Ključni zaključki
- Sistem signalizacije št. 7 (SS7) je zastarel telefonski protokol, ki lahko vašo zasebnost izpostavi kibernetskim grožnjam in nadzoru.
- Ranljivosti SS7 so izkoristili kriminalci za izpraznitev bančnih računov, vlade za sledenje uporabnikom mobilnih telefonov in obveščevalne družbe za vohunjenje za ljudmi po vsem svetu.
- Da se zaščitite pred ranljivostmi SS7, uporabite aplikacije za varno sporočanje s šifriranjem od konca do konca kot sta Signal ali WhatsApp, saj ponujata boljšo zasebnost in varnost kot tradicionalni SMS in telefon storitve.
Ste že slišali za signalizacijski sistem št. 7 (SS7)? Verjetno niste, vendar ga še vedno uporabljate vsak dan, in tudi vsi, ki jih poznate. Težava je v tem, da je ta tehnologija zelo zastarela in zelo nevarna. Vendar pa obstajajo alternative za uporabo SS7, in kar je najboljše, so brezplačne.
Kaj je SS7 in zakaj ni varen?
Signalni sistem št. 7 je nabor telefonskih protokolov, ki telekomunikacijskim omrežjem omogoča medsebojno komunikacijo. V nekem smislu je to komunikacijski sistem, ki telefonskim omrežjem omogoča izmenjavo pomembnih informacij. Delno, zahvaljujoč tej tehnologiji, lahko telefonirate, pošiljate besedilna sporočila in uporabljate podobne storitve.
SS7 je bil prvič predstavljen v sedemdesetih letih prejšnjega stoletja in nameščen v omrežju AT&T v Združenih državah. Kmalu zatem je postal standardiziran za mednarodno uporabo in je nadomestil starejše sisteme v drugih državah po svetu. V devetdesetih letih prejšnjega stoletja je SS7 doživel širšo uporabo in postal hrbtenica svetovnih telekomunikacij.
ID klicatelja, preusmeritev klicev in Storitev kratkih sporočil (SMS) so bila predstavljena tudi v devetdesetih letih prejšnjega stoletja, medtem ko so se mobilna omrežja razširila po vsem svetu. Integracija SS7 je igrala ključno vlogo v tem procesu in naša družba od takrat ni več enaka. Nekaj izmed nas si zdaj lahko predstavlja, da bi živeli v svetu, v katerem je nemogoče poslati besedilo prijatelju, ki uporablja drugega operaterja, in to v veliki meri po zaslugi širokega sprejetja te tehnologije.
V čem je potem problem SS7? No, SS7 je zastarel in nevaren, relikt iz časov, ko digitalne grožnje niso bile ne tako sofisticirane ne tako razširjene kot danes. Vsaj od sredine 2000-ih so bile varnostne pomanjkljivosti očitne in so s časom postale le bolj izrazite. To ni stvar špekulacij ali mnenj, niti ni vprašanje, ki vpliva samo na določeno omrežje, napravo ali posameznika. Te ranljivosti so neločljivo povezane s samim SS7.
Kako ranljivosti SS7 izpostavljajo vašo zasebnost
Z razvojem tehnologije in kibernetske kriminalitete je SS7 težko sledil. V zadnjih letih je bilo po vsem svetu zabeleženih na desetine odmevnih incidentov in vdorov v varnost.
Na primer, leta 2017 je skupina neidentificiranih kriminalcev izkoristila varnostne luknje v SS7 za črpanje denarja z bančnih računov ljudi. To so storili tako, da so obšli dvostopenjsko avtentikacijo, ki so jo nekatere banke uporabljale za preprečevanje nepooblaščenega dostopa in zaščito strank, glede na Ars Technica. Takrat je predstavnik ameriškega kongresa Ted Lieu pozval zvezno vlado, naj popravi te "uničujoče" napake, dejal, da je "nesprejemljivo, da FCC in telekomunikacijska industrija nista ukrepali prej, da bi zaščitili našo zasebnost in finančno varnost."
Podobno, The Washington Post je leta 2014 poročal, da ranljivost SS7 omogoča vladnim subjektom, da sledijo uporabnikom mobilnih telefonov v realnem času. Insajder je izdaji povedal, da to počne "na desetine" držav, medtem ko so varnostni strokovnjaki opozorili, da hekerskim skupinam in podobnim organizacijam nič ne preprečuje, da bi naredile enako. Leta 2020 je žvižgač razkril, da je Savdska Arabija izkoriščala te iste ranljivosti za sledenje svojim državljanom v Združenih državah. Skrbnik.
