John Naughton
Svocê sabe o que fazer. Você está fazendo login no seu banco ou em outro serviço (Gmail, para citar apenas um) que usa regularmente. Você insere seu nome de usuário e senha e o serviço informa que enviará uma mensagem SMS com um código que você pode usar para confirmar se é realmente você quem está conectado. É chamado de “autenticação de dois fatores” (2FA) e ela é considerada a melhor prática em nosso mundo conectado, já que as senhas e os detalhes de login podem ser facilmente quebrados.
Infelizmente, o nosso mundo é perverso e também conectado em rede, e essa mensagem SMS pode ser redirecionada para o telefone de outra pessoa – o do criminoso que fez login usando seus dados pessoais fraudados – e que agora está ocupado esvaziando sua conta corrente.
Esse tipo de trapaça é possível há anos. Acabei de encontrar um relato sobre isso acontecendo com clientes do banco na Alemanha em 2017, mas os especialistas em segurança já alertavam sobre isso muito antes disso. Na raiz do problema estão a segurança crónica vulnerabilidades no SS7um protocolo técnico misterioso, com décadas de existência, para roteamento de chamadas e mensagens telefônicas, que está incorporado em todos os sistemas telefônicos.
Essas vulnerabilidades podem ser explorado por hackers causar vários danos: rastrear qualquer telefone celular em qualquer lugar do mundo; ouvir chamadas; ler e redirecionar mensagens SMS; interceptar o tráfego da Internet; e interferir na conectividade do usuário ou na disponibilidade da rede, para citar apenas alguns. Mas o SS7 também é o que permite que seu telefone permaneça conectado durante uma chamada enquanto você está em um trem passando por muitas células locais. Portanto, é parte integrante do sistema de telefonia móvel – a cola que mantém todo o sistema unido.
Poderíamos dizer que é demasiado grande para falir, o que pode explicar por que razão as grandes empresas de telecomunicações têm sido relutantes em enfrentar as suas manifestas desvantagens. Esta indolência agora intervenção desencadeada pelo regulador dos EUA, a Comissão Federal de Comunicações (FCC), possivelmente porque o senador do Oregon, Ron Wyden, começou a descrever as vulnerabilidades do SS7 como uma questão de “segurança nacional”.
Acontece que o senador está a empurrar uma porta aberta, pois há pânico em Washington sobre a extensão e profundidade da penetração estrangeira (também conhecida como chinesa) nas comunicações e infra-estruturas críticas dos EUA, algumas das quais são sem dúvida facilitadas pelas vulnerabilidades do SS7. Numa cimeira de segurança internacional no Bahrein, em 7 de Dezembro, Anne Neuberger, do Conselho de Segurança Nacional da Casa Branca, admitiu que os ciberespiões chineses havia gravado “muito sênior” Chamadas de figuras políticas dos EUA, embora ela tenha omitido o nome das vítimas. Ela também confirmou que oito provedores de telecomunicações dos EUA foram comprometidos pelos hackers chineses.
Embora a Coreia do Norte e a Rússia também sejam vistas como adversários da segurança cibernética, os americanos parecem estar obcecados com a ameaça chinesa. Parece que três grupos de hackers em particular estão mantendo as pessoas em Washington acordadas à noite. É, como comentou um brincalhão, “temporada de tufões” na cidade – reflexo dos nomes atribuídos ao trio – Salt Typhoon, Volt Typhoon e Flax Typhoon. Flax executou uma botnet de 260.000 dispositivos até ser desmantelado pelo FBI. Os ciberespiões do Salt violaram as empresas de telecomunicações americanas Verizon, AT&T e Lumen Technologies – e também, num toque elegante, piratearam os seus sistemas de escuta telefónica (aqueles que têm de utilizar quando os agentes do FBI chegam com um mandado).
Volt, de certa forma, é o mais sinistro do trio. É especializada em infra-estruturas críticas dos EUA – sistemas de água, redes eléctricas e similares. Ele executa botnets baseados em roteadores Cisco e Netgear em fim de vida (modelos para os quais atualizações de segurança não estão mais sendo emitidas). Está ativo desde meados de 2021 com o objetivo, de acordo com a Microsoftde construir a capacidade de perturbar infra-estruturas críticas de comunicações entre os EUA e a região da Ásia durante crises futuras. (Uma invasão chinesa de Taiwan, talvez?) As organizações afectadas “abrangem os sectores das comunicações, indústria transformadora, serviços públicos, transportes, construção, marítimo, governamental, tecnologia da informação e educação”. A inferência é que o Volt “pretende realizar espionagem e manter o acesso sem ser detectado pelo maior tempo possível”.
Então, como a tecnologia empresas fazem fila para doar milhões ao fundo de posse de Trump, dois dos três grupos de hackers chineses nomeados após tempestades ainda estarão silenciosamente causando estragos no quintal digital dos EUA. A ideia do Salt Typhoon hackear os sistemas de escuta telefônica do próprio FBI é particularmente deliciosa. Enquanto isso, os telefones celulares em todos os lugares permanecerão vinculados a um protocolo antigo que é tão seguro quanto uma barraca para duas pessoas durante um furacão. E quando Trump for a Pequim para fechar o acordo com o seu colega imperador, Xi Jinping poderá presentear o seu visitante com um livro encadernado em couro com todas as suas conversas telefónicas privadas desde 2016.
Feliz ano novo!
após a promoção do boletim informativo
O que tenho lido
Cego pela luz
Delírios Ópticos é uma bela explosão no blog de Tina Brown sobre a estranha atração do brilho Trumpiano para muitos americanos.
Desafio universitário
Como a Ivy League quebrou a América – o título de um longo ensaio de David Brooks no atlântico sobre os males da “meritocracia”.
Para senhor, com amor
Recuperando o ensaio: duas memórias. Um lindo texto de Richard Farr sobre como é ter um ótimo professor.