Atacul O2 SS7

Focus (de , July 17, 2017)

Prolog: O fraudă bancară care a fost executată cu succes în Germania luna trecută, prin hacking asupra rețelei O2 Telefonica, aceasta a fost știrea care a îngrozit industria de telefonie mobilă. Steve Buck de la Evolved Intelligence explică de ce, până la urmă, acest eveniment ar putea fi o veste bună

Start-ul – sau începutul sfârșitului?

Luna trecută, O2 Telefonica din Germania a confirmat că a fost victima unui atac asupra rețelei mobile prin care hacker-ii au golit conturile bancare ale unui număr neprecizat de clienți. Infractorii au spart sistemul de autentificare în doi pași, prin SMS, utilizat de atât de multe bănci.

Vulnerabilitatea utilizată de hackeri a fost sistemul de semnalizare denumit SS7 pe care operatorii mobili îl utilizează pentru interconectare – și este o parte a rețelei globale care face ca mobilele să fie în mod efectiv mobile. Anul trecut, în aprilie, această vulnerabilitate a fost prezentată la show-ul american de televiziune “60 de minute”, fiind demonstrată în mod public, anterior, la  Chaos Computer Congress în 2015. echipamentul necesar pentru accesarea SS7 era pe de o parte prea scump, iar pe de altă parte necesita expertiză tehnică pentru a putea fi utilizat. Această protecție limitată nu mai este de actualitate – instrumentele, tehnicile și până și serviciul fiind disponibile pentru oricine și tranzacționate “deschis” pentru foarte puțini bani pe dark web.

Pătrunderea prin hacking în semnalizările rețelei au permis infractorilor nu numai să localizeze și să urmărească telefoanele mobile, ci și să urmărească utilizatorii prin interceptarea comunicațiilor prin telefon. Posibilitatea de a redirecta mobilele a fost slăbiciunea centrală în cazul furtului din Germania.

Conform rapoartelor confirmate în legătură cu incidentul O2, infractorii au utilizat inițial tehnici de phishing pentru fraude bancare și spyware pentru a infecta conturile clienților, pentru a fura detalii despre aceștia, parole și alte informații personale. După ce au reușit să obțină acces la conturile online ale utilizatorilor, au putut să vadă și să țintească conturile cu “o pleașcă bogată”.

Infractorii au redirectat apoi mobilele deținătorilor de conturi către propriile telefoane mobile, astfel încât – noaptea ca hoții – au putut să le golească conturile.

În momentul în care banca a trimis un SMS automat cu Transaction Authentication Number (mTAN), acesta a fost recepționat de infractori și nu de către clienți. Având această informație, infractorii au putut autoriza transferurile bancare, în propriile conturi, bine ascunse și au putut elimina redirectarea mobilelor. Eliminarea redirectării după furt i-a ajutat și să își ascundă urmele și să permită amânarea descoperirii hoției.

 

 

 

 

 

 

 

 

O2, în Germania, a confirmat faptul că atacul a avut loc și a afirmat într-o declarație către ziarul Suddeutsche Zeitung că: “Infractorii au executat un atac dintr-o rețea a unui operator de telefonie mobilă străin. Atacul a redirectat mesajele SMS primite de către anumiți clienți germani, către atacatori.”

Acesta este primul incident de masă care fraudează semnalizarea SS7 și marea majoritate a utilizatorilor nu sunt conștienți că se poate întâmpla. Băncile și operatorii mobili, totuși, s-au enervat și caută soluții de combatere a amenințării.

Recent, CEO-ul Vodafone, Vittorio Colao a recunoscut că problema securității cibernetice este una dintre cele care “nu-l lasă să doarmă noaptea”. Colano a afirmat că este necesară o abordare pan-Europeană pentru a stăvili amenințările infractorilor cibernetici și a făcut apel la:

“O colaborare mult mai amplă între companiile din domeniu pentru crearea unui sistem de apărare cibernetică mai integrat.”

Nu există nici un dubiu că operatorii și companiile luptă într-un război al securității cibernetice pe mai multe fronturi – în sistemele lor IT, pe dispozitivele lor și în rețelele lor. Hackerii vor utiliza în mod evident orice mecanism care le permite să atace sistemele, să fure date, să paralizeze operațiuni și să fraudeze companiile și clienții acestora. Odată cu creșterea fenomenului Bring Your Own Device, nu mai este suficient pentru companii să încerce să protejeze traficul pe propriul backbone IP, ci este necesară și asigurarea securității peste rețeaua mobilă, end to end (de la un capăt la altul).

Aceasta este o cerință recunoscută în SUA, unde congresmanul Ted Lieu face presiuni asupra reglementatorilor americani pentru acționa în cazul vulnerabilității SS7. În momentul în care Camera Reprezentanților din SUA a anunțat că începe să protejeze dispozitivele mobile ale membrilor Congresului și ale personalului acestora cu securitate endpoint pentru a ajuta la identificarea amenințărilor, cum ar fi rețele WiFi nesecurizate și aplicații malițioase, Lieu a salutat mișcarea dar a continuat să descrie securitatea cibernetică a Congresului ca o “clădire cu ușile încuiate dar cu o fereastră deschisă”.

“Membrii Congresului și personalul acestora sunt foarte dependenți de dispozitivele lor mobile pentru a-și desfășura munca, dar acestea nu sunt protejate în mod adecvat”, a spus Lieu. Congresmanul este conștient că simpla închidere a unui geam deschis, prin protejarea dispozitivului nu este suficientă atâta timp cât rețeaua însăși rămâne vulnerabilă.

Desigur, congresmanul Lieu este implicat în mod direct în povestea legată de securitatea SS7, deoarece telefonul său personal a fost cel hack-uit în programul de televiziune “60 de minute”. În mod natural, el a reacționat rapid la aflarea veștii despre atacul SS7 din Germania.

