13 incidentes

13 — Incidentes Históricos

Eventos relevantes onde criptografia foi quebrada, sabotada, mal usada, ou onde sistemas inteiros caíram. Cada incidente: contexto, causa raiz, impacto, lições.

1. Telegrama Zimmermann (1917)

*ontexto* Arthur Zimmermann (Foreign Secretary alemão) propõe aliança com México contra EUA na WWI.

*rypto* Codes nomenclator 13040 e 0075. Britânicos (Room 40) decifram via captura de codebooks parciais + análise.

*mpacto* Publicação faz EUA entrarem na WWI em abr/1917. Inflection point bélico.

*ição* Códigos diplomáticos sem rotação são vulneráveis a captura+criptanálise; impacto político trivial > impacto técnico.

2. Enigma (1932–1945)

Já coberto em 03-classica.md. Resumo histórico:

  • Poloneses (Rejewski) lêem desde 1932.
  • Transfer pra Bletchley em jul/1939.
  • WWII inteira: Bletchley lê ~10% do tráfego em qualquer dado momento; muito mais em períodos de melhor crib supply.
  • Encurtou guerra estimadamente 2 anos.

*ição* máquinas eletromecânicas com weak indicator systems quebráveis; *peracional security do operador*importa tanto quanto o algoritmo.

3. Venona Project (1942–1980)

*ontexto* KGB e GRU usam OTP para tráfego diplomático/espionagem. Volume excede capacidade soviética de gerar pads aleatórios.

*rro* ~1942–1945, pads são *uplicados*entre mensagens. Cell B em Moscow envia mesmo pad pra New York e Washington.

*uebra* Meredith Gardner (US SIS) descobre repetição (1946). Twotimepad analysis decifra ~3000 mensagens.

*evelações*

  • Identidade de Alger Hiss, Rosenbergs, Klaus Fuchs.
  • Operação Soviética Manhattan Project espionagem.
  • ~349 cidadãos americanos identificados como agentes.

*tatus* Programa classificado até 1995.

*ição* *TP reutilizada não é OTP* Sem disciplina logística, perfect secrecy vira XOR padmaiscurtoquemensagem, criptanalável.

4. Crypto AG / Operation Rubicon (1970–2018)

*ontexto* Crypto AG (CAG), empresa suíça fundada por Boris Hagelin (~1952). Vende máquinas criptográficas a governos do mundo.

*peração encoberta*

  • Em 1970, CIA + BND (Alemanha Ocidental) compram CAG secretamente.
  • Operações: *hesaurus*(cooperação NSA original), depois *inerva*(CIA), e *peração Rubicon*(BND/CIA).
  • Máquinas vendidas tinham *lgoritmos enfraquecidos deliberadamente*ou backdoors.

*doção*

  • 130+ países usaram CAG, incluindo Argentina, Brasil, Vaticano, Líbia, Irã, Iraque, Paquistão, Coréia do Sul.

*nteligência extraída*

  • ~40% da inteligência de signals americana em alguns períodos.
  • Negociações de Camp David (EgitoIsraelEUA 1978) com Egito usando CAG.
  • Crise Falklands/Malvinas (1982) — Argentinians using CAG, britânicos lendo.
  • Guerra Irã-Iraque (1980–1988).
  • BND retirou-se em 1993; CIA continuou até venda da CAG em 2018.

*evelação* Washington Post + ZDF + SRF (fev/2020) publicam joint investigation com documentos.

*mpacto* Reputação suíça (neutralidade) abalada. Diplomatic fallout. Comprovou suspeitas de décadas (Snowden, Wikileaks já indicavam).

*ição* *ão confie em fornecedor de criptografia caixa-preta* Princípio de Kerckhoffs aplica: algoritmo deve ser público e validável.

5. CRYPTO Wars (1990s)

*ontexto* EUA classifica criptografia forte como *unição*(US Munitions List); export controls.

