Võtmed kaasavõtmiseks
- Signaling System No. 7 (SS7) on aegunud telefoniprotokoll, mis võib teie privaatsuse küberohtudele ja -järelvalve alla seada.
- SS7 turvaauke on ära kasutanud kurjategijad pangakontode tühjendamiseks, valitsused mobiiltelefonide kasutajate jälgimiseks ja luurefirmad inimeste järele luuramiseks kogu maailmas.
- Enda kaitsmiseks SS7 haavatavuste eest kasutage turvalisi täieliku krüptimisega sõnumsiderakendusi nagu Signal või WhatsApp, kuna need pakuvad paremat privaatsust ja turvalisust kui traditsioonilised SMS-id ja telefonid teenuseid.
Kas olete kunagi kuulnud signaalimissüsteemist nr 7 (SS7)? Tõenäoliselt ei ole te seda teinud, kuid kasutate seda siiski iga päev ja seda teevad kõik teie tuttavad. Probleem on selles, et see tehnoloogia on väga vananenud ja väga ohtlik. Siiski on SS7 kasutamisele alternatiive ja mis kõige parem, need on tasuta.
Mis on SS7 ja miks see on ebaturvaline?
Signaalisüsteem nr 7 on telefoniprotokollide komplekt, mis võimaldab telekommunikatsioonivõrkudel üksteisega suhelda. Teatud mõttes on see sidesüsteem, mis võimaldab telefonivõrkudel olulist teavet vahetada. Osaliselt saate tänu sellele tehnoloogiale teha telefonikõnesid, saata tekstisõnumeid ja kasutada sarnaseid teenuseid.
SS7 võeti esmakordselt kasutusele 1970. aastatel ja seda kasutati Ameerika Ühendriikide AT&T võrgus. Varsti pärast seda standardiseeriti see rahvusvaheliseks kasutamiseks ja asendas vanemad süsteemid teistes riikides üle maailma. 1990. aastatel võeti SS7 laialdasemalt kasutusele ja sellest sai ülemaailmse telekommunikatsiooni selgroog.
Helistaja ID, kõne suunamine ja Lühisõnumiteenus (SMS) võeti kasutusele ka 1990. aastatel, samal ajal kui mobiilsidevõrgud laienesid ülemaailmselt. SS7 integratsioon mängis selles protsessis võtmerolli ja meie ühiskond pole sellest ajast peale olnud endine. Vähesed meist suudavad praegu ette kujutada, et elame maailmas, kus on võimatu saata sõnumit sõbrale, kes kasutab teist operaatorit, ja seda suuresti tänu selle tehnoloogia laialdasele kasutuselevõtule.
Mis on siis SS7 probleem? Noh, SS7 on aegunud ja ebaturvaline, jäänuk ajast, mil digitaalsed ohud polnud veel nii keerukad ega levinud kui praegu. Vähemalt alates 2000. aastate keskpaigast on turvavead olnud ilmsed ja aja jooksul on need muutunud üha selgemaks. See ei ole spekulatsiooni või arvamuse küsimus ega ka probleem, mis puudutab ainult konkreetset võrku, seadet või üksikisikut. Need haavatavused on omased SS7-le endale.
Kuidas SS7 haavatavused teie privaatsust paljastavad
Tehnoloogia ja küberkuritegevuse arenedes nägi SS7 vaeva, et sammu pidada. Viimastel aastatel on kogu maailmas registreeritud kümneid kõrgetasemelisi intsidente ja turvarikkumisi.
Näiteks 2017. aastal kasutas rühm tundmatuid kurjategijaid ära SS7 turvaauke, et inimeste pangakontodelt raha kurnata. Nad tegid seda, vältides kahefaktorilist autentimist, mida teatud pangad kasutasid volitamata juurdepääsu vältimiseks ja klientide kaitsmiseks. Ars Technica. Tol ajal kutsus USA Kongressi esindaja Ted Lieu föderaalvalitsust need "laastavad" vead parandama. öeldes, et see on vastuvõetamatu, et FCC ja telekommunikatsioonitööstus ei ole meie privaatsuse ja rahanduse kaitsmiseks varem tegutsenud turvalisus."
Samamoodi Washington Post teatas 2014. aastal, et SS7 haavatavus võimaldab valitsusasutustel jälgida mobiiltelefonide kasutajaid reaalajas. Insaider ütles, et seda teevad kümned riigid, samas kui turvaeksperdid märkisid, et miski ei takista häkkerirühmitusi ja sarnaseid organisatsioone sama tegemast. 2020. aastal paljastas vilepuhuja, et Saudi Araabia kasutab samu turvaauke oma kodanike jälgimiseks Ameerika Ühendriikides. Eestkostja.
