» »

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Slo-Tech - Nobena skrivnost ni, da je protokol SS7, ki ga uporabljajo mobilni operaterji za komunikacijo z napravami in ki omogoča gostovanje, ranljiv. Že več let vemo, da lahko obveščevalne agencije izkoriščajo ranljivosti v tem protokolu in spremljajo tako lokacijo telefonov kakor tudi komunikacijo. V zadnjem času pa postaja jasno, da to ni tuje niti hekerjem. Dvostopenjsko preverjanje pristnosti (2FA), kjer uporabljamo sms-sporočila, ne prinaša nobene dodatne varnosti, le nekoliko zakomplicira življenje tatovom.

Motherboard je tako že identificiral prvo britansko banko, ki je bila žrtev napada na SS7. Tudi britanska obveščevalna agencija GCHQ je potrdila, da se ranljivosti v SS7 že uporabljajo za prestrezanje bančnih šifer. Metro Bank, ki je bila ustanovljena leta 2010, je tudi uradno priznala, da je bila tarča napada na SS7. Banke v takih primerih zlorab škodo komitentom povrnejo, a to ne pomeni, da je problem nepomemben.

Gre za enostavno težavo, da omrežja SS7 ne preverjajo, kdo je poslal posamezen zahtevek, temveč vestno odgovarjajo nanje. Hekerji ob napadu tipično najprej pridobijo dostop do osebnega računalnika, na katerem imamo dostop do internetnega bančništva, da bi izvedeli geslo, uporabniško ime itd. To lahko dobijo na več načinov, denimo z okužbo z virusom, s socialnim inženiringom ali z ribarjenjem. Ko dostop pridobijo, izvedejo transakcijo. Z napadom na SS7 poskrbijo, da po telefonu poslano potrditveno šifro prejmejo napadalci, s čimer lahko zaključijo transakcijo. Preprosta zaščita je uporaba drugega faktorja v 2FA, recimo zunanje aplikacije ali žetonov.

Tudi operater BT je potrdil, da so seznanjeni s primeri napadov na SS7 z namenom izvajanja bančnih prevar. V Vodafonu pa so na primer dejali, da uvajajo posebne ukrepe za zaščito pred ranljivostmi v SS7 in da trenutno nimajo podatkov, da bi bile njihove stranke kakorkoli prizadete. Napade na SS7 so že predlani videli tudi v Nemčiji, kjer so tudi napadali banke.

18 komentarjev

c3p0 ::

Odlično, da je npr. NKBM prešla na SMS potrjevanje plačil.

MrStein ::

A ni to za Mastercard (3D Secure) že dolgo praksa?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Heh... se spominjam, ko sem o tem predaval prvič pred kakšnimi 5 leti... in je bilo, "ja, OK, to je samo teoretično, malo pretiravaš". Now the shit got real. ;)
sudo poweroff

NoName ::

paypal ima tud sms 2fa za prijavo v sistem.. go ss7!
I can see dumb people...They're all around us... Look, they're even on this forum!

feryz ::

Torej je ranljivo, če imajo napadalci uporabniško ime, geslo, certifikat ...
Wow, to je pa res slaba zaščita.

poweroff ::

Ni nujno. Recimo določene secure messengerje lahko registriraš z SMS verifikacijo.
Ni vse samo v bančništvu.
sudo poweroff

WhiteAngel ::

Mislim, da bi se morali uporabniki sprijazniti z uporabo OTP na telefonih/zunanjih napravah ali pa smart cardov/Yubikey za asimetricno kriptografijo. Ne vem, zakaj imamo certifikate za 20 let, pa ves cas izumljajo toplo vodo in nas prepricujejo, da to ni to.

