Tecnoblog

Karsten Nohl: criptografia GSM quebrada.

Um engenheiro de computação alemão anunciou nessa segunda que teria quebrado e publicado o algoritmo de criptografia utilizado nas redes celulares GSM para transmitir suas chamadas com total confidencialidade. Em outras palavras, ele afirma ter descoberto e publicado o código secreto que impede que as ligações entre a maioria dos aparelhos celulares do mundo seja ouvida por qualquer bisbilhoteiro.

O engenheiro em questão é o especialista em criptografia Karsten Nohl, que diz que sua ação tem por objetivo questionar a efetividade do algoritmo de 21 anos de idade que protege as ligações por redes GSM e forçar as operadoras a adotar medidas de segurança mais eficientes para proteger suas ligações. O código em questão foi criado em 1988 e ainda é usado para proteger 80% das ligações celulares no mundo todo. Esse algoritmo é denominado A5/1, e é um código de 64 bits. Desde 2007 está disponível um outro algoritmo, denominado A5/3, com criptografia de 128 bits, o dobro de “zeros e uns” no caminho entre sua ligação e um possível “ouvinte indesejado”. Apesar disso, a maioria das operadoras ainda não investiu na mudança para o padrão mais seguro.

Sobre o caso, a porta-voz da GSM Association — o grupo baseado em Londres que desenvolveu o algoritmo recém-quebrado e que representa as operadoras celulares — disse que quebrar a segurança das ligações “é teoricamente possível, mas na prática improvável.”

Outros analistas, porém, mostram-se mais preocupados. Apesar de uma tarefa complexa, teoricamente criminosos bem-organizados poderiam se aproveitar da nova descoberta para grampear ligações e vender informação, o que seria algo valiosíssimo no mundo corporativo moderno.

Simon Bransfield-Garth, diretor executivo da empresa londrina Cellcrypt, disse que “isso reduzirá o tempo necessário para grampear uma ligação GSM de semanas a horas. Esperamos que, à medida que isso se desenvolva, o tempo seja reduzido a minutos.” [The New York Times]

Durante a conferência Black Hat, que ocorre em Las Vegas nessa semana, os pesquisadores Zane Lackey e Luis Miras exibirão uma técnica desenvolvida por eles para fraudar redes SMS (os famosos torpedos) e MMS (mensagens multimídia). A demonstração acontecerá utilizando um software desenvolvido para o iPhone e que permite vários tipos diferentes de ataque.

De acordo com os pesquisadores, que não estão autorizados a divulgar dados técnicos, o procedimento permite o envio de mensagens com configurações diretamente para o aparelho sem intervenção do usuário, o que normalmente é feito pelas operadoras para configurar os aparelhos em sua rede.

Apesar de o ataque funcionar somente em redes GSM (que curiosamente vêm se tornando o padrão por serem teoricamente mais seguras que o CDMA e outras tecnologias), o potencial da falha é grande já que o SMS é atualmente uma função padrão em todos os aparelhos e redes celulares, além de precisar de praticamente nenhuma interação com o usuário. Entretanto, ainda não se sabe exatamente o que pode ser feito com a utilização de tal brecha. [PC World]

Há cerca de 2 meses, comprei através da operadora TIM, meu primeiro celular de conta: um HTC Touch. Por minhas constantes viagens para São Paulo, decidi que seria melhor pegar um número com DDD 11.

Mas a vida na cidade grande tem seus prós e contras. Por exemplo, não é muito normal no interior ficar recebendo ligação de banco para confirmar dados cadastrais. Existe, mas nunca aconteceu comigo.

É exatamente isso que vem acontecendo, há algum tempo, com um bom amigo meu. Só que no caso dele, já fizeram o favor (entre outras coisas), de esvaziar a conta bancária dele, da mãe e da tia. Quem se ferrou é o banco, que terá que ressarcir tudo.

Aí você pensa: mas como diabos o ladrão invade a conta do banco pelo número do celular?

Chuck Norris deve saber responder esta pergunta melhor que eu.

E estava eu dormindo tranqüilamente, cedo da noite (17:45h), quando recebo uma ligação de um celular da operadora TIM, com o DDD 11:

Alor?

- Oi, aqui é da TIM, estou ligando para fazer atualização de cadastro, o senhor poderia confirmar alguns dados?

- Nop.

- Não precisa falar, eu vou falando e o senhor apenas confirma.

- Desculpe, mas não falo nada por telef…

Antes que eu terminasse a frase, ela me interrompeu falando:

- Você mora na Rua Xxxxx, qual o número mesmo?

How the hell ela sabia o nome da minha Rua?! É óbvio que o sono sumiu na hora, sem falar é claro que comecei a ouvir barulho de porta abrindo e passos pela casa.

Ok, paranóia mode – on.

E foi só acordar, para me ligar que foi exatamente assim que tudo começou com meu querido amigo. No mesmo instante resolvi ligar para a TIM, e ver se poderiam fazer algo com o número que o meu identificador de chamadas capturou.

Mas, e se a linha estavesse grampeada? Ligar para a TIM e ter que confirmar meu RG e CPF para ser atendido, não me pareceu algo muito inteligente a se fazer em uma situação dessas.

As únicas respostas que encontrei, foram ao comparar os dois casos (meu e do meu amigo). Ambos usamos celulares TIM, e na região da Tv Gazeta na Avenida Paulista. Só pode ter sido isso, ou me rastrearam quando liguei para ele – ou ele para mim.

Este negócio de rastrear ligações, ainda é coisa de filme de Hollywood. A polícia comum não tem equipamento, e nem permissão para isso. Sendo assim, a única forma que tenho de me proteger, é mantendo meus dados em sigilo.

