A Gemalto anunciou há pouco em Paris os resultados da investigação que mandou fazer para comprovar a invasão de seus servidores e roubo de chaves criptográficas denunciada numa reportagem do site The Intercept, com informações obtidas nos documentos vazados por Edward Snowden. Embora inconclusiva, a investigação confirma que houve de fato uma invasão. Diz o comunicado: “A investigação sobre os métodos de intrusão descritos no documento e os ataques sofisticados à Gemalto detectados em 2010 e 2011 nos dão motivos razoáveis para crer que uma operação pela NSA e GCHQ provavelmente aconteceu”.
Segundo a empresa, a investigação foi baseada em dois elementos: os documentos atribuídos à NSA e GCHQ tornados públicos, as ferramentas de monitoramento interno e os últimos registros de tentativas de ataques. Pelos dados da publicação os ataques ocorreram entre 2010 e 2011. “A nossa publicação aqui não visa confirmar parcialmente ou totalmente, nem fornecer elementos para refutar parcial ou inteiramente o conteúdo dos documentos publicados”, diz o press-release da empresa.
“Como é uma empresa de segurança digital, as pessoas tentam invadir a Gemalto com regularidade. Estas tentativas de intrusão são mais ou menos sofisticadas e estamos acostumados a lidar com elas. A maioria não é bem sucedida, enquanto algumas penetram no nível externo da nossa arquitetura de rede altamente segura”.
“Se olharmos para trás, no período coberto pelos documentos da NSA e GCHQ, podemos confirmar que tivemos muitos ataques. Em particular, em 2010 e 2011, foram detectadas duas intrusões particularmente sofisticadas que podem ser relacionadas com a operação”.
“Em junho de 2010, percebemos atividade suspeita em um de nossos sites franceses, onde uma pessoa estava tentando espionar a rede do escritório. Com rede de escritório queremos dizer a utilizada pelos empregados para comunicar-se uns com os outros e com o mundo exterior. Ações foram imediatamente tomadas para combater a ameaça”.
“Em julho de 2010, um segundo incidente foi identificado por nossa equipe de segurança. Isso envolveu e-mails falsos enviados para um de nossos clientes de operadoras móveis, fazendo spoofing de endereços de email legítimos da Gemalto. Os e-mails falsos continham um anexo que pode baixar o código malicioso. Nós imediatamente informamos ao cliente e comunicamos as autoridades competentes, sobre o incidente e tipo de malware usado”.
“Durante o mesmo período, também detectamos várias tentativas de acesso aos computadores dos funcionários da Gemalto que tiveram contato regular com aqueles clientes”.
No momento não fomos capazes de identificar os autores, mas agora achamos que eles poderiam estar relacionadas com a operação NSA e GCHQ. Essas intrusões só afetaram as partes externas das nossas redes – as de escritório – que estão em contato com o mundo exterior. As chaves de criptografia SIM e outros dados do clientes em geral não são armazenados nessas redes. É importante compreender que a nossa arquitetura de rede é projetada como um cruzamento entre uma cebola e uma laranja: ela tem várias camadas e segmentos que ajudam a agrupar-se e isolar os dados”.
Embora as intrusões descritas acima tenham sido graves, com ataques sofisticados, nada foi detectado em outras partes da nossa rede. Não foram detectadas invasões da infra-estrutura relacionadas à nossa actividade com os SIMs ou em outras partes da rede segura relacionadas aos nossos outros produtos, como cartões bancários, cartões de identidade ou passaportes eletrônicos. Essas redes são isoladas umas das outras e não estão ligadas ao exterior.
É extremamente difícil atacar remotamente um grande número de cartões SIM em base individual. Este fato, combinado com a complexa arquitetura de nossas redes, explica por que os serviços de inteligência optaram por atacar os dados transmitidos entre fornecedores e operadores móveis, como explicado nos documentos.
O risco de os dados serem interceptados ao serem compartilhados com os nossos clientes foi bastante reduzido com os processos de comunicação altamente seguros implantados antes de 2010. O relatório indica que os ataques foram dirigidos aos operadores móveis no Afeganistão, Iêmen, Índia, Sérvia, Irã, Islândia, Somália, Paquistão e Tajiquistão. Também afirma que quando os operadores utilizaram métodos de troca segura de dados a técnica de interceptação não funcionou. Em particular, “… não conseguiu produzir resultados contra as redes paquistanesas”. Podemos confirmar que a transmissão de dados entre operadoras paquistanesas e a Gemalto utilizava o processo de troca altamente seguro naquele momento. Em 2010, porém, estes métodos de transmissão de dados não eram universalmente utilizados e alguns operadores e fornecedores optaram por não usá-los. No caso da Gemalto, o sistema de transferência segura era prática comum e sua não-utilização só poderia ocorrer em circunstâncias excepcionais.
