“Çoğu Amerikalı'nın ABD telefon ağlarının ne kadar güvensiz olduğunu fark ettiğini düşünmüyorum. Daha fazla tüketici, kötü adamların cep telefonlarını izlemenin veya hacklemenin ne kadar kolay olduğunu bilseydi, FCC'den ve kablosuz şirketlerden bu konuda bir şeyler yapmasını talep ederlerdi. Bunlar sadece varsayımsal değil. ”


Bu, İç Güvenlik Bakanlığı'ndan “Kötü niyetli aktörlerin“ Amerikan vatandaşlarının iletişimini hedeflemek için ”küresel hücresel ağları sömürmüş olabileceğine dair bir uyarı aldıktan sonra Senatör Ron Wyden (D-Ore.) Tarafından geçen hafta yayınlanan bir açıklamadan.

Salı günü Wyden, konuyu eyaletler arası iletişimi düzenlemekle görevli Federal İletişim Komisyonu (FCC) başkanı Ajit Pai'ye ayrı bir mektupta açıkladı:

“Bilgisayar korsanları, Amerikalıları takip etmek, aramalarına ve metinlerine müdahale etmek ve telefonlarını kesmek için finansal bilgileri çalmak, evde veya dışarıda olduklarını bilmek ve şüpheli olmayan tüketicileri avlamak için SS7 kusurlarını kullanabilirler. Ayrıca, birden fazla haber raporuna göre, SS7 casusluk ürünleri hem cezai hem de yabancı hükümetler tarafından yaygın olarak kullanılabiliyor. ”

Merakla, mektup şunu ortaya koyuyor:

“Bu tehdit sadece varsayımsal değil - kötü niyetli saldırganlar zaten SS7 güvenlik açıklarından yararlanıyor. En büyük kablosuz iletişim operatörlerinden biri ofisime, müşteri verilerine erişildiği SS7 veri ihlallerini kolluk kuvvetlerine bildirdiğini bildirdi. ”

Uyarının, siyasi kazanç için hareket eden devlet destekli kuruluşlar veya finansal kazanç için suç korsanları anlamına geldiği açık değildir. Ayrıca, kablosuz taşıyıcının kim olduğu ve ihlalin kapsamı da açıklanmadı.

SS7 nedir?

Sinyalizasyon Sistemi No. 7 (SS7), dünyanın her yerinde tüm cep telefonu iletişimleri için omurgayı sağlayan bir dizi telefon sinyalleşme protokolüdür. Telefon ağlarının, kullanıcıları bağlamak ve ağlar arasında mesaj iletmek, doğru faturalandırmayı sağlamak ve kullanıcıların diğer ağlarda dolaşmasına izin vermek için kendi aralarında iletişim kurmasına olanak tanır..

SS7 712

İlk olarak 1970'lerde geliştirilen, teknolojik açıdan genişleyen SS7 sistemi eskidir. Önemlisi, hiç kimse o zaman herhangi bir güvenlik önlemi oluşturmayı düşünmedi.

En az 2008'den beri güvensiz olduğu iyi bilinmektedir ve son yıllarda durum daha da kötüleşmiştir. Bir zamanlar sadece birkaç mobil ağın olduğu yerlerde, şimdi dünya çapında binlerce insan var. Ancak endüstri bu konuda hiçbir şey yapmadı, çünkü risklerin tamamen teorik olduğu düşünülüyordu..

SS7'deki güvenlik açıkları, bilgisayar korsanlarının ABD'nin Ukrayna büyükelçisi Geoffrey Pyatt ile ABD Dışişleri Bakan Yardımcısı Victoria Nuland arasında oldukça utanç verici bir gizli şifrelenmemiş telefon görüşmesi kaydetmesine izin verdiğinde bu durum değişti..

Bununla birlikte, WhatsApp, Facebook Messenger, Google Hangouts ve Viber gibi şifreli mesajlaşma uygulamalarının iletişimi koruyacağı düşünülüyordu..

