Telefone seguro da ABIN

Após a ABIN entregar ao Presidente Michel Temer e dispor para os demais chefes de estado um telefone seguro, encriptado e à prova de intrusões segundo o noticiário, uma série de perguntas e questionamentos relevantes foram feitos, de maneira geral, os questionamentos à nós enviados, foram feitos com base na afirmativa de que a ABIN desenvolveu um smartphone à prova de intrusão, e com criptografia que garantisse a completa proteção dos dados armazenados ou em tráfego.

Porquê eu não acredito na segurança desses telefones utilizados por autoridades no mundo inteiro?

A maioria dos fornecedores de comunicações, especialmente as militares, utilizam algoritmos criptográficos ultrapassados no que tange à sua capacidade. Apenas para ilustrar, o Tetrapol que é a espinha dorsal das comunicações de forças policiais estaduais e federais, utiliza um algoritmo de embaralhamento (scrambling) com chave de codificação fornecida pelo fornecedor onde a chave é a mesma para todos os operadores. Este é, no meu ver, um erro crasso de segurança da informação, não obstante, a própria chave de codificação é de fácil leitura e composta de uma matriz única de poucos caracteres ou bits.

Se entendermos as legislações de vigilância de alguns países, onde o conceito de coleta de comunicações ou inteligência colaborativa que obriga fornecedores de hardware, sistemas operacionais, provedores de internet etc à reterem e fornecerem dados digitais de seus usuários ou clientes, ou o acesso para estes governos e suas respectivas agências de aplicação da lei à computadores, servidores, dispositivos etc.

Ao analisar o modus operandi das tecnologias desenvolvidas pela indústria de inteligência, apenas suas tecnologias e não a ampla doutrina de inteligência, entenderemos então que sempre haverá uma porta de entrada (ou um brecha) para acesso por parte de governos estrangeiros, por intermédio de fornecedores tecnológicos (espionagem) e através da aplicação da lei onde os respectivos fornecedores tecnológicos estão sob jurisdição (aplicação da lei e garantia do direito).

Muitos fornecedores de coleta de inteligência colaborativa, apenas mitigam os dados fornecidos pelas empresas provedoras de internet ou tecnologia de maneira otimizada. Outros fornecedores de inteligência, em caráter intrusivo, possuem vetores de intrusão para cada sistema operacional. É importante destacar que smartphones são microcomputadores e, na medida em que a comunicação cada vez mais migra para o ambiente TCP/IP, mais e mais os malwares serão capazes de infectar ou coletar dados digitais.


A ABIN acaba de lançar um celular que garante ser totalmente seguro, impedindo que intrusos possam grampear e ouvir conversas. Isso é possível?

Já publiquei em outras oportunidades os conceitos de Coleta de Inteligência Passiva, Colaborativa e Intrusiva e seus modelos híbridos, para dados digitais baseado em tecnologias de vigilância e inteligência. Uma delas foi publicada na revista Segurança e Defesa edição nº 124, o artigo na íntegra pode ser lido aqui:
www.assuntosmilitares.jor.br/2017/05/pol…-ciber-defesa-e.html

Não acredito ser possível analisando apenas do ponto de vista de modelo “Colaborativo” de coleta de inteligência, onde as empresas fornecem acesso ou dados para governos. Em 2016, o sistema operacional Android utilizado pelo serviço secreto brasileiro, e fornecido para a presidência e chefes de estado, enviou dados de 700 milhões de usuários para o governo Chinês, este é um número assustador, e os dados até onde se sabe iam desde textos de SMS, geolocalizações, listas de contatos, logs de chamada e outros dados não revelados (de acordo com a empresa Kryptowire) (1).

Esta vigilância em massa não era transparente para os usuários Android, e mesmo que os seus usuários quisessem, eles jamais saberiam que estes dados estavam sendo transferidos.

A empresa responsável por desenvolver a atualização que coletou estes dados de usuários em território norte-americano, se desculpou em nota pública e reconheceu o erro. Entretanto, a mesma empresa presta serviço para dois grandes fornecedores de sistemas de vigilância em massa e inteligência (leia-se “espionagem”) para o governo Chinês.

Partindo do pressuposto que a presidência, a ABIN e chefes de estado Brasileiros fossem identificados por agências estrangeiras, e baseado em um modelo de espionagem intrusivo, ao menos em 2013, dois dos maiores fornecedores de malwares governamentais possuíam um vetor permanente com 40 metodologias e técnicas diferentes de intrusão em sistemas operacionais baseado em Android, Windows e iOS, na ocasião, não estavam disponíveis ainda para Linux (estavam em desenvolvimento).

Eu conheço a fundo alguns destes softwares, e posso afirmar que todos coletam dados de câmera e microfone, sem que o usuário saiba e os envia com outros dados pessoais para os seus operadores, estes sistemas também podem executar comandos remotos em celulares, desabilitando firewalls, anti-vírus etc.

Pode a ABIN impedir uma campanha de phishing via e-mail, SMS ou Flash SMS? O ministério da defesa do Reino Unido, Hillary Clinton e o Partido Democrata nos EUA não foram capazes, pois muitas destas vulnerabilidades são inerentes ou às tecnologias, ou ao desconhecimento das vítimas de ataques.