*ventos*

  • *GP 1991*(Zimmermann) → investigação criminal por export sem licença (1993–1996, encerrada sem processo).
  • *lipper chip*(1993) — proposta governo Clinton: chip com key escrow obrigatório (LEAF — Law Enforcement Access Field). Quebrado por Matt Blaze em 1994 (forge LEAF). Abandonado 1996.
  • *xport grade*crypto: 40bit symmetric, 512bit RSA permitidos. Forçou design weakened em SSL.
  • *ernstein v. United States*(1995–2002): DJB processa EUA argumentando código é speech. Vence — 9º Circuito declara crypto code como First Amendment.
  • *000* relaxamento massivo das export controls.

*egacy técnico*

  • *REAK*(2015), *ogjam*(2015), *ROWN*(2016): exploits contra "export grade" deixado em servidores 20 anos depois.
  • "Export ciphers" ainda em CDNs até ~2015.

*ição* política tem *alf-life criptográfico* Decisões dos 90s ainda mordem em 2010s.

6. DualECDRBG (2007–2014)

*ontexto* NIST SP 800-90A (2006) standardiza vários RNGs, incluindo *ualECDRBG*(Elliptic Curve Dual). Recomendado pela NSA.

*uspeita matemática*

  • Shumow + Ferguson (CRYPTO 2007 rump): mostram que constantes da curva podem conter *rapdoor* Quem conhece \(d\) tal que \(P = dQ\) pode prever output após poucos bytes.
  • NIST nunca explica como constantes foram geradas.

*onfirmação*

  • Snowden documents (set/2013) mostram NSA pagou *S$10 milhões à RSA Security*para fazer Dual_EC default em BSAFE.
  • Programa *ULLRUN*confirmado.

*ffected products*

  • RSA BSAFE (default RNG em algumas versões).
  • Juniper ScreenOS NetScreen firewalls (2008–2013) — depois Juniper anuncia *econdary backdoor*instalada por third party em 2012 (CVE20157755) que alterou constantes; especulação: state actor diferente roubou backdoor da NSA via Dual_EC.
  • McAfee, Fortinet, Microsoft (parcial), BlackBerry (parcial).

*emoção* NIST retira recomendação em 2014. RSA "deprecates" em 2013. Final removal NIST SP 800-90A Rev 1 (2015).

*mpacto*

  • Confiança em NIST processo abalada para décadas.
  • Comunidade demanda processo aberto (AES, SHA-3, PQC competitions).
  • Documentação da NSA é cuidadosamente lida desde então.

*ição* *agic numbers em padrões sem explicação são red flags* Mesmo padrões "neutros" podem conter backdoors. Open competition é antídoto.

7. Debian OpenSSL RNG bug (2008, CVE20080166)

*ontexto* Em 2006, Debian developer (Kurt Roeckx) comentou linha em crypto/rand/md_rand.c que Valgrind reportava como "uninitialized memory read".

*ug* A linha contribuía com *onteúdo do uninitialized buffer*para o entropy pool — uso intencional via MD_Update(&m, buf, j) antes de buffer ser populado. Foi removida.

*esultado* openssl_rand() seedado apenas com PID (1 a 32768). Apenas *2k chaves únicas*geradas em todo Debian/Ubuntu de 20060917 a 20080513.

*etecção* Luciano Bello descobriu via Valgrind suppress investigation; bug afetava SSH host keys, SSL certs, OpenVPN keys, DNSSEC keys.

*mpacto*

  • 30k+ public servers expostos.
  • Massive certificate revocation.
  • Long-tail: chaves vulneráveis encontradas em produção anos depois.

*ição* *evisões de patches em crypto exigem expertise* Distros não devem alterar crypto upstream sem análise. Valgrind warnings não são uniformly safe to suppress.

8. Heartbleed (CVE20140160)

*ata descoberta* Codenomicon (Finlândia) + Neel Mehta (Google) — simultaneamente, abril 2014.

*ug* OpenSSL implementation do TLS Heartbeat extension (RFC 6520). Cliente envia heartbeat com declared length \(N\) + payload curto. Server retorna *N\( bytes de memory** começando no buffer do payload — leaking \)N$ bytes de heap residual.

// código vulnerável
n2s(p, payload);  // attacker-controlled length
memcpy(bp, pl, payload);  // copies payload bytes, not actual data size

*azamento*

  • Private keys RSA (recuperáveis via key schedule patterns em heap).
  • Session cookies, passwords, plaintext recente.
  • ~17% de servers públicos afetados.

