- AT&T, Verizon e Lumen Technologies confirmaram que hackers apoiados pelo governo chinês acessaram seus sistemas, ampliando a invasão do Salt Typhoon para uma questão de segurança nacional em toda a rede de telecomunicações dos EUA
- A Casa Branca explicou que, com a intrusão, o lado chinês obteve a capacidade de localizar milhões de pessoas e gravar chamadas telefônicas arbitrariamente; em um caso, a invasão de uma conta de administrador permitiu acesso a mais de 100.000 roteadores
- AT&T e Verizon disseram que os clientes afetados foram poucos, enquanto a Lumen afirmou não haver evidências de acesso a dados de clientes e que uma empresa independente de perícia forense confirmou a remoção dos invasores
- Muitas pessoas tiveram dados de localização e metadados de telefonia afetados, mas o número de alvos de coleta de chamadas e mensagens reais é menor, possivelmente inferior a 100 pessoas
- A FCC está avançando com uma proposta de regras que exigem práticas básicas de cibersegurança das operadoras, e o senador Ron Wyden também propôs um projeto de lei para exigir que a FCC emita regras vinculantes de segurança em telecomunicações
Aumenta a confirmação de invasões a operadoras dos EUA
- AT&T, Verizon e Lumen Technologies confirmaram que espiões apoiados pelo governo chinês acessaram parte de seus sistemas no início deste ano
- A Casa Branca afirmou que o número de operadoras afetadas pelo Salt Typhoon subiu das 8 já conhecidas para 9
- A T-Mobile já havia mencionado atividades de espionagem “consistentes” com tentativas de reconhecimento do Salt Typhoon, mas deixou claro que não é uma das 9 operadoras citadas pelo governo
Detalhes dos danos confirmados por AT&T, Verizon e Lumen
- A AT&T afirmou que espiões estrangeiros comprometeram um pequeno número de clientes em uma campanha de inteligência, e que esse grupo já foi removido da rede
- Atualmente, a empresa não detecta atividade de agentes estatais em sua rede
- A avaliação é que a China mirou um pequeno número de indivíduos de interesse para inteligência estrangeira
- Nos relativamente poucos casos em que informações pessoais foram afetadas, a empresa trabalhou com autoridades policiais para cumprir obrigações de notificação
- A investigação continua em conjunto com autoridades do governo, outras operadoras e especialistas em cibersegurança
- A Verizon confirmou que invasores chineses acessaram um pequeno número de clientes de alto escalão no governo e na política
- A empresa notificou esses clientes e afirmou ter contido o incidente cibernético causado por uma ameaça de agente estatal
- Uma empresa de cibersegurança “muito respeitada”, cujo nome não foi divulgado, também confirmou a contenção
- A Verizon trabalhou com autoridades federais de aplicação da lei, órgãos de segurança nacional, outros parceiros de telecomunicações e empresas de segurança
- Vandana Venkatesh, diretora jurídica da Verizon, afirmou que há algum tempo a empresa não detecta atividade do agente de ameaça em sua rede
- A Lumen Technologies removeu os invasores chineses de seus sistemas e não encontrou evidências de acesso a dados de clientes
- Uma empresa independente de perícia forense confirmou que o Salt Typhoon não está mais dentro da rede
- A empresa afirmou que parceiros federais também não compartilharam informações em sentido contrário
Escopo e método da intrusão segundo a Casa Branca
- Anne Neuberger, vice-assessora de Segurança Nacional da Casa Branca para cibersegurança e tecnologias emergentes, disse que a intrusão foi chamada de “o pior ataque hacker contra telecomunicações da história dos EUA”
- O lado chinês acessou redes e obteve “acesso amplo e completo”, o que lhe deu a capacidade de localizar milhões de pessoas e gravar chamadas telefônicas arbitrariamente
- Em um caso, os espiões invadiram uma conta de administrador, que permitia acesso a mais de 100.000 roteadores
- Neuberger explicou que, ao comprometer essa conta, a China obteve amplos privilégios de acesso em toda a rede
- Ela avaliou que esse estado ficou abaixo do nível de cibersegurança necessário para se defender contra agentes estatais
Número de pessoas afetadas e escopo dos dados
- A Casa Branca ainda não sabe o número total de vítimas
- O número de indivíduos afetados em dados de localização e metadados de telefonia é grande
