A divulgação do livro de código (codebook) de uma rede GSM  por Karsten Nohl, pesquisador de segurança alemão de 28 anos, e sua equipe de colaboradores causou furor na virada de 2009/2010. No mínimo, ela reduziu a elevada tabela de custos e os conhecimentos técnicos necessários para se interceptar uma chamada de telefonia celular baseada na tecnologia GSM. Mais ainda, o incidente constata o quão ultrapassada é a atual criptografia GSM e que já está mais do que na hora de uma atualização.

O portal norte-americano CIO Today analisou, em artigo de Richard Koman, o manual que ensina a quebra da criptografia da tecnologia GSM e afirma que o incidente "enviou ondas de choque por toda a indústria sem fio". Mas este acidente não representa nenhuma surpresa para uma indústria que, segundo analistas, tem dado muito pouca atenção à segurança. O artigo conta que Nohl - trabalhando com os outros via internet - criou um guia para quebrar o sistema global para comunicação móvel A5 /1 algoritmo de 64 bits, aprovado em 1988 e adotado em 1989, usado ainda hoje pelas redes GSM. Já as redes 3G usam criptografia de 128 bits para proteger a privacidade de quem faz a chamada a partir do novo A/3 algoritmo, que também já está sendo "copiado" (‘phased in').

Nohl assegura que o esforço de quebra é para obter "melhor segurança" e não um simples desejo do tipo 'queremos quebrar'. "Se nós criamos mais demanda por mais segurança, e se todas as operadoras de rede podem usar isso como um recurso de marketing... este é o melhor resultado possível". À Associated Press, Nohl afirmou que, por ele e seus parceiros serem especialistas em segurança, o que fizeram foi demonstrar como a quebra pode ser feita. Suas revelações se destinam a pressionar a adoção pela indústria de criptografia de 128-bits, que seria "quintilhões de vezes mais difícil de quebrar".

A quebra explora falhas em redes GSM conhecidas há 15 anos, afirmou Nohl. "Quinze anos é tempo suficiente para se substituir algo. Ninguém usa um telefone com 15 anos de idade. Se eles tivessem tomado medidas, poderiam ter substituído tudo por três vezes."

Andrew Storms, diretor de operações de segurança da nCircle, concorda que "a variável de qualquer criptografia é o tempo. Só é preciso garantir que a criptografia seja forte o suficiente oferecer o sigilo da carga até que o conteúdo não tenha mais valor. Com tempo suficiente, qualquer criptografia será quebrada.

Indústria lenta na atualização de segurança

As reivindicações de melhoria da segurança e os protestos do setor são comuns, afirmou Storms. "Como em qualquer investigação controversa de segurança da informação, se joga um jogo de gato e rato. Os afetados reclamam, enquanto o pesquisador alega nobres intenções. Devido à lei de Moore, era apenas uma questão de tempo antes de que o A5 /1 de 1989 fosse quebrado. O A5/3, o mais novo algoritmo, também será quebrado no tempo devido".

Segundo o analista, a indústria de telefonia celular deve saber que a sua criptografia seria quebrada e tem sido lenta quanto ao lançamento do mais novo A5 /3 algoritmo. "Este é um caso clássico de segurança, não sendo uma prioridade. O que incentiva os consumidores a gastar dinheiro não é a segurança - são os gadgets e funcionalidades. Embora os fornecedores estejam ocupados tentando cumprir metas de receita, a segurança simplesmente não tem recebido a atenção que merece".

Como um quebra-cabeça

Tony Bradley do portal PC Secutity News, usa uma analogia. "Pense na criptografia como um quebra-cabeça onde é preciso encontrar uma peça específica. Se o jogo só tem 25 peças, não levará muito tempo para montá-lo. O mesmo acontece com um algoritmo de criptografia fraco. No entanto, se o quebra-cabeça tiver 10 mil peças, sua decifração vai demorar muito mais".

"Conforme o tempo passa, reúnem-se mais pessoas para participar do jogo e desenvolver novas estratégias para selecionar as peças mais rapidamente e reduzir o tempo necessário para memorizar as 10 mil peças. É desta forma que os algoritmos mais difíceis de decifrar tornam-se com o tempo simples de serem quebrados".

Bradley lembra que é sempre possível um palpite de sorte. A quebra da criptografia tem suas estimativas baseadas na quantidade de tempo necessário para trabalhar com todas as combinações possíveis e permutação de caracteres, para determinar a chave de criptografia. Mas, você poderia, teoricamente, encontrar a chave na oitava tentativa ao invés de na décima milionésima.

O GSM é a tecnologia do telefone mais utilizadas móvel do mundo - responsável por mais de 80% dos 4,3 bilhões de telefones móveis em uso no mundo. À medida que a tecnologia evolui, os computadores dos usuários finais têm, eventualmente, capacidade de processamento digna dos mainframes de ontem - e, também, o poder de processamento necessário para se quebrar a criptografia se torna trivial.