, acesse tips.buzzfeed.com .
O contrato, que também é referenciado em documentos judiciais, diz que, para o conhecimento de Papillon, seu software não contém nenhuma "porta traseira" não divulgada, 'bomba de tempo', 'drop dead' ou outra rotina de software projetada para desativar o software automaticamente com a passagem do tempo ou sob o controle positivo de qualquer pessoa "ou qualquer" vírus ", cavalo de tróia," worm "ou outras rotinas de software ou componentes de hardware projetados para permitir o acesso não autorizado, desabilitar, apagar ou danificar o software , hardware ou dados. "
O contrato revisado pela BuzzFeed News também contém uma seção intitulada "Publicidade" que diz: "As partes concordam em manter estritamente confidenciais e não divulgar por qualquer meio a terceiros a existência eo conteúdo deste Contrato".
Desbois - que apresentou uma ação judicial de denúncia no tribunal federal dos EUA acusando Safran de colecionar fraudulentamente cerca de US $ 1 bilhão de agências federais, estaduais e locais - disse que pelo menos três funcionários de empresas de alto nível enfatizaram em várias ocasiões que a existência do acordo precisava manter um segredo intimamente mantido. Divulgação, ele disse que foi informado, pode comprometer os contratos no mercado dos EUA, que a empresa cobiçou.
"Eles me disseram:" Teremos grandes problemas se o FBI estiver ciente sobre a origem do algoritmo ".
"Eles me disseram:" Teremos grandes problemas se o FBI estiver ciente sobre a origem do algoritmo ", lembrou ele.
Nem Desbois nem Hala participaram pessoalmente da integração do código Papillon nos produtos da empresa francesa ou da venda do software ao FBI, mas ambos disseram ter conversas com engenheiros que trabalharam na integração. Desbois disse que várias autoridades da empresa disseram que a tecnologia vendida ao FBI continha o algoritmo de Papillon.
"Você conhece a palavra omertà ?" Desbois disse, referenciando o código de silêncio Mafia feito famoso pelo filme The Godfather . "Foi sempre a entonação, como se tivéssemos feito algo ruim, um segredo entre nós e que não devemos repetir isso para ninguém".
A Sagem demonstrou um novo passaporte biométrico em 2007.
Jean-Paul Ney / Getty Images
A Sagem demonstrou um novo passaporte biométrico em 2007.

"Colaboração profunda"

Em material promocional e em seu site, Papillon se orgulha de seu trabalho com o Ministério do Interior da Rússia, que supervisiona as agências policiais e de imigração, entre outros, e é administrado por um policial de longa data que foi nomeado para o cargo em 2012 pelo presidente Vladimir Putin . Os produtos que a Papillon vende "são criados com a assistência instrucional" do ministério, e a empresa está "cooperando de perto com o Ministério do Interior, Ministério da Defesa e Ministério da Justiça da Rússia", de acordo com publicações da empresa. Um site do governo russo diz que o Ministério dos Assuntos Internos "presta assistência metódica" para Papillon.
"Papillon não é uma empresa independente", disse Hala, um dos denunciantes. "Papillon era uma emanação do Ministério dos Assuntos Internos, então Papillon sempre estava sob o controle do ministério".
O vice-diretor de marketing da Papillon, Ivan Shapshal, contestou isso. "Somos totalmente uma empresa privada", disse ele. "Fazemos tarefas especiais para as agências de inteligência da Rússia? Não, não há nenhuma razão para nós fazer isso. É apenas um risco. Não nos ajuda a ganhar dinheiro ".
Entre as agências russas que utilizam a tecnologia de reconhecimento de impressões digitais da empresa é o FSB. "Ano após ano", diz uma publicação de Papillon, "a empresa amplia a cooperação com" o FSB, bem como as agências russas responsáveis ​​pela imigração, alfândega e controle de drogas ". Outros clientes incluem os governos da Turquia, do Cazaquistão, da Sérvia e da Albânia.
"Nós ficaremos felizes em estar perto de qualquer agência de segurança no mundo por dinheiro".
Shapshal disse que a tecnologia de reconhecimento de impressão digital da empresa ajuda a policia russa a resolver cerca de 100 mil casos por ano. "Se o nosso software pode ajudar a polícia a resolver mais crimes, estamos felizes em estar" muito perto "deles, como você diz", disse ele. "Nós ficaremos felizes em estar perto de qualquer agência de segurança no mundo por dinheiro".
O fundador e diretor de Papillon é Pavel Zaitsev, que trabalhou como engenheiro e programador em instalações militares russas de 1985 a 1991, de acordo com uma biografia publicada com um artigo que ele escreveu para uma publicação comercial. Muitos dos funcionários da empresa, diz um site do governo russo, "ganharam experiência trabalhando nas instalações do establishment militar-industrial em Miass" - a cidade nas Montanhas Urais, onde a empresa estabeleceu sua sede.
Hala disse que houve "profunda colaboração" entre Papillon e o FSB. "Não é um segredo", disse ele. Hala disse que participou de várias reuniões envolvendo funcionários do governo russo e executivos de Papillon em que funcionários do FSB expressaram um forte apoio a Papillon e "controlaram absolutamente a discussão".
O Ministério dos Assuntos Internos, o FSB e a Embaixada da Rússia em Washington, DC, não responderam aos pedidos de comentários.
Nem o FBI nem nenhuma das empresas envolvidas negaram diretamente que o software de impressão digital usado pela mesa contenha código russo.
O FBI se recusou a responder perguntas repetidas sobre o software, mas disse em um comunicado: "Como é típico para todos os softwares comerciais que operamos, as revisões de segurança apropriadas foram concluídas antes da implantação operacional".
Safran se recusou a responder a perguntas sobre suas ações como dono da subsidiária que forneceu o software ao FBI, observando que desde então vendeu essa subsidiária. Mas, em documentos legais, a Safran não negou a existência do contrato para licenciar o código russo, argumentando que as alegações de vendas fraudulentas não eram suficientemente específicas e que a empresa não era legalmente responsável pelas ações de sua subsidiária.
Safran vendeu a subsidiária este ano para uma empresa de private equity dos EUA, que renomeou a empresa Idemia. Um porta-voz da Idemia disse que a tecnologia de reconhecimento de impressões digitais foi "quase totalmente desenvolvida e fabricada na França ou nos Estados Unidos", mas que dois componentes de software continham o código-fonte desenvolvido "por outras empresas".
A porta-voz, Céline Stierlé, recusou-se a nomear essas empresas.
"Não comentamos essas coisas porque não podemos confirmar ou negar".
De forma mais ampla, ela disse que as denúncias dos denunciantes são acusações antigas que não são sustentadas por fatos e que foram rejeitadas pelas autoridades federais e estaduais e pelos tribunais ", referente ao processo arquivado pela Desbois, um dos ex-funcionários que falaram com BuzzFeed News.
Este ano, um juiz federal rejeitou o caso, mas não avaliou o mérito da maioria das alegações. Em vez disso, o juiz concentrou-se em questões técnicas, achando que o processo não tinha alegado detalhes suficientes sobre, por exemplo, quando e como pedidos fraudulentos de pagamento podem ter sido submetidos ao governo. Além disso, o juiz escreveu, qualquer declaração falsa teria sido submetida por uma subsidiária que não foi nomeada como arguida no caso - e as empresas-mãe que foram nomeadas não podem necessariamente ser responsabilizadas legalmente. O caso está em apelo.
Quanto à empresa russa, Papillon, o executivo Shapshal respondeu a uma pergunta sobre o contrato que deu aos direitos da empresa francesa o seu código dizendo: "Nós não comentamos sobre essas coisas porque não podemos confirmar ou negar".
Mas ele insistiu que o código da empresa não incluiu nenhuma vulnerabilidade, dizendo que, se alguém pudesse verificar ", então você verá que não há porta traseira".
Um edifício do Grupo Safran na França.
Regis Duvignau / Reuters
Um edifício do Grupo Safran na França.

"Pesar cuidadosamente os riscos"