- O número de alvos cujas chamadas telefônicas e mensagens foram efetivamente coletadas é menor, e a quantidade real de pessoas pode ser inferior a 100
Resposta de segurança em telecomunicações caminha para a regulação
- Após a intrusão, a Casa Branca enfatizou que apenas medidas voluntárias de cibersegurança não são suficientes contra ameaças de agentes estatais
- A FCC iniciou uma proposta pública de regras que exigem práticas básicas de cibersegurança de operadoras de telecomunicações
- Os comissários devem votar essas regras até 15 de janeiro
- O senador Ron Wyden propôs um projeto de lei que exige que a FCC emita regras vinculantes para sistemas de telecomunicações
- Os CEOs das 9 operadoras afetadas participaram do Enduring Security Framework de 60 dias do governo
- Esse esforço público-privado tem como objetivo estabelecer práticas mínimas de cibersegurança acordadas por agências de inteligência, CISA, FBI e especialistas em segurança de telecomunicações
1 comentários
Opiniões no Hacker News
Se as empresas praticassem minimização de dados e usassem criptografia de ponta a ponta nos dados de clientes que não precisam ver, invasões como essa teriam sido reduzidas
Porque o incentivo para invadir desapareceria, mas as agências de inteligência insistem que precisam poder acessar as conversas de cidadãos inocentes
Na prática, não há punições ou multas punitivas, e proteger o lucro de curto prazo é tratado como mais importante do que proteger os dados dos usuários. Até que uma invasão resulte em um prejuízo financeiro grave para a empresa, isso continuará sendo empurrado para os usuários no estilo “desculpe, vamos oferecer monitoramento de crédito”. Mesmo no setor de desenvolvimento e engenharia de software, não há muita gente que leve segurança de dados a sério; fala-se muito, mas na implementação real dos negócios há muitas práticas péssimas
Agora esse backdoor obrigatório para contornar a privacidade está sendo usado por agentes maliciosos, e o FBI está recomendando que todos usem apps com criptografia de ponta a ponta por causa da situação que eles mesmos provocaram. Mas, quando esse desastre passar, voltarão ao argumento de que “criptografia é ruim, segurança é ruim, deem-nos uma forma fácil de obter os dados”
O problema é que tanto a regulamentação quanto os interesses comerciais estão envolvidos. É irrealista esperar que o público ou o governo aceitem privacidade real em celulares. As pessoas querem que a polícia ou os bombeiros apareçam quando ligam para o 911, e querem que o crime organizado ou crimes graves sejam descobertos e processados
O protocolo SS7 permite descobrir a qual RNC/MMC um telefone está conectado em determinado momento, e isso é uma parte essencial do funcionamento da rede. Se um atacante suficientemente sofisticado tiver acesso suficiente a equipamentos de telecomunicações, pode enviar diretamente esses comandos do protocolo para descobrir a localização
Entendo os princípios básicos quando há apenas um usuário, mas gostaria de saber mais sobre como são implementados chats em grupo compartilhados com criptografia de ponta a ponta, como no Facebook Messenger
É estranho que bancos dos EUA, Venmo, PayPal etc. ainda exijam um número de telefone “de verdade” para autenticação
O Venmo não permite números VoIP, mas, ao assinar a Tello e ativar um eSIM do exterior, consegui receber SMS e me cadastrar imediatamente. A barreira foi de apenas 5 dólares; que segurança incrível
No fim, o método mais eficaz é saber quem são as partes da transação. Algumas empresas têm padrões baixos de Conheça Seu Cliente, mas, com o tempo, acabam virando canais que ajudam criminosos e passam a ser monitoradas por parceiros regulatórios e pelo governo. Os EUA são relativamente flexíveis em comparação com Singapura, Canadá, Japão e uma UE cada vez mais rigorosa; em várias jurisdições, é preciso fazer verificação biométrica, autenticação por foto e, às vezes, uma entrevista em vídeo com um atendente mostrando documentos
Uma empresa depois bloqueou retroativamente números VoIP, o que foi realmente estúpido
Deveria haver um processo para verificar se o número não está sendo usado em fraudes e então permiti-lo. O fato de eu ser cliente há anos, usar esse número continuamente e ter movimentado milhares de dólares na plataforma sem problemas não poderia servir como base para uma decisão?
