EUA e Grã-Bretanha hackearam maior fabricante de chips para smartphones

(com The Intercept)

Gemalto, a empresa que teve suas chaves de criptografia roubadas pela NSA/GCHQ (Fonte: secureidnews)

Gemalto, a empresa que teve suas chaves de criptografia roubadas pela NSA/GCHQ (Fonte: secureidnews)

O governo americano pode ter acesso aos dados da maior parte dos smartphones do mundo, após hackear a rede interna da maior fabricante de chips SIM do planeta e roubar as chaves de criptografia utilizadas para proteger a privacidade das comunicações móveis. Quem forneceu as informações foi Edward Snowden, que forneceu documentos ultra-secretos ao The Intercept, agência de jornalismo investigativo de Glenn Greenwald. Os autores da reportagem são Jeremy Scahill e Josh Begley.

A NSA contou com auxílio do governo britânico, que tem uma agência análoga à NSA para atuar com segurança da informação, o GCHQ.  A invasão permitiu à NSA obter acesso aos aparelhos em que os chips estão inseridos, incluindo dados privados e comunicações por voz.

A empresa que teve seus sistemas invadidos foi a Gemalto, maior fabricante de chips para celulares do mundo. A empresa atende a cerca de 450 provedores de telefonia no mundo, incluindo alguns gigantes como At&T e Verizon. A empresa produz 2 bilhões de cartões SIM por ano.

Roubando as chaves de criptografia, a NSA pode ter acesso às comunicações móveis sem a anuência das empresas de telefonia, sem deixar nenhum vestígio. O roubo em massa de chaves de criptografia faz com que a NSA tenha o poder de decifrar inclusive comunicações interceptadas anteriormente, que permaneciam criptografadas. Funcionários da empresa também foram espionados.

A empresa não tinha nenhum conhecimento do esquema de espionagem, recebendo a notícia com extrema surpresa e preocupação. Foi o que declarou Paul Beverly, vice-presidente executivo da Gemalto, ao The Interception “”Eu estou bastante perturbado e preocupado que isso tenha acontecido. A coisa mais importante para mim é entender exatamente como a espionagem foi feita, para que possamos tomar todas as medidas, garantindo que isso não aconteça novamente, e também para nos certificarmos de que não há impacto sobre as empresas de telecomunicações, que tem atuado conosco de forma muito fidedigna nos últimos anos. O que eu quero entender é que tipo de implicações que  essa invasão tem para qualquer um dos nossos clientes.”

NSA e GCHQ formaram, em 2010, uma colaboração para ter acesso a esses dados: o Mobile Handset Exploitation Team (MHET) foi criado originalmente para encontrar vulnerabilidades em smartphones, mas acabou se tornando um método para as agências de segurança de informação de ambos os países terem acesso aos dados criptografados dos aparelhos.

As reações gerais foram da perplexidade à indignação. “É inacreditável”, bradou Gerard Schow, parlamentar holandês. Matthew Green, especialista em criptografia, foi enfático: “o roubo das bases de dados é um game over para a criptografia em dispositivos móveis. É uma má notícia, para a segurança em telefones. Uma péssima notícia”. A própria Holanda propôs, em novembro passado, uma emenda à sua Constituição incluindo explicitamente a privacidade das comunicações digitais como um direito.

Para se ter uma ideia da dimensão da invasão, a NSA e o GCHQ tiveram acesso até mesmo aos e-mails pessoais e às contas de Facebook dos funcionários da Gemalto que tiveram seus aparelhos invadidos através da quebra das chaves de criptografia. O programa espião da NSA se tornou basicamente uma forma de controlar remotamente a atividade do smartphone, sem a anuência do proprietário.

Outro dado impressiona nos documentos mostrados pelo The Intercept: a NSA tinha, em 2009, a capacidade de espionar entre 12 e 22 milhões de alvos por segundo quando tem acesso às chaves de criptografia dos aparelhos. E planejava aumentar essa capacidade de espionagem para 50 milhões de alvos por segundo “em alguns anos”.

Roubar as chaves de criptografia do fabricante dos cartões SIM é uma solução genial, olhando pelo lado da espionagem: dispensa o uso de redes de interferência em transmissão de dados e dificulta muito as ações de contra-espionagem. A outra opção para obter os dados de dispositivos móveis seria bem mais custosa e arriscada: tentar interceptar os dados no ar, durante a sua transmissão, quebrando a criptografia deles.

Existem poucas formas de fugir da espionagem, uma vez que os protocolos de segurança para smartphones não comportam alguns formatos de criptografia feitos para limitar os efeitos de invasões como essa da NSA/GCHQ, como o PFS. Uma solução possível para limitar os danos é utilizar, nas comunicações móveis, protocolos como o TLS (sucessor do SSL, que protege a criptografia das comunicações em formato HTTP). Também existem alguns aplicativos específicos para a criptografia de mensagens de texto e de textos digitados via teclado virtual.

Para Christopher Soghoian, da União Americana para Defesa das Liberdades Civis, o roubo das chaves de criptografia da Gemalto é uma das piores notícias possíveis, porque permite a espionagem até mesmo de eventos anteriores: “As agências podem coletar todas as comunicações e deixá-las guardadas, olhando seu conteúdo mais tarde. Com as chaves, eles podem descriptografar o que quiserem, quando quiserem. É como uma máquina do tempo, permitindo a vigilância inclusive de comunicações que ocorreram antes da pessoa se tornar um alvo (da NSA)”. E termina dando um alerta: “Precisamos parar de acreditar que as empresas de telefonia nos fornecem um método seguro para fazer chamadas ou trocar mensagens de texto”.

(Dica do Maurício Klaser)

Anúncios
Esse post foi publicado em Segurança da Informação e marcado , , . Guardar link permanente.

Dê sua opinião

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s