*itigação*

  • Patch OpenSSL 1.0.1g em 7/abr.
  • *ass rotation* todo cert TLS do mundo (com chave RSA) revogado e re-emitido.
  • Browsers updated CRL/OCSP rapidamente.

*mpacto financeiro* estimado US$500M em rotação + downtime + revogação.

*etalhes adicionais* vulnerabilidade existia desde dez/2011 (2.5 anos). Estima-se que exploitation por state actors antes de descoberta pública. NSA acusada de saber (negado oficialmente).

*ição* *ibliotecas C heapbased exigem cuidado obsessivo com bounds* PósHeartbleed: OpenBSD fork *ibreSSL* Google fork *oringSSL* ambos limpando código. *SS-Fuzz*ramped up. *penSSL 3.0*redesign.

9. POODLE (out/2014)

*etalhes técnicos*em 11-ataques.md. Contexto histórico:

Bodo Möller, Thai Duong, Krzysztof Kotowicz (Google). Browsers ainda fall-back para SSL 3.0 quando TLS handshake falha → atacante MITM força downgrade → CBC padding oracle revela cookies.

*esposta* Browsers desabilitam SSL 3.0 em Q42014–Q12015. TLSFALLBACKSCSV (RFC 7507) adicionado.

10. Freak / Logjam (2015)

*REAK*(mar2015): state machine bug em OpenSSLApple/Microsoft TLS allowed servers to accept "exportgrade" 512bit RSA mesmo sem cipher negotiation. 512-bit RSA quebrável em ~7h via NFS.

*ogjam*(mai/2015): "imperfect forward secrecy" — pesquisadores demonstram que précomputar NFS contra primos comuns DH1024 está dentro da capacidade de NSA. Reading historic VPN traffic possible.

Ambos: legacy do *xport ciphers*dos 90s ainda em código.

11. Bullrun / Edgehill / Snowden disclosures (jun/2013–)

*dward Snowden* NSA contractor, leak ~1.7M documents para Glenn Greenwald, Laura Poitras, Barton Gellman.

*rograms disclosed*

Program Agência O que
PRISM NSA Direct access to Big Tech (Google, Apple, Facebook, etc.) data
MUSCULAR NSA + GCHQ Tap into Google/Yahoo internal data center links
BULLRUN NSA Crypto sabotage program ($250M/year budget)
EDGEHILL GCHQ UK equivalent of BULLRUN
XKEYSCORE NSA Internet surveillance database
MYSTIC / SOMALGET NSA Bulk recording of phone calls
TAO catalog NSA Hardware implants catalog (COTTONMOUTH, BULLDOZER, etc.)
Quantum Insert NSA Manonthe-side packet injection

*ULLRUN specifically*included:

  • Influencing standards bodies (NIST, ISO, IETF) to weaken algorithms.
  • Industry partnerships with secret payments (RSA Security $10M).
  • Custom backdoors in commercial crypto products.
  • Cracking of specific protocols (TLS, IPsec, SSH variants).

*mpacto na criptografia*

  • Massive shift to E2E messaging (Signal adoption explodiu).
  • TLS 1.3 designed with paranoia (remove RSA key transport, etc.).
  • PQC migration urgency.
  • Browsers push HTTPS everywhere (Let's Encrypt 2015).
  • IETF declares pervasive monitoring as attack (RFC 7258, 2014).

*nowden refugees em Rússia desde 2013*

*ição* *hreat model deve incluir state actor by default* Antes de 2013, "NSA não vai te atacar" era assunção comum. PósSnowden, qualquer sistema de longo prazo precisa considerar nationstate capability.

12. DigiNotar (set/2011)

*ontexto* DigiNotar, CA holandesa, emissora confiável para MozillaMicrosoftApple root stores.

*ompromisso*

  • Atacante Iranian (provavelmente state actor) compromete infra interna.
  • Emite ~500 certs fraudulentos: *.google.com, *.microsoft.com, *.skype.com, *.cia.gov, *.mozilla.org, etc.
  • Iranian users redirecionados via DNS spoof + MITM com cert *.google.com para Gmail interception.