MrStein ::

Ker so certifikati kurac z vidika UX.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Varnost je na splošno k*** iz vidika UX. Geslo - treba ga je vpisat! Dodaten, "nepotreben" korak, ki "kvari" UX.
sudo poweroff

MrStein ::

Ja, oziroma, niti ne.
UX je kurc pri certifikatih, ker:
- pol kode so napisali ljudje, ki ne da niso nikoli slišali za UX, ampak niti prav programirati ne znajo (poglej openssl)
- druga polovica pa zna programirati, ampak ne ve kaj UX
- preostali pa nimajo časa, da bi kaj izboljšali


Za Firefox so recimo že pred veliko leti (sem davno nehal štet) obljubili oziroma začeli prenovo tega dela, pa do danes ni bilo nič. Drugje je enako.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bbf ::

Luknje delajo delovna mesta..

SeMiNeSanja ::

poweroff je izjavil:

Ni nujno. Recimo določene secure messengerje lahko registriraš z SMS verifikacijo.
Ni vse samo v bančništvu.

Messenger? Ja, se znebiš ss7 problema - nakoplješ pa vse probleme messengerjev. Vprašanje, katera varianta je manj tvegana. Dokler ti nekdo ne vpade v ss7, to mora ukrasti telefon ali nanj namestiti trojanca, da se dokoplje do sms-a. Čim boš opazil izgubo telefona in blokiral SIM, je pa takointako konec grožnje.
Če ti pa ukrade geslo od messengerja, si pa fino nategnjen, ker se lahko v messenger account prijavijo od kjerkoli, s katerokoli napravo.

Seveda lahko tudi messenger skombiniraš z MFA.....ampak kakor poznamo ljudi gredo po poti namjanjšega odpora....Skype & Go....pa presneto še fino je, ker lahko laufaš na dveh računalnikih hkrati.....

Sicer pa je zadnjič bil na 443 podcastu interview "Talking MFA with Roger Grimes". Par zanimivih reči slišiš notri, za katere misliš, da niti pod razno niso možne (npr. pri MFA zahtevat od uporabnika, da rešuje matematične naloge?!?).
Drugače pa lepo tudi povedo, v katero smer bo vse skupaj šlo na dolgi rok. Čeprav tudi to mi ni všeč...ker bahavior ravno tako ne moreš zamenjat. Ko boš hotel odpreti fake account, ti bo pa na osnovi behavirja sistem rekel "dober dan Janez, ali si pozabil, da že imaš account pri nas?"
Ker se bo na koncu vse to mlelo v oblaku, ponudniki pa bodo kakšni trije, te bodo še 10x hitreje izsledili, kakor s pomočjo piškotov, ki se jih politika tako boji.

MrStein ::

Hotel je reči, da se sms uporabi za prijavo/registracijo v messenger.
Torej da problem z ss7 ne prizadene le bančništva ampak tudi druge.

Ne pa, da bi namesto SMS uporabil recimo Skype.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

No, problem obstaja v obe smeri....

Pri SMS se pogosto pozablja, da danes imamo tudi messengerje, ki lahko sprejemajo SMS sporočila. Tako da nimamo problem le na ss7 nivoju....

Še bolj pa je problem, ker npr. banka ne more vedeti, ali je navedena telefonska številka za sms dejansko na nekem telefonu, ali pa v resnici 'domuje' v nekem messengerju. To potem tudi otežuje zaostritev varnostne politike, da bo se prisililo uporabnike v uporabo mobitelov. No, ko so na mobitelih, pa pride problem s SS7...

Zato pa je meni toliko bolj všeč WatchGuardov MFA pristop, ki dejansko posname prstni odtis mobitela. Prestaviš SIM v drug telefon, pa zadeva že ne deluje več. Pa še UX je top, ker samo potrdiš, da se želiš prijaviti. Čeprav gre preko mobilnih komunikacij, pa ss7 problem elegantno zaobidejo.

Zgodovina sprememb…

Saul Goodman ::

a kdo ve, kako enostavno je v praksi pridobiti dostop do SS7 omrežja? do tega imajo AFAIK dostop en segment zaposlenih pri operaterju. rogue employee? se z dostopi "na črno" trguje kot npr. z lokacijskimi podatki telefonov?

v USA si npr. za 300$ dobil lokacijske podatke telefona, kot jih ima operater. le-ta je določenim zunanjim upravičencem dovolil dostop do baz, seveda pa se je to zlorabljalo. kako je s tem pri nas? kakšna insajderska?

poweroff ::

SS7 dostop ni tako enostavno dobiti. Razen, če imaš denar. Govorim o nekaj 10.000 EUR.

