Tradução do artigo 5G Security, de Bruce Schneier, publicado no blog Schneier On Security em 14 de janeiro de 2020.

*

É fácil entender os riscos de segurança inerentes aos equipamentos de rede 5G fabricados pela China. Como são subservientes ao governo chinês, os fabricantes podem ser obrigados a incluir backdoors (NdoT: acesso secreto) no hardware ou no software, dando a Pequim acesso remoto aos equipamentos. Eavesdropping (NdoT: interceptação da comunicação) é outro risco, embora esse tipo de ataque seja facilmente detectável. O mais provável é Pequim usar o seu acesso para degradar ou interromper os serviços de comunicação no caso de um conflito geopolítico significativo. Como a internet, especialmente a “internet das coisas”, vai depender pesadamente da infraestrutura 5G, a potencial infiltração chinesa é uma séria ameaça à segurança nacional.

Manter empresas não confiáveis como a Huawei fora da infraestrutura ocidental não é, entretanto, suficiente para garantir a segurança 5G. Também não é suficiente banir microchips, softwares ou programadores chineses. As vulnerabilidades de segurança inerentes aos padrões, protocolos e softwares 5G impedem que as vulnerabilidades sejam eliminadas, independentemente de quem forneça software ou hardware. Essas vulnerabilidades são resultado de 1) forças de mercado que priorizam custos sobre segurança e 2) de governos, incluindo o governo americano, que querem manter a opção de vigilância nas redes 5G. Se quiserem enfrentar com seriedade as ameaças à segurança nacional relativas à insegurança da rede 5G, os EUA precisam repensar até que ponto devem priorizar lucros empresariais e espionagem governamental sobre segurança.

Há, certamente, melhorias de segurança significativas do 5G em relação à criptografia, autenticação, proteção de integridade, privacidade e disponibilidade da rede 4G. Mas as melhorias não são suficientes para garantir a segurança.

Há três problemas de segurança na rede 5G. Em primeiro lugar, os padrões são simplesmente complexos demais para serem implementados com segurança. Isso é verdadeiro para todos os softwares mas os protocolos 5G oferecem dificuldades particulares. Devido à forma como é concebido, o sistema causa distorção entre a parcela wireless da rede de conexão telefônica à estação-base e a parcela principal da rota dos dados ao redor do mundo. Adicionalmente, grande parte da rede é virtualizada, ou seja, depende de softwares rodando em hardwares dinamicamente configuráveis. Esse modelo aumenta drasticamente os pontos vulneráveis a ataques, na mesma proporção do imenso aumento que se espera tanto nas coisas conectadas à rede quanto nos dados que a percorrem.

Em segundo lugar, a incorporação de compatibilidades referentes a versões anteriores ao 5G fazem com que as vulnerabilidades antigas continuem a existir. A rede 5G é a evolução de uma rede 4G com dez anos de idade, e a maior parte das redes mistura gerações. Sem a possibilidade de fazer uma passagem limpa do 4G para o 5G, será simplesmente impossível melhorar a segurança em certas áreas. Os atacantes poderão, por exemplo, forçarem os sistemas 5G a usar protocolos 4G mais vulneráveis e as redes 5G herdarão muitos problemas existentes.

Em terceiro lugar, os comitês de normas 5G perderam muitas oportunidades de melhorar a segurança. Como muitas das novas funções de segurança 5G são opcionais, os operadores de redes podem optar por não implementá-las. O mesmo aconteceu com o 4G; os operadores até mesmo ignoraram as funções de segurança definidas como obrigatórias pela norma porque a sua implementação era cara. Mas, o que é pior no 5G, o desenvolvimento, o desempenho, o custo e o prazo de lançamento, tudo teve prioridade sobre a segurança, que foi deixada para depois.

Ainda há problemas sendo descobertos. Em novembro de 2019, pesquisadores apontaram vulnerabilidades que permitem que usuários 5G sejam rastreados em tempo real, sejam notificados de alarmes falsos ou sejam simplesmente desconectados da rede 5G. E esse não foi o primeiro relato de problemas encontrados nos protocolos e implementações 5G.

Chineses, iranianos, norte-coreanos e russos têm invadido as redes americanas durante anos sem terem tido nenhum controle sobre o hardware, sobre o software ou sobre as companhias que fabricam os dispositivos. (E a Agência Nacional de Segurança americana – NSA – tem invadido redes estrangeiras durante anos sem ter forçado os fabricantes a implementar deliberadamente backdoors nos equipamentos.) Não há nada no 5G que impeça a continuidade, ou mesmo o aumento, dessas práticas no futuro.

As soluções são poucas e dispersas, e não muito satisfatórias. Na verdade, é tarde demais para garantir a segurança das redes 5G. Susan Gordon, então vice-diretora da inteligência nacional americana, estava certa quando disse em março de 2019: “Assuma uma rede suja”. Na realidade, os EUA precisam aceitar as inseguranças do 5G e construir sistemas seguros sobre ele. Em alguns casos, isso não é difícil de fazer: adicionar criptografia a um iPhone ou a um mensageiro como WhatsApp proporciona segurança contra eavesdropping, e protocolos distribuídos proporciona segurança contra interrupção, independentemente da insegurança da rede em que operam. Em outros casos, não há o que fazer. Se o seu smartphone é vulnerável a um exploit (NdoT: programa ou sequência de dados que se aproveita de uma vulnerabilidade para invadir um sistema) baixado, pouco importa quão seguros são os protocolos de rede. Muitas vezes, a tarefa estará entre esses dois extremos.

A segurança 5G é apenas mais uma das diversas áreas nas quais os lucros empresariais a curto prazo prevalecem sobre o bem social mais amplo. Em uma economia capitalista de livre mercado, a única solução é regular as companhias, mas os EUA não têm mostrado nenhum apetite especial por isso.

E, mais ainda, as agências de inteligência como a NSA confiam em vulnerabilidades inesperadas em seus esforços de coleta de dados mundial, e as agências de execução da lei como o FBI até mesmo tentaram implementar novas vulnerabilidades para facilitar a sua própria coleta de dados. De novo, os interesses particulares de curto prazo têm triunfado sobre os melhores interesses de longo prazo da sociedade.

Em vez de concentrar um grande esforço para consertar o 5G, os EUA, por sua vez, muito provavelmente conviverão com os problemas que a rede tem, como têm feito por décadas. Talvez as coisas sejam diferentes com o 6G, que começa a ser discutido nos comitês de normas técnicas. A Câmara dos Representantes dos Estados Unidos acaba de elaborar um projeto de lei determinando que o Departamento de Estado participe do processo de elaboração de normas internacionais de forma a ser feito apenas por operadores de telecomunicações e demais países interessados, mas não há chance de que o projeto de lei seja convertido em lei.

A geopolítica 5G é complexa, envolvendo muito mais do que segurança. A China está subsidiando a compra dos equipamentos de rede de suas próprias companhias em países no mundo inteiro. A tecnologia se tornará muito rapidamente infraestrutura crítica nacional, e os problemas de segurança se tornarão ameaça de morte. Tanto ataques de criminosos como ciber-operações governamentais serão mais comuns e mais perigosos. Em algum momento, Washington terá de agir. Essa sua ação será difícil e cara. Vamos torcer para que também não venha tarde demais.

Esse ensaio foi publicado originalmente no site Foreign Policy.

***

Publicidade