Comments 83
Или я не вижу какую-то очевидную иную брешь в защите.
Можно даже учетку новую сделать, с привязкой телефона. Все учетки, связанные с этим номером, будут работать.
«Двухэтапная» аутентификация с подтверждением по смс или по коду из приложения проверяет два фактора: фактор знания (пара логин-пароль) и фактор владения (наличие в момент аутентификации у пользователя токена, способного тем или иным образом предоставить аутентификационную комбинацию).
А каким образом подтверждается фактор владения, если токен, как и логин, доступны атакующему? Логин доступен, если в качестве него используются публичные данные, такие как контактные и персональные, в частности, СНИЛС. А токен, когда устройство пользователя или канал с устройством находятся под контролем атакующего (это необходимо считать по умолчанию). При этом пароль вообще ничего не защищает, т.к. его сбросить может любой: логин ведь известен в описанном случае. Так теперь устроена система аутентификации в ЕМИАС (ГосУслуги, mos.ru) и LinkedIn, например.
Очень важно, чтобы многочисленные онлайновые сервисы, банки и другие организации немедленно прекратили использовать SMS для аутентификацииЧем заменить смс? Каждому сервису ставить своё приложение для показа кода? Или есть более подходящие решения?
Разве одно приложение-аутентификатор не пойдет для всех?
СМС хороши тем что они не требуют смартфона, но они скомпрометированы уже несколько раз, это только одна из уязвимостей.
Разве одно приложение-аутентификатор не пойдет для всех?
Некоторые сервисы (battle.net, microsoft account, steam) очень упорно хотят чтобы пользователи использовали именно их приложение и ничто иное.
Blizzard, Steam и (удивительно) Яндекс. Большинство других сервисов (Origin, uPlay, Google, Microsoft, etc) иногда требуют конкретно свое приложение, но на самом деле легко добавляются в одно общее (в моем случае, стандартное для WinPhone) приложение. Единственный, кто мне не поддался — Яндекс, так как использует свой алгоритм а приложение в маркет не завез.
Минус — «Один смартфон чтоб править всеми», но что поделать, приходится аккуратнее относится к своему девайся.
По-моему, если "для всех", то это предполагает, что "секрет" может быть проверен неопределённым кругом лиц, соответственно, и злоумышленник может его предъявить...
https://ru.wikipedia.org/wiki/Google_Authenticator
p.s. Лично у меня претензий к Google Authenticator нету и оснований для каких-либо подозрений.
Аутентификаторм для самого себя? Если нет, то как аутентифицировать пользователя в приложении банка?
Google authenticator всего лишь использует алгоритм
https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
Который может использовать и банк в своем приложении.
Так же есть полно альтернативных приложений что позволяют делать то же самое, в том числе автентикатор от Microsoft, LastPass и другие.
Подделать невозможно, только украсть, а шансы подбора подсчитывать нет смысла так как коды одноразовые.
Проблема была решена переходом на Authenticator+ (да, платный немного). Есть синхронизация базы (через Google Drvie/Dropbox, разумеется зашифрованной отдельным сложным паролем.
У Альфы кстати есть нечто вроде: на вход в ИБ можно поставить запрос кода по СМС но можно и Альфа-Ключ использовать — https://click.alfabank.ru/cs/groups/public/documents/document/alfa_help06_04.html (свое приложение вообще похоже под все платформы) только вот похоже эта штука заброшена. C 2012 года приложение не обновлялось + нет возможности исключить СМС совсем.
У Тинькова есть другое решение — можно просто… использовать пуши. Значительная часть сообщений будет просто пушами в мобильное приложение приходить. Удачи в перехвате например кодов 3D Secure.
Есть реализации и от RedHat (FreeOTP) и от ещё кучи контор. При желании можно самому написать.
У меня 3 разных банка, и они достаточно продвинуты — каждого есть альтернативный путь аутентификации.
