Pesquisadores alemães descobriram falhas de segurança que poderiam deixar hackers, espiões e criminosos ouvir chamadas telefônicas privadas e interceptar mensagens de texto em escala potencialmente enorme – mesmo estando as redes de telefonia celular usando a criptografia mais avançada disponível.
Segundo o “Washington Post”, as falhas, que serão relatadas em uma conferência de hackers em Hamburgo neste mês, são a mais recente evidência de insegurança generalizada no SS7 (Signalling System No. 7) , a rede global que permite às operadoras de telefonia celular do mundo inteiro rotear chamadas, textos e outros serviços uma para a outra. Especialistas dizem que está cada vez mais claro que o SS7, projetado pela primeira vez na década de 1980, está cheio de vulnerabilidades graves que põem em risco a privacidade dos bilhões de clientes de telefonia celular no mundo.
As falhas descobertas pelos pesquisadores alemães são, na verdade, funções incorporadas ao SS7 para outros fins – como manter chamadas conectadas enquanto usuários dirigem em rodovias, mudando de uma torre de celular para outra – às quais os hackers podem dar outro uso, graças à segurança frouxa na rede.
Esses especialistas nas inúmeras funções incorporadas do SS7 podem localizar chamadas em qualquer lugar do mundo, ouvir as chamadas no momento em que elas acontecem ou gravar centenas de chamadas e textos criptografados em um dado momento para descodificação mais tarde. Há também potencial para enganar os usuários e operadoras de celular usando funções do SS7, dizem os pesquisadores.
Essas vulnerabilidades continuam a existir mesmo com as operadoras de celular investindo bilhões de dólares no upgrade para a tecnologia 3G avançada, com vistas, em parte, a proteger as comunicações contra escutas não autorizadas. No entanto, mesmo que operadoras individuais fortaleçam seus sistemas, elas ainda devem se comunicar umas com as outras por meio do SS7, deixando-as abertas a qualquer uma das milhares de empresas em todo o mundo com acesso à rede. Isso significa que uma única operadora no Congo ou no Cazaquistão, por exemplo, poderia ser usada para invadir redes de celulares nos Estados Unidos, na Europa ou em qualquer outro lugar.
Engel e Nohl “entram para a história”
“É como se você trancafiasse a porta da frente da casa, mas deixasse aberta a porta dos fundos”, disse Tobias Engel, um dos pesquisadores alemães, antigo membro do Chaos Computer Club e há tempos preocupado com a questão.
Engel, fundador da Sternraute, e Karsten Nohl, cientista-chefe da Security Research Labs, separadamente descobriram estas falhas de segurança ao estudarem redes SS7 nos últimos meses, depois do “The Washington Post” ter publicado em 24 de agosto deste ano uma matéria sobre a comercialização generalizada de sistemas de vigilância que utilizam as redes SS7 para localizar chamadas em qualquer lugar no mundo. No texto, o “Post” relatou que dezenas de nações tinham comprado esses sistemas para rastrear alvos de vigilância e que os hackers especializados ou criminosos poderiam fazer o mesmo usando funções internas do SS7, sistema que substituiu redes anteriores chamadas SS6, SS5 etc.
Os pesquisadores, porém, não encontraram evidências de que as suas mais recentes descobertas, que permitiriam a interceptação de chamadas e textos, tenham sido comercializadas para governos de forma generalizada. Mas as vulnerabilidades publicamente relatadas por pesquisadores de segurança muitas vezes provando ser ferramentas que há longo tempo já vinham sendo silenciosamente utilizadas por serviços secretos de inteligência, como a Agência Nacional de Segurança dos EUA (NSA) ou o GCHQ da Grã-Bretanha, mas nunca antes reveladas ao público.
“Muitas das grandes agências de inteligência provavelmente têm equipes que não fazem nada além de pesquisa e exploração do SS7”, disse Christopher Soghoian, principal tecnólogo para a ACLU (American Civil Liberties Union) e especialista em tecnologia de vigilância. “Eles provavelmente se sentaram sobre essas coisas e silenciosamente as exploraram”.
A GSMA, grupo global da indústria celular com sede em Londres, não respondeu a consultas do “Post” em busca de comentários sobre as vulnerabilidades que Nohl e Engel encontraram. No artigo do “Post” em agosto sobre sistemas de rastreamento de localização que usam SS7, funcionários da GSMA reconheceram problemas com a rede e disseram que ela seria substituída durante a próxima década devido a uma lista crescente de problemas técnicos e de segurança.
Duas técnicas distintas
Os pesquisadores alemães descobriram duas maneiras distintas para espionar as chamadas usando a tecnologia do SS7. Na primeira, os comandos enviados pelo SS7 poderiam ser usados para sequestrar a função de “encaminhamento” em um telefone celular – um serviço oferecido por muitas operadoras. Hackers redirecionariam chamadas para si mesmos, para escutá-las e/ou gravá-las, e depois redirecionariam essas funções para o destinatário da chamada. Uma vez que o sistema estivesse no lugar e testado, os hackers poderiam espionar todas as ligações feitas e recebidas por tempo indeterminado, a partir de qualquer lugar do mundo.
A segunda técnica requer proximidade física, mas poderia ser implantada em uma escala muito mais ampla. Hackers usariam antenas de rádio para recolher todas as chamadas e textos que circulam na forma de ondas de rádio propagando-se em uma vizinhança. Para chamadas ou textos transmitidos usando criptografia forte – como ocorre comumente em conexões 3G avançadas – os hackers podem solicitar, através do SS7, que as operadoras do chamador e do destinatário liberem uma chave de criptografia temporária para desbloquear a comunicação após ela ter sido gravada.