Afinal sabemos que nenhuma empresa confirma dados por telefone. E uma atendente de telemarketing, além de saber meu nome, iria se dirigir a mim da seguinte forma:

- Olá senhor Thiago. O senhor poderia estar me passando os seus dados, para que eu pudesse estar atualizando o seu cadastro?

Agora é olho atento na conta no final do mês. Se tiver alguma ligação para a Arábia Saudita, saberei que sou inocente.

Quando a Claro fez o lançamento da sua internet banda larga sem fio (vulgo 3G), escrevi um texto todo animado. Finalmente teríamos no Brasil uma internet móvel de alta velocidade, com preço acessível.

Hoje, após 5 meses do lançamento desta novidade, o que vemos é mais uma tecnologia adotada de forma desinteligente, onde o principal foco é encher o bolso das operadoras, aos invés de aproveitar ao máximo os benefícios dispostos pela tecnologia.

Nos planos atuais, se você quiser usar internet 3G no seu celular, deverá contratar um pacote de dados, com limite de transferência a partir de 500 megabytes por mês. Isto fazia sentido na época do GPRS e EDGE, onde a velocidade da conexão não passava de 236 kbits por segundo (apenas na teoria, claro). Mas, de que adianta ter uma conexão de 1 megabit por segundo, com um limite desses?

E não pára por aí. Os pacotes de celular, também limitam em minutos, o quanto você pode utilizar o protocolo VoIP. Os motivos são óbvios.

A verdadeira internet 3G, só pode ser utilizada através de um modem USB, e nem é lá aquelas coisas. Procurando no Google, você encontra dezenas de relatos de pessoas que contrataram o serviço, mas atingem apenas 60% da velocidade prometida.

Esses dias vi o relato de um sujeito*, que tentou se conectar de dentro de um taxi, para acessar o Google Maps e mostrar a um taxista perdido, qual o endereço de destino. Segundo ele, diferente do GSM que tem conexão contínua em movimento, a internet 3G tem quedas nas trocas de torre.

Acontece que a massa popular brasileira não é exatamente geek, então fica fácil para as operadoras, imporem planos absurdos e extremamente retrôs, sem que ninguém se ligue que aquela tecnologia não precisa necessariamente trabalhar daquela forma.

Uma prova de como as empresas subestimam o quoeficiente intelectual tecnológico de seus clientes, é o screenshot acima, tirado do site que divulga o 3G da Claro. A mesma imagem é também usada nas propagandas que passam na televisão.

Como sei meus queridos leitores não são como os clientes que a Claro imagina ter, deixo a pergunta: O que há de errado na imagem acima?

*Sr sujeito, adoraria linkar seu relato, mas realmente não lembro o endereço. Se estiver lendo este texto, favor se apresentar!

Sério! Não aguento mais ouvir falar do iPhone! Desde o começo do ano, matérias sobre o novo lançamento da Apple surgem como praga no meu Google Reader! Será que há mesmo bons motivos para tanto alarde?

O iPhone pode ter recursos legais e inéditos, mas a principal novidade que o aparelho apresenta, é a tecnologia multitoque utilizada na tela. Até mesmo esta (que parece debochar do uso de uma Stylus) tem seus contras! É só imaginar seu telefone tocando no meio de um churrasco, você “meteria o dedão de carne” em um telefoninho de 600 dólares? Aliás, 600 dólares é o preço de um Acer com tela wide de 15”, processador Core Duo 2.13, 1GB de ram e 120GB de disco!

Todo mundo já viu, e já conhece todas as funções do iPhone! E todos parecem ignorar os contras do aparelho só porque o mesmo leva o logotipo da Apple. Já estão fazendo até vídeos satirizando a importância de um iPhone para um geek! Não estariam sendo “Applexiitas” demais?

O aparelho é completamente fechado! Não há slot de expansão, não é possível instalar nada! Isso mesmo! Aplicativos? Só os “Web 2.0 powered by Ajax”. Que ótimo! Me diz o que eu faço quando eu não estiver em um hotspot, ou quando minha internet estiver fora do ar?

Depois de tudo isso, Windows ainda é um lixo (mas ninguém vive sem), e Jobs é mocinho visionário. Nem preciso dizer que Bill Gates é o pior vilão né?

Quando eu tirar meus 600 dólares do bolso será para comprar um pocket pc com GSM (nem todo SmartPhone é um pocket pc), quem sabe um Qtek ou um HTC, que rode Windows Mobile 6.0. Ainda não sei o que eu vou fazer com o dinheiro que sobrar, mas é provável que eu compre um cartão de memória bem grande, que é para armazenar todos os meus jogos e aplicativos.

Update: Tem mais gente que pensa que nem eu!

Não são 10, 20, 30 países que usam a tecnologia GSM ( Global System for Mobile Communications ) são 170 países! É o padrão tecnológico para celular digital mais utilizado no mundo.

Os usuários desse padrão estão sempre satisfeitos, e seu número cresce cada vez mais. São aproximadamente 850 milhões de pessoas que têm esse serviço.

O motivo desse sucesso todo está nas vantagens que a tecnologia GSM apresenta:

• Segurança – O usuário pode ter acesso à uma senha quando ligar seu aparelho. Isto protege contra grampus e evita clonagem.
• Conveniência – Isto permite que o chip do celular possa ser usado em qualquer outro aparelho GSM, exeto aos que estão bloqueados. Assim, ninguém perde o que está armazenado no chip.
• Super qualidade de sinal e voz.

A tecnologia GSM, sem dúvida, é reconhecida como a mais avançada e segura, pelo mundo afora.