у одного — собственное приложение
у второго — хардварный токен
у третьего — Google Authenticator
Проблема в том, что ни у одного из них я не могу потребовать «выключить» СМС для моих аккаунтов, т.к. СМС считается решением по умолчанию.
Уязвимость by-design.
Кто-то получает доступ к коммутатору и оказывается в доверенной сети. Никаких дополнительных проверок не происходит. Регитрируй неомер где хочешь, читай и шли, что хочешь.
Google по поводу двухфакторной аутентификации говорит, что она безопасна. Я как-то задал вопрос "почему смс приходят с разных номеров", ответили, что "Google не несет ответственность за подрядчиков. И вообще придумайте сложный пароль и держите его в секрете"
Но подается этот под соусом безопасности.
https://www.google.com/landing/2step/
Они же нигде не пишут, что нам нужно идентифицировать вас, поэтому используйте двухфакторную авторизацию.
Но как уже написал выше от нее же открещиваются. Не могу найти ссылку, но у них даже в документации по 2-way authentication есть дисклеймер, что гугл не несет ответственности за действия третьих лиц, коими являются агрегаторы СМС, операторы связи, и т.д. и т.п.
Но в некоторых случаях протроянивание устройства на котором стоит GA будет дешевле и проще.
Пинание производителей на написание исправленных прошивок может уйти годы времени
Не говоря уже про деньги.
Так что ближайшие несколько лет нечего не поменяется
Если я вас правильно понял, то у них "внутренние" номера из одной страны, но звонят в мир они с использованием номера из соседней страны.
Звонки в роуминге дорогие, а входящие СМС — бесплатные.
Телефоны зарегистрированы в роуминге и СМС к ним приходят через свитчи "гостевого" оператора. Отказать в услуге родные операторы, которым принадлежат номера, не могут. Звонки через шлюз и добавочные — обычный рефайл, в данной ситуации не совсем обычный.
То, что вы не видите роуминга это не значит, что его нет. Там еще много чего должно быть, чего вы не видите, ядро, биллинг, услуги…
Голосовая связь и исходящие СМС льются "рефайлом" — через шлюзы. Входящие СМС проходят как СМС в роуминге, поскольку они бесплатные. Самый очевидный вариант.
А вообще, смотрите на сайте регулятора, кому принадлежат номера. Без этого — разговор беспредметный.
В вашем случае, как я понимаю НКРЗІ.
Но я все же ошибался. Никакого роуминга нет. Номерная емкость левая. Доставка СМС, скорее всего обговорена с компаниями или смс-агрегаторами, которым все равно, напрямую.
Во-вторых то что доходят сообщения от сервисов означает лишь то что существует организация, занимающаяся доставкой этих самых сообщений. Доставка может осуществляться без участия оператора, с помощью симбоксов или даже обычных модемов. Просто оператор может закрывать на это глаза, в отличии от других сетей где это считается нелегальным способом доставки.
Поэтому у меня к Вам вопрос: сообщения с кодом приходят с обычных номеров или от альфаимени вроде Google, Viber?
P2P это обычные сообщения, передаваемые с одного МТ на другой.
A2P (application to peer) это сообщения отправляемые каким-либо внешним приложением.
Т.к. операторы заинтересованы монетизировать отправку сообщений от приложений то они обычно борются с отправкой таких сообщений с МТ, когда например условный Пупкин рассылает сообщения с помощью десятка модемов. Пупкин имеет клиентов и зарабатывает потому-что тарифы на смс для обычных абонентов относительно низкие, а клиентам может быть все равно что их сообщения доставляются не с красивого альфаимени, а с обычных номеров.
Для монетизированого A2P трафика оператор может выделить подключение к своей сигнальной сети (т.е. SS7) либо предоставить SMPP подключение к своему SMSC. Но чаще всего операторы формируют подключения с смс-хабами, которые агрегируют клиентов.