Nohl na quarta-feira [18/12] demonstrou a capacidade de recolher e descriptografar uma mensagem de texto usando o telefone de um senador alemão, que colaborou no experimento. Mas o pesquisador disse que o processo pode ser automatizado de modo a permitir a descriptografia maciça de chamadas e textos recolhidos em toda uma cidade ou em uma grande parte de um país, usando várias antenas.
“É tudo automatizado, ao premir de um botão”, disse Nohl. “Para mim seria uma ferramenta perfeita de espionagem, para gravar e decodificar praticamente qualquer rede. E em todas as redes que já testamos, o método funciona”.
Esses testes incluíram mais de 20 redes em todo o mundo, incluindo a T-Mobile nos Estados Unidos. As outras grandes operadoras dos EUA ainda não foram testadas, embora Nohl e Engel tenham dito que provavelmente pelo menos algumas delas devem ter vulnerabilidades similares. Vale observar, porém, que diversos sistemas de mensagens de texto com base em smartphones, como o iMessage, da Apple, e o Whatsapp, do Facebook, usam métodos próprios de criptografia ponto a ponto que correm em paralelo a sistemas tradicionais de texto de celular e, provavelmente, seriam invulneráveis à técnica descrita por Nohl e Engel.
Em comunicado, a T-Mobile disse ao Post: “Na T-Mobile mantemo-nos vigilantes em nosso trabalho com outros operadores móveis, fornecedores e organismos de normalização para promover medidas que possam detectar e prevenir esses ataques”.
Alemanha: ponto nevrálgico
A questão da interceptação de telefonia celular é particularmente sensível na Alemanha por causa de reportagens no ano passado, com base em documentos fornecidos pelo ex-empreiteiro da NSA Edward Snowden, que informaram que um telefone pertencente à chanceler Angela Merkel foi objeto de vigilância da NSA. Essas técnicas não se tornaram públicas, embora Nohl tenha dito que o método do SS7, que ele e Engel descobriram, é uma das várias possibilidades de hacking.
Embaixadas e consulados dos EUA em dezenas de cidades estrangeiras, incluindo Berlim, são equipados com antenas para coletar sinais de celulares, de acordo com relatórios da revista alemã “Der Spiegel”, com base em documentos divulgados por Snowden. Muitas conversas de telefone celular em todo o mundo acontecem com ou sem criptografia ou então com criptografia fraca.
A mudança para redes 3G oferece muito melhor criptografia e uma perspectiva mais real de comunicações privadas. Todavia, as técnicas de hacking reveladas por Nohl e Engel minam essa possibilidade. As operadoras podem potencialmente protegem suas redes contra os esforços dos hackers de capturar as chaves de criptografia, mas não está claro quantas delas o fizeram. Uma rede que opera na Alemanha, a Vodafone, recentemente começou a bloquear esses pedidos após Nohl ter relatado o problema para a empresa há duas semanas.
Nohl e Engel também descobriram novas maneiras de rastrear a localização de usuários de telefone celular através do SS7. A história do “Post”, em agosto, informou que várias empresas estavam oferecendo a governos em todo o mundo a capacidade de encontrar praticamente qualquer usuário de telefone celular, em qualquer lugar do mundo, aprendendo a localização de seus celulares através de uma função do SS7 chamada consulta “Any Time Interrogation”.
Algumas operadoras bloqueiam tais pedidos, e muitas começaram fazê-lo após a reportagem do “Post”. Mas os pesquisadores nos últimos meses têm encontrado várias outras técnicas que hackers poderiam usar para encontrar os locais de chamadas usando diferentes consultas do SS7. Todas as redes devem esquadrinhar seus clientes, a fim de encaminhar chamadas para as torres de celular mais próximas a eles, mas elas não são obrigadas a compartilhar essas informações com outras redes ou governos estrangeiros.
Entretanto, operadoras em todos os lugares devem entregar informações de localização e permitir espionagem de chamadas quando ordenadas por funcionários do governo, em qualquer país em que estejam operando. Mas as técnicas descobertas por Nohl e Engel oferecem a possibilidade de coletar de maneira muito mais ampla locais de chamadas e conversas a qualquer pessoa com acesso ao SS7 e com as habilidades técnicas necessárias para comandar as consultas adequadas.
“Eu duvido que nós tenhamos sido os primeiros no mundo perceber o quão aberta é a rede SS7”, disse Engel.
Contra a lei
Secretamente bisbilhotar chamadas e textos certamente violaria as leis em muitos países, incluindo os Estados Unidos, exceto quando tal escuta fosse feita com autorização explícita de uma corte ou do governo. Tais restrições, porém, decerto não têm nenhum poder para deter criminosos ou espiões estrangeiros, dizem os especialistas de vigilância, que avaliam que as embaixadas sediadas em Washington provavelmente coletam sinais celulares na região.
Os pesquisadores também descobriram que era possível usar o SS7 para aprender os números de telefone de pessoas cujos sinais de celular são coletados por meio de dispositivos de vigilância. As chamadas transmitem um número de identificação temporário, que, por meio do envio de consultas SS7, podem levar à descoberta do número de telefone real originador da chamada. Isso permite o rastreamento local dentro de uma determinada área, como perto de prédios do governo.
O senador alemão que colaborou na demonstração da tecnologia de Nohl, Thomas Jarzombek, do partido União Democrata Cristã de Angela Merkel, disse que, embora muitos naquela nação tenham ficado profundamente irritados com as revelações sobre a espionagem da NSA, poucos se surpreendem com o fato de que tais intrusões sejam possíveis.
“Depois de tudo que ouvimos da NSA e de Snowden, acho que ninguém mais acredita que seja possível ter uma conversa realmente privada em um telefone celular”, disse ele. “Quando eu realmente preciso de uma conversa confidencial, eu uso uma linha fixa de telefone”.