“Rakyat Amerika memiliki hak untuk mengetahui mengapa NSA tidak bertindak setelah peretasan Juniper untuk melindungi pemerintah dari ancaman serius yang ditimbulkan oleh peretasan rantai pasokan. Peretasan rantai pasokan serupa digunakan dalam pelanggaran SolarWinds baru-baru ini, di mana beberapa lembaga pemerintah disusupi dengan malware yang menyelinap ke dalam pembaruan perangkat lunak perusahaan, “ demikian pernyataan para anggota kongres tersebut dalam surat yang mereka layangkan pada NSA.
Secara lebih rinci, surat tersebut menyatakan sebagai berikut:
Para anggota meminta NSA untuk menjawab pertanyaan-pertanyaan berikut
- Setelah pengungkapan publik Juniper tahun 2015 yang secara tidak sengaja mengirimkan pembaruan perangkat lunak dan produk kepada pelanggan yang berisi kode berbahaya, tindakan apa yang diambil NSA untuk melindungi dirinya sendiri, Departemen Pertahanan, dan pemerintah AS dari peretasan rantai pasokan perangkat lunak di masa mendatang? Untuk setiap tindakan, harap identifikasi mengapa tidak berhasil mencegah penyusupan banyak lembaga pemerintah pada tahun 2020 dengan pembaruan sarat malware yang dikirimkan oleh SolarWinds.
- Pada musim panas 2018, selama pengarahan yang tidak diklasifikasikan dengan kantor Senator Wyden, pejabat senior NSA mengungkapkan adanya laporan “pelajaran yang dipetik” pada algoritme Dual_EC_DRBG. Kantor Senator Wyden telah berulang kali meminta laporan ini, tetapi NSA belum memberikannya. Beri kami salinan laporan ini dan laporan historis resmi apa pun yang menjelaskan algoritme ini, perkembangannya, dan eksploitasi selanjutnya.
- Pada saat NSA mengirimkan Dual_EC_DRBG ke NIST untuk sertifikasi, apakah NSA mengetahui bahwa algoritme tersebut berisi pintu belakang?
- Menurut postmortem NIST kriptografer, NSA memberi tahu NIST pada tahun 2005 bahwa ia memilih nilai “Q” yang diterbitkan dalam standar NIST Duel_EC_DRBG dalam “cara yang aman dan rahasia.” Apakah pernyataan ini akurat? Tolong jelaskan.
- Juniper telah mengonfirmasi bahwa ia menambahkan dukungan untuk Dual_EC_DRBG “atas permintaan pelanggan”, tetapi menolak untuk mengidentifikasi pelanggan itu, atau bahkan mengonfirmasi apakah pelanggan itu adalah agen pemerintah AS. Apakah NSA meminta Juniper untuk memasukkan algoritme Dual_EC_DRBG, nilai P dan Q yang berbeda dari yang diterbitkan oleh NIST, atau standar enkripsi lain yang dirancang NSA bernama Extended Random?
- Otoritas hukum apa, jika ada, yang mengizinkan NSA untuk memasukkan kerentanan ke dalam algoritme yang disetujui pemerintah AS yang disertifikasi oleh NIST dan untuk menjaga kerentanan tersebut tersembunyi dari NIST?
- Apakah upaya NSA untuk memperkenalkan pintu belakang atau kerentanan lain ke dalam standar pemerintah memerlukan persetujuan dari Direktur NSA, konsultasi antarlembaga, termasuk masukan dari Cybersecurity and Infrastructure Security Agency, Departemen Perdagangan, Federal Trade Commission, dan Federal Komisi Komunikasi? Apakah mereka memerlukan pemberitahuan kepada komite intelijen Kongres atau perintah dari Pengadilan Pengawasan Intelijen Asing? Jika tidak, jelaskan alasannya.
Berdasarkan adanya surat beberapa angota DPR dan Senat AS tersebut, kesaksian mantan staf NSA Edward Snowden nampaknya perlu kita ulang. Terutama kesaksian Snowden berkaitan dengan fakta bahwa NSA telah bekerjasama secara aktif dengan Silicon Valley. Dalam kesaksian mantan staf NSA Edward Snowden di Hongkong pada 2013 lalu; beberapa perusahaan seperti Google, Facebook, Apple dan Microsoft, telah “menggelar karpet merah” untuk NSA.
Snowden dalam kesaksiannya yang dibukukan oleh Luke Harding bertajuk The Snowden Files, adanya program super-rahasia bernama PRISM tersebut dimaksudkan untuk membantu komunitas intelijen AS mendapatkan akses yang luas untuk informasi digital seperti e-mail, postingan di Facebook, dan pesan singkat lainnya.