Viber же просто адресует эти приложения в тот смс-хаб, который обеспечивает доставку. И не факт что данный хаб сразу отправляет сообщение оператору, оно может пройти еще несколько других хабов.
А номерной диапазон это всего-лишь правило в конфиг файле SMSC.
То что сообщение приходит от АИ Viber означает 100% причастность оператора к организации доставки данных сообщений.
Кстати, вы могли бы заметить, что Telegram если не ввести сразу код отправит еще одно сообщение через другой канал доставки, что можно иногда заметить по номеру SMSC в сообщении.
IMO пошел еще дальше и отправляет сразу несколько сообщений с разными кодами и в зависимости от того какой код введет пользователь имеет представление о том какой канал доставки надежнее.
Да, а Сбербанк недавно отключил одноразовые пароли по бумажке из банкомата и оставил только смс авторизацию.
В целях повышения "безопасности" клиентов конечно.
Сейчас этот конгрессмен обратился к Конгрессу с призывом организовать слушания по поводу критических уязвимостей в глобальной сигнальной сети SS7.
Ну и если Конгресс осудит эти уязвимости, дыры в SS7 по всему миру в один момент исчезнут, я так понимаю?
А если серьезно, спецслужбы давно используют эту и другого рода «фичи» себе на благо, так что переживания конгрессмена, как думается, не всех взволнуют. А вот что с 2ФА надо что-то теперь решать… это да.
Есть к чему ещё привязывать аккаунт, чтобы по уникальней было, кроме паспорта конечно? :)
Однако он спрашивал совсем про другое — не так то просто получить большое количество номеров телефонов (это потребует определённых финансовых затрат, а сделать это без привязки к реальным организаторам ещё сложнее). Поэтому многие сервисы используют номер телефона как некий гарант уникальности юзера. Если юзер начинает себя плохо вести (например, оказывается спам-ботом), то его просто банят. При этом создание нового аккаунта требует получение нового номера телефона. Это можно повторить ещё несколько раз, но и эти аккаунты будут быстро и без особых проблем забанены. Чтобы эффективно заниматься спамом нужно иметь возможность создавать тысячи и больше аккаунтов — а покупать тысячи симок трудно и дорого (особенно, если это хочется делать анонимно — спам по многих странах ещё и незаконен). В итоге требования номера телефона достаточно эффективно позволяет бороться с ботами.
А я думал, что откровенный СМС спам как раз и живет только шлюзами на симкартах. Ну если объемы единичных заказов не считаются в миллионах.
Китайцы дают номер для регистрации по центу если не ошибаюсь. Кол-во достаточное. Гарантию на день вроде дают, спам на мессенджерах все равно за пару часов определяется. Все можно нагуглить за пару минут. (да, был в моей жизни скоропостижный сложный период).
Но и эти номера привязаны к симкартам. Хотя у меня сложилось впечатление, что довольно ощутимая их часть, может быть на затрояненных телефонах.
Ок.
К примеру, я купил доступ к Digicell Jamaica. У этого оператора есть роуминговые договора скажем с AT&T. И есть окс7 транки между ними.
Я аннонсирую регистрацию целевого номера AT&T у этого оператора. Насколько мне хватает знаний, мне для этого нужен будет клон симки, а может и нет, все равно будет отаваться виртуальный номер.
А дальше… Все новые стандарты проверки сим в роуминге до одного места. Поскольку:
Необходима обратная совместимость стандарта и ее никто не отменял. Если у какого-то AT&T есть двухсторонняя проверка, то это не означает, что он не будет принимать запросы на регистрации в роуминге без этой проверки, если у Digicell Jamaica ее нет. На уровне согласования скорее всего просто будет флаг предпочтительна, который будет проигнорирован скомпрометированным свитчем.
