0
0
Uma vulnerabilidade no sistema de sinalização 7 ( SS7 ), protocolo para comunicação entre operadoras de telefone celular, representa risco à privacidade e segurança de dados de smartphones . A falha pode ser usada por criminosos e hackers para roubar informações, cometer fraudes e fazer interceptação de chamadas, alerta Dmitry Kurbatov, diretor de tecnologia da Positive Technologies, empresa russa que oferece soluções de segurança para teles em vários países.
Em entrevista concedida ao GLOBO, ele afirma que oferecer segurança do sistema é obrigação das empresas fornecedoras. E o consumidor deve cobrar as operadoras.
O que é esta vulnerabilidade no protocolo SS7?
É uma deficiência na arquitetura. O protocolo foi introduzido há mais de 30 anos, para linhas fixas de telefone. Naquela época existiam poucas companhias telefônicas, e para ter acesso ao SS7 era preciso ser uma delas. Com o tempo a rede cresceu, novos serviços foram introduzidos. Hoje, a rede está enorme e o protocolo continua sem controle ou ferramentas de segurança, porque foi criado dessa forma.
Durante tanto tempo a vulnerabilidade estava lá e ninguém percebeu?
Não posso dizer que ninguém sabia, porque ela foi descoberta em 2005 por pesquisadores. Quando se faz pesquisas acadêmicas, as informações são compartilhadas com colegas e pessoas da indústria, mas ninguém se importou porque não havia incidentes na vida real. As empresas não gastam dinheiro se o problema não existe. Em 2013 nós demos um novo alerta, apontando a dimensão dos riscos, e a vulnerabilidade começou a se tornar conhecida. Então, as pessoas começaram a se importar e a tentar mitigar.
Como um criminoso pode explorar essa falha?
Existem diferentes atores se aproveitando desta vulnerabilidade. O primeiro é o mais fácil de explicar, é o criminoso atrás de dinheiro. Ele pode explorar as redes móveis para coletar dados de assinantes e revendê-los no mercado, ou interceptar mensagens de texto para fraudar serviços bancários com autenticação em dois fatores, que confiam no SMS para a configuração de nova senha. O segundo grupo é de hacktivistas, que podem interceptar o tráfego de pessoas importantes para ouvir conversas, ou derrubar redes com ataques de negação de serviço, apenas para mostrar que são poderosos. No último grupo estão agentes ligados a governos, que usam a vulnerabilidade para operações secretas de monitoramento e espionagem.
E essa falha ainda está sendo explorada?
Com certeza! No início do ano, um banco do Reino Unido reconheceu que alguns clientes foram comprometidos e os criminosos roubaram uma grande quantidade de dinheiro. Após as investigações, o banco informou que não apenas o seu sistema, mas também a rede móvel havia sido comprometida.
E ela também pode ser usada para vigilância em massa?
Sim! Exatamente! Quando fizemos a análise dessa ameaça, notamos que 95% dos ataques que estão acontecendo são de vigilância em massa. Mas não parecem ser ataques de agências de inteligência, mas com o propósito de coletar os IDs de telefones e localização, porque essas informações podem ser revendidas para outras empresas, para complementar os perfis dos consumidores.
Já houve casos de acesso a conversas em aplicativos de mensagem de autoridades. É possível fazer isso com o SS7?
Facilmente.
O que um hacker precisa para explorar essa vulnerabilidade? Basta um smartphone?
É um pouco mais complicado, é preciso conseguir acesso a essa rede central. É possível comprar legalmente, como nós fazemos para realizar testes de intrusão, mas o acesso também é facilmente encontrado em mercados ilegais na web. Ou, a forma mais simples, basta subornar um engenheiro que trabalhe numa operadora.
Então são operações grandes, não de um hacker sozinho.
Não podemos estimar a dimensão. Uma pessoa é o suficiente para abrir uma empresa, comprar o acesso à rede SS7 e roubar informações de todas as operadoras do mundo que ainda estão vulneráveis. Não precisa de 15 pessoas, basta uma, com as habilidades técnicas necessárias.
E isso é caro?
Se você me fizesse essa pergunta há 5 anos, eu diria que sim. Mas com o passar do tempo, o conhecimento é difundido e hoje é possível encontrar no Google informações sobre como explorar esta falha.
Por que a vulnerabilidade não é consertada?
O SS7 é um canal de confiança entre diferentes operadoras, e foi criado dessa forma. Quando queremos introduzir alguma proteção em dados transmitidos, usamos a criptografia, para garantir a integridade das informações e a confiabilidade do remetente. No SS7 isso não é aplicável. Então, se uma operadora envia uma mensagem para a sua rede, você precisa confiar, porque não há como verificar se a fonte da informação é confiável ou não.
O que as operadoras podem fazer?
Ações de mitigação, da mesma forma que aconteceu com a internet. O protocolo TCP-IP também não foi criado como um canal seguro de comunicação, então quando a indústria identificou hackers, vírus e outras ameaças, respondeu com firewalls, sistemas de detecção de intrusão e antivírus. Passo a passo, foram introduzidos métodos de mitigação dos riscos na internet. É exatamente o que as operadoras estão fazendo.
Existe alguma estimativa de quantas operadoras ainda estão vulneráveis?
Eu só posso dizer sobre as operadoras com quem trabalhamos. No ano passado, nós auditamos cerca de 70 operadoras em diferentes países, todas que já tinham implementado medidas de segurança. Mesmo assim, 67% delas ainda estavam vulneráveis por erros de configuração das ferramentas de defesa.
E os usuários? Não basta proteger o smartphone ou o computador, porque a vulnerabilidade está na rede.
Exatamente. É preciso uma mudança de paradigma para forçar as operadoras a melhorarem a segurança. Quais são os sinais de qualidade dos serviços? Boas ligações, alta velocidade de conexão e cobertura. Os consumidores precisam perceber que confiam suas informações pessoais nesse tipo de comunicação e incluir mais uma variável nessa avaliação: a segurança. A segurança é obrigação da fornecedora, então me ofereça isso ou eu mudo para o concorrente.
É possível saber se a minha operadora está segura?
Nós delegamos essa supervisão para o governo. Aqui no Brasil, a Anatel introduz requerimentos de qualidade e segurança para as operadoras. A sociedade elege um governo, que organiza os órgãos reguladores responsáveis por supervisionar as empresas que operam no país.
Mas será que os governos estão interessados em fechar essa porta?
Eu acredito que sim. Para as interceptações locais, existem regulações para que as operadoras cumpram requisições da Justiça. Isso já está negociado. E é preciso proteger a rede contra ataques de fora do país. Não se trata apenas da perda de informação, mas da possibilidade de perder a capacidade de uso dessa infraestrutura.
Num contexto de guerra cibernética, é possível usar esse canal para interromper as telecomunicações de um país?
Exatamente! E num cenário ainda pior, com as distribuidoras montando os chamados smartgrids, se a rede de comunicações cair é possível provocar um blecaute num país ou região.
FONTE: O Globo