Vigilância total: é possível espionar conversas pelo celular?

7 abr 2016

Em um de nossos últimos posts sobre redes GSM, mencionamos uma lenda urbana que fala sobre o roubo de senhas de criptografia em trânsito. O mito diz que alguém poderia clonar um cartão SIM temporariamente, sem qualquer contato físico com o original. Contudo, a senha Ki é armazenada no SIM e em uma base de dados da operadora de celular. Dessa forma a senha nem entra em trânsito, então porque tantas pessoas acreditam?

gsm-eavesdropping-FB

Em teoria, um criminoso poderia construir uma estação falsa capaz de imitar um sinal de requisição legítimo para SRES ao enviar solicitações aleatórias de RAND (se você não tem certeza sobre o que essas siglas significam, dê uma olhada na primeira parte da história). A partir desse método, um criminoso consegue calcular a Ki por meio de análises criptográficas – do mesmo jeito que eles fariam caso tivessem acesso ao SIM físico.

De qualquer forma, esse método é bem complexo: a análise criptográfica leva tempo e são necessárias diversas solicitações falsas. Ao mesmo tempo que um criminoso está ocupado bombardeando a vítima com RANDs, o dono do celular alvo poderia deixar o raio de influência da estação falsa, fazendo com que o criminoso precisasse seguir a vítima em potencial com o aparelho.

Caso o ataque tenha como alvo alguém bem importante e específico, o equipamento deveria ser instalado próximo à casa da vítima. O sucesso do ataque dependeria do algoritmo de encriptação. Se a operadora utilizar COMP128v2, a tentativa do hacker poderia não funcionar.

Ataques sem acesso físico às vítimas são projetados para que os criminosos consigam escutar as conversas do alvo. Como sabemos, comunicações pelo ar são criptografadas, (a menos quando a criptografia é desativada por conta de operações de agências reguladoras da lei) justamente para manter a privacidade de conversas.

Essa criptografia utiliza algoritimo A5 com senha de 64 bit. O A5 tem duas versões: a mais sustentável é a A5/1 e a menos resiliente a A5/2, despachada a todos os países, até os inimigos em potencial.

Sejamos justos, até um A5/1 não possui uma senha de 64bit exatamente, mas sim uma de 54. Os primeiros 10 bits são “bits inferiores” que tem como propósito simplicidade. A5/2 é projetado para facilitar a vida de serviços secretos trabalhando no exterior.

Antigamente, hackear o A5/1 levava tanto tempo que a informação em questão perderia a relevância antes de ser alcançada. PCs atuais são capazes de burlá-lo em segundos e calcular a senha com o auxílio das chamadas “tabelas arco-íris”.

O conjunto de tabelas de 1,7 TB pode ser armazenado em HDs SSD rápidos e de alta capacidade, disponíveis em qualquer lugar por um preço relativamente baixo.
Os criminosos mantêm uma postura discreta, sem transmitir nada pelo ar, o que os torna praticamente irrastreáveis.

A aparelhagem necessária para decodificar as senhas inclui: o software Kraken, as tabelas arco-íris e um celular daqueles tijolões da Nokia. Com isso em mãos, um criminoso seria capaz de escutar conversas e interceptar, bloquear ou alterar mensagens SMS. (pode esquecer autenticação de dois fatores).

Com a senha em mãos, é possível interceptar chamadas e atendê-las se passando pela vitima. Outra possibilidade perigosa: clonagem dinâmica. O criminoso inicia uma chamada enquanto a vítima já está ao telefone.

Quando a rede envia a autorização para a solicitação, o criminoso a sequestra e a encaminha para a vítima, obtendo a senha Kc. A partir daí, está feito. A chamada da vítima termina, e o criminoso entra no lugar se passando por ela.

Isto permite fazer chamadas por conta da vítima e assim como outras coisas, tais quais o envio de mensagens de texto para números com alto valor de cobrança, visando desviar o dinheiro por meio de programas de provedores de conteúdo. Este método já foi usado em Moscou: um grupo de pessoas dirigia em torno de lugares lotados em uma minivan para clonar vários cartões SIM e roubarem pequenas quantias a partir de telefones dessas pessoas.

Os criminosos conseguiram permanecer despercebidos por muito tempo: as fraudes eram vistas como solicitações legais feitas pelos usuários. A única coisa que ajudou a identificar o esquema foi um elevado número de pedidos semelhantes para um determinado provedor de conteúdo premium em uma determinada área.

Há um modo de evitar esses ataques: utilizar o algoritmo mais recente e atualizado, o A5/3. Esse não é facilmente corruptível, mesmo com as tabelas arco-íris. Porém, as operadoras têm sido relutantes a implantar a nova tecnologia: primeiro, trata-se de uma migração cara que não resulta em lucro nenhum para elas. Segundo, a maioria dos celulares não suportam o A5/3 ou não o executam apropriadamente, o que pode resultar em interrupções, e mais problemas.

Terceiro, o A5/3 não conseguirá parar a espionagem por parte dos criminosos: se eles usarem uma estação falsa, ela terá a capacidade de rebaixar o algoritmo usado pelo celular, auxiliando os hackers a obterem as senhas (que não muda indecentemente do algoritmo!). Se a ameaça permanece, porque se incomodar em migrar para um algoritmo de encriptação melhor? Quarto, é caro. Quinto, é muito caro.

O lado bom disso tudo é que todos os ataques sobre os quais falamos hoje, muito provavelmente se tornarão obsoletos logo. A era dos SIMs virtuais e dos eSIMs já começou, e essas novas abordagens de cartões SIMs consertariam pelo menos algumas falhas dos chips existentes.