dijous, 14 de juliol del 2016

Atac SS7: quan el xifrat no és suficient per protegir

Encara que aplicacions com Telegram i WhatsApp s'estan definint com les aplicacions de missatgeria més segures de la xarxa, experts en seguretat van revelar que un atac que utilitza el protocol de telecomunicacions SS7 permetria a l'atacant fer-se passar per un usuari i rebre missatges que estaven destinats a una altra persona.

Atac SS7: quan el xifrat no és suficient per protegir

La firma Positive Technologies va publicar vídeos demostrant l'atac SS7 tant a Telegram com a WhatsApp. L'atac, explicat de manera simple, consisteix a fer creure a la xarxa telefònica que el telèfon de l'atacant té el mateix número que el telèfon de l'atacat. Això permet a l'atacant rebre el codi que li permet verificar com un receptor vàlid. Encara que l'aplicació tingui verificació en dos passos via SMS, atacs recents a Rússia i l'Iran han comprovat que el protocol pot ser no només interceptat, sinó deshabilitat de manera remota.
En el vídeo de demostració dels investigadors van interceptar l'inici d'una conversa entre dos usuaris d'una conversa xifrada. El fet que les aplicacions utilitzessin autenticació via SMS va significar que els atacants no van necessitar trencar el xifrat de l'aplicació, sinó que van poder, simplement, suplantar una de les parts de la conversa.

Atac SS7: quan el xifrat no és suficient per protegir

WhatsApp ha assenyalat que els usuaris poden activar l'opció de Mostra notificacions de seguretat en les seves configuracions, el que els permetria saber que el codi de seguretat del seu interlocutor ha canviat. Si bé això és cert, apunta precisament al que els investigadors intentaven demostrar, que és que les opcions per defecte d'aquestes aplicacions no són segures, i són les opcions que la majoria dels usuaris utilitzen.

Atac SS7: quan el xifrat no és suficient per protegir

En el cas de Telegram, els investigadors no van poder accedir a les converses secretes a través d'aquest atac, però podien crear una nova conversa i escriure missatges fent-se passar per l'altra persona. A WhatsApp, no van poder accedir a converses anteriors, ja que WhatsApp no emmagatzema l'historial de la conversa.

El negoci d'un atac SS7
L'explotació del protocol SS7 sembla ser un negoci lucratiu: segons va reportar Forbes, la companyia Ability Unlimited ofereix la capacitat d'espiar qualsevol telèfon del planeta a canvi d'uns quants milions de dòlars, requerint únicament el número de telèfon de la víctima o el seu IMSI.
El protocol SS7 (Signalling System No. 7) és en realitat un conjunt de protocols de telefonia, desenvolupat al 1975 i que continua usant-se per sostenir la major part de les comunicacions telefòniques en el món i que, així mateix, sosté altres serveis, incloent el servei de missatgeria de text (SMS). Les vulnerabilitats del protocol SS7 no són noves, per contra, el 2008 es va fer públic que una falla en el protocol permetia que qualsevol usuari de telefonia mòbil fós rastrejat en secret, i és conegut que el protocol permet reenviar trucades, facilitant així l'espionatge.

Atac SS7: quan el xifrat no és suficient per protegir

El protocol SS7 és regulat per una xarxa global de companyies de telecomunicacions, el que en la pràctica significa que cap d'elles posseeix realment el protocol, i que la implementació de qualsevol canvi és un procés burocràtic i tortuós que enfronta molta resistència. D'altra banda, alguns sostenen que les agències d'intel·ligència de diversos països s'oposen a la modificació del protocol, atès que resoldre les vulnerabilitats destorbaria les seves capacitats de vigilància.
L'objectiu principal de la demostració és impulsar el fet que les empreses que desenvolupen aplicacions de missatgeria no es basin en funcions de l'operador mòbil per verificar la identitat de l'usuari (SMS, trucades de veu, etcètera, és a dir, totes les funcions que es poden veure compromeses pel protocol SS7). Mentre el protocol no sigui modificat per fer-lo menys vulnerable, la seguretat i privacitat de l'usuari està a les mans de les companyies que desenvolupen aquestes aplicacions.

Atac SS7: quan el xifrat no és suficient per protegir

Un cop més, l'energia i els recursos que invertim en la nostra privacitat ha de ser directament proporcionals a les amenaces que tenim, cosa que vol dir que si fem servir Telegram o WhatsApp per triar el tipus de pizza que demanarem o enviar-nos gifs de gats, probablement no tinguem problemes. No obstant això, aquestes vulnerabilitats han posat en risc a activistes i periodistes a països on la vigilància és un veritable problema, i una cosa de la qual potser no siguem molt conscients és que la vigilància massiva governamental s'està tornant cada vegada més omnipresent.


Font: Hipertextual

Cap comentari:

Publica un comentari a l'entrada

Aquest és un blog amb moderador dels comentaris. Per tant, no apareixen immediatament