- Entrou
- Fev 10, 2012
- Mensagens
- 4,161
- Gostos Recebidos
- 2
O caso Gemalto começou com um ataque de espiões em Paris, mas despertou a atenção da Imprensa Nacional-Casa da Moeda e do Gabinete Nacional de Segurança.
Nenhum português tem de saber o que é um PKI, mas cedo ou tarde cada um dos portugueses terá um Cartão do Cidadão (CC). Que por sinal até tem dois níveis de PKI. O que é um PKI? É a camada de encriptação que impede que um serviço de espionagem entre no chip do cartão e altere a informação que lá se encontra. Por que haveria um serviço de espionagem querer entrar no sistema do cartão do cidadão? Há várias respostas possíveis, mas talvez só a NSA, dos EUA, ou o GCHQ, do Reino Unido, estejam em posição de responder com toda propriedade. Afinal, foram estas duas agências de espionagem que atacaram uma das maiores fabricantes de cartões SIM para desviar chaves que desencriptam as comunicações de telemóveis em vários pontos do mundo. A empresa dá pelo nome de Gemalto. E não produz apenas cartões SIM – em Portugal, os chips da marca franco-holandesa estão presentes em milhões de cartões do cidadão.
Foi com mais uma denúncia do maior de todos os denunciantes que o “caso Gemalto” começou: Edward Snowden, a partir do seu exílio na Rússia, revelou, na semana passada, que a Agência de Segurança Nacional dos EUA (NSA) e o Comando Geral das Comunicações do Governo britânico (GCHQ) desencadearam duas vagas de ataques direcionados às redes e aos funcionários da Gemalto em Paris. Ao cabo de uma semana, as ações da Gemalto perfizeram uma montanha russa. Depois de uma queda acentuada no dia das revelações de Snowden, lá regressaram ao topo com a realização de uma conferência de imprensa que teve uma boa novidade e também uma má novidade.
A má novidade: os ataques perpetrados pelos espiões americanos e britânicos foram confirmados. A boa novidade: os ataques terão sido estancados pelas múltiplas camadas de segurança da empresa. O que permitiu à Gemalto negar qualquer risco para as redes móveis que usam tecnologias mais avançadas e também para todos os outros serviços que usam os denominados smartcards – como o cartão do cidadão, o passaporte eletrónico ou até cartões bancários e de identificação de funcionários de uma empresa.
A conferência de imprensa pode ter ajudado a tranquilizar os mercados, mas não dissipou todas as dúvidas: se a Gemalto demorou quatro anos e meio a confirmar os primeiros ataques, como é que a fabricante de chips pode garantir que o ataque não terá tido proporções maiores?
Todas estas questões também já começaram a ecoar na Imprensa Nacional - Casa da Moeda (INCM). «Estamos perante matéria sobre a qual ainda se desconhecem as reais dimensões. Pelo que a INCM se mantém atenta aos desenvolvimentos quanto à veracidade e impactos da notícia em causa, e em permanente contacto com os nossos fornecedores, para o caso de vir a ser necessária a adoção de quaisquer medidas adicionais de prevenção», refere a INCM, num e-mail em resposta às questões apresentadas pelo Exame Informática.
O Gabinete Nacional de Segurança (GNS), entidade que assume a função de auditoria do sistema, recorda que o chip usado pelo pelos CC cumprem «as mais altas exigências internacionais, nomeadamente, como mínimo a certificação CC EAL 4+». O facto de o chip oferecer tamanha segurança não impedirá o GNS de seguir o assunto. «Sempre que se verificam ataques a sistemas informáticos, o GNS, trata de se colocar a par dos mesmos». É possível que, em breve, o GNS possa fornecer mais detalhes sobre o assunto: a entidade que supervisiona as políticas de segurança em Portugal informa que está em vias de dar início à auditoria anual que costuma fazer aos sistemas que suportam o CC.
As cifras não chegam
Francisco Rente, líder da consultora de segurança eletrónica Dognaedis e autor de algumas investigações sobre o CC, diz que é cedo para tirar uma conclusão sobre o impacto que os ataques da NSA poderão ter tido nos títulos de identidade dos portugueses. «A única forma de saber é conhecer todos os dados do que está implementado. Colocar uma cifra sobre outra não chega para dizer que se tem uma solução segura», explica o Francisco Rente.