Pelo menos na Europa, segundo os critérios da PSD2, esse é o ponto central para reconhecer um número de telefone como meio de autenticação de dois fatores
O único motivo pelo qual, ao telefone, eu não digo “eu sou …” é porque sou honesto. Isso não impede um usuário malicioso que já saiba todas as informações perguntadas; ele simplesmente vai mentir e afirmar que é o dono do negócio ou titular da conta
Trabalho na área de segurança e esse caso me surpreendeu. Mais do que o fato de as empresas terem sido hackeadas, o que chama atenção é que o alcance dos ataques parece simultâneo e coordenado
Invadir várias empresas ao mesmo tempo diz algo sobre os objetivos do lado chinês. Isso aumenta o risco de “ruído”, então fico me perguntando por que eles mexeriam em tudo a ponto de provocar uma resposta em nível presidencial, em vez de subornar um funcionário para espionar alvos de alto escalão. Isso parece movido por imagem e política, e dá a impressão de que a Guerra Fria moderna é feita de ataques à infraestrutura
Escolha praticamente qualquer setor de interesse e as agências de inteligência dos 50 principais países terão uma equipe dedicada a hackear aquela área, e a maioria tem sucesso. Infelizmente, até pessoas do setor de segurança muitas vezes não entendem direito o alcance e a escala dessas operações, mesmo dentro das redes pelas quais são responsáveis. Aqui, o “ruído” não foi criado pelo atacante; o atacante também não quer ser pego, mas erros acontecem
Porque, quando você encontra uma coisa, começa a encontrar outras. Recrutar funcionários é complexo e difícil, mas atacar SS7 remotamente é muito mais fácil, especialmente quando há vários alvos de vigilância
Mexer abertamente em cabos de telecomunicações e de energia parece um sinal para políticos ocidentais. Também há alegações de que a Coreia do Norte roubou criptomoedas, mas há o fato de que nenhuma vítima identificável se apresentou. Políticos ocidentais estão tentando reformular toda a economia mundial sob o pretexto de nos salvar das coisas que estão acontecendo agora, então isso parece mais do que coincidência
Independentemente da orientação política de quem está saindo e de quem está entrando, será mais caótico e, embora chame atenção, pode acabar ficando para trás na lista de coisas a resolver ou ser esquecido
Há um enorme viés de seleção nos ataques que aparecem no noticiário
Não dá para confirmar porque a descrição do hack é pouco clara, mas, à medida que aumenta o número de operadoras invadidas, cresce a possibilidade de que a China tenha atacado a interceptação legal para se infiltrar
Pode ter havido vários métodos. Por exemplo, subornar ou coagir agentes de órgãos de aplicação da lei com acesso ao sistema de gestão de interceptação legal, atacar a cadeia de suprimentos desse sistema ou hackear a autenticação entre a rede e o sistema de gestão. Se foi um ataque à interceptação legal, então todas as redes que dão suporte à interceptação legal automatizada foram compromised. É um ataque particularmente desagradável porque foi projetado para que os alvos da interceptação não fiquem facilmente visíveis para os operadores, o que dificulta a detecção
Quem já trabalhou com redes sabe do que se trata. O estado desse setor é ridiculamente ruim. Usa-se SSH, mas não se verificam chaves de host; usa-se agent forwarding; e usam-se protocolos como RADIUS ou SNMP, em que, se um único equipamento é comprometido, quase sempre tudo cai por causa de segredos compartilhados globais. Também é duvidoso que usem boot seguro de forma significativa ou verifiquem o sistema de arquivos
Vinte anos atrás, quando alguém descobriu que era possível derrubar conexões BGP injetando TCP resets forjados, o setor não adotou BGP over TLS. Em vez disso, apenas adicionou, em 1999, um hash TCP MD5 baseado em segredo compartilhado: https://datatracker.ietf.org/doc/html/rfc2385. Até hoje, continua o clima de nem conseguir imaginar o uso de PKI, e a implantação em si normalmente nem acontece