Um celular totalmente seguro que atendesse à segurança de estado dependeria de muitas iniciativas e esforços, mas de maneira resumida, começaria por:

1) Hardware nacional exclusivo, de projeto fechado, com sistema operacional igualmente nacional e fechado, com operação conjunta que evite a sua substituição por outros sistemas de mercado, sem backdoors vindos de fornecedores internacionais de hardware e software;

2) Camadas de software adicionais, de ciber segurança, para evitar a execução de malwares, maliciosos que exploram brechas de segurança convencionais (que utilizam protocolos de comunicação padronizados no mundo, com os quais o sistema do aparelho – seja qual for – tem que lidar para se comunicar) diariamente publicadas e exploradas por hackers, e governos.

3) Minimização das operações realizadas pelo aparelho em redes públicas, de voz e dados, preferencialmente com implementação de um canal de comunicação de voz e dados privativo, não diretamente conectado à internet e monitorado pela inteligência local, exclusivo para os altos escalões de governo;

4) Camadas de criptografia 100% nacional para proteção de todos os dados armazenados no aparelho e/ou trafegados, isto porque a criptografia sofre embargos explícitos, na medida em que é limitada por lei em alguns países e nos tempos atuais, esta capacidade está propositadamente restringida, ou seja, qualquer microcomputador pessoal é capaz de quebrar a criptografia de comunicações civis e militares, ou quaisquer outras de alto valor político ou econômico.

O esforço da ABIN é portanto pertinente, mas não resolve estas vulnerabilidades conceituais.

Haveria um modo, alguma tecnologia, que poderia impedir a intrusão nos celulares?

Se houvesse tal tecnologia, a NSA, NASA, FBI, Casa Branca, e tantas outras instituições com alto-investimento em segurança e pessoal qualificado já não teriam implementado?

O nosso pressuposto na MarkzCorp não é neutralizar e resolver o problema da intrusão que é muito abrangente, mas o que acontece após o acesso não autorizado ou a intrusão.

Com algoritmo de codificação ou criptografia próprio, 100% nacional, de blocagem totalmente parametrizável, com potencial escalar incomparável no mundo e com chaves extremamente mais largas que as usadas no mundo atualmente, mesmo por tecnologias militares (com semelhantes disponíveis talvez apenas em instituições militares ao redor do mundo, em caráter sigiloso ou experimental).

Apenas para exemplificar, operamos criptografia sem limite de blocagem, chaves na casa dos Mb, Gb ou Tb (milhões, bilhões ou trilhões de bits), I/O otimizado em linguagem de máquina para todos os sistemas e hardwares; enquanto que o mercado ainda opera com soluções criptográficas relativamente simples (baseadas em princípios que datam de quase três décadas atrás), tais como criptografia com blocos de dezenas/centenas de bits e baseada em funções polinomiais.

Impedir a intrusão é possível? Não. Porém, impedir a leitura dos dados coletados na intrusão por muitos anos ou décadas, sim, é possível!

No mundo, os chineses estariam mais avançados em quebrar a segurança desses celulares para espionar conversas? Ou outros países detém igual tecnologia e ninguém está totalmente seguro?

Muitos países estão “avançados” na vigilância digital, tanto em tecnologia como em legislação. Acredito que tanto China, como Rússia, França, EUA e Reino Unido, Israel e em outros há esta preocupação. Eu particularmente não sou contra a vigilância digital para a garantia do direito e aplicação da lei, pois entendo que as comunicações migraram para a internet. Entretanto, a mesma legislação e capacidade técnica para a aplicação da lei e garantia do direito são comumente utilizadas por governos para vantagens indevidas e espionagem, além é claro do cerceamento do direito e privacidade como consequência direta e imediata.

Na China o problema da vigilância digital ou em massa por parte de nações estrangeiras foi resolvido de uma maneira autoritária mas eficiente e simples, onde bloqueia-se todo o acesso por parte de provedores de comunicação digital (apps e mídias sociais) e libera-se apenas o WeChat que faz tudo o que Facebook, WhatsApp, Instagram e demais fazem (em um ponto central de monitoramento governamental).

Desta maneira, provedores de internet não exportam para dentro da China as suas respectivas leis de vigilância e acesso aos dados digitais naquele país coletando dados em larga escala (tal qual a China já fez em território norte-americano, ou o próprio EUA ao redor do mundo) de acordo com as fontes oficiais de imprensa.

Não há dúvidas de que as empresas de tecnologia estão investindo pesado em segurança e privacidade para os seus usuários, como também não há dúvidas de que todas elas cumprem com a legislação de seus respectivos países de origem (ou onde estão sob jurisdição), e é por isto que muitas empresas de segurança não podem atuar em países que obrigam empresas a ceder dados de usuários, ou chaves de acesso e backdoors.

Em caráter demonstrativo, listamos apenas duas tecnologias intrusivas de governo capazes de acessar ou invadir dados de dispositivos móveis e como governos se preparam para coletar dados em caráter intrusivo.

fontes:
www.kryptowire.com/adups_security_analysis.html
labsblog.f-secure.com/2015/09/17/the-duk…ian-cyber-espionage/

Be the first to comment

Leave a Reply