- Я уверен, что провайдеры далеко не всегда горят желанием покупать дополнительные модули к софту своих свитчей. Они не дешевые и не обязательные. Мне как-то рассказывали, что в основном получают ответ на предложения по таким дополнительным фичам — "у нас сейчас все работает, нам это не нужно".
Тоесть проделать это возможно, поскольку в протоколе заложено, что должна быть обратная совместимость для предоставления базового функционала. Да закрыться можно. И скорее всего, что современные рекомендации позволяют закрыть все эти дыры, но только нарушая совместимость, не принимая запросы без дополнительной аутентификации.
ПС. Это мое личное мнение, я не специалист по GSM и буду рад, если вы укажете мне на мои ошибки...
Я просто уверен, что все эти уязвимости используются на ура. Что пока они не приносят реальных финансовых или репутационных потерь оператору на них плевать.
Это как спуффинг номеров. Если мне прилетает звонок с номера +1-777-7654321, я знаю, что 777 зарезервирован и его не может быть, но оператор его пропустит и сейчас и потом потому, что это переадресованный номер, а для биллинга передан верный номер. Но пока все платят деньги и есть кому выставить счет — всем все равно…
И не взирая на
Вывод: в теории это все возможно, но в реальной жизни — слишком много геморроя и слишком малый выхлоп, чтобы заморачиваться. На поток не поставить, а с единичными целевыми атаками есть способы намного дешевле.
Имело место:
"Criminals carried out an attack from a network of a foreign mobile network operator in the middle of January," a representative with Germany's O2 Telefonica told a Süddeutsche Zeitung reporter. "The attack redirected incoming SMS messages for selected German customers to the attackers." The unidentified foreign network provider has since been blocked, and affected customers were informed of the breach.
Выходит в жизни возможно:
- Затроянить достаточное кол-во пользователей, как-то так https://www.engadget.com/2016/11/29/mirai-botnet-targets-deutsche-telekom-routers-in-global-cyberatt/
- Проверить их моб.операторов на уязвимость с использованием запросов от "доверенного оператора". (https://www.ptsecurity.com/upload/ptru/analytics/SS7-Vulnerability-2016-rus.pdf занимательная статистика)
Думаю, что обнаружение вторжения происходит тут по факту заявления на списание средств или возможности подачи иска от банка. А если тестить на своих номерах и еще за счет платить, то никто и не заметит. - Назначить день Х на середину января.
- ....
- PROFIT!!!111
Подозреваю, что телефон во время атаки будет показывать, что сервисы ограничены. Если способен это определить.
Ну и мы же понимаем, что подобный бизнес редко подразумевает долгосрочное сотрудничество и на далнейшую судьбу этого опсоса мне было бы глубоко наплевать.
И домашний HLR вобщем-то может сменить локацию даже без наличия сервиса роуминга у клиента.
Атака может провидтся когда телефон жертвы реально вне сети. Да и со включенным, до следующей переригистрации локации телефона пройдет нное время которого может хватить для перенаправления смс.
Можно привести грубый пример, уязвимость того же телеграма или иного мессанджера, нужно всего лишь попасть на сервер мессанджера и взять из базы данных переписку, пароли, и так далее. А то что попасть на сервер навряд ли получится, скромно умалчивается.
Так суть и заключается в этом. Якобы в расследовании немецкой газеты всплыли факты, что за 1000 долларов-евро вы можете купить порт с доступом к свитчу где-нибудь в Африке.
Давно хочу купить пару ключиков, да не могу найти по разумной цене. Странно что китайские собратья ещё не освоили.
У меня вот вообще никакого доверия к телефонам нет и каждый раз вызывает одно раздражение, когда пытаются привязать телефон к аккаунту, для «безопасности».
Телефон можно потерять физически, могут запросто отключить (3-6 месяцев без расходов на связь), могут дубликат симки сделать (даже проще, чем СМС перехватить) и еще куча других интересных вариантов, а потом по телефону восстановить всевозможные аккаунты включая Сбербанк.
Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации