O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: GSM - Escrito em: 1998-04-13 - Publicado em: 1998-04-20


Quebrado o código secreto dos celulares digitais


De que adianta toda essa coisa de criptografia se, volta e meia, aparece na mídia uma nova revelação de que este ou aquele código secreto foi quebrado por um grupo de estudiosos? Pois aconteceu novamente: quebraram o GSM. Para que você entenda bem o que isso significa, vamos dar uns passinhos atrás e contar um pouco mais dessa história.

Quando surgiu a febre dos telefones celulares comuns, os celulares analógicos, o pessoal começou a se estrepar quando confiou na privacidade das conversas. Qualquer pé rapado munido de um scanner de freqüências e um pouco de habilidade podia interceptar a ligação e ouvir o papo todo. A turma ficou de cabelo em pé diante da possibilidade de que seus segredos vazassem. Surgiu então a necessidade de um esquema mais seguro para a telefonia celular. Foi aí que entrou em cena o padrão GSM (Groupe Speciale Mobile), desenvolvido por empresas européias concessionárias de telefonia celular, associadas a diversos fabricantes desses equipamentos. O GSM logo emplacou e foi adotado como a bíblia dos celulares digitais no mundo inteiro, com cerca de 79 milhões de aparelhos funcionando no planeta. A norma GSM é um parrudo calhamaço de 130 volumes e mais de 6 mil páginas, das quais apenas uma pequena parte, escrita em junho de 1988 pela empresa inglesa Racal Research Ltd., define os códigos criptográficos usados para conferir maior segurança às comunicações. Acontece que o projeto de segurança foi conduzido inteiramente em segredo e é mantido sob sete chaves até hoje. Os fabricantes envolvidos no projeto só ficaram sabendo do mínimo necessário sobre o assunto, de modo a poderem produzir os equipamentos. Graças ao acesso que tiveram a documentos originais que acabaram vazando, uma equipe de fuxiqueiros quebrou o código e aproveitaram para declarar que, sempre que um projeto dessa natureza é tocado em segredo, sem revisão e aprovação públicas, acaba produzindo sistemas inseguros.

Os feras que conseguiram mais essa façanha foram Marc Briceno <[email protected]> da SDA (Smartcard Developer Association) e a dupla David Wagner <[email protected]> e Ian Goldberg <[email protected]> do ISAAC (Internet Security, Applications, Authentication and Cryptography) da Universidade da Califórnia em Berkeley. Para quem quiser visitar os sites deles, o do SDA fica em <www.scard.org> e o ISAAC atende no endereço <www.isaac.cs.berkeley.edu>.

O SDA se meteu com os aspectos de segurança do padrão GSM porque os celulares digitais aderentes a essa norma utilizam um pequeno smartcard enfiado em suas entranhas contendo a identificação do aparelho. Este cartãozinho é chamado SIM (Subscriber Identification Module – Módulo de Identificação do Assinante) e lança mão de recursos de criptografia para armazenar em segredo a identidade do dono. A equipe liderada pelo Marc organizou e coordenou as atividades de fuxicação que levaram à descoberta de uma brecha na proteção criptográfica, permitindo a obtenção da informação secreta gravada no SIM. De posse deste pequeno tesouro, foi possível inserir esta identificação num outro SIM, criando um clone do celular original, que supostamente seria invulnerável a mamatas como esta.

A turma da SDA encontrou a tal falha quando descobriu os algoritmos criptográficos usados nos SIMs. Primeiramente eles checaram se os algoritmos estavam corretos, ou seja, se de fato faziam o que publicamente era anunciado que fariam. Em seguida conclamaram os dois cobras Wagner e Ian para cairem de boca no algoritmo. Os dois mastigaram um monte de matemática preta, envolvendo conceitos cabeludos tais como: ataques 2-R (em 2 rounds), colisões de chaves, butterflies, S-boxes e outros palavrões do jargão da cripto-análise diferencial. Assim, no mesmo dia, depois de horas de trabalho violento, encontraram um erro fatal no safado do algoritmo de autenticação COMP128, uma instância do código GSM A3/A8, que, aliás, está aberto à visitação pública em <www.scard.org/gsm/a3a8.txt>. Matutaram um pouco e acharam uma forma de explorar esse erro, pedindo repetidamente ao SIM que se identificasse e processando as respostas que o módulo devolvia aos trancos e barrancos. Para armar o circo, precisaram ter acesso físico ao SIM alvo, uma leitora de smartcard disponível no mercado profano e um computador para dirigir as operações. Para matar sua curiosidade, veja a foto do celular e do equipamento empregado nessa fascinante descoberta: <www.scard.org/gsm/clone.jpg>. Cerca de 150 mil requisições foram feitas ao smartcard pela leitora, que é capaz de acionar 6,25 chamadas por segundo, totalizando oito horas seguidas de ataque, somadas a mais alguns minutos de computação adicional para processar e analisar as respostas dadas pelo módulo.