A Gemalto fornece os chips e parte da tecnologia – e a INCM acrescenta as funcionalidades necessárias para que os cartões do cidadão possam funcionar. Sobre as tecnologias da Gemalto é aplicada uma primeira camada de encriptação que é desenhada e gerida pela INCM e que conta com um primeiro nível de certificação assegurado pela Multicert. Há ainda uma segunda camada de encriptação que inclui ainda os certificados da Entidade Certificadora Raiz do Estado (ECEE).
Apesar da atenção dada ao caso, a INCM recorda que os ataques da NSA e do GCHQ apenas terão incidido nos cartões SIM, que são usados nos telemóveis para estabelecer ligações aos diferentes retransmissores que suportam as redes. «A notícia não se reporta a qualquer outro tipo de chip, pelo que não envolve nem põe em causa a segurança dos cartões bancários nem dos cartões de identificação, como é o caso do Cartão de Cidadão», acrescenta a INCM, esfriando um qualquer alarmismo que possa surgir entretanto.
Francisco Rente considera que apenas com a análise levada a cabo por uma entidade externa será possível validar a real dimensão do ataque da NSA e da GCHQ nas várias áreas em que os chips da Gemalto são usados. Não faltará muito mais tempo para o GNS cumprir essa função.
Mais de 10 milhões de cartões
Até à data, terão sido emitidos mais de 10 milhões de cartões do cidadão em Portugal. A INCM não refere quantos destes cartões usam tecnologias da Gemalto, mas os comunicados da empresa revelam contratos que preveem o fornecimento de dois milhões de chips por ano para o Estado Português… tendo como início no ano de 2007. No Portal Base, é possível encontrar vários contratos de fornecimento da Gemalto à INCM (o último data de fevereiro). Quase todos eles têm uma característica em comum: foram feitos por ajuste direto ao abrigo de uma alínea no Código de Contratos Públicos que permite que dispensa os organismos dos Estado de fazerem concursos, sempre que estão em causa a aquisições ou matérias relacionadas com a segurança do Estado.
Encriptação e certificados
O cartão do cidadão funciona com um sistema de encriptação de chaves assimétricas. O que significa que há uma chave que é pública e que é enviada quando um cidadão quer assinar um documento eletrónico; e há ainda uma chave privada que está armazenada dentro do cartão do cidadão. «As duas chaves têm uma relação matemática, mas para descobrir a chave privada seria necessário muito tempo e muitos recursos informáticos», explica um perito em segurança eletrónica que solicitou anonimato. O facto de a INCM também controlar todo o processo de geração de chaves também permite dissipar parte dos receios de intrusão. «Só se a NSA tivesse colocado uma backdoor (uma vulnerabilidade explorável para intrusão) é que poderia haver um risco. Não há notícias de que isso tenha acontecido, mas não deixa de ser um motivo de preocupação», explica o mesmo perito.
Operadores de telemóveis
Meo, Nos e Vodafone rejeitam qualquer risco de escuta ou desvio de dados para os utilizadores. A Vodafone informa que, desde 2006, que a Gemalto deixou de figurar na lista de fornecedores de cartões SIM. O que significa que só os telemóveis anteriores a esta data poderão ter este problema. A Nos fez saber que a Gemalto não é a principal fornecedora de cartões SIM e promete acompanhar a evolução do tema nos fóruns internacionais. A PT admite que usa cartões SIM da Gemalto, mas sublinha que restringiu a lista de fornecedores às empresas que respeitam as boas práticas de segurança da GSM Association. «O MEO utiliza, nos seus cartões SIM, algoritmos de encriptação considerados robustos, de acordo com as recomendações da GSM Association, trabalhando ativamente com os seus fornecedores por forma a garantir os mais elevados padrões de qualidade e segurança aos seus clientes», explica a operadora.
Passaportes e Bancos
Hoje, a Gemalto disponibiliza chips para cartões SIM, documentos de identidade, passaportes eletrónicos e SIM Cards. A marca garante que o desvio de chaves de encriptação apenas terá sido bem sucedido na área dos cartões SIM. A companhia descreve a sua rede informática como um misto de cebola e laranja, que permite criar várias camadas e secções, que minimizam os efeitos causados pelas intrusões.
In:Exameinformática