A análise dos documentos mostra que a NSA e GCHQ focaram várias empresas além da Gemalto. Como líder no mercado, a Gemalto pode ter sido o alvo dos serviços de inteligência, a fim de alcançar o maior número de telefones móveis. No entanto, podemos ver no documento que muitos aspectos não se relacionam com a Gemalto, por exemplo:
– a Gemalto nunca vendeu cartões SIM para quatro dos doze operadores listados nos documentos, em especial para a transportadora da Somália, onde 300.000 chaves foram roubadas.
– a lista indica locais dos nossos centros de personalização de cartões SIM no Japão, Colômbia e Itália. No entanto, nós não operamos centros de personalização desses países no momento.
– a Tabela 2 indica que apenas 2% das trocas de chaves de criptografia (38/1719) foram de fornecedores de SIM e afirma que o uso de métodos de criptografia fortes por parte dos fornecedores de SIM indica que os outros grupos (98%) são muito mais vulneráveis a esses tipos de ataques.
Em 2010-2011, a maioria dos operadores nos países visados ainda estavam usando redes 2G. O nível de segurança desta tecnologia de segunda geração foi desenvolvido na década de 1980 e já foi considerado fraco e ultrapassado em 2010. Se as chaves de criptografia de cartão SIM 2G deviam ser interceptadas pelos serviços de inteligência, seria tecnicamente possível para eles espionar comunicações quando o cartão SIM estava em uso em um telefone celular. Esta é uma fragilidade conhecida da antiga tecnologia 2G e por muitos anos recomendamos que os operadores implantassem mecanismos de segurança extra. No entanto, mesmo que as chaves de criptografia tenham sido interceptadas pelos serviços de inteligência seu uso seria limitado. Isso ocorre porque a maioria dos SIMs 2G em serviço nesses países foram cartões pré-pagos, que têm um ciclo de vida muito curto, normalmente entre 3 e 6 meses.
Esta fragilidade conhecida nos padrões 2G originais foi removida com a introdução de algoritmos proprietários, que ainda são utilizados como um nível extra de segurança por grandes operadoras de redes. O nível de segurança foi intensificado com a chegada das tecnologias 3G e 4G, que têm criptografia adicional. Se alguém interceptar as chaves de criptografia usadas em um SIM 3G ou 4G SIMs não seria capazes de se conectar às redes e, consequentemente, não seria capaz de espionar as comunicações. Portanto, 3G e 4G não podem ser afetadas pelo ataque descrito. No entanto, embora compatível com 2G, estes novos produtos não são usados em todos os lugares ao redor do mundo já que são um pouco mais caro e, por vezes, os operadores baseiam a sua decisão de compra apenas no preço.
A segurança digital não é estática. O estado da arte das tecnologias de hoje perde a sua eficácia ao longo do tempo à medida em que novas pesquisas e poder de processamento tornam novos ataques possíveis. Todos os produtos de segurança de renome devem ser reprojetados e atualizados regularmente. Cartões SIM não são diferentes e eles têm evoluído ao longo do tempo. Em particular, a tecnologia foi redesenvolvida para as redes 3G e 4G.
A segurança é ainda maior para os operadores móveis que trabalham com a Gemalto por incorporar algoritmos personalizados em seus cartões SIM. A variedade e fragmentação das tecnologias algorítmicas utilizadas pelos nossos clientes aumenta a complexidade e os custos para implantar sistemas massivos de vigilância global. Esta é uma das razões pelas quais nos opomos a tecnologias alternativas que limitam a capacidade dos operadores de personalizar seus mecanismos de segurança. Tais tecnologias poderiam tornar muito mais simples a vigilância em massa, caso falhasse.”
A Gemalto acrescentou que gostaria de “reiterar o seu compromisso de oferecer os melhores níveis de segurança para aplicações civis. Nosso produtos de segurança, infra-estrutura e processos são projetados para garantir o maior grau de segurança em um ambiente global, aberto, e comercial. Estes são regularmente auditados e certificados por organizações privadas e públicas.
No entanto, estamos conscientes de que as agências governamentais mais graduadas, especialmente quando trabalham juntas, têm recursos e apoio legal que vão muito além dos hackers e organizações criminosas. E, estamos preocupados com a possibilidade de que eles possam estar envolvidos em tais operações contra empresas privadas, sobre as quais não há motivos de suspeita.
À luz dos recentes acontecimentos, nosso foco principal são os nossos clientes. Nossas equipes têm apreciado o apoio que nos têm mostrado nos últimos dias. Estes eventos inspiram o nosso povo a trabalhar em colaboração ainda mais estreita com os nossos clientes e com a indústria para criar soluções ainda mais sofisticadas para atender às necessidades dos usuários finais.
No mundo de hoje, qualquer organização pode ser sujeita a um ciberataque. Por isso, nunca foi tão importante seguir as melhores práticas de segurança e adotar as mais recentes tecnologias. Estas incluem criptografia avançada de dados, de modo que, mesmo que as redes sejam violadas, terceiros não podem acessar qualquer das informações roubadas.
A Gemalto continuará a monitorar as suas redes e melhorar seus processos. Nós não planejamos outros comunicados sobre este assunto, a menos que ocorra um fato significativo.”