*etecção* Chrome no Irã (com *inning hardcoded*para Google domains) avisa users. Reportes públicos triggers investigation.

*esposta*

  • Browsers remove DigiNotar do trust store globally (set/2011).
  • DigiNotar declara bankrupt em poucas semanas.
  • Holanda government emergency reissue (DigiNotar tinha contracts governamentais).

*ição* *A single point of failure* Catalisa adoption de *ertificate Transparency*(RFC 6962, 2013), *PKP*(later deprecated), *ANE*(RFC 6698 — TLSA records).

13. Stuxnet (descoberto 2010)

*ontexto* USB-borne worm projetado para sabotage de centrífugas Iranianas em Natanz nuclear facility. Estimado: NSA + Unit 8200 (Israel).

*rypto*

  • 4 zero-day exploits.
  • *alsificação de Microsoft Windows Update signature*via MD5 chosen-prefix collision (Marc Stevens technique, 2008–2012). Permitia infectar via update mechanism.
  • Comunicação C2 cifrada.

*mpacto*

  • Destruiu ~1000 centrífugas em Natanz.
  • Atrasou programa nuclear iraniano em ~2 anos.
  • Primeira *rma cibernética*confirmada por governo (não diretamente, mas oficial acknowledgment ao longo dos anos).

*ição* *rypto attacks*podem custar bilhões reais quando alvejam hardware industrial. MD5 collision ainda exploitable em 2012, anos após "quebra" pública. *RL/CT*importam.

14. Apple vs FBI / San Bernardino (2016)

*ontexto* Atirador San Bernardino (dez/2015). FBI quer Apple desbloquear iPhone 5C com iOS 9.

*emanda*

  • Custom firmware com bruteforce PIN sem limit, sem 1second delay.
  • Assinado por Apple (\(Apple signing key\) + boot chain).

*pple*

  • Tim Cook publica carta aberta recusando — apple.com/customer-letter.
  • Argument: criar essa capability é "criar a master key para todos iPhones".

*esolução*

  • FBI eventually paga "third party" (rumored Cellebrite ou GrayShift) ~US$1M para crack via 0-day exploit.
  • Apple *unca*ajuda.

*egacy*

  • Apple aumenta security: SE com aacskd, randomized boot, hardware-backed entropy.
  • iOS 14+: blastdoor sandbox para iMessage.
  • 2024: Apple *rivate Cloud Compute*(PCC) — attested compute para Apple Intelligence.

*ição* *ryptographic backdoor*= backdoor para todos. Indústria firmou posição contra encryption mandates. Mas debate continua (UK Investigatory Powers Act, EU CSAR, Australia AA Act).

15. ShadowBrokers / NSA TAO leak (2016–2017)

*ontexto* Grupo anônimo "Shadow Brokers" leak tools NSA TAO (Tailored Access Operations).

*eaked*

  • *ternalBlue*(CVE20170144) — SMBv1 exploit.
  • *oublePulsar*— backdoor implant.
  • Decrypts of various firewall/router exploits.

*mpacto*

  • *annaCry*ransomware (mai/2017) — usa EternalBlue, espalha global. NHS UK, Maersk, FedEx, Renault paralizados.
  • *otPetya*(jun/2017) — wiper disguised as ransomware. Maersk lost US\(300M, Merck US\)870M.
  • Total estimated damage > US$10B.

*ição* *tockpile de 0-days*vaza eventualmente. Argumento contra government cyber arsenals (Vulnerabilities Equities Process).

16. ROCA (out/2017, CVE201715361)

*etalhes*em 11-ataques.md. Contexto:

Infineon RSALib usado em smartcardsTPMseIDs gerou chaves com estrutura especial. Pesquisadores (Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec, Vashek Matyas) descobrem em jul2017; revelam ago2017.

*ffected*

  • Estonia eID — 750k cards, nationwide ID. *stado emite atualização emergencial*novembro/2017.
  • Slovakia eID, Spain DNIe.
  • TPMs em laptops Lenovo, HP, Fujitsu.
  • Yubikey 4 (FIDO U2F) — rotated.