“Toate conturile protejate prin autentificare în doi pași, bazată pe text, cum sunt conturile bancare, se află în fața unui risc potențial până când FCC și industria telecom nu vor rezolva breșa de securitate devastatoare SS7”, a spus el.

Între timp, în Germania, operatorul rival Deutsche Telekom s-a grăbit să își re-asigure clienții că un astfel de atac nu s-ar putea întâmpla în rețeaua proprie. O declarație de pe site-ul DT afirmă că este unul dintre primii operatori de telecomunicații, la nivel mondial, care a implementat un firewall SS7 care ar fi blocat și prevenit atacul care a a vut loc asupra O2.

 

 

 

 

 

 

 

Breșa de semnalizare este o moștenire a relațiilor între “rețele de încredere” care existau înainte ca piața telecom să devină atât de deschisă. Aceasta este o slăbiciune care este amplificată și de mărimea pieței de astăzi. Ca să vă formați o idee, propriul nostru firewall de semnalizare poate fi instalat software pe Network Interface Units (NIFs) care poate fi implementate la unul din cca. 60 de operatori de rețea de pe glob. Aceste NIF-uri permit oferirea serviciilor de roaming cu valoare adăugată ale operatorilor. În sistemele noastre circulă undeva la ordinul a 12 miliarde de mesaje de semnalizare SS7 în fiecare zi.

Dincolo de dimensiune, o altă provocare o reprezintă faptul că mesajele frauduloase de semnalizare imită adesea unele dintre mesajele care oferă valoare adăugată serviciilor și care aduc venituri operatorilor. Mesajele care conduc aceste servicii diferă de semnalizarea normală, astfel încât sistemul trebuie să facă distincție între aceste semnale neuzuale și cele nesigure – cele nedăunătoare de cele dăunătoare.

Numărul mesajelor pe care le vedem ca fiind neobișnuite dar sunt sigure, sunt de departe mai multe decît cele frauduloase. Cu toate acestea, putem considera că numărul de mesaje potențial frauduloase sunt de ordinul a unu pe secundă în fiecare rețea de pe glob. Oprirea cu precizie a acestor mesaje dăunătoare fără a afecta traficul normal de rețea este provocarea pe care firewall-urile de semnalizare trebuie să o înfrunte.

Avm încredere că firewall-urile de semnalizare pe care le furnizăm operatorilor ar fi depistat și blocat atacul asupra O2 – de fapt unul dintre firewall-urile noastre a oprit un astfel de atac chiar în timpul incidentului O2. O modalitate prin care putem face asta este prin măsurarea distanței și vitezei pentru luarea unei decizii în privința update-urilor de localizare care au existat în spatele atacului O2. Un dispozitiv mobil care semnalizează din Germania într-o seară, nu poate semnaliza legitim puțin mai târziu de pe o insulă din Pacific sau din Caraibe, de exemplu. Abonatul nu ar fi putut parcurge acea distanță în acel interval de timp.

Dar, așa cum au subliniat Vodafone și Deutsche Telekom, măsurile luate de un operator individual oferă doar o soluție limitată. trebuie întreprinse acțiuni concertate din partea întregii industrii pentru o protecție adecvată împotriva fraudatorilor care încearcă să exploateze breșele semnalizării SS7.

Poate această primă confirmare a acestui tip de atac, care sperie industria mobilă, poate constitui catalizatorul care să accelereze implementarea măsurilor de protecție. În loc să fie începutul unor vremuri rele, să sperăm că semnalizează începutul sfârșitului.

Autor : Steve Buck

BIO

Steve are peste 30 de ani de experiență în telecomunicații mobile, ocupând poziții de inginerie și marketing, atât pentru producători de echipamente, cât și pentru operatori mobili. Are experiență în domeniul fraudelor, identității și produselor de risc pentru companii, în domeniul bancar, retail, sector public și alte verticale. În anii ’80, Steve a lucrat pentru Racal Research (care s-a desprins din Vodafone) în domeniul R&D pentru ceea ce urma să devină tehnologia GSM. A dezvoltat hardware și software pentru testare în timp real a tehnologiei în UK – făcând primul apel GSM din UK în 1986. S-a alăturat Motorola în 1998 contribuind la definirea standardelor GSM pentru fazele 1 și 2, la începutul anilor ’90, conducând dezvoltarea de firmware GSM și administrând dezvoltarea unor noi stații de bază. La începutul lui 1995, s-a alăturat Aethos ca director de produse, derulând activități de marketing, management de produs și dezvoltare, oferind suport pentru zeci de milioane de abonați prepay. Logica a achiziționat Aethos în 1998. Steve a continuat să conducă furnizarea de servicii prepay, furnizând prima rețea de soluții pentru mesagerie prepay și, subsecvent, s-a ocupat de management de produse pentru MMS, pentru Logica. Steve a fost VP Products pentru T-Mobile (UK) între 2004 și 2009, lansând un număr de servicii inovative, care au fost premiate, incluzând primul serviciu adevărat de internet mobil din UK. Steve s-a alăturat NSN (Nokia networks) în 2009 unde a condus business-ul, de 200 milioane de dolari, de experiența utilizatorilor. După o scurtă perioadă la Amdocs, în OSS, Steve a condus departamentul de Product Management de la Equifax, o agenție de referințe de credit, vânzând soluții de evaluare a riscului, detectarea fraudelor și de identitate, către o multitudine de companii, inclusiv bănci, instituții financiare, retaileri, operatori telecom și organizații din sectorul public. Steve s-a alăturat Evolved Intelligence în 2015.

 


Tags: , ,

Trackbacks

Leave a Trackback