Exclusivo: como “toda Brasília” é, realmente, hackeada (bem longe de “Araraquara”…)

Publicado 30/jul/2019 — 19:42
Atualizado 31/jul/2019 — 11:10 – esmiuçado, em vídeo

Analista de cibersegurança detona farsa do “hacker de Araraquara” — Parte 2 (de 2)
E conta como, com toda a probabilidade, a elite do poder em Brasília — e alhures — é monitorada usando os seus próprios smartphones.
Sabe quem tem a tecnologia e, inclusive, explora a mesma comercialmente?
Os EUA!
Chocado?
Nem tanto, certo?

Exclusivo: como “toda Brasília” é, realmente, hackeada (bem longe de “Araraquara”…)

(Parte I disponível aqui)

Por “Caos Soberano“, analista de cibersegurança e tecnologia, para o Duplo Expresso

Dou aqui sequência à exposição iniciada na Parte I, em que cobri:

— Qual a versão oficial fornecida pela Polícia Federal; e
— Quais as falhas nessa versão.

Nesta Parte II, vou esclarecer:

— Qual a possibilidade de uma ação conforme vem sendo descrita pela imprensa (nenhuma!);
— Qual a linha do tempo dos eventos;
— Quais as narrativas alternativas e as contradições;
— O que é SS7 — a rede atacada;

— Algumas especulações baseadas em experiências anteriores e técnicas de invasão comprovadamente eficazes a respeito do que pode — realmente — ter ocorrido;
— Teoria — e prática — da conspiração;
— O objetivo: o “Patriot Act” Tabajara (PL 2.418/2019);
— Uma última palavra sobre “hackers”, “crackers” e (in-) segurança de redes: o verdadeiro inimigo.

Mãos à obra.

 

— Qual a possibilidade de uma ação conforme vem sendo descrita pela imprensa (nenhuma!)

Basicamente, a imprensa em geral não tem feito nada além de reproduzir de forma totalmente acrítica toda a narrativa divulgada por Sergio Moro e a PF. Não passa muito disso, salvo honrosas exceções. É quase inacreditável — i.e., à primeira vista — que (i) nenhum especialista em Telecom tenha sido consultado; (ii) as assessorias de imprensa das operadoras não tenham sido questionadas a respeito do ocorrido; e (iii) a ninguém tenha ocorrido testar (!) essa versão tosca em seus próprios aparelhos celulares!

(ensinamos como fazer o teste na Parte I)

De forma mais inacreditável ainda, dentro do “PIGuinho vermelho”, a (autodeclarada) “blogosfera progressista”, ninguém se mobilizou para desmascarar, de forma séria e coerente, a farsa do “hacker de Araraquara”, com informações técnicas e utilizando o teste “dificílimo” que propus: discar o próprio número do seu celular.

*

— Qual a linha do tempo dos eventos

  • 04 de Junho – Moro declara que seu celular foi “hackeado”;
  • 09 de Junho – Primeiras mensagens divulgadas por Glenn Greenwald no “VazaJato”;
  • 10 de Junho – Dallagnol se pronuncia;
  • 12 de Junho – “Aqui é o hacker” – mensagem provocativa enviada por um suposto “hacker” a um grupo mantido — no Telegram — por membros de um Tribunal;
  • 14 de Junho – Primeira entrevista de Moro após os vazamentos;
  • 19 de Junho – Moro sabatinado pelo Senado;
  • 25 de Junho – Glenn Greenwald vai à Câmara;
  • 02 de Julho – Moro sabatinado na Câmara;
  • 07 de Julho – Divulgações são “sensacionalistas”, diz Moro;
  • 08 de Julho – Dallagnol se recusa a dar esclarecimentos na Câmara;
  • 09 de Julho – Glenn Greenwald vai ao Senado;
  • 23 de Julho – Prisão de quatro “suspeitos” da invasão de celulares de autoridades em Araraquara-SP e região;
  • 25 de Julho – Moro “avisa” a autoridades que foram “hackeadas”.

