O Hezbollah pensou erroneamente que eram
seguros seus pagers de baixa tecnologia
O Hezbollah temia com razão o rastreamento sofisticado de smartphones por Israel, mas subestimou erroneamente a vulnerabilidade da cadeia de suprimentos.
por Richard Forno
Pagers eletrônicos em todo o Líbano explodiram simultaneamente em 17.09.2024, matando 12 pessoas e ferindo mais de 2.700. No dia seguinte, outra onda de explosões no país veio da detonação de walkie-talkies. Os ataques pareciam ter como alvo membros do grupo militante Hezbollah.
O ataque envolveu explosivos plantados nos dispositivos de comunicação por agentes israelenses, de acordo com autoridades dos EUA citadas pelo The New York Times. O Hezbollah havia encomendado recentemente uma remessa de pagers, de acordo com o relatório.
Atacar secretamente a cadeia de suprimentos não é uma técnica nova em operações militares e de inteligência. Por exemplo, a Agência de Segurança Nacional dos EUA interceptou hardware de computador destinado a clientes estrangeiros, inseriu malware ou outras ferramentas de vigilância e depois os reembalou para entrega a certos compradores estrangeiros, revelou um documento interno da NSA de 2010.
Isso é diferente de acessar o dispositivo de uma pessoa específica, como quando o Shin Bet de Israel inseriu secretamente explosivos em um celular para matar remotamente um fabricante de bombas do Hamas em 1996.
O Hezbollah, um adversário de longa data de Israel, aumentou o uso de pagers após o ataque do Hamas a Israel em 07.10.2023. Ao mudar para dispositivos de comunicação de tecnologia relativamente baixa, incluindo pagers e walkie-talkies, o Hezbollah aparentemente buscou uma vantagem contra a conhecida sofisticação de Israel em rastrear alvos por meio de seus telefones celulares.
Celulares: o melhor rastreador
Como ex-profissional de segurança cibernética e atual pesquisador de segurança, vejo os dispositivos celulares como a melhor ferramenta de rastreamento para entidades governamentais e comerciais, além de usuários, criminosos e a própria operadora de telefonia móvel. Como resultado, o rastreamento de telefones celulares já contribuiu para a luta contra o terrorismo, localizou pessoas desaparecidas e ajudou a resolver crimes.
Por outro lado, o rastreamento do celular torna mais fácil para qualquer pessoa registrar os movimentos mais íntimos de uma pessoa. Isso pode ser feito para fins legítimos, como pais rastreando os movimentos das crianças, ajudando você a encontrar seu carro em um estacionamento e publicidade comercial, ou fins nefastos, como espionar remotamente um amante suspeito de trair ou rastrear ativistas políticos e jornalistas. Até mesmo os militares dos EUA continuam preocupados com a forma como seus soldados podem ser rastreados por seus telefones.
O rastreamento de dispositivos móveis é realizado de várias maneiras. Primeiro, há os dados de localização de rede gerados pelo telefone à medida que ele passa por torres de celular locais ou dispositivos Stingray, que as agências de aplicação da lei usam para imitar torres de celular.
Depois, há os recursos integrados ao sistema operacional do telefone ou ativados por aplicativos baixados que podem levar a um rastreamento de usuário altamente detalhado, com o qual os usuários concordam involuntariamente ao ignorar a política de privacidade ou os termos de serviço do software.
Esses dados coletados às vezes são vendidos a governos ou outras empresas para mineração de dados adicional e criação de perfis de usuários. E os smartphones modernos também possuem recursos integrados de Bluetooth, Wi-Fi e GPS que podem ajudar a localizar e rastrear os movimentos do usuário em todo o mundo, tanto do solo quanto por meio de satélites.
Os dispositivos móveis podem ser rastreados em tempo real ou perto dele. Os métodos técnicos comuns incluem técnicas tradicionais de localização de direção de rádio, usando satélites de inteligência ou drones, implantando ferramentas "man in the middle" como Stingrays para se passar por torres de celular para interceptar e isolar o tráfego de dispositivos ou instalar malware como o Pegasus, feito pela empresa israelense de armas cibernéticas NSO para relatar a localização de um dispositivo.
Mecanismos não-técnicas e mais lentos de rastreamento de usuários incluem a identificação potencial de locais gerais de usuários a partir de sua atividade na Internet. Isso pode ser feito a partir de logs de sites ou metadados contidos no conteúdo postado nas mídias sociais, ou contratando corretores de dados para receber quaisquer dados de localização coletados dos aplicativos que um usuário possa instalar em seu dispositivo.
De fato, por causa dessas vulnerabilidades, o líder do Hezbollah no início deste ano aconselhou seus membros a evitar o uso de telefones celulares em suas atividades, observando que os "dispositivos de vigilância de Israel estão em seus bolsos. Se você está procurando o agente israelense, olhe para o telefone em suas mãos e as de suas esposas e filhos".
Os pesquisadores mostraram como esses recursos, muitas vezes destinados à conveniência do usuário, podem ser usados por governos, empresas e criminosos para rastrear pessoas em suas vidas diárias e até mesmo prever movimentos. Muitas pessoas ainda não sabem o quanto seus dispositivos móveis divulgam sobre elas.
Os pagers, no entanto, ao contrário dos telefones celulares, podem ser mais difíceis de rastrear, dependendo se eles suportam comunicação bidirecional.
Por que usar tecnologia baixa
Um pager que recebe apenas mensagens não fornece um sinal que possa facilitar o rastreamento de seu proprietário. Portanto, o uso de pagers pelo Hezbollah provavelmente tornou mais difícil rastrear seus agentes - motivando assim o suposto ataque dos serviços de inteligência israelenses à cadeia de suprimentos dos pagers do Hezbollah.
O uso de táticas de baixa tecnologia e mensageiros pessoais, evitando o uso de telefones celulares e ferramentas digitais, também tornou difícil para as agências de inteligência ocidentais tecnologicamente superiores localizar Osama bin Laden por anos após os ataques de 11 de setembro.
Em geral, acredito que o adversário em um conflito assimétrico, usando técnicas, táticas e equipamentos de baixa tecnologia, quase sempre será capaz de operar com sucesso contra um oponente mais poderoso e bem financiado.
Uma demonstração bem documentada dessa assimetria em ação foi o jogo de guerra Millennium Challenge dos militares dos EUA em 2002. Entre outras coisas, as forças vermelhas insurgentes, lideradas pelo general da Marinha Paul van Riper, usaram táticas de baixa tecnologia, incluindo motoboys em vez de telefones celulares para escapar da vigilância de alta tecnologia das forças azuis.
Na execução inicial do exercício, a equipe vermelha venceu a competição em 24 horas, forçando os planejadores do exercício a redefinir e atualizar o cenário de forma controversa para garantir a vitória da equipe azul.
Lições para todos
A preferência por organizações terroristas como o Hezbollah e a Al-Qaeda, para evitar o uso de smartphones, é um lembrete para todos de que você pode ser e provavelmente está sendo rastreado de várias maneiras e para vários propósitos.
A suposta resposta de Israel às ações do Hezbollah também traz uma lição para todos. Do ponto de vista da segurança cibernética, isso mostra que qualquer dispositivo em sua vida pode ser adulterado por um adversário em pontos ao longo da cadeia de suprimentos – muito antes mesmo de você recebê-lo.
Richard Forno é professor titular de ciência da
computação e engenharia elétrica da Universidade
de Maryland, Condado de Baltimore
A Redação do JF recomenda com ênfase
a leitura desse artigo em originalna mídia
Asia Times, no endereço a seguir: