"אני לא חושב שרוב האמריקנים מבינים עד כמה רשתות הטלפון האמריקאיות חסרות ביטחון. אם צרכנים רבים יותר היו יודעים כמה קל לבחורים רעים לעקוב אחר הטלפונים הניידים שלהם או לפרוץ אותם, הם היו דורשים שה- FCC וחברות האלחוטיות יעשו משהו בקשר לזה. אלה לא רק היפותטיות. "


זאת מתוך הצהרה שפרסם בשבוע שעבר הסנאטור רון ווידן (ד 'אורה) לאחר שקיבל מכתב ממחלקת ביטחון פנים, בו התריע כי "שחקנים מזעזעים ניצלו" רשתות סלולריות גלובליות "כדי לכוון את התקשורת של אזרחים אמריקאים."

ביום שלישי הבהיר ווידן את הנושא במכתב נפרד לאג'יט פאי, יו"ר נציבות התקשורת הפדרלית (FCC), שהוטל על הסדרת התקשורת הבין-עירונית:

"האקרים יכולים לנצל פגמים של SS7 כדי לעקוב אחר אמריקאים, ליירט את השיחות והטקסטים שלהם, ולפרוץ את הטלפונים שלהם כדי לגנוב מידע פיננסי, לדעת מתי הם בבית או בחוץ, ובדרך אחרת טורפים צרכנים בלתי מעורערים. יתרה מזאת, על פי דיווחי חדשות מרובים, מוצרי ריגול של SS7 זמינים באופן נרחב הן לממשלות פליליות והן לזכויות זרות. "

באופן מבהיל, המכתב חושף כי:

"איום זה אינו סתם היפותטי - תוקפים זדוניים כבר מנצלים נקודות תורפה של SS7. אחת הספקיות האלחוטיות הגדולות הודיעה למשרדי כי היא דיווחה על הפרת נתונים של SS7, בה ניגשו לנתוני לקוחות, לאכיפת החוק. "

לא ברור אם האזהרה מתייחסת לגורמים בחסות המדינה הפועלים למען רווח פוליטי או האקרים פליליים למען רווח כספי. כמו כן לא נמסר מי הוא הספק האלחוטי ומידת ההפרה.

מה זה SS7?

מערכת איתות מספר 7 (SS7) היא מערכת של פרוטוקולי איתות טלפוניה המספקים את עמוד השדרה לכל תקשורת הטלפונים הסלולריים בכל מקום בעולם. זה מאפשר לרשתות טלפון לתקשר בינם לבין עצמם בכדי לחבר משתמשים ולהעביר הודעות בין רשתות, להבטיח חיוב נכון ולאפשר למשתמשים לשוטט ברשתות אחרות..

Ss7 712

לראשונה פותח בשנות השבעים, מבחינה טכנולוגית מערכת ה- SS7 המשתרעת היא עתיקה. חשוב לציין שאיש לא חשב באותה עת לבנות לתוכו אמצעי אבטחה.

ידוע שהוא חסר ביטחון מאז לפחות 2008, והמצב החמיר בשנים האחרונות. כאשר פעם היו רק כמה רשתות סלולריות, יש ממש אלפים ברחבי העולם. עם זאת, התעשייה לא עשתה כלום מכיוון שנחשבה שהסיכונים היו תיאורטיים גרידא.

זה השתנה בשנת 2014 כאשר פגיעויות ב- SS7 אפשרו להאקרים להקליט שיחת טלפון סודית מביכה למדי שלא מוצפנת בין שגריר ארה"ב באוקראינה, ג'פרי פיאט, לבין מזכירת המדינה האמריקנית, ויקטוריה נולנד, בה פיאת ביקורת רבה כלפי האיחוד האירופי.

עם זאת, חשבו ששימוש באפליקציות העברת הודעות מוצפנות כמו WhatsApp, Messenger Messenger, Google Hangouts ו- Viber, יגן על התקשורת.

