Prijavi se z GoogleID

» »

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Slo-Tech - Nobena skrivnost ni, da je protokol SS7, ki ga uporabljajo mobilni operaterji za komunikacijo z napravami in ki omogoča gostovanje, ranljiv. Že več let vemo, da lahko obveščevalne agencije izkoriščajo ranljivosti v tem protokolu in spremljajo tako lokacijo telefonov kakor tudi komunikacijo. V zadnjem času pa postaja jasno, da to ni tuje niti hekerjem. Dvostopenjsko preverjanje pristnosti (2FA), kjer uporabljamo sms-sporočila, ne prinaša nobene dodatne varnosti, le nekoliko zakomplicira življenje tatovom.

Motherboard je tako že identificiral prvo britansko banko, ki je bila žrtev napada na SS7. Tudi britanska obveščevalna agencija GCHQ je potrdila, da se ranljivosti v SS7 že uporabljajo za prestrezanje bančnih šifer. Metro Bank, ki je bila ustanovljena leta 2010, je tudi uradno priznala, da je bila tarča napada na SS7. Banke v takih primerih zlorab škodo komitentom povrnejo, a to ne pomeni, da je problem nepomemben.

Gre za enostavno težavo, da omrežja SS7 ne preverjajo, kdo je poslal posamezen zahtevek, temveč vestno odgovarjajo nanje. Hekerji ob napadu tipično najprej pridobijo dostop do osebnega računalnika, na katerem imamo dostop do internetnega bančništva, da bi izvedeli geslo, uporabniško ime itd. To lahko dobijo na več načinov, denimo z okužbo z virusom, s socialnim inženiringom ali z ribarjenjem. Ko dostop pridobijo, izvedejo transakcijo. Z napadom na SS7 poskrbijo, da po telefonu poslano potrditveno šifro prejmejo napadalci, s čimer lahko zaključijo transakcijo. Preprosta zaščita je uporaba drugega faktorja v 2FA, recimo zunanje aplikacije ali žetonov.

Tudi operater BT je potrdil, da so seznanjeni s primeri napadov na SS7 z namenom izvajanja bančnih prevar. V Vodafonu pa so na primer dejali, da uvajajo posebne ukrepe za zaščito pred ranljivostmi v SS7 in da trenutno nimajo podatkov, da bi bile njihove stranke kakorkoli prizadete. Napade na SS7 so že predlani videli tudi v Nemčiji, kjer so tudi napadali banke.

18 komentarjev

c3p0 ::

Odlično, da je npr. NKBM prešla na SMS potrjevanje plačil.

MrStein ::

A ni to za Mastercard (3D Secure) že dolgo praksa?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Heh... se spominjam, ko sem o tem predaval prvič pred kakšnimi 5 leti... in je bilo, "ja, OK, to je samo teoretično, malo pretiravaš". Now the shit got real. ;)
All those moments will be lost in time, like tears in rain...
Time to die.

NoName ::

paypal ima tud sms 2fa za prijavo v sistem.. go ss7!
I can see dumb people...They're all around us... Look, they're even on this forum!

feryz ::

Torej je ranljivo, če imajo napadalci uporabniško ime, geslo, certifikat ...
Wow, to je pa res slaba zaščita.

Matthai ::

Ni nujno. Recimo določene secure messengerje lahko registriraš z SMS verifikacijo.
Ni vse samo v bančništvu.
All those moments will be lost in time, like tears in rain...
Time to die.

WhiteAngel ::

Mislim, da bi se morali uporabniki sprijazniti z uporabo OTP na telefonih/zunanjih napravah ali pa smart cardov/Yubikey za asimetricno kriptografijo. Ne vem, zakaj imamo certifikate za 20 let, pa ves cas izumljajo toplo vodo in nas prepricujejo, da to ni to.

MrStein ::

Ker so certifikati kurac z vidika UX.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Matthai ::

Varnost je na splošno k*** iz vidika UX. Geslo - treba ga je vpisat! Dodaten, "nepotreben" korak, ki "kvari" UX.
All those moments will be lost in time, like tears in rain...
Time to die.