Modestamente, David Wagner declarou que a técnica de ataque que empregaram nada tinha de original, já tendo sido detalhadamente descrita na literatura dedicada ao projeto de funções criptográficas de "hash". David, que já é macaco velho nessa arte de burlar esquemas de proteção em celulares, tendo já quebrado o código CMEA para celulares digitais, afirmou que o código GSM jamais poderia ter sido decifrado tão rapidamente se tivesse sido submetido à revisão pública. Segundo ele, nenhuma equipe é mais capaz do que o esforço conjunto de toda a comunidade criptológica mundial de pesquisadores. Os caras do GSM quiseram brincar de segredinho e acabaram se dando mal, pois hoje em dia, só nos EUA, vinte companhias telefônicas abraçam o padrão GSM. Uma delas é a empresa Omnipoint <www.omnipoint.com/pr/8797.htm> na costa leste americana, que se gabava dizendo que "a aliança GSM removeria o fator ‘medo’ que envolve o uso da telefonia celular", alegando que os usuários não precisariam mais dos códigos pessoais de identificação (PIN) em seus celulares. Mas a companhia que parece ter se dado mal mesmo nessa história toda foi a Pacific Bell <www.pacbell.com/ir/products/wireless/pcs/technology/gsm.html> na costa oeste americana, que afirmava categoricamente que o "GSM é a espinha dorsal de complexas técnicas de codificação criptográfica que eliminam o risco de escuta indevida e clonagem em celulares digitais, reduzindo o risco de que usuários não autorizados possam fazer chamadas telefônicas fraudulentas". Aliás, foi no SIM Schlumberger de um celular da própria Pacific Bell que o grupo ISAAC teve sucesso em explorar a falha. A empresa deve ter perdido muitos pontos perante a opinião pública na área de San Francisco, Califórnia. Ela havia veiculado anúncios até bem simpáticos em outdoors por toda a cidade, mostrando uma ovelha tipo Dolly, e dizendo que os celulares Pacific Bell não poderiam ser clonados como foi o famoso ovino. Como se sabe, celulares clonados são amplamente utilizados por criminosos que vendem serviços telefônicos internacionais e interurbanos utilizando equipamentos com a identificação surrupiada de outros. Infelizmente o potencial de fraude é brutalmente agravado, pois as empresas concessionárias confiam meio que cegamente na robustez de seus esquemas de proteção criptográfica. A maioria dos sistemas de telefonia celular nem ao menos checa se, num dado instante, dois telefones com a mesma identificação estão on-line, o que já seria uma clara evidência de mutreta no ar. Os participantes da mailing-list "scard" apontam que, na Europa, é possível a qualquer cidadão alugar anonimamente um celular GSM bem barato, o que permitiria a um espertinho clonar o aparelho sem deixar pistas.

Muito embora a norma GSM permita o uso de algoritmos diferentes do malfadado COMP128, até agora a SDA ainda não encontrou uma rede sequer que tivesse adotado outra opção, nem mesmo nos EUA. A falha descoberta pode ser corrigível, porém pode ser apenas a primeira de uma família de vulnerabilidades correlatas. Não se pode produzir contramedidas de imediato sem que se conheça adequadamente o potencial de existirem outros pontos fracos no esquema do GSM. Uma possibilidade aterrorizante é a de ataques à distância, coisa que ainda não se verificou na presente novela. Diferentemente da falha acima descrita, um ataque assim extrairia o código secreto do SIM de um celular sem o conhecimento de seu proprietário e sem necessitar da posse física do aparelho para realizar a manobra de fuxicação. Tais ataques remotos são bastante comuns em celulares analógicos nos EUA, gerando prejuízos anuais de até US$ 500 milhões para as concessionárias. De qualquer modo, qualquer iniciativa de sanar o problema agora seria deveras onerosa, já que todos os SIMs deveria ser reemitidos, além de ser necessário um upgrade de software. As alterações seriam poucas, mas o total de mudanças em toda a base instalada seria algo bem brabo.

Como se não bastasse toda essa confusão, o pessoal da SDA descobriu que o esquema criptográfico do GSM pode ter sido deliberadamente enfraquecido. O código usado, chamado A5, é chaveado no GSM com apenas 54 bits de entropia, o que representa um enfraquecimento de até 1000 vezes no código usado para privacidade de voz. Trocando em miúdos, o A5 baseia-se numa chave de 64 bits, sendo que apenas 54 desses bits eram usados, estando os 10 restantes zerados. Segundo Marc Briceno, a única interessada em debilitar um esquema que permitiria maior privacidade em conversas telefônicas seria uma agência governamental de segurança, informações e inteligência. Assim, os poderosos computadores de uma dessas agências poderiam, sem grande dificuldade, decodificar conversas telefônicas travadas via celulares GSM. Os consumidores batem palmas para a privacidade e os fabricantes e operadoras de redes não aumentariam seus custos ao utilizarem a chave completa. Mas as entidades do Big Brother sempre querem uma brechinha para bisbilhotar quem seja de seu interesse. O que acontece com o GSM certamente também se dá com muitos outros sistemas de criptografia débil, como atestam os ridículos tamanhos de chave usados por programas americanos voltados à exportação.

Os pesquisadores batem insistentemente na mesma tecla, declarando-se sempre favoráveis a esquemas criptográficos que tenham passado pelo crivo da revisão pública. As implicações para o comércio eletrônico via Internet são óbvias. Se as transações se basearem em códigos e algoritmos secretos, mais cedo ou mais tarde um gênio desses vai quebrar os ditos cujos. Por sorte, há sinais de que os fabricantes estejam acordando para essa realidade. Padrões como o SET, mesmo tendo sido desenvolvidos pela iniciativa privada, encontram-se à disposição do público para revisão. A lição para as companhias usando esquemas de proteção é que abram o olho para o processo de criação e projeto de seus módulos de segurança. Quem não rezar por essa cartilha certamente terá prejuízos bem pesados, a cada vez que ocorrer uma dessas catástrofes de vazamento de informações em operações de comércio eletrônico.


[ Voltar ]