A empresa fabricante de produtos digitais, líder mundial na produção de cartões SIM para comunicações móveis, admitiu como provável ter sido objecto de pirataria informática por parte dos serviços secretos norte-americanos e britânicos.
Dados alegadamente fornecidos por Edward Snowden, antigo informático da NSA – National Security Agency dos Estados Unidos, indicavam que a NSA e a agência britânica GCHQ – Government Communications Headquarters tinham formado uma unidade operacional conjunta para roubarem dados de encriptação de cartões SIM a fabricantes de cartões e operadores de telecomunicações móveis.
O conhecimento das chaves de encriptação dos cartões SIM permitiria interceptar chamadas telefónicas móveis sem necessidade de colaboração de operadores ou autoridades nacionais e sem que essa intercepção seja detectável.
A Gemalto, citada como um alvo essencial dessa operação, iniciou uma investigação e comprometeu-se a divulgar os resultados desse inquérito na quarta-feira, como aconteceu.
A companhia indica que a sofisticação dos ataques informáticos sofridos pela Gemalto em 2010 e 2011 dão uma razoável convicção de que provavelmente aconteceram ataques da NSA e do GCQH, admitindo que os documentos citados pelo jornal online The Interceptor sejam reais.
Acrescenta que em 2010 a Gemalto implementou um sistema de transferência seguro com os seus clientes o que leva a companhia, que produz anualmente 2 mil milhões de cartões SIM, a pensar que apenas num número limitado de casos tenha havido roubo [das chaves de encriptação].
Acrescenta que mesmo nos casos em que tenha havido roubo das chaves de encriptação, os referidos serviços secretos apenas poderiam interceptar comunicações GSM (de segunda geração) porque as tecnologias 3G e 4G não são vulneráveis a esse tipo de ataque.
A Gemalto sublinha que as melhores medidas de defesa contra as intercepções de comunicações são a encriptação sistemática de dados quando armazenados e em trânsito, o uso de cartões SIM de última geração e a utilização de algoritmos customizados por cada operador.
O relatório da companhia francesa, que descreve algumas tentativas de intrusão registadas em 2010, adianta que é regularmente alvo de tentativas de intrusão, geralmente com um certo grau de sofisticação, mas os sistemas de segurança da rede da Gemalto estão preparados para lidar com elas e na maioria dos casos não têm êxito.
A Gemalto garante que nunca vendeu cartões SIM a quatro dos 12 operadores citados no relatório, em particular ao operador somali onde se falava de 300 mil chaves de encriptação roubadas.
(Note-se que o relatório referia que os ataques visaram outros fabricantes de cartões SIM, assim como operadores de telecomunicações).
A Gemalto destaca que a segurança digital não é estática e o desenvolvimento de tecnologias mais seguras tem como resposta processos inovadores de ataque, pelo que recomenda que os operadores «embebam» algoritmos customizados nos cartões SIM que emitem.
No entanto, a companhia francesa salienta estar consciente de que as agências de serviços secretos, especialmente se trabalharem em conjunto, dispõem de recursos que vão muito para além daqueles de que dispõem as organizações normais do cibercrime e manifesta preocupação em que essas agências possam estar envolvidas em operações indiscriminadas contra companhias privadas.
Acrescenta que estes acontecimentos levam a Gemalto a estar empenhada em colaborar com os seus clientes e com a indústria para encontrarem soluções ainda mais sofisticadas e adoptarem as melhores práticas e as mais recentes tecnologias, incluindo encriptação de dados avançada, para protegerem os utilizadores finais.