*

— Quais as narrativas alternativas e as contradições

Como foi demonstrado no artigo anterior, a versão oficial é, simplesmente, impossível tecnicamente. Porém, a imprensa tem lançado várias e várias narrativas alternativas, muitas vezes contraditórias entre si, desde o começo da “Vaza a Jato”. O principal divulgador das mesmas tem sido o jornalista Pedro Dória, setorista do jornal O Globo para tecnologia. Por respeito à paciência dos leitores só colocarei algumas. E mostrarei as contradições.

Em alguns tweets (os mais antigos) ele coloca as coisa da forma correta:

“As pessoas com quem conversei envolvidas na investigação estão convictas de que há um hacker especialista em SS7, o protocolo de telefonia.”

 

 

 

“O caminho pela rede de roaming seguido para a invasão já é conhecido. Quer dizer… A parte do caminho aqui no Brasil.”

 

 

“SS7/SCCP.”

 

“De qualquer forma, no caso do hack da Lava Jato, o cara tb manipulou SS7, o protocolo de telefonia, para escolher que caminhos de roaming, que redes, ele usaria, optando por operadoras pequenas e com segurança menor. Foi simples, não.”

Uma das primeiras coisas que me passaram pela cabeça foi, de fato, SS7.

Com certeza, nenhum especialista pensaria em um ataque ao voice mail pois, felizmente, as falhas do sistema a esse respeito foram mitigadas no Brasil há muito tempo. E foi exatamente isso que demonstrei no primeiro texto.

Porém, parece que os especialistas que Pedro Dória/ Globo consultou ou: (i) não contaram tudo; ou (ii) ele não entendeu; ou (iii) o que de correto ouviu atrapalhava a narrativa que vendia no Globo.

Isso porque, nestes tweets que destaco abaixo, ele desanda a falar besteiras. Equívocos grosseiros para quem é da área:

“Não, não foi este o tipo de ataque. O ataque foi feito clonando os celulares e baixando o becape do Telegram. O SS7 entra no método que ele usou para cobrir seus rastros, escolhendo redes de operadoras pequenas, que são mais inseguras.”

Ora, usar SS7 “para cobrir os rastros”?!

Um sistema que, embora não autenticado, absolutamente tudo loga? (i.e., produz “log”, registro, de tudo?)

 

“Usar VPN numa rede SS7?”
(como se fosse uma besteira)

 

Ora, Pedro Dória! Uma das formas de acesso às redes SS7 é, justamente, via ataques à parte TCP/IP da rede das operadoras!

E no entanto, o “setorista de tecnologia”…

“Mas aí é que está. O hack não foi via TCP/IP. Não foi pela internet.”

 

Como deveria saber Pedro Doria (ao menos antes de “cravar” algo do gênero), uma das fragilidades do sistema das operadoras é a possibilidade de serem invadidas por TCP/IP, nas suas redes internas e pontos de interconexões. Quem fala não sou eu, mas simplesmente o cara que descobriu o ataque ao SS7. E estes dois abaixo, que mapearam várias fragilidades.

Gráfico de interconexões frágeis das operadoras


Note-se que além de pontos passíveis de ataque as operadoras ainda tem um ponto para escutas autorizadas (surpresa)

 

Vídeo 1

Vídeo 2

“Não disse que ele é especialista em TCP/IP. Disse que é especialista em SS7 e que optou por usar redes de operadoras de telefonia de pequeno porte por serem mais inseguras.”

 

Nossa! Um “hacker” fordista! Só trabalha com uma coisa! Perguntou para ele, foi? Viu o curriculum onde exatamente?

 

“É, mas este hacker ou grupo hacker conhece SS7 para disfarçar seu caminho e faz spoofing de caller ID. Não tem muito hacker por aí que conhece protocolo de telefonia, não…”

 

Spoofing de Caller ID via SS7??

Tanta coisa melhor para se fazer…

Principalmente coisas que… funcionam!

*

— O que é SS7

O SS7 é um conjunto de protocolos utilizado pela maioria das operadoras de telefonia. Foi desenvolvido na década de 70 e se tornou um padrão da ITU (International Telecommunication Union) em 1980.

Um dos problemas apontados no SS7 é que na época da sua implementação foi adotado um padrão de confiança mútua também chamado “Walled Garden” que podemos traduzir como uma plataforma fechada (para uma época em que só existiam poucas operadoras a lógica era válida). Ou seja, não prevê autenticação como parte do protocolo.

Nos anos 2000 foram adicionados outros protocolos para que se adaptasse às necessidades das redes de telefonia móvel.

São eles:

– CAP
– MAP
– TCAP
– SCCP

Esses protocolos adicionais, junto com um protocolo que não contempla a autenticação, é que criam brechas em redes dependentes do SS7. Além disso, hoje em dia o acesso a uma conexão SS7 se tornou mais popular e, com isso, mais e mais vulnerável.

Pequenas empresas podem comprar acesso a essas redes para oferecer serviços de voz, SMS e MMS, entre outros. Além disso, algumas operadoras possuem pontos de conexão a essas redes, vulneráveis a ataques advindos da Internet.

Em uma palestra em 2014, Tobias Engel demonstra como empresas americanas exploravam comercialmente essas brechas para rastrear cidadãos ao redor do mundo — com exceção de Americanos, em todo mundo, e israelenses, no território de Israel.


Slide da apresentação de Tobias Engel em que são destacados serviços comerciais de monitoramento de celulares.

 

Aqui, o vídeo de Tobias Engel a esse respeito:

Quais os perigos de uma intrusão em uma rede SS7?

Basicamente, de posse do seu número telefônico e com acesso pleno a uma rede SS7, pode-se rastrear, monitorar conversas e SMS, obter o IMSI do seu chip e qualquer outro dado de seu celular.

É aí que se encontra a chave para entendermos toda a história. Pode-se facilmente notar o mundo de possibilidades que apresenta um ataque desse tipo.


Slide da apresentação de Tobias Engel em que ele demonstra como obter o IMSI (código único de cada chip)

 


Slide da apresentação de Tobias Engel em que ele demonstra a captura de dados através da manipulação do Protocolo.

 

E vai muito além do ataque contra a autenticação do Whatsapp e do Telegram, demonstrado por Romulus Maya no artigo “Bomba: desmontando a farsa do #HackerDeTaubaté!” (24/julho/2019).

Um ataque SS7, quando se tem controle sobre as funcionalidades totais da rede, pode descobrir inclusive o IMSI de um celular (código único de cada chip, que vem de fábrica). Mas para tanto é necessário ter acesso a um GT (Global Title) que basicamente é o endereço de uma operadora de telefonia dentro da estrutura global de telefonia. Devido às particularidades de endereçamento e de roteamento, para se ter acesso a uma rede móvel (fora dos EUA) é necessário que tal GT seja do tipo MGT (Mobile Global Title). Devido a particularidades do protocolo, GT’s normais não têm o mesmo tipo de acesso a redes móveis.

Para comprometer a segurança de um telefone celular é necessário ganhar acesso a um MGT, que poderá lidar com os protocolos adicionais desse tipo de redes.

É importante frisar que tal tipo de ataque tem uma fragilidade: as conexões e comandos executados dentro de uma rede SS7, embora não autenticados, são “logados”. Ou seja, geram um “log”, ficando registrados. Mesmo porque tais dados são necessários aos processos de tarifação (das operadoras de telefonia). Porém, esses logs são separados em cada operadora ao longo do caminho. E, portanto, em caso de uma exploração de vulnerabilidade que se utilize de um caminho complexo, pode se tornar muito difícil a auditoria.

*

— Algumas especulações baseadas em experiências anteriores e técnicas de invasão comprovadamente eficazes a respeito do que pode — realmente — ter ocorrido

Então o que sabemos até agora:

(1) Um ataque como o que foi divulgado na coletiva de imprensa da Polícia Federal não é possível na rede brasileira (ver Parte I);

(2) Ao contrário do que afirmam alguns jornalistas pretensamente conhecedores de tecnologia, com autoproclamadas “décadas de experiência” no setor, Caller ID Spoofing é uma coisa e ataque SS7 é outra completamente diferente.

(3) É, sim, possível para um atacante com maior nível de sofisticação executar um ataque SS7 através de uma rede TCP/IP (internet/ intranet de uma empresa de telecom).
Isso é demonstrado neste vídeo:

 

(4) Empresas dos EUA já ofereciam comercialmente serviços baseados nas vulnerabilidades desse protocolo desde pelo menos 2014.

(5) Para comprometer a segurança de um telefone celular é necessário ter acesso a um MGT (Mobile Global Title).

(6) Traçar um caminho reverso à rede original da qual partiu o ataque muitas vezes pode ser uma tarefa difícil, senão impossível.

(7) A Polícia Federal afirma possuir “logs” que ligariam o “arara-hacker” a ataques à rede de uma pequena empresa de VoIP, no interior de São Paulo, que não possui um MGT.

Muito bem.

De posse dessas informações técnicas, vamos tentar traçar um caminho lógico que permita ao leitor ter uma noção mais completa da trama.

Mas, antes disso, é necessário reunir elementos de como a narrativa foi montada ao longo do tempo:

(i) Inicialmente, a imprensa falava de “hackers” altamente qualificados, sofisticadíssimos e de alta periculosidade. Muitos sugeriam envolvimento “russo” inclusive, lembra?

(ii) Após a prisão de três pessoas em Araraquara-SP e região, passamos a ter um grupo mambembe — para sermos generosos –, em que o principal integrante é um estelionatário filiado ao DEM, com condenações por tráfico de drogas y otras cositas más, que — misteriosamente — volta ao Twitter, depois de anos de ausência, encarnando já um “militante de esquerda”. Mais: seu perfil nessa rede social é seguido por ninguém menos que “O Antagonista” (!), o veículo oficial da Lava Jato. Estranhamente, seus tweets aparecem como tendo sido disparados de Brasília — bem longe da “capital da… laranja”, Araraquara.

(iii) Após a prisão, falava-se em “mais de 1000 pessoas hackeadas”; “toda Brasília”. O Globo, jornal de Pedro Dória, buscou alarmar a nação, em manchete e reportagem de página inteira: “República hackeada”!

 

(iv) Temos toda uma cortina de fumaça lançada por um jornalista — Pedro Doria/ Globo — que cobre a área de tecnologia “há 30 anos”. E que, apesar disso, mistura (a) um ataque por meio de protocolos de rede; e (b) um ataque via uma suposta fragilidade em nossas redes, contudo inexistente. I.e., acesso a correio de voz discando-se o próprio número de telefone a partir dele mesmo (ver refutação na Parte I). Ora, caso nossas redes ainda fossem vulneráveis a tal tipo de ataque (algo superado há muito), esse poderia ser executado através de um simples telefone!

(v) Entra no enredo Manuela Davila, “comunista”, a “vice do PT”, como a pessoa que teria passado o contato de Glenn Greenwald ao (suposto) “hacker”.

(vi) Depois de refutações técnicas surgirem — escassas mas demolidoras (primeiro no Duplo Expresso e, depois, no El País) — a narrativa inicial muda e testemunhamos um “downsizing” de “mais de mil pessoas”, “toda Barsília”, para apenas… 10 (supostas) “vítimas” . Isso mesmo: 2 ordens de grandeza a menos (!)

(vii) Na última sexta-feira, Ricardo Noblat, um macaco velho na Revista Veja, começa a fazer hedge, anotando esquisitices e contradições na narrativa oficial.

 

Para simplificar a análise, assumo que o ataque foi via SS7. Não vamos levar em conta, portanto, a forma como foi obtido o acesso a uma rede SS7 com MGT (o que não é trivial). Se foi através de um acesso como aquele que empresas de espionagem digital dos EUA e de Israel oferecem, ou através de um ataque à infraestrutura de alguma operadora. Lembrando apenas, por oportuno, que ataques SS7 foram justamente a técnica empregada por agências do governo americano para espionar os governos de Dilma Rousseff e Angela Merkel.

Bem, é comum em operações de inteligência se utilizar de recursos de disfarce e encobrimento. Muitas vezes utiliza-se uma pessoa para servir de ponte para a operação para que, em caso de problemas, possa facilmente ser descartada. Um fusível a queimar. Para esse tipo de operação ser bem-sucedida, tal pessoa precisa não ter conhecimento da operação como um todo; precisa também comprar uma história para que, em caso de ser capturada/ exposta, não venha a causar maiores danos e encubra os seus operadores com a chamada “negação plausível”.