MrStein ::

Ja, oziroma, niti ne.
UX je kurc pri certifikatih, ker:
- pol kode so napisali ljudje, ki ne da niso nikoli slišali za UX, ampak niti prav programirati ne znajo (poglej openssl)
- druga polovica pa zna programirati, ampak ne ve kaj UX
- preostali pa nimajo časa, da bi kaj izboljšali


Za Firefox so recimo že pred veliko leti (sem davno nehal štet) obljubili oziroma začeli prenovo tega dela, pa do danes ni bilo nič. Drugje je enako.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bbf ::

Luknje delajo delovna mesta..

SeMiNeSanja ::

Matthai je izjavil:

Ni nujno. Recimo določene secure messengerje lahko registriraš z SMS verifikacijo.
Ni vse samo v bančništvu.

Messenger? Ja, se znebiš ss7 problema - nakoplješ pa vse probleme messengerjev. Vprašanje, katera varianta je manj tvegana. Dokler ti nekdo ne vpade v ss7, to mora ukrasti telefon ali nanj namestiti trojanca, da se dokoplje do sms-a. Čim boš opazil izgubo telefona in blokiral SIM, je pa takointako konec grožnje.
Če ti pa ukrade geslo od messengerja, si pa fino nategnjen, ker se lahko v messenger account prijavijo od kjerkoli, s katerokoli napravo.

Seveda lahko tudi messenger skombiniraš z MFA.....ampak kakor poznamo ljudi gredo po poti namjanjšega odpora....Skype & Go....pa presneto še fino je, ker lahko laufaš na dveh računalnikih hkrati.....

Sicer pa je zadnjič bil na 443 podcastu interview "Talking MFA with Roger Grimes". Par zanimivih reči slišiš notri, za katere misliš, da niti pod razno niso možne (npr. pri MFA zahtevat od uporabnika, da rešuje matematične naloge?!?).
Drugače pa lepo tudi povedo, v katero smer bo vse skupaj šlo na dolgi rok. Čeprav tudi to mi ni všeč...ker bahavior ravno tako ne moreš zamenjat. Ko boš hotel odpreti fake account, ti bo pa na osnovi behavirja sistem rekel "dober dan Janez, ali si pozabil, da že imaš account pri nas?"
Ker se bo na koncu vse to mlelo v oblaku, ponudniki pa bodo kakšni trije, te bodo še 10x hitreje izsledili, kakor s pomočjo piškotov, ki se jih politika tako boji.

MrStein ::

Hotel je reči, da se sms uporabi za prijavo/registracijo v messenger.
Torej da problem z ss7 ne prizadene le bančništva ampak tudi druge.

Ne pa, da bi namesto SMS uporabil recimo Skype.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

No, problem obstaja v obe smeri....

Pri SMS se pogosto pozablja, da danes imamo tudi messengerje, ki lahko sprejemajo SMS sporočila. Tako da nimamo problem le na ss7 nivoju....

Še bolj pa je problem, ker npr. banka ne more vedeti, ali je navedena telefonska številka za sms dejansko na nekem telefonu, ali pa v resnici 'domuje' v nekem messengerju. To potem tudi otežuje zaostritev varnostne politike, da bo se prisililo uporabnike v uporabo mobitelov. No, ko so na mobitelih, pa pride problem s SS7...

Zato pa je meni toliko bolj všeč WatchGuardov MFA pristop, ki dejansko posname prstni odtis mobitela. Prestaviš SIM v drug telefon, pa zadeva že ne deluje več. Pa še UX je top, ker samo potrdiš, da se želiš prijaviti. Čeprav gre preko mobilnih komunikacij, pa ss7 problem elegantno zaobidejo.

Zgodovina sprememb…

Saul Goodman ::

a kdo ve, kako enostavno je v praksi pridobiti dostop do SS7 omrežja? do tega imajo AFAIK dostop en segment zaposlenih pri operaterju. rogue employee? se z dostopi "na črno" trguje kot npr. z lokacijskimi podatki telefonov?

v USA si npr. za 300$ dobil lokacijske podatke telefona, kot jih ima operater. le-ta je določenim zunanjim upravičencem dovolil dostop do baz, seveda pa se je to zlorabljalo. kako je s tem pri nas? kakšna insajderska?

