Gostem ou não do governo de Donald Trump, uma coisa é certa, não há um dia sem notícias para se discutir. É como o governo de Jair Bolsonaro, numa escala global. Conforme Elon Musk sai em “alto estilo” do governo que ajudou a eleger, já nos esquecemos da notícia quente março, o “SignalGate”. Mais importante, nos esquecemos do hack posterior ao vazamento de mensagens sobre o plano de uma guerra aberta contra o Iêmen (que também já ficou para trás). Comentemos o caso, com certo atraso, já que ele deve voltar às manchetes em breve.
No início de maio, uma foto do conselheiro para segurança nacional de Trump, Mike Waltz, mostrava-o usando o aplicativo Signal durante reunião do gabinete. A foto, publicada no portal de notícias Reuters, circulou o mundo e despertou a curiosidade de um hacker anônimo. Esse hacker notou que não era bem o Signal, mas o TeleMessage Signal. Funcionalmente o mesmo aplicativo, mas embalado pela empresa TeleMessage num ambiente teoricamente mais seguro. Em poucos minutos, ao explorar o domínio da TeleMessage na internet, secure.telemessage.com (agora fora do ar), o hacker percebeu más práticas de segurança e também o uso de uma tecnologia já antiquada (e provavelmente por isso, cheia de vulnerabilidades). Não deu outra, por um problema trivial de configuração mal feita, o atacante teve acesso ao estado da memória do servidor por meio de uma simples requisição.
Esse estado continha informações como mensagens não criptografadas, nomes de usuários, senhas, chaves criptográficas e outras informações sigilosas que estavam, naquele momento, na memória do servidor. Ou seja, fosse essa requisição feita durante a reunião em que Waltz foi fotografado trocando mensagens pelo aplicativo, saberíamos exatamente com quem e o que ele estava falando. Naturalmente, o hacker fez o que qualquer um faria e requisitou o estado da memória do servidor continuamente do momento em que descobriu a vulnerabilidade até a TeleMessage desligar seus serviços.
O jornalista Micah Lee reportou sobre o tema em artigo no portal Wired no dia 18 de maio. Foram obtidos mais de 400 GB de dados. Entre os clientes da TeleMessage estavam pessoas do governo norte-americano, do banco JP Morgan e, até mesmo, o bilionário Marc Adreessen. Lee desenvolveu uma ferramenta para analisar o acervo que já está na mão de outros jornalistas, segundo ele próprio. O vazamento de informações privadas tem consequências enormes já que a TeleMessage não oferecia somente a versão “segura” do Signal, mas também do WhatsApp e de outros serviços de comunicação.
Como uma empresa com clientes tão importantes pode ser tão incompetente? E a incompetência aqui é inclusive cômica porque pegaram meios de comunicação seguros, com criptografia fim-a-fim, e simplesmente introduziram uma vulnerabilidade por intermediarem essa comunicação segura oferecida pelo Signal, por exemplo. Tudo com o consentimento de usuários que deveriam saber dos riscos envolvidos, o que demonstra a incompetência dos assessores do governo norte-americano e de alguns de seus principais bancos e especuladores.
O caso “SignalGate” de março, deu-se por causa dessa vulnerabilidade? Ou algum membro do grupo de conversas do alto escalão do governo vazou a mensagem? Impossível saber, já que o endpoint que fornecia o estado da memória do servidor estava disponível à internet desde que o sistema fora colocado no ar. É difícil dizer se algo de importante está no acervo capturado e disponibilizado publicamente, mas é certo que há muitas pessoas interessadas em encontrar alguma informação sigilosa trocada por pessoas de tamanha importância política. Nosso palpite é que, logo mais, algo deve aparecer nas manchetes.
Tendo certa experiência na indústria de software, devemos dizer que esse caso é a regra. Quantas vezes não somos forçados a criar senhas complicadas, a autenticar com nossos rostos e outros métodos de autenticação em dois fatores, somente para descobrir que o servidor do serviço foi hackeado e todos os nossos dados comprometidos? Sim, muitas pessoas leigas tecnicamente usam senhas muito básicas e previsíveis, mas essas camadas de proteção, que complicam nossa vida, não aumentam tanto a segurança dos dados já que os sistemas são implementados de maneira irresponsável e descuidada. Como no caso da TeleMessage que deveria ser uma empresa especializada em segurança digital. Imaginem as demais!
Antes de nos despedirmos, um detalhe: a TeleMessage é uma empresa israelense. Esse nível de incompetência ajuda a desmontar a ideia dos poderosos hackers do Mossad, da infalibilidade dos serviços de inteligência de “Israel”, etc. Não que isso precisasse ser feito depois do grande Dilúvio de Al Aqsa, mas aí está mais uma evidência.
