Em comunicado emitido à imprensa nesta quarta-feira, 25, a Gemalto informou que o roubo da chave de criptografia de SIMcards, em ação conduzida por agentes dos serviços secretos norte-americano e britânico, "provavelmente aconteceu", mas teria comprometido um número limitado de chips. A brecha usada pelos espiões teria sido uma falha na segurança.
Ainda de acordo com a empresa, esse comprometimento teria ocorrido em 2010 e sido explorado apenas para as comunicações realizadas na rede 2G, deixando de fora as comunicações em redes 3G e 4G, e focado em teles da Ásia, Oriente Médio e África, além da Islândia. A denúncia sobre o hackeamento de SIMcards foi noticiada na semana passada no site The Intercept, com base em documentos fornecidos pelo ex-agente da NSA, Edward Snowden.
A Gemalto afirma que conduziu uma investigação com base nos referidos documentos e por meio de ferramentas internas de monitoramento. A companhia diz que tentativas de ataques sofisticados são comuns e que "a maioria não é bem sucedida e apenas algumas penetram nos mais altos níveis de nossa arquitetura de rede altamente segurada". Ela reconhece que em 2010 e 2011 foram detectadas duas intrusões que poderiam estar relacionadas à operação, ambas com alvo em funcionários da companhia holandesa utilizando técnicas de engenharia social para instalar códigos maliciosos em computadores, mas assegura que nada passou para outras partes da rede, inclusive na atividade de SIMcards ou gerenciamento de banco de dados. "Na época, não conseguimos identificar os autores, mas agora achamos que podem estar relacionados à operação da NSA e da GCHQ."
Por haver dificuldade de se conseguir informações sobre as chaves dos SIMcards, as agências teriam então mudado de alvo, procurando interceptar a comunicação entre operadoras e a fornecedores de chips na hora de baixar as chaves para desencriptar as comunicações. A investigação da companhia concluiu que os ataques usaram como alvo teles do Afeganistão, Iêmen, Índia, Irã, Islândia, Paquistão, Sérvia, Somália e Tajiquistão. Quando operadoras utilizavam "métodos de troca de dados seguros, a técnica de interceptação não funcionou", indicando ainda que os ataques foram mal sucedidos em particular com as empresas paquistanesas. "No entanto, em 2010, esses métodos de transmissão de dados não eram universalmente utilizados e certos operadores e fornecedores optaram por não usá-los. No caso da Gemalto, o sistema de transferência segura era prática padrão e seu não uso apenas ocorreria em circunstâncias excepcionais."
A companhia tenta ainda apontar erros nos supostos documentos vazados, afirmando que, por exemplo, nunca vendeu SIMcards para quatro das 12 operadoras listadas, "em particular a tele somaliana que reportou o roubo de 300 mil chaves". A lista ainda aponta centros de personalização dos chips no Japão, Colômbia e Itália, mas a Gemalto alega que não possuía tais centros nesses países na época dos ataques. Além disso, afirma que 2% das chaves de criptografia vieram de fornecedores de SIMcards, mostrando que o método de segurança funciona melhor do que em outros alvos.
Redes comprometidas
O comprometimento de redes 2G é reconhecido, em particular por conta da própria defasagem da tecnologia em relação à segurança, mas afirma que as chaves interceptadas teriam "uso limitado" já que a maioria dos chips ativos era de base pré-paga, que a Gemalto afirma que tem um "ciclo de vida muito curto, tipicamente entre três e seis meses". Essa brecha na rede de segunda geração já teria sido resolvida com a introdução de algoritmos proprietários da Gemalto, ainda utilizados como nível extra de proteção. Além disso, as tecnologias mais recentes, 3G e 4G, possuem melhores técnicas de segurança. "Se alguém interceptou chaves de criptografia usados em SIMs 3G ou 4G, eles não poderão se conectar às redes e consequentemente não poderiam espionar as comunicações", assegura. A fornecedora garante ainda que a tecnologia desses cartões tem sido atualizada periodicamente, em particular com as teles que usam algoritmos embutidos da Gemalto.
"A Gemalto gostaria de reiterar seu comprometimento em prover os melhores níveis de segurança para aplicações civis. Nossos produtos de segurança, infraestrutura e processos são desenhados para garantir o nível mais alto de segurança em um ambiente global, aberto e comercial. Esses são regularmente auditados e certificados por organizações terceirizadas privadas e públicas." A companhia, no entanto, reconhece que agências governamentais, "especialmente quando trabalham juntas, possuem recursos e suporte legal para ir muito além do que hackers típicos e organizações criminosas". Dessa forma, a empresa garante que continuará a monitorar as redes para melhorar processos e diz que só voltará a se manifestar sobre o assunto no caso de algum desenvolvimento significativo acontecer.