Badan Keamanan Nasional Amerika Serikat (NSA) diam-diam telah mengembangkan kemampuan untuk memecahkan atau menghindari enkripsi Internet biasa yang digunakan untuk melindungi segala sesuatu mulai dari email hingga transaksi keuangan, menurut laporan media mengutip dokumen yang diperoleh oleh mantan kontraktor NSA Edward Snowden.
The Guardian, The New York Times dan jurnalistik nirlaba ProPublica melaporkan pada hari Kamis bahwa badan intelijen AS menggunakan berbagai cara, mulai dari penyisipan “pintu belakang” dalam produk dan layanan teknologi populer, hingga superkomputer, perintah pengadilan rahasia dan manipulasi proses internasional untuk menetapkan standar enkripsi.
Publikasi tersebut mengatakan NSA dan mitra Inggrisnya Government Communications Headquarters (GCHQ) melaporkan membuat langkah melawan teknologi Secure Sockets Layer, yang melindungi jutaan situs web yang dimulai dengan “Https,” dan jaringan pribadi virtual, yang umum untuk pekerja kantor jarak jauh dan bagi orang-orang yang ingin mengaburkan lokasi mereka.
Pendukung privasi telah berhasil meyakinkan Google Inc, Facebook Inc dan penyedia layanan populer lainnya untuk mengaktifkan SSL untuk semua pengguna mereka, tetapi pengungkapan baru menunjukkan bahwa upaya itu bisa-terhadap NSA.
The Times dan ProPublica mengutip sebuah dokumen intelijen yang mengatakan NSA menghabiskan lebih dari US $ 250 juta (S $ 319 juta) per tahun untuk “Sigint Enabling Project,” yang “secara aktif melibatkan industri TI AS dan asing untuk secara diam-diam mempengaruhi dan / atau secara terang-terangan memanfaatkan desain produk komersial mereka” untuk membuat mereka “dapat dieksploitasi.”
Tidak jelas dari artikel seberapa sering perusahaan teknologi secara sukarela setuju untuk mengizinkan akses rahasia ke penawaran mereka melalui pintu belakang dan seberapa sering NSA memaksa mereka untuk melakukannya melalui perintah pengadilan rahasia.
The New York Times dan ProPublica mengatakan mereka diminta untuk tidak mempublikasikan temuan mereka oleh pejabat intelijen yang berpendapat bahwa target asing mereka mungkin beralih ke bentuk enkripsi atau komunikasi yang lebih baru jika taktik NSA terungkap.
“Beberapa fakta spesifik” telah dihapus, kata New York Times.
Artikel-artikel tersebut tidak mengatakan sistem enkripsi utama mana yang telah rusak secara efektif.
Usaha itu, dengan nama sandi Bullrun, mengikuti pengabaian pada 1990-an dari upaya AS untuk memaksa pintu belakang ke layanan melalui apa yang disebut Clipper Chip.
Pintu belakang dalam perangkat lunak atau perangkat keras memungkinkan akses yang biasanya tidak terlihat oleh pengguna.
Karena NSA memiliki keahlian hebat dan bertugas melindungi aset AS serta memata-matai secara elektronik, NSA sering menjadi kontributor proses publik untuk memilih teknik keamanan. Itu sekarang bisa terhenti.
Pengungkapan bahwa NSA berhasil menumbangkan beberapa proses yang tidak ditentukan untuk menetapkan standar keamanan kemungkinan akan membuat marah mereka yang bersedia mengizinkan para ahli defensif dari agensi untuk berpartisipasi dalam memeriksa proposal.
Pengungkapan sebelumnya oleh Snowden termasuk perintah dari Pengadilan Pengawasan Intelijen Asing, yang bertemu secara rahasia, memaksa perusahaan telepon Verizon Communications Inc untuk menyerahkan semua catatan yang menunjukkan nomor AS mana yang disebut mana.
Penjual kecil layanan email terenkripsi yang digunakan Snowden, Lavabit LLC, ditutup bulan lalu daripada mematuhi perintah rahasia yang katanya akan berdampak pada semua penggunanya.
“Tanpa tindakan Kongres atau preseden yudisial yang kuat, saya akan sangat merekomendasikan agar tidak mempercayai data pribadi mereka kepada perusahaan yang memiliki ikatan fisik dengan AS,” tulis pemilik Ladar Levison pada saat itu.
Sejak itu, beberapa aktivis privasi menunjuk pada bahasa dalam Undang-Undang Pengawasan Intelijen Asing yang diamandemen yang mengharuskan penerima tuntutan AS untuk “segera memberi pemerintah semua informasi, fasilitas, atau bantuan yang diperlukan untuk mencapai akuisisi” komunikasi yang ditargetkan.
“Bantuan” dapat ditafsirkan untuk memasukkan dekripsi, kata Caspar Bowden, mantan penasihat kebijakan utama Microsoft. Dalam kasus lain, kunci dekripsi dapat dicuri.
Beberapa serangan cyber di luar negeri yang dikaitkan dengan AS telah menggunakan sertifikat SSL yang dicuri untuk mengotentikasi perangkat lunak berbahaya secara palsu sebagai sah.
Cerita hari Kamis adalah yang pertama diproduksi oleh kemitraan tiga arah yang dicapai setelah pemerintah Inggris mengancam Guardian dengan tindakan hukum kecuali jika menghancurkan salinan materi yang dibocorkan oleh Snowden.
The Guardian memang menghancurkan komputer di London yang berisi materi tersebut, tetapi juga memberi tahu pejabat senior Inggris bahwa salinan dokumen telah dikirim ke media di luar Inggris.
Para pejabat intelijen AS tidak segera mengomentari cerita-cerita itu.