A 2020 Haaretz preiskava je medtem pokazala, da je zasebno izraelsko obveščevalno podjetje Rayzone Group zlorabljalo pomanjkljivosti v SS7 za sledenje ljudem po vsem svetu v imenu svojih strank. Približno leto pozneje je izvršni direktor švicarskega tehnološkega podjetja, ki se osredotoča na avtomatizirano pošiljanje sporočil, izkoristil te iste ranljivosti za vohunjenje za ljudmi, poroča Urad za preiskovalno novinarstvo.
Upoštevajte, da je to le vrh ledene gore: očitno je, da SS7 ni varen in izjemno ranljiv za izkoriščanje. To je razlog, zakaj ne smete uporabljati SMS za zaščito vaše zasebnosti – domnevajte, da lahko vaša vlada ali skoraj kdo drug s pravimi orodji in strokovnim znanjem prestreže in prebere vse, kar pošljete prek besedila.
Toda pravo vprašanje je: zakaj se nič ne naredi za odpravo ranljivosti SS7? Operaterji in mobilna omrežja se jih gotovo zavedajo; strokovnjaki za varnost vedo zanje že dolgo, prav tako politiki. Pravzaprav so nekateri odkrito govorili o njih, kot je Lieu, in pozvali regulatorne organe, naj ukrepajo. Vendar se ni nič spremenilo. Kdaj Register poročali o tem, so zaključili, da je "morda ameriškim obveščevalnim službam všeč zamisel o zanje zlahka kompromitiranih omrežjih."
Vendar je treba opozoriti, da je to le ena od možnih razlag, ki morda le delno odgovori na vprašanje. SS7 je podedovana infrastruktura in obsežne spremembe bi verjetno zahtevale mednarodno sodelovanje in uvajanje in implementacija novih tehnologij, kar bi zahtevalo veliko časa in finančnih sredstev naložba. Skratka, spodbude za potrebne spremembe preprosto ni.
Kaj lahko storite, da se zaščitite pred ranljivostmi SS7
Če je SS7 vseprisoten, kaj lahko navadni ljudje storijo, da se zaščitijo? Ena preprosta rešitev je uporaba aplikacij za varno sporočanje za pošiljanje sporočil SMS in telefonske klice, saj ponujajo plast zaščite, ki je ni v tradicionalnih storitvah SMS in telefonskih storitev, ki jih podpira SS7.
Te aplikacije uporabljajo veliko varnejšo in bolj zasebno tehnologijo kot SS7, vendar če želite iti dodatno miljo, razmislite uporaba aplikacije za pošiljanje sporočil s šifriranjem od konca do konca – šifriranje od konca do konca zagotavlja, da je vaša komunikacija varna pred prisluškovanje. Na trgu je na desetine takih aplikacij in mnoge so popolnoma brezplačne. Signal je verjetno najbolj varna aplikacija za sporočanje na voljo danes, vendar WhatsApp ne zaostaja veliko.
Signal je odprtokoden, ponaša se z zmogljivim algoritmom šifriranja in je neverjetno varen. WhatsApp je po drugi strani verjetno najboljša možnost za tiste, ki želijo preprosto aplikacijo, ki je enostavna za uporabo in jo vsi poznajo in jo že imajo na svojem telefonu. Vendar se nekateri izogibajo WhatsAppu, saj je v lasti Mete (matičnega podjetja Facebooka in Instagrama) in menijo, da ima težave z zasebnostjo.
Kljub očitnim težavam SS7 ne gre nikamor
SS7 je zastarel in ima globoke napake, vendar ne gre nikamor. Vsaj za zdaj nič ne kaže, da bi ga telekomunikacijska panoga postopoma ukinila. Dokler SS7 ne bo zamenjana z boljšo in varnejšo tehnologijo, naredite vse, kar lahko, da zaščitite svojo zasebnost.
Res je, da se ni vedno mogoče izogniti uporabi sporočil SMS ali klicanju, vendar je namestitev komunikacijske aplikacije s šifriranjem od konca do konca dober začetek. V vsakem primeru je za zaščito pred nadzorom in drugimi grožnjami potrebna resna in trajna zavezanost digitalni higieni in varnosti.