Mobilidade: desafios de uma nova era

0

Estava visitando um evento de segurança digital que gosto muito e decidi assistir a uma palestra sobre mobilidade. Estava imaginando que iria encontrar trocadilhos como Bring Your Own Disaster (Traga o Seu Próprio Desastre) ou a exibição de estatísticas como o envio de 12,6 Tbytes durante a Copa do Mundo no Brasil, ou ainda a relação da Internet das Coisas com os smartphones e com os computadores vestíveis. Mas, para a minha surpresa, a abordagem foi focada nas vulnerabilidades das aplicações desenvolvidas para dispositivos móveis (celulares, smartphones, tablets, etc) e a responsabilidade das lojas de aplicativos disponibilizando as aplicações.

A palestra discutia testes feitos nos aplicativos desenvolvidos por instituições financeiras, expondo a informação de inexistência de certificados SSL para conexões bancárias ou troca de informações sigilosas, exibindo os dados para aqueles que estivessem interceptando a comunicação do dispositivo móvel.

No final da palestra, fiz alguns questionamentos inspirados pelo dia anterior, onde minha TV da sala exibia uma mensagem questionando se podia conectar um usuário totalmente desconhecido. O evento terminou e voltei para casa com algumas mensagens importantes na cabeça, gerando inspiração para estudar um pouco mais o tema.

Comecei pela segurança da minha TV e, depois, pensei na comunicação entre a antena de celular e o dispositivo móvel. Foquei meu estudo no padrão 3G/GSM (Global System for Mobile Communications ou Sistema Global para Comunicações Móveis), um padrão para comunicações móveis no mundo usado por mais de 1 bilhão de pessoas em mais de 200 países.

Com a inspiração correta, comecei pelo método de criptografia dos dados utilizado para proteção da comunicação. Sabemos que a criptografia para o 3G é provida por um algoritmo (cipher) chamado KASUMI, que, se bem usado, torna muito difícil a visão do que está trafegando. Neste momento, veio a imagem na minha mente de um dispositivo colocado depois da antena, dentro da empresa de telefonia, coletando as informações sem criptografia nenhuma. Foi inevitável lembrar do caso Edward Snowden, revelando o que todo o profissional de segurança já sabia a respeito da espionagem feita pelos Estados Unidos.

Navegando com mais profundidade no tema, pude verificar que é possível uma variação de um ataque antigo chamado man-in-the-middle (homem-no-meio), no qual o atacante se infiltrava na rede de dados, interceptava os dados e enviava pacotes específicos para simular o destino desejado, capturava o pacote, copiava o que queria e depois enviava a informação para o destino verdadeiro. Por que não usar isto com telefonia celular? Faz todo o sentido, certo?

A resposta é sim, mas isso não é tão simples de ser feito. Se o atacante emitisse um sinal simulando uma antena de telefonia e mudasse a chave de criptografia para um padrão que ele soubesse como descriptografar (KASUMI (A5/2)) para só depois enviar para a antena verdadeira mais próxima, a invasão estaria feita.

Foi neste momento que parei, fui tomar um café e verificar se não estava muito paranóico. Decidi olhar para algo mais simples, que é o padrão de desenvolvimento dos aplicativos. O fluxo de desenvolvimento, nos padrões da correria frenética para manter os prazos, sem cultura de segurança, sem criptografia, confiando na segurança da transmissão de celular, me fez ver elementos mais simples. Permitindo que as informações fossem obtidas no próprio dispositivo antes do envio.

Claro que temos um ponto muito importante focado no desenvolvimento. Mas mudei o tema e pensei no 4G, pois vivemos o momento do 4G! Teremos realmente uma comunicação mais segura implantada nele?

Já existem especialistas que questionam isto e dizem que a resposta é um destacado "não". O desenho para obter velocidades mais elevadas penalizaria a segurança de dados, deixando a rede mais vulnerável a um ataque, quebrando a proteção da transmissão, expondo senhas, informações de localização, endereços de rede e chaves de criptografia.

A discussão é ampla e daria um tema para outro artigo. O que devemos ter em mente é independente da segurança do padrão de telefonia usado. Temos que questionar o quanto o aplicativo que estamos usando é realmente seguro. Na minha opinião, ele tem que seguir as mesmas regras de segurança que usamos na comunicação Web em um notebook, por exemplo. São as nossas informações bancárias ou as informações da nossa família que estão sendo trafegadas. É responsabilidade da empresa que desenvolveu o aplicativo (e não da Apple ou do Google) prover isto.

Denis Augusto Araújo de Souza, arquiteto de Soluções do UOLDIVEO, autor do livro em português sobre FreeBSD, O Poder dos Servidores em Suas Mãos. Segunda edição: ebook publicado pela Amazon.com.br.

Links Indicados:
KASUMI Cipher: http://en.wikipedia.org/wiki/KASUMI
Chave de criptografia fraca: http://en.wikipedia.org/wiki/A5/2
A Segurança do 4G: http://www.dailymail.co.uk/sciencetech/article-2569096/Is-4G-putting-mobile-risk-Super-fast-networks-not-secure-older-slower-systems-claims-expert.html
Edward Snowden: http://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edward-snowden-que-revelou-espionagem-dos-eua.html

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.