À medida que o FBI avaliou as empresas que procuram fornecer o software de reconhecimento de impressões digitais em 2009, a possibilidade de que o contrato possa ir a uma empresa sujeita a influência de um governo estrangeiro, até mesmo um aliado, induziu alguns membros do Congresso. A parte da propriedade de Safran pelo governo francês levou uma carta ao então diretor do FBI, Robert Mueller, do ex-deputado John Kline, de Minnesota, um membro republicano do Comitê de Inteligência da Câmara.
"Permitir que um governo estrangeiro preste serviços em relação a informações confidenciais para nossas comunidades policiais e de inteligência pode potencialmente representar uma séria ameaça de contra-inteligência para o governo dos EUA", escreveu Kline. "Exorto o FBI a avaliar se as empresas nacionais são capazes desse trabalho e pesam com cuidado os riscos em relação aos benefícios da concessão de um acesso do governo estrangeiro a esses dados sensíveis".
"Permitir que um governo estrangeiro preste serviços sobre informações confidenciais às nossas comunidades de aplicação da lei e de inteligência pode potencialmente representar uma grave ameaça de contra-inteligência".
Um porta-voz do FBI na época disse que a agência "avalia todos os riscos e vulnerabilidades associados a qualquer influência estrangeira ou preocupações de segurança para fornecedores em consideração para contratos, incluindo subcontratos, com o FBI".
Mais tarde naquele ano, o FBI e o Lockheed Martin - o principal contratado responsável pela incorporação de produtos de vários fornecedores no sistema da agência - anunciaram a seleção de uma subsidiária Morpho, MorphoTrak. Entre os concorrentes não escolhidos, estava a empresa americana Cogent Systems.
Um porta-voz da Lockheed Martin se recusou a discutir o processo de contratação e disse que a empresa alienou sua unidade responsável pelo programa do FBI. Um representante da Leidos , que agora é o contratante principal do projeto, não quis comentar.
O processo de denúncia do Desbois alega que um engenheiro MorphoTrak, com sede nos EUA chamado Frank Barret, estava ciente do acordo Papillon e liderou uma equipe que ajudou a preparar o software para uso do FBI. Na frente de sua casa na Califórnia, Barret recusou-se a ler e responder às alegações na queixa, mas disse: "Tudo o que eu disse aos investigadores, tudo o que eu disse neste julgamento, é verdade". Clarificou, ele fechou a porta da frente. Quando a BuzzFeed News seguiu no dia seguinte, Barret ameaçou chamar a polícia.
Desbois e Hala disseram que descobriram a existência do acordo que concede o código da empresa russa depois de questionar as instruções de seus chefes para não competir com Papillon por certos contratos. Foi então, disseram eles, que os funcionários da empresa explicaram que as duas empresas tinham um acordo não escrito para não invadir os negócios uns dos outros em certos países - um acordo que viola as leis antitruste, alega a reivindicação do denunciante. Desbois e Hala disseram que obtiveram uma cópia do acordo de licenciamento porque queriam ver por si próprios se ele explicava os termos do pacto de não-concorrência; não foi.
O executivo de Papillon, Shapshal, recusou-se a comentar as alegações antitruste. O porta-voz da Idemia, Stierlé, disse que "essa alegação, como as outras, fazia parte do litígio" e que "também foi considerado deficiente e faltam até mesmo o nível mais básico de detalhes e foi rejeitado pelo tribunal". que o terno do denunciante não forneceu detalhes sobre quem falsamente certificou o governo dos EUA que a empresa não violou as leis antitruste, nem quando e como isso ocorreu.
O processo de denúncia do Desbois acusa Safran de defraudar o governo dos EUA de cerca de US $ 1 bilhão, e se o processo for bem sucedido, ele conseguirá coletar milhões. Hala não está envolvido no caso. Desbois e Hala disseram que deixaram Morpho voluntariamente e em bons termos.
Dentro do centro de verificação de antecedentes do FBI.
The Washington Post / Getty Images
Dentro do centro de verificação de antecedentes do FBI.
Até o momento, o governo federal recusou-se a intervir no processo, pois tem a opção de fazer em processos denunciantes alegando pedidos fraudulentos de pagamento. No tribunal, os advogados do Departamento de Justiça observaram que isso não era necessariamente uma indicação de que o caso carecia de mérito e eles conservaram o direito de intervir mais tarde. A queixa também acusa os réus de falsificar a tecnologia de impressão digital nas vendas ao governo da Califórnia; Os advogados do Estado também se recusaram a intervir.
O contrato do FBI é agora uma peça central em grande parte do material de marketing da MorphoTrak Em 2011, o FBI disse que o novo software de reconhecimento de impressões digitais aumentou significativamente a velocidade ea precisão dos fósforos, aumentando o último de 92% para mais de 99,6%.
"Em termos de prestígio, para poder dizer" Minha tecnologia é usada pelo FBI ", ele realmente ajuda com as vendas".
"Em termos de prestígio, para poder dizer" A minha tecnologia é usada pelo FBI ", ele realmente ajuda com as vendas", disse o ex-funcionário Stephane Guichard, que liderou uma equipe baseada nos EUA que implementou e manteve o software de correspondência de impressões digitais para agências estaduais e locais que o compraram, mas não estavam envolvidas no desenvolvimento do software ou no contrato do FBI.
Guichard e outros dois ex-funcionários da MorphoTrak que trabalhavam em contratos governamentais nos EUA disseram que não sabiam sobre o acordo de licenciamento com Papillon, e eles expressaram surpresa que seu antigo empregador usaria a tecnologia russa. "Pessoalmente, isso me preocuparia um pouco", disse Phillip Moore, que trabalhou como gerente de contas e gerente de vendas. Teria levantado "problemas básicos de confiança com o que eles nos forneceriam", disse ele.
No final de 2013, quando a etapa final da fase de fase do projeto do FBI tornou-se operacional, Morpho informou que o mercado dos EUA representou mais de um terço de suas receitas de aproximadamente US $ 2 bilhões.
A Safran anunciou recentemente que planejava reorientar-se unicamente na área aeroespacial e de defesa e, no início deste ano, vendeu Morpho, recentemente renomeado Safran Identity & Security, para a empresa de capital privado dos EUA Advent International, com o banco de investimento do governo francês Bpifrance também se apostou. O preço reportado foi de cerca de US $ 2,5 bilhões.
A empresa, agora chamada Idemia, forneceu software de reconhecimento de impressões digitais ao Departamento de Defesa e agências em 28 estados e 36 cidades ou municípios dos EUA - do Departamento do xerife do Condado de Orange ao Departamento de Polícia de Nova York . Através de suas subsidiárias, a Idemia é uma poderosa força de lobby em Washington, e atualmente está lutando para matar legislação que põe em perigo seu status como o único fornecedor de serviços de impressão digital para o programa TSA PreCheck. 

Comentários