O Grande Roubo dos Cartões SIM
Conspiração

O Grande Roubo dos Cartões SIM


Cada telemóvel ou smartphone tem no seu interior um cartão Subscriber Identity Module, "Módulo
de Identificação do Assinante", mais conhecido como cartão SIM.

O que interessa isso? Interessa, interessa...

É que os últimos documentos fornecidos por Edward Snowden e Gleen Greenwald mostram uma das acções mais graves implementadas pela Agência de Segurança Nacional, a NSA: a violação do cartão SIM dos telefones móveis.

Entrando na infra-estrutura de segurança da Gemalto, a multinacional holandesa que produz os pequenos chips inseridos nos cartões dos telefones celulares e cartões de crédito de última geração, os agentes do espionagem americanos e britânicos têm garantido o acesso a dados e informações vitais, incluindo telefonemas, mensagens e endereços de milhões, talvez biliões de pessoas.

A gravidade da situação é realçada pela rapidez com a qual a Gemalto tem emitido um comunicado para confirmar o início dum inquérito sobre a questão. Não admira: só nos Estados Unidos, a empresa serve clientes do nível de AT&T, T-Mobile, Verizon, Sprint, para os quais a segurança é (ou deveria ser) uma prioridade absoluta.

A técnica

De acordo com os documentos, a intrusão nos chips dos cartões SIM permitiu a monitorização da grande parte das comunicações celulares globais, e isso sem pedir ou obter autorização nenhuma por parte de empresas de telefonia ou governos estrangeiros.

A operação começou com o GCHQ (o homólogo britânico da NSA) que espalhou malware em computadores de diferentes funcionários da Gemalto para encontrar um ponto fraco no sistema de segurança e conseguir ter acesso ao servidor da empresa.

Nesta altura entrou em função o Mobile Handset Exploitation Team (MHET), um grupo de especialistas cuja função era (e ainda é) espiar os segredos dos cartões SIM. O MHET, cuja existência nunca antes tinha sido divulgada, foi formado em Abril de 2010 e uma das suas principais missões foi mesmo penetrar secretamente nas redes de computadores das empresas que fabricam os cartões SIM, bem como nas redes dos provedores de rede sem fio. A equipa inclui agentes de ambas as agências, GCHQ e a NSA.

Depois disso, foi só começar a recolher os dados encriptados, traduzi-los e ficar com nas mãos o maior banco de dados de telefones alguma vez existido.

Nos documentos apresentados, o GCHQ alega também a capacidade de manipular os servidores de facturação das empresas de telecomunicação para "suprimir" os encargos derivantes das acções secretas de espionagem contra o telefone de indivíduos. O GCHQ também penetrou nos "servidores de autenticação", o que lhe permitiu decriptografar dados e comunicações de voz entre o telefone dum indivíduo-alvo e a sua rede ou o seu fornecedor de telecomunicações.

Na prática, as agências de intelligence americanas e inglesas conseguiram obter o acesso ao database das chaves de encriptação de numerosas empresas ligadas ao serviço das comunicações sem fio. Isso deu-lhe a capacidade de interceptar e decifrar as comunicações sem alertar o provedor da rede, o governo estrangeiro ou o usuário-alvo da espionagem.

Como explica Matthew Green, especialista em criptografia do Instituto de Segurança da Informação Johns Hopkins:
Ter acesso a um banco de dados de chaves é o fim da criptografia de celular.
E é simples imaginar qual a razão.

Como regra geral, as empresas de telefonia não fabricam os cartões SIM, nem os programam com chaves de criptografia. É mais barato deixar que sejam empresas especializadas a fazer isso. Como a  Gemalto, a maior do sector. Portanto, as empresas de telefonia compram grandes quantidades de SIM, com a chave de criptografia já pré-carregada.

Depois dum cartão SIM ter sido fabricado, a chave de encriptação, conhecida como "Ki", ​​é gravada directamente no chip. Uma cópia da chave também é dada à empresa ao fornecedora do serviço sem fio, para permitir que a sua rede reconheça o telefone.

Para que um telefone seja capaz de conectar-se à rede da operadora, o telefone (com a ajuda do cartão SIM) autentica-se usando a tal chave Ki. O telefone e a rede, portanto, reconhecem-se e a partir daí todas as comunicações são encriptadas. Mesmo que GCHQ ou NSA interceptassem os sinais de telefonia que são transmitidos pelo ar, os dados interceptados seriam ilegíveis, pois decifra-los pode ser difícil e demorado.