Bununla birlikte, 2016'da bir güvenlik araştırmacısı, SS7 ağına erişimi olan bilgisayar korsanlarının kullanıcıların kimliklerini nasıl taklit edebileceğini ve kullanıcıların kimliğini doğrulamak için telefon numaralarına dayanan birçok mesajlaşma uygulamasının kullanıcılarına ait iletilere erişmelerine izin verecek sahte hesapları nasıl ayarlayabildiğini gösterdi..

2017'de Almanya'daki O2 Telefónica, SS7 ağının suçlular tarafından banka hesaplarından para çalmak için SMS tabanlı iki faktörlü kimlik doğrulamayı (2FA) atlamak için kullanıldığını doğruladı.

Harekete geçme zamanı?

FCC'ye yazdığı mektubunda Wyden, gözlemci gövdesine konuyu doğru bir şekilde ele almaya ve son beş yılda meydana geldiği bilinen SS7 ihlallerinin bir listesini derlemeye çağırıyor.

Ancak bu ilk kez benzer çağrılar yapılmadı. 2016 yılında ABD'li kongre üyesi Ted Lieu (D-Calif.) SS7 hakkında bir gözetim komitesi soruşturması çağrısında bulundu:

“Bu güvenlik açığı için yapılan başvurular, bireysel hedefleri izleyen suçlulardan Amerikan şirketlerinde ekonomik casusluk yapan yabancı kuruluşlara, ABD hükümet yetkililerini izleyen ulus devletlere kadar, sınırsız görünüyor. ... Güvenlik açığının sadece bireysel gizlilik için değil, aynı zamanda Amerikan yeniliği, rekabet gücü ve ulusal güvenlik için de ciddi sonuçları var. Dijital güvenlik alanındaki birçok yenilik - metin mesajları kullanarak çok faktörlü kimlik doğrulama gibi - işe yaramaz hale getirilebilir. ”

Soruşturma yapıldı, ancak bununla görevlendirilen FCC çalışma grubu tek bir akademik uzmandan değil, esas olarak telekom sanayi lobicilerden oluşuyordu…

SS7 casuslar için bir oyun alanı

SS7 ile ilgili ilk endişeler, mobil kullanıcıların ağa erişimi olan herkes tarafından izlenebilme kolaylığına odaklanmıştır. Ancak bu, dünyadaki hemen hemen her cep telefonu kullanıcısına ait büyük miktarda kişisel verilere erişmek için kullanılabileceği alarmını değiştirdi..

Daha önce belirtildiği gibi, şifreli iletişimleri ve 2FA güvenlik önlemlerini kesmek için bile kullanılabilir.

Washington Post'a göre, “Amerikan, Çin, İsrail ve Rus istihbarat ajansları SS7 gözetiminin en aktif kullanıcıları.”

Sadece bu ay çıkan haberler, SS7 sayesinde ABD polisinin ülkedeki herhangi bir telefonun yerini saniyeler içinde bulabileceğini söyledi. Daha da kötüsü, bu vahiy ortaya çıktıktan birkaç gün sonra, bu bilgilerin bilgisayar korsanlarının erişmesi için neredeyse önemsiz derecede kolay olduğu bildirildi.

Ayrıca, dünyanın dört bir yanındaki güvenlik şirketleri hükümetlere, polis güçlerine ve suçlulara SS7 hack araçları satan başarılı bir iş yapıyor. ABD istihbarat teşkilatlarına gelince, bu SS7'yi iki ucu keskin bir kılıca dönüştürdü. AdaptiveMobile Security Genel Müdürü Brian Collins Washington Post'a şunları söyledi:

“Amerika bir numaralı hedef, uzak ve uzak. Herkes Amerika'da neler olduğunu bilmek istiyor. ”

ABD ulusal güvenliği için bir tehdit olmasına rağmen, Amerikan hükümetinin sorunu ele almak için çok az iştahı var gibi görünüyor. Neden? Cevap büyük olasılıkla SS7'nin kitlesel gözetim yeteneklerini öldürmek için çok büyük bir altın kaz buluyor…

Fotoğraf kredisi: sdecoret / Shutterstock.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me