Atacul O2 SS7

Atacul O2 SS7

235

Prolog: O fraudă bancară care a fost executată cu succes în Germania luna trecută, prin hacking asupra rețelei O2 Telefonica, aceasta a fost știrea care a îngrozit industria de telefonie mobilă. Steve Buck de la Evolved Intelligence explică de ce, până la urmă, acest eveniment ar putea fi o veste bună.

Start-ul sau începutul sfârșitului?

În luna mai, O2 Telefonica din Germania a confirmat că a fost victima unui atac asupra reţelei mobile prin care hacker-ii au golit conturile bancare ale unui număr ne- precizat de clienţi. Infractorii au spart sistemul de autenti- ficare în doi pași, prin SMS, utilizat de atât de multe bănci.
Vulnerabilitatea utilizată de hackeri a fost sistemul de semnalizare denumit SS7 pe care operatorii mobili îl utilizează pentru interconectare – și este o parte a reţelei globale care face ca mobilele să fie în mod efectiv mobile. Anul trecut, în aprilie, această vulnerabilitate a fost prezentată la show-ul american de televiziune „60 de minute”, fiind demonstrată în mod public, anterior, la Chaos Computer Congress în 2015. Echipamentul necesar pentru accesarea SS7 era pe de o parte prea scump, iar pe de altă parte necesita expertiză tehnică pentru a putea fi utilizat. Această protecţie limitată nu mai este de actualitate – instrumentele, tehnicile și până și serviciul fiind disponibile pentru oricine și tranzacţionate „deschis” pentru foarte puţini bani pe dark web.
Pătrunderea prin hacking în semnalizările reţelei a permis infractorilor nu numai să localizeze și să urmărească telefoanele mobile, ci și să urmărească utilizatorii prin interceptarea comunicaţiilor prin telefon. Posibilitatea de a redirecţiona mobilele a fost slăbiciunea centrală în cazul furtului din Germania.
Conform rapoartelor confirmate în legătură cu incidentul O2, infractorii au utilizat iniţial tehnici de phishing pentru fraude bancare și spyware pentru a infecta conturile clienţilor, pentru a fura detalii despre aceștia, parole și alte informaţii personale. După ce au reușit să obţină acces la conturile online ale utilizatorilor, au putut să vadă și să ţintească conturile cu „o pleașcă bogată”.
Infractorii au redirecţionat apoi mobilele deţinătorilor de conturi către propriile telefoane mobile, astfel încât – noaptea ca hoţii – au putut să le golească conturile.
În momentul în care banca a trimis un SMS automat cu Transaction Authentication Number (mTAN), acesta a fost recepţionat de infractori și nu de către clienţi. Având această informaţie, infractorii au putut autoriza transferurile bancare, în propriile conturi, bine ascunse și au putut elimina redirecţionarea mobilelor. Eliminarea redirecţionării după furt i-a ajutat și să își ascundă urmele și să permită amânarea descoperirii hoţiei.
O2, în Germania, a confirmat faptul că atacul a avut loc și a afirmat într-o declaraţie către ziarul Suddeutsche Zeitung că: „Infractorii au executat un atac dintr-o reţea a unui operator de telefonie mobilă străin. Atacul a redirecţionat mesajele SMS primite de către anumiţi clienţi germani, către atacatori.”
Acesta este primul incident de masă care fraudează semnalizarea SS7 și marea majoritate a utilizatorilor nu sunt conștienţi că se poate întâmpla. Băncile și operatorii mobili, totuși, s-au enervat și caută soluţii de combatere a ameninţării.

Recent, CEO-ul Vodafone, Vittorio Colao, a recunoscut că problema securităţii cibernetice este una dintre cele care „nu-l lasă să doarmă noaptea”. Colao a afirmat că este necesară o abordare pan-Europeană pentru a stăvili ameninţările infractorilor cibernetici și a făcut apel la:
„O colaborare mult mai amplă între companiile din domeniu pentru crearea unui sistem de apărare cibernetică mai integrat.”
Nu există nici un dubiu că operatorii și companiile luptă într-un război al securităţii cibernetice pe mai multe fronturi – în sistemele lor IT, pe dispozitivele lor și în reţelele lor. Hackerii vor utiliza în mod evident orice mecanism care le permite să atace sistemele, să fure date, să paralizeze operaţiuni și să fraudeze companiile și clienţii acestora. Odată cu creșterea fenomenului Bring Your Own Device, nu mai este suficient pentru companii să încerce să protejeze traficul pe propriul backbone IP, ci este necesară și asigurarea securităţii peste reţeaua mobilă, end to end (de la un capăt la altul).
Aceasta este o cerinţă recunoscută în SUA, unde congresmanul Ted Lieu face presiuni asupra reglementatorilor americani pentru acţiona în cazul
vulnerabilităţii SS7. În momentul în care Camera Reprezentanţilor din SUA a anunţat că începe să protejeze dispozitivele mobile ale membrilor Congresului și ale personalului acestora cu securitate endpoint pentru a ajuta la identificarea ameninţărilor, cum ar fi reţele WiFi nesecurizate și aplicaţii maliţioase, Lieu a salutat mișcarea dar a continuat să descrie securitatea cibernetică a Congresului ca o «clădire cu ușile încuiate dar cu o fereastră deschisă».
„Membrii Congresului și personalul acestora sunt foarte dependenţi de dispozitivele lor mobile pentru a-și desfășura munca, dar acestea nu sunt protejate în mod adecvat”, a spus Lieu. Congresmanul este conștient că simpla închidere a unui geam deschis, prin protejarea dispozitivului nu este suficientă atâta timp cât reţeaua însăși rămâne vulnerabilă.
Desigur, congresmanul Lieu este implicat în mod direct în povestea legată de securitatea SS7, deoarece telefonul său personal a fost cel hack-uit în programul de televiziune„60 de minute”. În mod natural, el a reacţionat rapid la aflarea veștii despre atacul SS7 din Germania.
„Toate conturile protejate prin autentificare în doi pași, bazată pe text, cum sunt conturile bancare, se află în faţa unui risc potenţial până când FCC și industria telecom nu vor rezolva breșa de securitate devastatoare SS7”, a spus el. Între timp, în Germania, operatorul rival Deutsche Telekom s-a grăbit să își re- asigure clienţii că un astfel de atac nu s-ar putea întâmpla în reţeaua proprie. O declaraţie de pe site-ul DT afirmă că este unul dintre primii operatori de telecomunicaţii, la nivel mondial, care a implementat un firewall SS7 care ar fi
blocat și prevenit atacul care a a vut loc asupra O2.
Breșa de semnalizare este o moștenire a relaţiilor între «reţele de încredere» care existau înainte ca piaţa telecom să devină atât de deschisă. Aceasta este o slăbiciune care este amplificată și de mărimea pieţei de astăzi. Ca să vă formaţi o idee, propriul nostru firewall de semnalizare poate fi instalat software pe Network Interface Units (NIFs) care pot fi implementate la unul din cca. 60 de operatori de reţea de pe glob. Aceste NIF-uri permit oferirea serviciilor de roaming cu valoare adăugată ale operatorilor. În sistemele noastre circulă undeva la ordinul a 12 miliarde de mesaje de semnalizare SS7 în fiecare zi.
Dincolo de dimensiune, o altă provocare o reprezintă faptul că mesajele frauduloase de semnalizare imită adesea unele dintre mesajele care oferă valoare adăugată serviciilor și care aduc venituri operatorilor. Mesajele care conduc aceste servicii diferă de semnalizarea normală, astfel încât sistemul trebuie să facă distincţie între aceste semnale neuzuale și cele nesigure – cele nedăunătoare de cele dăunătoare.
Numărul mesajelor pe care le vedem ca fiind neobișnuite dar sunt sigure este de departe mai mare decât numărul mesajelor frauduloase. Cu toate acestea, putem considera că numărul de mesaje potenţial frauduloase sunt de ordinul a unu pe secundă în fiecare reţea de pe glob. Oprirea cu precizie a acestor mesaje dăunătoare fără a afecta traficul normal de reţea este provocarea pe care firewall- urile de semnalizare trebuie să o înfrunte.
Avem încredere că firewall-urile de semnalizare pe care le furnizăm operatorilor ar fi depistat și blocat atacul asupra O2 – de fapt unul dintre firewall-urile noastre a oprit un astfel de atac chiar în timpul incidentului O2. O modalitate prin care putem face asta este prin măsurarea distanţei și vitezei pentru luarea unei decizii în privinţa update-urilor de localizare care au existat în spatele atacului O2. Un dispozitiv mobil care semnalizează din Germania într-o seară, nu poate semnaliza legitim puţin mai târziu de pe o insulă din Pacific sau din Caraibe, de exemplu. Abonatul nu ar fi putut parcurge acea distanţă în acel interval de timp. Dar, așa cum au subliniat Vodafone și Deutsche Telekom, măsurile luate de un operator individual oferă doar o soluţie limitată. Trebuie întreprinse acţiuni concertate din partea întregii industrii pentru o protecţie adecvată împotriva fraudatorilor care încearcă să exploateze breșele semnalizării SS7.
Poate această primă confirmare a acestui tip de atac, care sperie industria mobilă, poate constitui catalizatorul care să accelereze implementarea măsurilor de protecţie. În loc să fie începutul unor vremuri rele, să sperăm că semnalizează începutul

Steve Buck

Steve are peste 30 de ani de experiență în telecomunicații mobile, ocupând poziții de inginerie și marketing, atât pentru producători de echipamente, cât și pentru operatori mobili. Are experiență în domeniul fraudelor, identității și produselor de risc pentru companii, în domeniul bancar, retail, sector public și alte verticale. În anii‚ 80, Steve a lucrat pentru Racal Research (care s-a desprins din Vodafone) în domeniul R&D pentru ceea ce urma să devină tehnologia GSM. A dezvoltat hardware și software pentru testare în timp real a tehnologiei în UK – făcând primul apel GSM din UK în 1986. S-a alăturat Motorola în 1998 contribuind la definirea standardelor GSM pentru fazele 1 și 2, la începutul anilor ’90, conducând dezvoltarea de firmware GSM și administrând dezvoltarea unor noi stații de bază. La începutul lui 1995, s-a alăturat Aethos ca director de produse, derulând activități de marketing, management de produs și dezvoltare, oferind suport pentru zeci de milioane de abonați prepay. Logica a achiziționat Aethos în 1998. Steve a continuat să conducă furnizarea de servicii prepay, furnizând prima rețea de soluții pentru mesagerie prepay și, subsecvent, s-a ocupat de management de produse pentru MMS, pentru Logica. Steve a fost VP Products pentru T-Mobile (UK) între 2004 și 2009, lansând un număr de servicii inovative, care au fost premiate, incluzând primul serviciu adevărat de internet mobil din UK. Steve s-a alăturat NSN (Nokia networks) în 2009 unde a condus business-ul, de 200 milioane de dolari, de experiența utilizatorilor. După o scurtă perioadă la Amdocs, în OSS, Steve a condus departamentul de Product Management de la Equifax, o agenție de referințe de credit, vânzând soluții de evaluare a riscului, detectarea fraudelor și de identitate, către o multitudine de companii, inclusiv bănci, instituții financiare, retaileri, operatori telecom și organizații din sectorul public. Steve s-a alăturat Evolved Intelligence în 2015.