Glede lokacij je pa tako, da se da lokacije dobiti tudi preko SS7 - lokalni operater pri tem ne rabi sodelovati. Pred časom sem nekaj časa imel en tak (testni) dostop, ampak potem so hoteli da plačam... ;)

Kolikor poznam zadeve, se pri nas operaterji glede tega zelo držijo zakonodaje. Problem je bolj v tem, da včasih (pogosto?) ne vedo točno kaj se jim v omrežju dogaja...
sudo poweroff

Saul Goodman ::

poweroff je izjavil:

SS7 dostop ni tako enostavno dobiti. Razen, če imaš denar. Govorim o nekaj 10.000 EUR.

Glede lokacij je pa tako, da se da lokacije dobiti tudi preko SS7 - lokalni operater pri tem ne rabi sodelovati. Pred časom sem nekaj časa imel en tak (testni) dostop, ampak potem so hoteli da plačam... ;)

Kolikor poznam zadeve, se pri nas operaterji glede tega zelo držijo zakonodaje. Problem je bolj v tem, da včasih (pogosto?) ne vedo točno kaj se jim v omrežju dogaja...


Kaj nekaj 10.000 eur naredi? podmaže ITjevca na Telekomu? kupi tehnično/programsko opremo za vdor v omrežje? plača tvoj novi account? imel si testni dostop do SS7? kakšni so pogoji za pridobitev testnega dostopa? IJS?

Pri nas so zlorabe pač notranje, mogoče kdo kaj zase pogleda, pa kako politično naročilo pade sem in tja. sploh, če ni nobenega pametnega nadzora nad queryi.

glede lokacijskih podatkov pa sem imel v mislih zgodbo iz motherboarda: I Gave a Bounty Hunter $300. Then He Located Our Phone. Pri nas jih uradno nazaj drži strožja zakonodaja? ali obstaja kaka 3rd party firma, ki se napaja iz njihovih podatkov in to trži naprej?

poweroff ::

Saul Goodman je izjavil:

Kaj nekaj 10.000 eur naredi? podmaže ITjevca na Telekomu? kupi tehnično/programsko opremo za vdor v omrežje? plača tvoj novi account? imel si testni dostop do SS7? kakšni so pogoji za pridobitev testnega dostopa? IJS?

Ma kje pa. Treba je iti v tujino. Kakšen IJS, to je bilo že pred leti. Greš pač v kakšno tretjerazredno državo in pokažeš denarnico. Ali pa če poznaš kakšne hekerje, pardon, varnostne raziskovalce, ki so odprli denarnico na Kitajskem... ali v Afriki.

Saul Goodman je izjavil:

Pri nas jih uradno nazaj drži strožja zakonodaja? ali obstaja kaka 3rd party firma, ki se napaja iz njihovih podatkov in to trži naprej?

Kolikor vem ne. Slovenski operaterji s temi podatki ravnajo zgledno. Ne rečem, da ni kje kakšna manjša zloraba, ampak to je eksces, ne uraden policy.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Telefoni ranljivi že zgolj s prejetim SMS-om

Oddelek: Novice / Varnost
167415 (4777) matijadmin
»

Hekerji že izkoriščajo ranljivost mobilnega potokola SS7 za bančne kraje

Oddelek: Novice / Varnost
185555 (3283) poweroff
»

Evropska komisija umaknila sporni predlog glede omejitve odprave gostovanja na 90 dni (strani: 1 2 )

Oddelek: Novice / Ostale najave
7730247 (27921) bbbbbb2015
»

WhatsApp prispel na Windows in OS X

Oddelek: Novice / Omrežja / internet
54042 (732) poweroff
»

Sledenje mobilnim telefonom po svetu ni le v domeni NSA

Oddelek: Novice / NWO
138230 (6204) poweroff

Več podobnih tem