Quebra de criptografia GSM ultrapassada

Prévia do material em texto

Quebra de rede GSM aponta criptografia ultrapassada
 Enviado por e-Thesis
03-Jan-2010
A divulgação do livro de código (codebook) de uma rede GSM por Karsten Nohl, pesquisador de segurança alemão de 28
anos, e sua equipe de colaboradores causou furor na virada de 2009/2010. No mínimo, ela reduziu a elevada tabela de
custos e os conhecimentos técnicos necessários para se interceptar uma chamada de telefonia celular baseada na
tecnologia GSM. Mais ainda, o incidente constata o quão ultrapassada é a atual criptografia GSM e que já está mais
do que na hora de uma atualização.
O portal norte-americano CIO Today analisou, em artigo de Richard Koman, o manual que ensina a quebra da
criptografia da tecnologia GSM e afirma que o incidente "enviou ondas de choque por toda a indústria sem fio". Mas este
acidente não representa nenhuma surpresa para uma indústria que, segundo analistas, tem dado muito pouca atenção
à segurança. O artigo conta que Nohl - trabalhando com os outros via internet - criou um guia para quebrar o sistema global
para comunicação móvel A5 /1 algoritmo de 64 bits, aprovado em 1988 e adotado em 1989, usado ainda hoje pelas redes
GSM. Já as redes 3G usam criptografia de 128 bits para proteger a privacidade de quem faz a chamada a partir do
novo A/3 algoritmo, que também já está sendo "copiado" (‘phased in').Nohl assegura que o esforço de quebra é
para obter "melhor segurança" e não um simples desejo do tipo 'queremos quebrar'. "Se nós criamos mais demanda por
mais segurança, e se todas as operadoras de rede podem usar isso como um recurso de marketing... este é o melhor
resultado possível". À Associated Press, Nohl afirmou que, por ele e seus parceiros serem especialistas em segurança, o
que fizeram foi demonstrar como a quebra pode ser feita. Suas revelações se destinam a pressionar a adoção pela
indústria de criptografia de 128-bits, que seria "quintilhões de vezes mais difícil de quebrar". A quebra explora falhas em
redes GSM conhecidas há 15 anos, afirmou Nohl. "Quinze anos é tempo suficiente para se substituir algo. Ninguém
usa um telefone com 15 anos de idade. Se eles tivessem tomado medidas, poderiam ter substituído tudo por três
vezes."Andrew Storms, diretor de operações de segurança da nCircle, concorda que "a variável de qualquer criptografia é
o tempo. Só é preciso garantir que a criptografia seja forte o suficiente oferecer o sigilo da carga até que o conteúdo não
tenha mais valor. Com tempo suficiente, qualquer criptografia será quebrada. Indústria lenta na atualização de segurança 
As reivindicações de melhoria da segurança e os protestos do setor são comuns, afirmou Storms. "Como em qualquer
investigação controversa de segurança da informação, se joga um jogo de gato e rato. Os afetados reclamam, enquanto o
pesquisador alega nobres intenções. Devido à lei de Moore, era apenas uma questão de tempo antes de que o A5 /1 de
1989 fosse quebrado. O A5/3, o mais novo algoritmo, também será quebrado no tempo devido". 
Segundo o analista, a indústria de telefonia celular deve saber que a sua criptografia seria quebrada e tem sido lenta
quanto ao lançamento do mais novo A5 /3 algoritmo. "Este é um caso clássico de segurança, não sendo uma prioridade.
O que incentiva os consumidores a gastar dinheiro não é a segurança - são os gadgets e funcionalidades. Embora os
fornecedores estejam ocupados tentando cumprir metas de receita, a segurança simplesmente não tem recebido a atenção
que merece".Como um quebra-cabeçaTony Bradley do portal PC Secutity News, usa uma analogia. "Pense na criptografia
como um quebra-cabeça onde é preciso encontrar uma peça específica. Se o jogo só tem 25 peças, não levará muito tempo
para montá-lo. O mesmo acontece com um algoritmo de criptografia fraco. No entanto, se o quebra-cabeça tiver 10 mil
peças, sua decifração vai demorar muito mais".
"Conforme o tempo passa, reúnem-se mais pessoas para participar do jogo e desenvolver novas estratégias para
selecionar as peças mais rapidamente e reduzir o tempo necessário para memorizar as 10 mil peças. É desta forma que os
algoritmos mais difíceis de decifrar tornam-se com o tempo simples de serem quebrados".
Bradley lembra que é sempre possível um palpite de sorte. A quebra da criptografia tem suas estimativas baseadas na
quantidade de tempo necessário para trabalhar com todas as combinações possíveis e permutação de caracteres, para
determinar a chave de criptografia. Mas, você poderia, teoricamente, encontrar a chave na oitava tentativa ao invés de
na décima milionésima.
O GSM é a tecnologia do telefone mais utilizadas móvel do mundo - responsável por mais de 80% dos 4,3 bilhões de
telefones móveis em uso no mundo. À medida que a tecnologia evolui, os computadores dos usuários finais têm,
eventualmente, capacidade de processamento digna dos mainframes de ontem - e, também, o poder de
processamento necessário para se quebrar a criptografia se torna trivial.
e-Thesis - Tecnologia e Negócios
http://www.e-thesis.inf.br Fornecido por Joomla! Produzido em: 18 May, 2011, 20:21