Roubando as chaves (as tais Ki), vice-versa, tudo fica bem mais simples: as comunicações são encriptadas de forma rápida e eficiente, sem esforço nenhum. E foi exactamente isso que se passou.

Não só telemóveis

Até aqui falámos de telemóveis e smartphones.
Mas os chips produzidos pela Gemalto são utilizados em outras aplicações.

A empresa, que arrecadou 2,7 biliões de Dólares em receitas no ano de 2013, é líder mundial no sector da segurança digital, na produção de cartões bancários, sistemas de pagamento móvel, dispositivos de autenticação, passaportes electrónicos e cartões de identificação.

Gemalto fornece Vodafone na Europa e Orange na França, assim como a EE, uma joint venture no Reino Unido entre France Telecom e Deutsche Telekom. A Real KPN, o maior provedor de rede sem fio holandês, também usa a tecnologia Gemalto.

Mas os chips da Gemalto são utilizados em todo o mundo. Entre os clientes há mais de 3.000 instituições financeiras e 80 organizações governamentais. No portfolio: Visa, Mastercard, American Express, JP Morgan Chase, Barclays, Audi, BMW.

Em 2012, a Gemalto ganhou um contrato 175 milhões de Dólares do governo dos EUA para produzir os passaportes electrónicos dos Estados Unidos, que contêm chips e antenas usados ​​para melhor autenticar os viajantes. NSA e GCHQ, que foram capazes de contornar a criptografia das redes móveis, têm a capacidade de aceder aos outros dados privados da Gemalto?

Ambas as agências de intelligence recusam responder a quaisquer perguntas específicas acerca desta história.

Mas as últimas revelações de Snowden fazem lembrar o início do Datagate, quando foi mostrado ao mundo a operação X-Keyscore, o programa que permite que a NSA rastreie os usuários móveis. Mas enquanto X-Keyscore funciona através da navegação na web e do acesso às redes sociais, com as novas descobertas o círculo está fechado: a intelligence de EUA e Reino Unido tem a capacidade de controlar qualquer pessoa que utilize um telefone celular ou algo parecido.

E talvez ainda mais do que isso.


Ipse dixit.

Relacionados:
Edward Snowden: as novas revelações
Serviços cloud: espiados
Telemóveis: NSA, Co-Travellers e a nossa (ex) privacidade
Datagate: as novas revelações
XKeyscore: internet, o Cavalo de Tróia

Fontes: The Intercept, Gemalto, PCS Harvesting at Scale -Introducing Automation to Ki Harvesting Efforts in TDSD



loading...

- Uk: Espiar Os Cidadãos é Justo, é Bom E Aumenta A Segurança
Theresa MayPescado no Twitter (ver box ao lado): a Secretária de Estado do Reino Unido, Theresa May, afirmou perante o Parlamento que o governo deve ter acesso a dados dos telefones e de internet dos cidadãos, ao fim de impedir um ataque terrorista...

- Edward Snowden: As Novas Revelações
Algumas actualizações acerca dos documentos revelados por Edward Snowden: falamos aqui de segurança informática, ou melhor, da maneira como as agências de intelligence vasculham as nossas comunicações. A agência de espionagem britânica, por exemplo,...

- O Relatório Da Vodafone
Vodafone, um dos maiores grupos de telefonia móvel do mundo, revelou a existência de meios secretos que permitem que as agências governamentais possam ouvir todas as conversas geridas pela rede, afirmando que este sistema é amplamente utilizados em...

- Datagate: As Novas Revelações
Segredos na internet? Nem pensar. A National Security Agency (Agência de Segurança Nacional, NSA) tem decifrado, em colaboração com o Reino Unido, as tecnologia de criptografia utilizadas por milhões de usuários de internet. Correio electrónico,...

- Obama: Verizon & Programa Prism
É a notícia do dia: os dados das chamadas telefónicas de milhões de cidadãos norte-americanos controlados pela NSA, a Agência de Segurança Nacional americana. O novo escândalo que afecta o governo do simpático Obama é contado pelo diário britânico...



Conspiração








.