Para entender esse setor, basta olhar para isto. Em vez de simplesmente usar TLS, criaram algo como https://datatracker.ietf.org/doc/html/rfc5925 e, nas implantações reais, continuam usando o mesmo modelo de tupla compartilhada, tão ruim quanto o 2385. Entre os fornecedores que dizem “dar suporte”, há quem nem suporte o RFC inteiro. Essa situação é conhecida há décadas, mas os fornecedores quase não demonstraram interesse em melhorar a segurança além de remendos para problemas idiotas quando eram pegos, e pesquisadores de segurança também raramente examinam equipamentos de rede importantes
Não estão dizendo que mais lugares foram hackeados, e sim que foram encontrados mais casos relacionados ao mesmo hack. Um atacante desse nível estará acompanhando as notícias e se movimentará de forma adequada em benefício próprio, ou encerrará a presença na rede antes que os indicadores de comprometimento sejam submetidos a engenharia reversa
Em vez de ser necessariamente um ataque baseado em interceptação legal, é bem possível que ainda não se saiba ao certo como a entrada ocorreu. A maior parte das orientações da CISA consiste em boas práticas padrão de cibersegurança, como obter monitoramento e visibilidade e reduzir a superfície de ataque. As principais mudanças parecem ser a exigência de não usar mais TFTP e a parte que trata o fabricante como a fonte dos hashes de referência. A possibilidade de um ataque baseado em firmware no caminho de envio e recebimento parece muito alta
Servidores TFTP enviam configurações para terminais na rede do ISP, ou seja, modems de clientes, e também incluem imagens de firmware; nisso não há autenticação, autorização nem auditoria. O hardware relacionado, por projeto, dificulta auditar alterações adequadamente; o TR-47 raramente é usado de forma apropriada; e a criptografia relacionada é legalmente obrigada a manter compatibilidade retroativa com criptografia que já foi quebrada. Houve uma boa apresentação sobre isso há alguns anos na Cyphercon 6: https://www.youtube.com/watch?v=_hk2DsCWGXs
A ênfase incomum em TLS 1.3 sugere que conexões estão sendo rebaixadas, ou que hardware/firmware de bridges CPE em versões anteriores esteja realizando ataques man-in-the-middle transparentes contra sites públicos. A ênfase no uso de determinados grupos DH também pode sugerir que existam grupos de troca de chaves que ainda não são publicamente conhecidos como quebrados, mas que na prática já foram quebrados
Se um atacante já tiver acesso e puder inserir código malicioso em tempo real no tráfego de pessoas sensíveis que sejam alvo, ele pode invadir facilmente sistemas altamente sensíveis por meio desse tráfego. Uma hipótese mais periférica é que tenha surgido uma forma de quebrar estruturas de Feistel. A NSA já disse no passado que havia ocorrido um avanço em criptografia; se isso estiver relacionado a ataques contra a estrutura de redes de Feistel, que é a base de grande parte da criptografia moderna, poderia ser outra explicação
Quase todos os computadores têm processadores auxiliares com características de backdoor embutidos, em formas como TrustZone, Management Engine e AMD PSP, e são protegidos dependendo apenas de criptografia, sem uma trilha de auditoria adequada. Isso parece um alvo fácil concentrado em praticamente todas as plataformas de computação do planeta. Se um computador quântico quebrar uma única chave de assinatura desses sistemas, ela pode virar uma chave-mestra para tudo, e, em nível estatal, isso não é totalmente impossível. Sem visibilidade, as formas de detectar, reagir ou isolar o problema também serão apenas indiretas
Discussões anteriores relacionadas:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
Há alguns anos, as agências de inteligência defendiam a obrigatoriedade de backdoors, e agora parece comédia ver o FBI recomendar o Signal para conversas seguras.
