As matérias que o Intercept publicou recentemente envolvendo conversas de gente graúda como Sérgio Moro, Dellagnol, Fux, etc gera uma discussão técnica (estritamente técnica neste caso) muito relevante no que diz respeito à segurança da informação.
Há diversos pontos interessantes aqui que valem à pena serem discutidos, todos eles estritamente técnicos, então vamos lá.
- AVISO: qualquer postagem de cunho político será excluída, nosso foco aqui é técnico -
Primeiro ponto: celular hackeado mesmo?
Alguns mencionam a presença de um hacker, que teria interceptado mensagens dos celulares dos envolvidos. Isto geraria como consequência termos uma violação grave de segurança do Telegram, que é tido como uma solução segura. E por termos enviadas encriptadas ponta a ponta, mesmo que houvesse um “man in the middle”, como seria o processo de decodificação destas mensagens?
Outros já dizem que o celular teria sido invadido. Curioso: como um celular poderia ser invadido remotamente? Se for um celular da Apple, temos inclusive a briga dos últimos anos da empresa com FBI, CIA pedindo para que fosse possível quebrar a segurança destes dispositivos, dado que ELES MESMOS não estavam conseguindo.
Imaginando que estes celulares estivessem em uma rede wifi, talvez houvesse um hacker com acesso a rede e interceptaria as mensagens usando algo como um sniffer (ou um wireshark da vida). Entretanto, você conseguiria obter o que trafega, mas se o que trafega estiver usando HTTPS ou algum protocolo critptográfico ponta a ponta, em quanto tempo você conseguiria descriptografar estas mensagens?
Pragmaticamente acho a história do hacker mera ficção: daria trabalho demais. Não acredito sequer que um celular tenha realmente sido invadido ou algo similar. É muito mais fácil alguém ter simplesmente entregue um dispositivo físico para o Intercept com a senha de acesso. Resolvido o problema e, dado o timing que mencionam na matéria, seria a solução que faria mais sentido do ponto de vista prático.
Segundo ponto: políticas organizacionais de segurança
Aqui na minha opinião está como a coisa foi hackeada: os próprios envolvidos se entregaram sem perceber.
Quais políticas organizacionais de segurança empresas e governo deveriam tomar para evitar vazamentos? Este ano está repleto de histórias de vazamento de conversas por WhatsApp no governo, agora temos o Telegram. Ambos soluções públicas e extremamente populares, o que as tornam imediatamente alvo de usuários mal intencionados (é um grande mercado afinal de contas).
Sendo assim, o simples fato de pessoas que lidam com questões que envolvem segurança nacional (basta ver o estrago que os vazamentos divulgados pelo Intercept causaram) usarem em seu dia a dia estas soluções (e nitidamente sem qualquer precaução, haja visto os vazamentos terem ocorrido), levanta uma série de questões:
- Quais protocolos serem seguidos pelas organizações para evitar este tipo de vazamento?
- Pessoas que lidam com questões envolvendo a segurança nacional realmente deveriam usar soluções comerciais de comunicação como estas que estamos vendo?
- Quais as penalidades que deveriam ser aplicadas a quem descumpre protocolos tão simples como estes de segurança?
- Quem deveria ser o consultor de segurança deste pessoal?
Mais uma vez, apenas questões técnicas, mas que darão uma bela discussão aqui na Taverna e que podem agregar e muito à segurança de todos nós.