Normalmente, um ataque cibernético raramente é feito em linha reta. Ao contrário, utiliza-se um acesso indireto. Um dos métodos mais tradicionais é comprometer várias máquinas em localidades diferentes e utilizá-las como pontes. Ou seja, utilizar essas máquinas invadidas como uma forma de “VPN” (com a vantagem de não gravarem log e estarem sob controle do atacante, como zumbis).

No caso do “arara-hacker”, existia um log que ligava o servidor de VoIP da empresa BRVox à própria… CASA DO ACUSADO!

Por que isso foi possível? Algo tão imbecil? Praticamente um “x” no meio do mapa do Brasil?

Bem, uma possibilidade é que essa pessoa tenha sido operada: ou seja, o rapaz foi orientado e pago para realizar ações exatamente da forma como ele coloca no depoimento.

Estranho? Nem tanto. Se esse rapaz foi realmente operado, essa operação seria de relativamente simples execução. O mesmo tipo de manipulação, o ataque a uma rede SS7, poderia ser utilizado facilmente para redirecionar a chamada que o “arara-hacker” fazia a partir da sua conta VoIP para um sistema controlado por um atacante real, que lhe passaria o Código de Autenticação do Telegram. Daí para frente, qualquer criança de 5 anos faz o restante.

E os contatos com Manuela Davila? Parece-me uma forma de narrativa que provavelmente esse “cracker” (o termo correto, explicado mais adiante) foi instruído a fazer.

Para piorar, a ex-Deputada emite uma nota à imprensa em que tenta “lacrar”, dizendo que oferece o seu celular para perícia.

 

Eis o que ela fala no ponto 3 da tal nota:

“Desconheço, portanto, a identidade de quem invadiu meu celular, e desde já, me coloco à inteira disposição para auxiliar no esclarecimento dos fatos em apuração”.

Como assim, Manuela? Seu celular foi invadido? Claramente no ponto 1 da sua nota você fala que o interlocutor “se identificou como alguém inserido na (sua) lista de contatos para, a seguir, afirmar que não era quem (você) supunha que fosse”. O que sugere, portanto, um simples Caller ID Spoofing e não um “hackeamento”.

*

— Teoria — e prática — da conspiração

Bem, vou contar uma história ocorrida em 2012, em nosso país. Para quem não se lembra, foi o chamado caso do coletivo hacker “LulzSec”, celebrado por uma grande parte da esquerda cirandeira, que se mobilizou logo depois pelos “vinte centavos”, em 2013. Esses “ciberativistas” “contra a corrupção” atacaram vários alvos do governo brasileiro como forma de protesto contra a “corrupção” e “tudo que está aí”.

Na verdade, estavam sendo operados por um hacker americano trabalhando então para o FBI, como viria a ser revelado anos depois.

O americano Hector Xavier Monsegur, conhecido como Sabu, pego pelo FBI, foi utilizado para passar backdoors e vulnerabilidades de servidores do governo brasileiro para seguidores no Brasil, enquanto era monitorado 24 horas por dia pelo governo dos Estados Unidos.

Eis artigo que descreve como ocorreu esta operação:

(…)

(integralidade disponível aqui)

 

Vários grupos de hackers brasileiros denunciaram o “LulzSec” como uma fraude, uma armação. Mas a esquerda cirandeira preferiu comprar a narrativa-álibi, romântica, vendida em artigos como os seguintes:

(integralidade disponível aqui)

 

(integralidade disponível aqui)

“Hacker” do interior…

Envolvido em fraudes bancárias — chinfrim — da internet…

Essa história não se parece muito com uma que estão a nos contar na atualidade?