Espero que a nova administração também vasculhe os e-mails e mensagens de texto deles dos últimos quatro anos. É aquele papo de “minha privacidade pode, a sua não”.
O ataque atingiu o backdoor da CALEA por meio de uma empresa terceirizada de interceptação. Qual empresa teria sido?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
Quem mais atua nesse negócio? Não há tantas empresas terceirizadas de interceptação. A Verisign também fazia isso no passado, mas parece que hoje não mais.
Claro que, tecnicamente, é impossível, mas, do ponto de vista das agências de inteligência, o estado final desejado em si é bastante compreensível.
Não surpreende que o lado da contrainteligência queira criptografia forte, enquanto o lado de resposta a crimes queira criptografia passível de backdoor.
Mesmo que o FBI não respeite a privacidade como deveria.
É por isso que precisamos de criptografia entre dispositivos por cima de toda a segurança que as operadoras têm.
Não há motivo para qualquer conexão que eu faça não estar criptografada em qualquer ponto que não seja o destinatário.
O que a China mirou foram os metadados sobre quem se comunica com quem, e isso é um problema completamente diferente.
Só lidar com números de telefone já é incômodo, e a ideia seria acrescentar chaves públicas em cima disso. Elas não podem ser simplesmente anotadas com facilidade e provavelmente ficariam vinculadas ao aparelho; se a pessoa perder o celular e trocar por outro, não conseguiria receber chamadas até, de algum modo, distribuir a nova chave para todos.
Acho que a criptografia de ponta a ponta se mostrou impraticável em todos os contextos em que foi tentada. Hoje não existe nenhum sistema de criptografia de ponta a ponta de verdade que seja realmente útil, e a indústria tornou o termo sem sentido ao passá-lo a usar para se referir a uma “quase criptografia”, em que um software controlado pelo adversário realiza a criptografia. Como, de qualquer forma, ninguém usava criptografia de ponta a ponta de verdade, dá até para entender, em certa medida, os engenheiros que tomaram essa decisão.
O Tesouro dos EUA também anunciou uma invasão por um ator de ameaça chinês.
Segundo eles, uma chave de acesso remoto mantida por seu “fornecedor de cibersegurança” vazou, permitindo que o invasor acessasse endpoints internos do Tesouro.
Pelo que sei, isso provavelmente não é novidade para as operadoras da UE. Empresas chinesas as operam e, por isso, têm acesso permanente a quase tudo.
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
As operadoras dos EUA não são assim?
Felizmente, os serviços online dos EUA ficam do lado da Europa e trabalham mais do que qualquer um para proteger as comunicações. Mesmo sem receber dinheiro da Europa, que em troca aplica multas de bilhões de dólares. A Europa deteriorou sites para tributar a economia da atenção e também removeu proteções legais para desenvolvedores de código aberto.
Se existe “capacidade de localizar milhões de pessoas”, então a Starlink também parece capaz de descobrir facilmente a localização por IMEI de todos os celulares 4G/5G com uma enorme antena direct-to-cell.
Há um procedimento em várias etapas que usa identificadores temporários ao identificar o dispositivo para a maior parte da rede, então não é necessariamente assim.