A 2020 Haaretz Vahepeal tuvastas uurimine, et Iisraeli eraluurefirma Rayzone Group kuritarvitas SS7 vigu, et oma klientide nimel jälgida inimesi kogu maailmas. Umbes aasta hiljem kasutas ühe automatiseeritud tekstisõnumite saatmisele keskendunud Šveitsi tehnoloogiaettevõtte tegevjuht samu turvaauke inimeste järele luuramiseks. Uuriva ajakirjanduse büroo.
Pidage meeles, et see on vaid jäämäe tipp: on ilmne, et SS7 on ebaturvaline ja ekspluateerimise suhtes äärmiselt haavatav. See on põhjus, miks te ei tohiks SMS-i kasutada et kaitsta oma privaatsust – eeldage, et teie valitsus või peaaegu keegi teine, kellel on õiged tööriistad ja teadmised, saab pealt kuulata ja lugeda kõike, mida te tekstiga saadate.
Kuid tegelik küsimus on: miks ei võeta midagi ette SS7 haavatavuste kõrvaldamiseks? Operaatorid ja mobiilsidevõrgud on neist kindlasti teadlikud; julgeolekueksperdid on neid juba ammu teadnud, nagu ka poliitikud. Tegelikult on mõned neist avalikult rääkinud, nagu Lieu, ja kutsunud reguleerivaid asutusi tegutsema. Ometi pole midagi muutunud. Millal Register sellest teatanud, järeldasid nad, et "võib-olla meeldib Ameerika luureteenistustele idee kergesti ohustatavatest võrkudest."
Tuleb aga märkida, et see on vaid üks võimalik seletus, mis võib küsimusele vaid osaliselt vastata. SS7 on pärandinfrastruktuur ja ulatuslike muudatuste tegemine nõuaks tõenäoliselt rahvusvahelist koostööd ja uute tehnoloogiate kasutuselevõtt ja rakendamine, mis kõik nõuaks märkimisväärset aega ja raha investeering. Lühidalt öeldes puuduvad stiimulid vajalike muudatuste tegemiseks.
Mida saate teha, et kaitsta end SS7 haavatavuste eest?
Kui SS7 on üldlevinud, mida saavad tavalised inimesed enda kaitsmiseks teha? Üks lihtne lahendus on kasutada turvalisi sõnumsiderakendusi tekstisõnumite saatmiseks ja telefonikõnedeks, kuna need pakuvad kaitsekihti, mis puudub SS7-le tuginevatest traditsioonilistest SMS-i ja telefoniteenustest.
Need rakendused kasutavad palju turvalisemat ja privaatsemat tehnoloogiat kui SS7, kuid kui soovite rohkem pingutada, kaaluge seda kasutades otsast lõpuni krüptitud sõnumsiderakendust – täielik krüpteerimine tagab, et teie side on kaitstud pealtkuulamine. Selliseid rakendusi on turul kümneid ja paljud neist on täiesti tasuta. Signaal on vaieldamatult kõige turvalisem sõnumsiderakendus saadaval täna, kuid WhatsApp ei jää palju maha.
Signaal on avatud lähtekoodiga, sellel on võimas krüpteerimisalgoritm ja see on uskumatult turvaline. Seevastu WhatsApp on ilmselt parim valik neile, kes soovivad lihtsat, hõlpsasti kasutatavat äppi, mis on kõigile tuttav ja juba telefonis olemas. Mõned aga hoiavad WhatsAppist eemale, kuna see kuulub Metale (Facebooki ja Instagrami emaettevõte) ja nad usuvad, et sellel on privaatsusprobleemid.
Vaatamata silmatorkavatele probleemidele ei liigu SS7 kuhugi
SS7 on aegunud ja sügavalt vigane, kuid see ei vii kuhugi. Vähemalt praegu ei viita miski sellele, et telekommunikatsioonitööstus sellest järk-järgult loobuks. Kuni SS7 pole asendatud parema ja turvalisema tehnoloogiaga, tehke oma privaatsuse kaitsmiseks kõik endast oleneva.
Muidugi pole alati võimalik SMS-i kasutamist või helistamist vältida, kuid täieliku krüptimisega suhtlusrakenduse installimine on hea algus. Igal juhul nõuab jälgimise ja muude ohtude eest kaitsmine tõsist ja püsivat pühendumist digitaalsele hügieenile ja turvalisusele.
