Escutas ilegais: O caso Atenas

Uma leitura interessante!

Como a ubiquidade informática nas nossas vidas as simplifica, para o bem e para o mal. 🙂

Um golpe bastante arriscado e apontado ao núcleo governamental grego. Até hoje não foram encontrados os responsáveis por este ataque.

O ataque tem várias coisas de típico: um MITM nalguns comutadores da rede GSM usufruindo de funções integradas do sistema para escutas que não estavam a ser usadas pelo operador, logo não existindo controlo de registos; processos escondidos; código de sistema ofuscado; acesso remoto escondido, ou seja um típico rootkit.

Além de alguns registos nem estarem a ser verificados, implementaram funções para desactivar vários registos relacionados com as escutas e acesso dos operadores a estas funções.

E será que foram apanhados porque alguém os descobriu a aceder, ou o código que lá colocaram… errr… nem por isso. Os atacantes meterem água com uma actualização do próprio código que despoletou erros no reencaminhamento de mensagens de texto (SMS), e a partir dai tudo se complicou. O sistema gerou um relatório automático de erro, os administradores de sistemas encarregues começaram a analisar o problema (o sistema em causa não só gera registos como cria imagens do código em execução e do estado de execução para facilitar a análise forense) e nessas imagens foi encontrado o código malicioso, juntamente com a lista vasta de números vigiados, do Primeiro Ministro, da mulher dele, do Ministro dos Negócios Estrangeiros, etc, etc.

E o tamanho do bicho? Cerca de 6500 linhas de código!

Depois como não se chegou a nenhuma conclusão do ataque, existem aquelas curiosidades em jeito de prefácio às mais variadas teorias da conspiração, como por exemplo o sistema usado (AXE da Ericsson) ter sido programado por contrato a uma empresa grega…

Também é estranho o operador (Vodafone) ter reinstalado as máquinas sem guardar backups, destruir os livros de registo de entradas e saídas e os registos dos erros que despoletaram a descoberta do ataque, passados 6 meses. Dai que seja impossível saber ao certo se a teoria de ter existido alguém infiltrado estaria certa…

Ao fim ao cabo a operadora deixou margem para os atacantes saberem que foram descobertos e terem tempo de limpar o seu rasto (desligar e destruir os telemóveis usados para as escutas, por exemplo), também meteram água ao destruir maior parte das provas, a que a polícia não fez muita questão de meter a mão. Afinal era importante não causar problemas de serviço na operadora… 😛

Não causa preocupação que estes sistemas sejam desenvolvidos em regime de outsourcing, que muitos administradores de sistemas sejam contratados a empresas de trabalho temporário, ou também em regime de outsourcing? Será que existe uma análise cuidada deste trabalho?

Calculo que acontecimentos como o que relata o artigo sejam um abrir de olhos para os responsáveis pela segurança de empresas como os operadores de comunicações, mas como não passou assim tanto tempo desde que alguém me disse ‘ah e tal, eles aqui ainda usam telnet!’… nunca se sabe…