*itigação* rotate keys; Infineon patched library mas hardware fielded ficou.

*ição* *ardware crypto não é mais seguro do que sua biblioteca* Even FIPS 140-2 certified products tinham o bug. Estonia case: government emergency rotation viável só com infraestrutura de identity digital madura.

17. Juniper Dual_EC backdoor backdoored (CVE20157755, dez/2015)

*ontexto* Juniper ScreenOS firewalls (2008–2013) tinham *ualECDRBG*com constants que provavelmente NSA podia exploit.

*012* Atacante desconhecido (não NSA per documentos) *uda as constantes*no ScreenOS code. Inserts próprio backdoor over o existing one.

*etecção* Juniper internal security audit (2015) descobre. Public disclosure dez/2015.

*mplications*

  • State actor diferente "roubou" backdoor da NSA.
  • Mostra que *ackdoor inserido para "good guys" eventualmente serve para "bad guys"*

*ição* argumento prático contra crypto backdoors. Backdoor inserido por país A será descoberto/usado por país B.

18. WhatsApp / Mexico Pegasus (2019)

*ontexto* NSO Group Israel develops *egasus*spyware — zero-click iOS/Android exploit.

*rypto-adjacent*

  • 1400+ vítimas WhatsApp identified (Citizen Lab, Univ Toronto).
  • Journalists, ativistas, advogados.
  • Mexico, Saudi Arabia (Khashoggi), Hungary, India, Spain, France (Macron).

*hatsAppMeta processa NSO*— em maio2025, jury awarded WhatsApp *S$167M*em damages.

*ição* Mesmo *2E encryption*não protege se device é comprometido em runtime. Hardware/OS security é prerequisite.

19. ROBOT (CVE201713099)

*etalhes*em 11-ataques.md. Bleichenbacher 1998 attack still working em 2017 contra:

  • Cisco ACE, ASA.
  • Citrix NetScaler.
  • F5 BIG-IP.
  • IBM WebSphere DataPower.
  • Erlang TLS lib.
  • Java SafeNet HSM lib.

*ição* *9 anos não foi suficiente*para fix universal. Implementações nunca alcançam patches teóricos.

20. RSA SecurID (mar/2011)

*ontexto* RSA Security (subsidiária EMC) emite SecurID hardware tokens — popular 2FA enterprise.

*ompromisso*

  • Phishing email APT, Excel macro com Flash exploit.
  • Atacantes (APT1 / China grupo) acessam internal systems.
  • *tealthy of seed records*— números seriais + seeds dos tokens fabricados.

*se*

  • Lockheed Martin attacked (mai/2011) — atacantes têm seeds, conseguem clonar SecurID tokens dos engenheiros.
  • L3 Communications, Northrop Grumman also targeted.

*esposta* RSA emergency reissue 40M tokens.

*ição* *istemas centralizados de 2FA*com seeddatabase são single point of failure. Modern preferir TOTP (sem seed escrow) ou WebAuthn (hardwarebound).

21. KRACK (out/2017)

*athy Vanhoef*(KU Leuven) descobre *ey Reinstallation Attack*em WPA2 4-way handshake. Forçar reinstalação de PTK → reusa nonce stream → decifra parts de tráfego.

*ffected* praticamente todo cliente Wi-Fi WPA2.

*atches* rolled out 2017–2018. WPA3 (com *ragonfly handshake* introduzido como sucessor — mas Dragonfly teve *ragonblood*vulns em 2019 (Vanhoef again).

*ição* WiFi crypto sempre teve histórico ruim (WEP killed by FluhrerMantinShamir 2001; WPA/TKIP killed by TewsBeck 2008; WPA2KRACK 2017; WPA3Dragonblood 2019). Migration cíclica.

22. Zerologon (CVE20201472, ago/2020)

*om Tervoort*(Secura). Bug em Netlogon protocol: *ESCFB8 com IV allzeros* Probabilidade ~1/256 de "session key = zeros" → atacante autentica como *omain controller*sem credentials.

*cope* Active Directory environments globally (~70% enterprises).

*atch* Microsoft Aug 2020. Mass adoption push.