Matthai ::

SS7 dostop ni tako enostavno dobiti. Razen, če imaš denar. Govorim o nekaj 10.000 EUR.

Glede lokacij je pa tako, da se da lokacije dobiti tudi preko SS7 - lokalni operater pri tem ne rabi sodelovati. Pred časom sem nekaj časa imel en tak (testni) dostop, ampak potem so hoteli da plačam... ;)

Kolikor poznam zadeve, se pri nas operaterji glede tega zelo držijo zakonodaje. Problem je bolj v tem, da včasih (pogosto?) ne vedo točno kaj se jim v omrežju dogaja...
All those moments will be lost in time, like tears in rain...
Time to die.

Saul Goodman ::

Matthai je izjavil:

SS7 dostop ni tako enostavno dobiti. Razen, če imaš denar. Govorim o nekaj 10.000 EUR.

Glede lokacij je pa tako, da se da lokacije dobiti tudi preko SS7 - lokalni operater pri tem ne rabi sodelovati. Pred časom sem nekaj časa imel en tak (testni) dostop, ampak potem so hoteli da plačam... ;)

Kolikor poznam zadeve, se pri nas operaterji glede tega zelo držijo zakonodaje. Problem je bolj v tem, da včasih (pogosto?) ne vedo točno kaj se jim v omrežju dogaja...


Kaj nekaj 10.000 eur naredi? podmaže ITjevca na Telekomu? kupi tehnično/programsko opremo za vdor v omrežje? plača tvoj novi account? imel si testni dostop do SS7? kakšni so pogoji za pridobitev testnega dostopa? IJS?

Pri nas so zlorabe pač notranje, mogoče kdo kaj zase pogleda, pa kako politično naročilo pade sem in tja. sploh, če ni nobenega pametnega nadzora nad queryi.

glede lokacijskih podatkov pa sem imel v mislih zgodbo iz motherboarda: I Gave a Bounty Hunter $300. Then He Located Our Phone. Pri nas jih uradno nazaj drži strožja zakonodaja? ali obstaja kaka 3rd party firma, ki se napaja iz njihovih podatkov in to trži naprej?

Matthai ::

Saul Goodman je izjavil:

Kaj nekaj 10.000 eur naredi? podmaže ITjevca na Telekomu? kupi tehnično/programsko opremo za vdor v omrežje? plača tvoj novi account? imel si testni dostop do SS7? kakšni so pogoji za pridobitev testnega dostopa? IJS?

Ma kje pa. Treba je iti v tujino. Kakšen IJS, to je bilo že pred leti. Greš pač v kakšno tretjerazredno državo in pokažeš denarnico. Ali pa če poznaš kakšne hekerje, pardon, varnostne raziskovalce, ki so odprli denarnico na Kitajskem... ali v Afriki.

Saul Goodman je izjavil:

Pri nas jih uradno nazaj drži strožja zakonodaja? ali obstaja kaka 3rd party firma, ki se napaja iz njihovih podatkov in to trži naprej?

Kolikor vem ne. Slovenski operaterji s temi podatki ravnajo zgledno. Ne rečem, da ni kje kakšna manjša zloraba, ampak to je eksces, ne uraden policy.
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Oddelek: Novice / Varnost
183134 (862) Matthai
»

FBI napovedal napad na bankomate

Oddelek: Novice / Varnost
194310 (714) AštiriL
»

Evropska komisija umaknila sporni predlog glede omejitve odprave gostovanja na 90 dni (strani: 1 2 )

Oddelek: Novice / Ostale najave
7712192 (9866) bbbbbb2015
»

Kako je britanski GCHQ vdrl v belgijski Belgacom

Oddelek: Novice / Varnost
3815047 (11785) matijadmin
»

Sledenje mobilnim telefonom po svetu ni le v domeni NSA

Oddelek: Novice / NWO
135683 (3657) Matthai

Več podobnih tem