עם זאת, בשנת 2016, חוקר אבטחה הדגים כיצד האקרים עם גישה לרשת SS7 יכולים לזייף את זיהוי המשתמשים ולהגדיר חשבונות מזויפים אשר יאפשרו להם גישה להודעות השייכות למשתמשים באפליקציות העברת הודעות רבות הנשענות על מספרי טלפון כדי לאמת משתמשים..

בשנת 2017 O2 Telefónica בגרמניה אישרה כי רשת SS7 שימשה על ידי עבריינים כדי לעקוף אימות דו-גורמי מבוסס SMS (2FA) על מנת לגנוב כסף מחשבונות בנק..

זמן לפעולה?

במכתבו ל- FCC, וידן קורא לגוף כלבי השמירה לטפל כראוי בנושא ולערוך רשימה של הפרות SS7 שידוע כי התרחשו בחמש השנים האחרונות..

עם זאת, זו לא הפעם הראשונה שקיימות שיחות דומות. בשנת 2016 קרא קונגרס ארה"ב טד ליו (די-קליפורניה) לחקירת ועדת פיקוח על SS7:

"היישומים לפגיעות זו הם בלתי מוגבלים לכאורה, מפושעים העוקבים אחר יעדים פרטניים לגופים זרים המנהלים ריגול כלכלי בחברות אמריקאיות ועד מדינות לאום המפקחות על פקידות ממשלת ארה"ב. ... לפגיעות יש השלכות חמורות לא רק על פרטיות הפרט, אלא גם על חדשנות אמריקאית, תחרותיות וביטחון לאומי. חידושים רבים בתחום האבטחה הדיגיטלית - כמו אימות רב גורמים באמצעות הודעות טקסט - עשויים להועיל ללא תועלת. "

החקירה נערכה, אולם קבוצת העבודה של FCC שהוטלה עליה כללה בעיקר לוביסטים בתעשיית הטלקום ולא אף מומחה אקדמי ...

ה- SS7 הוא גן שעשועים למרגלים

חששות ראשוניים בנוגע ל- SS7 התרכזו בקלות בה ניתן לעקוב אחר משתמשים ניידים על ידי כל מי שיש לו גישה לרשת. אולם, זה עבר לדאגה כי ניתן להשתמש בו כדי לגשת לכמויות אדירות של נתונים אישיים השייכים כמעט לכל משתמש בטלפונים ניידים בעולם..

וכפי שצוין קודם לכן, ניתן אפילו להשתמש בה כדי ליירט תקשורת מוצפנת ואמצעי אבטחה של 2FA.

על פי הדיווח בוושינגטון פוסט, "סוכנויות הביון האמריקאיות, הסיניות, הישראליות והרוסיות הן המשתמשים הפעילים ביותר במעקב SS7."

רק בחודש זה נודעו חדשות כי משטרת ארה"ב יכולה למצוא את המיקום של כל טלפון במדינה תוך שניות בזכות SS7. חמור מכך, ימים ספורים לאחר התגלותה של גילוי זה דווח כי מידע זה היה קל ביותר עבור האקרים לגישה של האקרים.

יתרה מזאת, חברות אבטחה ברחבי העולם עושות עסקים משגשגים שמוכרות כלי פריצה של SS7 לממשלות, לכוחות המשטרה ולעבריינים. מבחינת סוכנויות הביון האמריקאיות, זה הפך את ה- SS7 לחרב פיפיות. בריאן קולינס, מנכ"ל AdaptiveMobile Security, אמר לוושינגטון פוסט:

"אמריקה היא היעד מספר אחת רחוק. כולם רוצים לדעת מה קורה באמריקה. "

למרות היותה איום על הביטחון הלאומי של ארה"ב, נראה כי לממשל האמריקני אין מעט תיאבון לטפל בבעיה. למה? התשובה היא ככל הנראה שהיא מוצאת את יכולות המעקב ההמוני של SS7 באווז מוזהב גדול מכדי להרוג אותו ...

קרדיט תמונה: מאת sdecoret / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me