Falha de criptografia Faz Celulares possíveis cúmplices de roubo
Um especialista em seguran�a m�vel alem�o diz ter encontrado uma falha na tecnologia de criptografia usado em alguns cart�es SIM, os chips de aparelhos, que poderia permitir que os criminosos cibern�ticos para assumir o controle de telefone de uma pessoa.
Karsten Nohl, fundador da Security Labs Research, em Berlim, disse que o buraco criptografia permitido fora para obter a chave digital de um cart�o SIM, uma seq��ncia de 56 d�gitos que abre o chip at� a modifica��o. Com a chave na m�o, Mr. Nohl disse, ele foi capaz de enviar um v�rus para o cart�o SIM por meio de uma mensagem de texto, que deix�-lo escutar um interlocutor, fazer compras atrav�s de sistemas de pagamento m�vel e at� mesmo se passar por propriet�rio do telefone.
Ele disse que tinha conseguido toda a opera��o em cerca de dois minutos, utilizando um computador pessoal simples. Ele estima como muitos como 750 milh�es de telefones podem ser vulner�veis ??a ataques.
"Podemos instalar remotamente o software em um aparelho que opera de forma totalmente independente do seu telefone", disse Nohl. "Podemos espi�-lo. Sabemos que as suas chaves de criptografia para chamadas. Podemos ler o seu SMS de. Mais do que apenas espionagem, que pode roubar dados do cart�o SIM, a sua identidade m�vel, e cobrar a sua conta ".
Sr. Nohl � bem conhecido nos c�rculos de seguran�a. Em 2009, ele publicou uma ferramenta de software que calcula a chave de 64 bits usada para criptografar conversas em redes GSM, o que levou a ind�stria a adotar melhores salvaguardas. Sua empresa, a Research Labs seguran�a, aconselha alem�o e empresas multinacionais norte-americanas sobre as quest�es de seguran�a m�vel.
Mr. Nohl disse que a falha que ele havia descoberto foi o resultado de um m�todo de criptografia desenvolvido na d�cada de 1970 chamado padr�o de criptografia de dados, ou DES Depois de descobrir a viola��o, ele pesquisou a difus�o do problema testando cerca de 1.000 cart�es SIM em celulares rodando no celular redes na Europa e Am�rica do Norte durante um per�odo de dois anos. Os telefones e cart�es SIM foram detidas e utilizadas por ele e membros de sua equipe de investiga��o. Mr. Nohl disse que cerca de um quarto dos cart�es SIM que executam a tecnologia de criptografia mais expostos a falha.
Criptografia DES � usado em cerca de metade dos cerca de seis bilh�es de celulares em uso di�rio. Ao longo da �ltima d�cada, a maioria dos operadores adotaram um m�todo de criptografia mais forte, chamado de Triple DES, mas muitos cart�es SIM ainda corre o padr�o antigo. A criptografia � usada para disfar�ar o cart�o SIM, e, portanto, de assinatura digital �nica de um telefone celular.
Mr. Nohl compartilhou os resultados de seu estudo de dois anos com a GSM Association, uma organiza��o com sede em Londres que representa a ind�stria de telefonia m�vel, por meio de um processo de "divulga��o respons�vel." Em 01 de agosto, ele pretende apresentar todos os detalhes de sua pesquisa na confer�ncia Black Hat, reunindo um dos computadores dos hackers, em Las Vegas.
Em um comunicado, um porta-voz da Associa��o GSM, Claire Cranton, disse Nohl tinha enviado a associa��o contornos de seu estudo, que a organiza��o tinha passado junto aos operadores e fabricantes de cart�es SIM que ainda contavam com o padr�o de criptografia mais velho.
"Temos sido capazes de considerar as implica��es e fornecer orienta��es aos operadores de rede e fornecedores de SIM que podem ser afetados", disse Cranton. Ela acrescentou que � prov�vel que apenas uma minoria dos telefones usando o padr�o mais velho "pode ??estar vulner�vel."
Ms. Cranton n�o quis comentar sobre a estimativa de Mr. Nohl que 750 milh�es de telefones celulares pode estar aberto para o ataque, dizendo que a associa��o n�o quis comentar at� que ele tinha revisto os resultados da investiga��o completa do Mr. Nohl, em Las Vegas. Um grande fabricante de cart�es SIM da Gemalto, empresa holandesa, disse que a GSM Association havia dito que das conclus�es preliminares do Mr. Nohl. Um segundo fabricante de cart�es SIM, a empresa alem� Giesecke & Devrient, disse que "analisou este cen�rio de ataque."
Gemalto tem trabalhado em estreita colabora��o com a associa��o e outros grupos da ind�stria de "olhar para o primeiro esbo�o dado por Mr. Nohl", disse Gemalto em um comunicado. A empresa disse que a GSM Association j� havia divulgado as conclus�es de Mr. Nohl aos membros do grupo.
Mr. Nohl foi capaz de derivar chave digital do cart�o SIM enviando um SMS disfar�ados como tendo sido enviado a partir do operador m�vel. Portadores rotineiramente enviar mensagens codificadas especialmente para aparelhos para validar a identidade dos clientes para faturamento e transa��es m�veis.
Para cada mensagem, a rede de telefone e verificar a sua identidade, comparando as assinaturas digitais. A mensagem enviada pelo Sr. Nohl deliberadamente utilizada uma assinatura falsa para a rede. Em tr�s quartos de mensagens enviadas para telefones celulares usando criptografia DES, o aparelho reconheceu a assinatura falsa e terminou comunica��o.
Mas, em um quarto dos casos, o telefone interrompeu a comunica��o e enviou uma mensagem de erro de volta para Mr. Nohl, que inclu�a a sua pr�pria assinatura digital criptografada. A comunica��o prevista Mr. Nohl com informa��es suficientes para derivar chave digital do cart�o SIM.
Mr. Nohl disse ter aconselhado a Associa��o GSM e fabricantes de chips para usar melhor a tecnologia de filtragem para bloquear o tipo de mensagens que ele havia enviado. Ele tamb�m aconselhou os operadores para eliminar progressivamente cart�es SIM usando criptografia DES em favor de normas mais recentes. Ele acrescentou que os consumidores que utilizam cart�es SIM mais de tr�s anos de idade devem obter novos cart�es de seus portadores.
Giesecke & Devrient, em um comunicado, disse que ele tinha come�ado a elimina��o cart�es SIM usando criptografia DES em 2008. A empresa alem� disse que o sistema operacional exclusivo usado em seus cart�es SIM, mesmo aqueles em execu��o de encripta��o DES, impediria um telefone inadvertidamente enviar o tipo de "c�digo de autentica��o de mensagem" que Mr. Nohl tinha usado para perfurar a criptografia.
Mr. Nohl disse que n�o estava planejando revelar as identidades dos operadores cujos cart�es SIM tinha feito mal em seu estudo na confer�ncia Black Hat, em agosto. Mas ele disse que planejava publicar uma lista comparativa de seguran�a do cart�o SIM pela operadora em dezembro em uma confer�ncia de hackers de computador "em Hamburgo, Alemanha, chamado de Chaos Communication Congress.
Fonte: http://www.nytimes.com/2013/07/22/technology/encryption-flaw-makes-phones-possible-accomplices-in-theft.html
download file now