*

— O objetivo: o “Patriot Act” Tabajara (PL 2.418/2019)

O que tiramos disso tudo são pretextos e mais pretextos para a promulgação do “Patriot Act” Tabajara, o (discretíssimo) Projeto de Lei 2.418/2019, de autoria do Vice-Líder do Governo Bolsonaro na Câmara, Deputado José Medeiros, cujo resultado prático seria a abertura no Brasil dos códigos dos aplicativos de troca instantânea de mensagem (e.g., Whsatapp, Facebook Messenger, Instagram, Twitter, Tinder, etc.) à inteligência do Exército/ ABIN, conforme vem denunciando o Duplo Expresso desde a semana passada:

*

— Uma última palavra sobre “hackers”, “crackers” e (in-)segurança de redes: o verdadeiro inimigo

Todo o pânico normalmente gerado em cima de hackers acompanha a indústria de TI desde o surgimento das primeiras redes públicas. São uma “grande ameaça”, quase “bruxos com poderes sobrenaturais” neste universo desconhecido que é a tecnologia…

Porém na verdade, no jargão clássico, hackers são basicamente pesquisadores da área de segurança e das fronteiras da tecnologia. Muito longe disso, criminosos que invadem e roubam dados são crackers (normalmente tem um nível técnico bem mais baixo e só visam ao ganho financeiro e não ao conhecimento).

Os vídeos que postei neste artigo são de uma conferência hacker, em que a maior preocupação das pessoas ali é divulgar as falhas de segurança que as empresas e governos não querem que você conheça, seja por questões financeiras (custo da reparação), seja pela necessidade de manter tais brechas abertas, para terem pleno acesso aos seus dados e segredos.

Os famigerados “StingRays” da NSA — dispositivos de ataque que capturam o código IMSI dos celulares para permitirem, no passo seguinte, a sua clonagem (mencionados no artigo do Duplo Expresso) — foram denunciados muitos anos antes de Snowden por hackers que pesquisavam falhas nos protocolos de rádio dos celulares.

As falhas do Protocolo SS7, que são um dos temas principais deste artigo, foram descobertas por um hacker e expostas numa conferência… hacker.

Todo o pânico criado a respeito de invasões (que na maior parte são executadas pelos próprios governos, agências policiais e empresas privadas como o NSO Group de Israel) tem como objetivo implantar um estado de vigilância total, em que toda a forma de manifestação livre nas redes seja suprimida e que as brechas — propositais ou não — existentes em produtos e serviços sejam deixadas como estão: prontas para serem exploradas por governos sedentos de controlar o terreno mais valioso nesta guerra híbrida: seus pensamentos!

#PatriotActTabajara

#PL2418não

*

*

*

Atualização:

Esmiuçado, em vídeo, no Duplo Expresso de 31/jul/2019, com “Caos Soberano” e os Professores Fernando Nogueira e Piero Leirner

*

*

*

Mais sobre o tema em:

Exclusivo: analista de cibersegurança detona farsa do “hacker de Araraquara”

Casa caiu: PF admite que mentiu sobre “arara-hacker” – Duplo Expresso de Domingo 28/jul/2019

Game-over: técnicos destroem a farsa de Moro com o seu “Arara-hacker”

 

*

*

*

Canal do DE no Telegram: https://t.me/duploexpresso
Grupo de discussão no Telegram: https://t.me/grupoduploexpresso
Canal Duplo Expresso no YouTube: https://www.youtube.com/DuploExpresso

Áudios do programa no Soundcloud: https://soundcloud.com/duploexpresso
Link para doação pelo Patreon: https://www.patreon.com/duploexpresso
Link para doação pela Vakinha: https://www.vakinha.com.br/vaquinha/643347
Duplo Expresso no Twitter: https://twitter.com/duploexpresso
Romulus Maya no Twitter: https://twitter.com/romulusmaya
Duplo Expresso no Facebook: https://www.facebook.com/duploexpresso/
Romulus Maya no Facebook: https://www.facebook.com/romulus.maya
Grupo da Página do DE no Facebook: https://www.facebook.com/groups/1660530967346561/
Romulus Maya no Instagram: https://www.instagram.com/romulusmaya/
Duplo Expresso no VK: https://vk.com/id450682799
Duplo Expresso no Twitch: https://www.twitch.tv/duploexpresso
Duplo Expresso no Spotify:
https://open.spotify.com/show/5b0tFixIMV0k4hYoY1jdXi?si=xcruagWnRcKEwuf04e1i0g

 

 

 

Facebook Comments

Redação D.E.

Redação do Duplo Expresso - onde "a verdade chega primeiro". Bem... às vezes primeiro, segundo, terceiro e... último! Único! rs

Redação D.E. tem 1649 posts e contando. Ver todos os posts de Redação D.E.