Código imperfeito deixa conversa em celulares aberta a curiosos

Judy Sigel-Itzkovitch
Da New Scientist

Imperfeições sérias surgiram no sistema de criptografia que protege a privacidade da maioria dos usuários mundiais de telefones celulares. Os pontos fracos significam que as chamadas podem ser hackeadas usando-se computador e equipamento de escuta relativamente baratos, permitindo que quase qualquer pessoa possa ouvir conversas por celular.

As falhas, descobertas por uma equipe de especialistas israelenses em criptografia, afetam a configuração do sistema GSM (global system for mobile communications), que foi projetado no final dos anos 80 e que hoje é usado por 850 milhões de pessoas no mundo. O sistema tem dois níveis de codificação -uma versão mais forte, conhecida com A5/1, e uma mais fraca, a A5/2. Quando a chamada começa, a estação-base do celular escolhe o nível de criptografia de acordo com fatores como qualidade de recepção.

Os códigos criptográficos do GSM eram um segredo bem guardado até 1999, quando Marc Briceno, da Universidade da Califórnia, em Berkeley, conseguiu quebrá-los. "Desde então, muitas tentativas de hackear os códigos vêm sendo feitas", diz Eli Biham, do Instituto Technion-Israel de Tecnologia, em Haifa.

Contudo, o código que criptografa uma chamada só pode ser craqueado se o bisbilhoteiro de plantão souber ao menos parte do conteúdo da chamada. "Já que não há como conhecer o conteúdo de uma cahamada, essas tentativas nunca atingiram o estágio prático", diz Biham. Mas ele e seus estudantes, Elad Barkan e Nathan Keller, descobriram agora que duas falhas tornam a bisbilhotagem possível.

Primeiro, a equipe descobriu que o sistema GSM adiciona um código de correção de erro ao conteúdo da chamada antes de encriptá-la. Esse código é sempre estruturado da mesma maneira, de modo que, conhecer sua seqüência é como ter parte do conteúdo da chamada antecipadamente. Isso faz com que o nível de codificação mais fraco -o A5/2- possa ser facilmente quebrado. "É um erro básico no desenvolvimento do GSM", diz Biham. "A princípio, não acreditamos, mas checamos várias vezes e era verdade".

A segunda falha é que o sistema pode ser levado a usar a mesma chave de criptografia duas vezes, primeiro para a chamada feita com o nível mais forte de criptografia e depois com a chamada com codificação mais fraca. Para decodificar uma chamada com criptografia forte, o bisbilhoteiro primeiro grava a conversa na forma codificada e escolhe o "desafio" inicial entre a estação-base e o telefone. Essa é a primeira parte da chamada telefônica, em que uma única chave para codificar o resto da chamada é aceita. Nesse estágio, a chave é fortemente codificada e não pode ser lida.

Só que o hacker pode fingir ser a estação-base tentando fazer uma ligação para o telefone-alvo. No início da chamada, já como estação-base falsa, ele retransmite o desafio original codificado instruindo o telefone a usar a mesma chave novamente, mas ao mesmo tempo ele ordena ao telefone mudar para o nível mais fraco de criptografia. O hacker então quebra o código fraco, revelando a chave que foi usada para codificar as duas chamadas. De posse da chave, o hacker pode decifrar a primeira chamada.

"Tudo isso pode ser feito com um computador e um sistema de escuta telefônica relativamente baratos", diz Biham, que anunciou a descoberta recentemente na Conferência Anual de Criptografia, em Santa Bárbara. Ele afirma que a técnica de escuta funciona para todas as chamadas feitas em telefones GSM -inclusive os 2.5 G- e para uma nova geração de codificação GSM conhecida como A5/3, que ainda não foi lançada.

A Associação GSM, uma organização comercial que representa a indústria de telefonia móvel, tentou desacreditar o trabalho. Ela alega que fingir ser uma estação-base é ilegal na maioria dos países e que, por isso, é improvável que alguém o faça. Mas Biham reage dizendo que a falha de código de erro no GSM é tão grave que até existe um modo de decifrar o código forte A5/1, mesmo sem a chave obtida por uma estação-base falsa. Ele está mantendo os detalhes de sua pesquisa em segredo, mas admite que a quantidade de poder de computação necessária, neste caso, está além daquilo que a maioria das pessoas tem disponível.

Ross Anderson, especialista em segurança da computação da Universidade de Cambridge, diz que a nova geração de redes 3G usa uma forma diferente de criptografia e será mais segura. "Se você é um alvo de investigação séria, pode conseguir um nível mais elevado de segurança usando um aparelho 3G", diz.

• Estudo mostra poder do ginseng coreano

• Firewall. Ninguém mais pode viver sem ele

• Primeiro PC pode ser frustrante; como escolher o equipamento correto

• Crise da internet tira charme de nomes com "www"

• Ações judiciais podem tornar cara a navegação pela internet

• Código imperfeito deixa conversa em celulares aberta a curiosos

• 3Com terceiriza produção e demite 1000 pessoas

• Microsoft tem US$ 49 bilhões em caixa

• Chips poderão ajudar a localizar objetos roubados

• Gerente recebe indenização por ofensa via e-mail

• Empresa cria bateria de celular que dura 20 dias

• Homem queima carros para ter orgasmo com sirenes

• Universitários aprendem e começam a formar quadrilhas

• Ilusionista Blaine se tranca em prisão de vidro por 44 dias

• Exclusão digital ainda é realidade nas empresas

• Jornalista confessa ter forjado entrevistas com intelectuais

• Equipamento observa peixes sem ser notado 

• Site diz quem é pobre ou rico

• China bloqueia 127 servidores para conter spam

• HP inventa câmera digital tradutora

• Novo mouse ótico permite selecionar resolução