Paralisação dos EUA deixa vários sites .gov inseguros ou inacessíveis

Com 24 dias de duração, a paralisação parcial do governo dos Estados Unidos já é a maior de toda a história, e o desacordo entre a Casa Branca e o Congresso afeta vários setores, incluindo o de TI: segundo o site Netcraft, dezenas de sites de agências governamentais se tornaram inacessíveis ou vulneráveis durante o período.

A culpa é basicamente falta de pessoal e dinheiro: com o governo paralisado, diversos serviços e setores estão fechados, de parques a instituições, e obviamente, os salários também não estão sendo pagos. Diversas agências, da NASA ao Departamento de Justiça e a Corte de Apelações estão sem operar, e isso vale também para os profissionais de Segurança da Informação, e o timing não poderia ter sido pior.

De acordo com o site, cerca de 80 certificados TLS expiraram durante a paralisação, e por falta de pessoal, não foram renovados. Dependendo do navegador que um usuário utilizar e das configurações de segurança habilitadas, tais sites podem ser totalmente inacessíveis, como o ; outros, como o https://ows2.usdoj.gov/, um domínio do Departamento de Justiça acusa erro de privacidade.

Por sorte, alguns sites do governo foram incluídos em uma lista de domínios HSTS (HTTP Sctrict Transport Security) do Chromium, forçando a navegação apenas em modo HTTPS. Como efeito colateral, esses domíninos ficam inacessíveis uma vez que o certificado esteja vencido, mas é uma opção muito melhor do que deixa-lo ar sem proteção alguma. Ainda que seja possível contornar o bloqueio, as opções são ocultas e propositalmente difíceis de serem encontradas por leigos.

Claro, nem todos os sites estão tão bem protegidos, e há alguns sem nenhum tipo de protocolo HSTS implementado. Dessa forma, usuários podem acessar os domínios ignorando avisos, e desnecessário dizer, se tornam muito atraentes para hackers que desejam coletar dados de usuários desavisados.

Abaixo, o login do domínio https://d2l.lbl.gov/ do Berkeley Park, onde o login pode ser feito mesmo com os avisos de segurança:

Certificados TLS são importantes, pois garantem que a comunicação entre o domínio e o usuário foi criptografada, e a identidade do mesmo confirmada. Claro, é importante lembrar que o HTTPS não significa site seguro, e os legítimos também não estão a salvo de ataques e trapalhadas.

O fato é: o cabo de guerra entre Trump, que quer US$ 7,5 bilhões para erguer o muro na fronteira do México e o Congresso, que não pretende liberar um centavo sequer (a promessa de campanha era que os vizinhos iriam pagar a construção) ainda não tem data para acabar, e os sites afetados pela expiração dos certificados TLS podem se tornar alvos de ataques Man-in-the-Middle (MitM), onde um hacker pode coletar ou alterar informações trocadas entre o domínio e os usuários.

E pior, a paralisação irritou os profissionais de Segurança da Informação do governo: segundo o site CyberScoop, representantes não compareceram a eventos de recrutamento, realizados no início de janeiro.

Como Casa Branca e Congresso não se entendem, não há previsão de quando os certificados dos sites serão renovados.

Com informações: Netcraft, CyberScoop, Digital Trends.