O Ataque da NSA à Gemalto Pode Ser Pior do Que Você Imagina

Na semana passada, o site The Intercept publicou uma ​matéria detalhando o vazamento de documentos afirmando que a Gemalto, empresa fornecedora de chips de celulares, foi hackeada pela Agência Nacional de Segurança dos EUA (NSA) e pela agência de inteligência do Reino Unido (GCHQ) entre 2010 e 2011. Desde os primeiros documentos vazados por Snowden, sabemos que a NSA tem acesso a muitas das informações e dados que trocamos diariamente na rede. Agora, sabemos que as agências também têm acessos aos nossos dados de telefones celulares.

Seis dias após a revelação, a Gemalto, que fabrica mais de dois bilhões de chips por ano, anunciou a conclusão de uma investigação interna sobre o assunto. A empresa informou que os ataques "provavelmente aconteceram" e que caso as chaves de acesso aos chips tenham sido roubadas, somente a comunicação feita através de rede 2G seria poderia ser espionada. "Nenhum de nossos outros produtos foram impactados pelo ataque", afirmou o comunicado.

De fato, de acordo com José Damico, pesquisador independente de segurança, "o produto da empresa não é impactado pelo ataque, quem é impactado pelo ataque são as pessoas que usam". A única coisa que as agências precisam para fazer esse monitoramento é a chave de segurança dos chips de celulares.

Dado o tamanho do ataque e os detalhes, a Gemalto tem armas para entrar na justiça. "Nós encorajamos a Gemalto a tomar todas as medidas legais onde for possível – seja nos tribunais americanos ou europeus – contra a NSA e a GCHQ por atacar uma empresa e a segurança de seus usuários", diz Peter Micek, advogado ​especializado em direitos digitais da ​Access.

"É raro que uma empresa tenha evidências tão claras para apresentar a um tribunal", diz Micek. "Por exemplo, mesmo revelações após revelações, tem sido impossível encontrar soluções para as vítimas da espionagem da NSA por questões básicas de segurança nacional. Para reconquistar a confiança, as empresas precisam usar todas as possibilidades de levar a NSA para o tribunal – mesmo que seja para descobrir e clarificar argumentos legais."

Já Damico acredita em uma possibilidade mais complexa: para ele, o ataque na realidade não deve ter passado de um acordo entre as agências e a empresa. "É uma briga de gigantes. O que acontece ali é uma negociação diplomática entre a GCHQ e a Gemalto. Basicamente não houve um roubo, como se diz, houve uma negociação", afirma.

Ele explicou que o acesso às chaves acontece quando elas são transportadas do fornecedor, no caso, da Gemalto, às operadoras de celular, porque essa transferência acontece via internet e pode ser interceptada – com alguma dificuldade e alguns aparelhos bem caros e sofisticados.

Segundo Damico, a tecnologia utilizada Gemalto é extremamente segura. Por isso ele acha tão difícil tenha acontecido um ataque. O problema é que até o cofre mais seguro do mundo fica exposto ao risco quando mais de uma pessoa detém seu segredo.

Teoricamente, apenas a Gemalto e as operadoras de celulares detêm essas chaves de segurança. Entramos em contato com as operadoras que atuam no Brasil: Vivo, Tim, Oi e Claro. Nenhuma delas confirmou quantos chips recebe da empresa e nenhuma delas quis comentar o assunto. A Claro foi a única operadora que confirmou ter contrato com a Gemalto, mas a quantidade de chips fornecidos é informação confidencial.

Mesmo não tendo acesso aos números, é possível saber que a Gemalto é uma empresa que investe muito no Brasil: em 2013, foram ​investidos 30 milhões de reais em uma fábrica de chips no Paraná. Na época, representantes da empresa t​ambém demonstraram interesse na região nordeste.

A grande razão da NSA dos outros membros dos Cinc​o Olhos para o monitoramento e estado de vigilância constante é a guerra ao terror. "Serve teoricamente para te proteger e te dar vantagem sobre outros Estados. Num lugar em que você é ameaçado pelo terrorismo, essa lei antiterrorismo é interessante, mas abre uma janela para que qualquer pessoa sob suspeita possa ser uma vítima", explica Damico. Em suma, há uma quebra de qualquer direito sobre a privacidade das pessoas. As agências monitoram palavras e termos específicos de algumas regiões para prevenir ataques terroristas.

Existem algumas formas de se proteger dessa vigilância usando softwares livres, mas Damico lembra que a confidencialidade das informações nem sempre garante que elas permaneçam privadas. Fazendo uma analogia com os correios, ele diz que é como usar envelopes vermelhos para trocar cartas: as pessoas vão ver que as informações estão lá e estão sendo trocadas, apesar da confidencialidade.

Tudo isso nos parece bastante abstrato e fantasioso, mas é uma realidade. Resta saber como a Gemalto pretende lidar (ou não lidar) com a situação.