*ição* AES-CFB8 com IV zero é exemplo de *roken cryptographic protocol design*decisões antigas (Netlogon protocol design dos 90s). Modern impl precisa Random IV. *rypto agility*— protocolos rigid demais demoram pra fixar.

23. ProxyLogon / ProxyShell (2021)

Microsoft Exchange Server vulnerabilities (mar/2021). Crypto-related: ASP.NET viewstate signed with MachineKey leaked → forge auth.

10k servers comprometidos em dias. White House blame on China APT (Hafnium).

24. SolarWinds (dez/2020)

*upply chain attack* SolarWinds Orion update server compromised. Malware-laden update assinado *egitimately*com chave de signing válida.

*mpact* 18k organizations including US Treasury, State Dept, DHS, Microsoft, FireEye.

*ryptoadjacent* signing key (válida) usada incorretamente; SAML token forging postaccess.

*ição* *ode signing assume processo de build é íntegro* Reproducible builds + multiparty signing começam a ganhar foco pósincident.

25. Log4Shell (CVE202144228, dez/2021)

Não-crypto incident por si só, mas reshape security thinking. Log4j JNDI lookup remote code execution. 100% of Java internet impacted.

26. WhatsApp/Meta Pegasus, NSO Group (vários, 2019–presente)

Comercial spyware industry. NSO Group, Candiru, Intellexa. Zero-click exploits. Crypto bypass via endpoint compromise.

27. Boothole / LogoFAIL / Black Lotus (UEFI bootkits, 2020–2023)

*oothole*(CVE202010713): GRUB2 buffer overflow. Bypass Secure Boot.

*lack Lotus*(2023): primeira UEFI bootkit comercializada (sold em dark markets). Persiste before OS loads.

*ogoFAIL*(CVE2023...): vulnerabilities em image parsers de boot logos vendor. Generic across BIOS vendors (AMI, Insyde, Phoenix).

*ição* Secure Boot *hain of trust*depends on every link. Bugs in pre-OS code escape OS protections.

28. xzutils backdoor (CVE2024-3094, mar/2024)

*ongrunning supply chain attack* contributor "Jia Tan" pseudonym ganha trust em xzutils project ao longo de * anos* Insere backdoor sofisticada em release 5.6.0/5.6.1 que ataca *penSSH via systemd dependency*

Backdoor activated by RSA-style trigger in SSH connection metadata.

Descoberto acidentalmente por Andres Freund (Microsoft PostgreSQL dev) investigando 500ms-slower SSH login.

*mpact* descoberto *ntes*de stable distros adotarem (Debian/RHEL still on 5.4.x). Catastrophic if not caught.

*ição* *ingle-maintainer open source projects*são alvos. Reflects on fundingsustainability problems do open source cryptosecurity infrastructure.

29. Lessons by category

Algoritmo broken não cai instantaneamente

MD5: collision academic 2004, practical 2008, exploited Flame 2012, *inda em uso*em alguns sistemas em 2026.

Implementação > algoritmo

Heartbleed bug = ~17% internet exposed. Algoritmo TLS estava correto.

Operações > teoria

Venona quebrado por reúso de OTP, não por OTP em si.

State actors são parte do threat model

BULLRUN, Crypto AG, Stuxnet, Pegasus, SolarWinds.

Supply chain é crypto attack vector

xz-utils, SolarWinds, Stuxnet (via assinatura forjada).

Long-tail de algoritmos legacy

FREAK, DROWN, ROBOT — exploits décadas depois de "deprecated".

Backdoor inserido por A será usado por B

Juniper Dual_EC, ShadowBrokers NSA tools.

Mass rotation é viable mas caro

Heartbleed, ROCA Estonia eID, Debian RNG. Requires preparedness.

30. Referência cruzada

  • Ataques técnicos detalhados: 11-ataques.md.
  • Pessoas envolvidas: 12-pessoas.md (Snowden, Marc Stevens, Zimmermann, etc.).
  • Timeline cronológica: 01-timeline.md.
  • Confidential computing como resposta: 09-confidential-computing.md.
  • Koder Stack security posture: 14-koder-aplicada.md.

Source: ../home/koder/dev/koder/meta/docs/cryptography/compendium/13-incidentes.md