Ter 2 bilhões de cartões SIM roubados é um pesadelo real

O mais recente de uma longa linha de revelações de Edward Snowden sobre a Agência de Segurança Nacional (NSA), pode ser uma das mais chocantes: supostamente a NSA e seu

O mais recente de uma longa linha de revelações de Edward Snowden sobre a Agência de Segurança Nacional (NSA), pode ser uma das mais chocantes: supostamente a NSA e seu aliado britânico, o GCHQ (Government Communications Headquarters –  Sede de Comunicações do Governo), comprometeram as redes da Gemalto, e roubaram as chaves criptografadas que protegem incontáveis ​​milhões, possivelmente bilhões, de cartões SIM.

Um acesso aos cartões SIM nesta escala poderia colocar em dúvida a integridade de todos os sistemas de comunicação móvel a nível global. Isso não quer dizer que as suas comunicações estão sendo monitoradas, mas que poderia ser com o clique de um botão.

Se você está se perguntando quem é Gemalto, é um fabricante global de cartões SIM para dispositivos móveis. Na verdade, eles fabricam cartões SIM mais do que qualquer outra organização no mundo, segundo a revista The Economist.

O artigo da revista The Intercept, em que estas alegações apareceram pela primeira vez, estima que Gemalto produz cerca de 2 bilhões de cartões SIM por ano. Para colocar isso em contexto, existem 7.125 bilhões de seres humanos no mundo; um número estimado de 7.190 bilhões de dispositivos móveis. Supostamente, os clientes da Gemalto incluem serviços móveis de prestadores de serviços como Sprint, AT&T, Verizon, T-Mobile e cerca de 450 outros grupos. A empresa atua em 85 países e opera 40 instalações de produção.

O SIM é um acrônimo para o Módulo de Identificação do Assinante (em inglês Subscriber Identity Module). Um cartão SIM é um pequeno circuito integrado que se conecta em seu dispositivo móvel. Nele contém a identidade única internacional do assinante móvel (em inglês IMSI – International Mobile Subscriber Identity), juntamente com uma senha de autenticação criptografada. Juntas, a senha e esse número, essencialmente validam que o telefone é na realidade o seu telefone. É como uma combinação usuário-senha de acesso, mas com o hardware completamente informatizado, portanto, não pode ser alterado.

Ter a lista principal destas chaves dar a um cibercriminoso a capacidade de monitorar as comunicações de voz e dados em qualquer dispositivo que contenha um cartão SIM, cuja senha criptografada esteja na lista. Se estas alegações são verdadeiras, isso significa que a NSA e o GCHQ têm a capacidade de monitorar uma grande quantidade de comunicações e dados móveis ao redor do mundo sem um mandado ou outra autorização judicial.

Você ouve na mídia não-técnica falarem em um monte de atividades de metadados relacionadas com a NSA, mas vazamentos como este e revelações sobre os geradores de números pseudo-aleatórios comprometidos são realmente preocupante. Os metadados podem dizer muito sobre o local onde uma pessoa foi, com quem se relaciona e, de fato, dizem quem é essa pessoa. Um ataque em massa aos cartões SIM ou aos protocolos de criptografia dá ao invasor a capacidade de realmente ver – em texto simples – o conteúdo da correspondência que trocamos com outars pessoas. Embora muito se pode deduzir da localização e informações da interação com o dispositivo, não há necessidade de tirar conclusões sobre as comunicações de texto simples. Está tudo como está, como se dizia no tempo real. Não é necessário fazer uma análise.

Em um documento secreto supostamente roubado pelo ex membro da NSA e publicado pelo The Intercept, a NSA disse: “[nós] implantamos com sucesso várias máquinas [Gemalto] e acreditamos que temos toda a sua rede …”

A privacidade e a segurança nas comunicações móveis não são a única preocupação aqui. Também existem implicações financeiras significativas por duas razões. Como tecnólogo da União Estadunidense pelas Liberdades Civis, Chris Soghoian, e criptógrafo Johns Hopkins, Matthew Green observaram no artigo do The Intercept, que os cartões SIM não foram projetados para proteger as comunicações individuais. Eles foram projetados para simplificar o processo de faturamento e impedir que os usuários defraudem os seus prestadores de serviços móveis nos primeiros dias de uso do celular. Em algumas partes do mundo em desenvolvimento, ainda largamente dependente em grande parte das redes móveis obsoletas e fracas de segunda geração, muitos usuários confiam seus cartões SIM para realizar transferências de dinheiro e utilizam serviços de microfinanciação, como o popular M-Pesa.

Um ataque a Gemalto possivelmente coloca em risco a integridade de uma infra-estrutura de comunicação global cada vez mais dependente dos dispositivos móveis e os cartões SIM que vivem dentro deles

Este não é apenas um problema financeiro para o mundo em desenvolvimento: Gemalto é uma grande fabricante de microchips em chip e cartões de pagamento PIN ou EMV, o principal método de pagamento na Europa. Esses cartões também podem ser potencialmente comprometidos. De acordo com o The Intercept, os chips da Gemalto também são usados ​​como identificadores de entrada em edifício, passaportes eletrônicos, carteiras de identidade e como chaves para determinados automóveis de luxo, como BMW e Audi. Se você tem um chip e um cartão PIN do Visa, Mastercard, American Express, JP Morgan Chase e Barclays, então há uma boa chance de que o chip do seu cartão de pagamento tenha sido desenvolvido pela Gemalto e que a sua chave criptográfica pode está comprometida.

Por sua parte, apesar das alegações e documentos supostamente secretos, a Gemalto está negando categoricamente que as suas redes de segurança foram comprometidas.

“Não foram encontradas violações na infra-estrutura que executa a nossa atividade SIM ou em outras partes da rede de segurança que controla outros dos nossos produtos, tais como cartões bancários, cartões de identidade ou passaportes eletrônicos. Cada uma dessas redes é isolada uma das outras e elas não estão conectadas a redes externas”, disse a empresa em um comunicado.

No entanto, a empresa reconheceu que no passado houveram tentativas frustadas de invasão, das quais eles acreditam que a NSA e GCHQ foram responsáveis.

Outro aspecto preocupante e silenciosa desta e muitas das revelações de Snowden é que o documento é datado de 2010. Em outras palavras, este suposto sistema de cartões SIM não só está em curso há cinco anos, mas a técnica também tem cinco anos, ou seja, uma vida inteira no computadores.

Além do risco pessoal que as senhas de cartão SIM represnetam para a nossa privacidade individual e coletiva, se os documentosde  Snowden são verdadeiros, então este ataque é um pesadelo de relações internacionais. Você se lembra, há dois meses, quando os mais extremistas se cansaram e vacilaram sobre se o ataque da Coreia do Norte a Sony Pictures Entertainment constituía um ato de guerra? Bem, esse ataque, que foi tão provavelmente perpetrado pela Coreia do Norte e por mais ninguém, estava direcionado a um estúdio de cinema e roubou alguns roteiros de filmes e e-mails. Um ataque a Gemalto potencialmente coloca em risco a integridade de uma infra-estrutura de comunicação global cada vez mais dependente de dispositivos móveis e os cartões SIM que vivem dentro deles.

Tradução: Juliana Costa Santos Dias

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?