בואו לגלות את עמוד הכתבה החדש שלנו
${m.global.stripData.hideElement}
 

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

האם חברות הסלולר עצלניות מכדי לאבטח את הרשת?

מחקר שבדק 31 מפעילות סלולריות בעולם גילה שרבות מהן בעלות הגנה חלשה ממעקב לא חוקי וגניבת זהות. 80% מהטלפונים הניידים ניתנים לפריצה בתוך דקות

תגובות

ברלין. מפתה להתייחס לפריצה הלא חוקית לתא הקולי בטלפון, נוהג שזיעזע את בריטניה ואת ניוז קורפ, אימפריית התקשורת של רופרט מרדוק, כאל כלי מסתורי המשמש עיתונאים בעלי קשרים בסקוטלנד יארד המזלזלים בחוק.

ואולם, על פי מחקר שמוצג היום (שלישי), משתמשים בטלפונים סלולריים באירופה ובשאר העולם פגיעים בדיוק כמו השחקן יו גרנט ושאר הידוענים, שפרצו לתא הקולי הפרטי שלהם, ואף גרוע מזה, בגלל אבטחת מיושנת של הרשת הסלולרית.

במחקר שכלל 31 מפעילים סלולריים באירופה, מרוקו ותאילנד, מצא קרסטן נול, האקר ומומחה לאבטחת טלפונים ניידים, שרבות מחברות הטלפונים מספקות הגנה חלשה עד מאוד מפני מעקב לא חוקי וגניבת זהות.

מהדו"ח עולה שטכנולוגיית ה-GSM, המשרתת 80% מהמכשירים בשוק הסלולר (כ-4 מיליארד בני אדם ברחבי העולם), פרוצה לחלוטין ויכולה לשמש בקלות האקרים לתרמיות מסוגים שונים, שברובן מועברות שיחות או מסרונים למרכזי תמסורת ואלה משאירים את הלקוחות עם חשבונות מנופחים.

סלולר
AP

"אנחנו יכולים לפרוץ למאות אלפי טלפונים בתוך פרק זמן של דקות. אף אחת מהרשתות הקיימות אינה מגינה על המשתמשים בצורה טובה", אמר קרסטן נול, מומחה לאבטחת טלפונים ניידים, העומד בראש חברת הייעוץ Security Research Labs שערכה את הבדיקה. הוא סירב למסור פרטים על אופי המתקפה שביצע.

נול סיפר כי הצליח לפרוץ לשיחות בטלפון הנייד, למסרונים ולגנוב את זהותם של חשבונות של משתמשים בטלפונים ניידים ב-11 מדינות באמצעות טלפון נייד זול בן שבע שנים מתוצרת מוטורולה ותוכנת פיענוח חינמית שמצא באינטרנט. לדבריו, הוא בדק כל חברת טלפונים יותר מ 100 פעמים ודירג את איכות האבטחה שלהן.

נול הציגג את התוצאות בוועידה של Chaos Computer Club, קבוצת האקרים, שתתקיים בברלין. שם הוא יפתח את המיזם לפני חוקרים ממדינות אחרות.
ב 2009 פרסם נול, שמנהל את חברת הייעוץ Security Research Labs בברלין, את האלגוריתמים לקידוד שיחות קוליות ולמשלוח נתונים ברשתות GMS דיגיטליות, המשמשות באירופה ובמקומות אחרים.

בראיון סיפר נול, שמחקרו האחרון נועד למנוע גניבת נתונים ותקשורת, והוא נערך באמצעות יירוט תמסורות טלפוניות של עמית. בבדיקות מקריות שערך, הוא סיים את יירוט השיחות שנייה אחת או שתיים לאחר שהחלו.

הטכניקה שהוא משתמש מתמקדת בפיענוח "שיחות" צפויות, סטנדרטיות מבחינה אלקטרונית, המתקיימות בין הטלפון הנייד לרשת הסלולרית בתחילת כל שיחה. נול הסביר שלרוב נשלחות כ-40 חבילות של מידע מקודד הלוך ושוב בין הטלפון לרשת, רבות מהן מכילות פקודות פשוטות בנוסח: "יש לי שיחה בשבילך" או "המתן".

מרבית המפעילים משנים מעט את הפרוטוקול הזה, מה שאפשר לנול להשתמש בתוכנת פריצה כדי לערוך ניחושים מושכלים ומהירים לפיענוח המפתחות האלגוריתמיים המסובכים שהרשתות משתמשות בהם לקידוד התשודורות. ברגע שהגיע למפתח זה, הצליח נול ליירט שיחות קוליות והעברת נתונים על ידי התחזות למשתמש אחר וכך להאזין לדואר קולי, להתקשר ולשלוח מסרונים על חשבון טלפון נייד לא לו.

נול מסר כי חברות הטלפון יכולות לתקן פגיעות זו במערכת GSM, הקיימת ברשתות דור 2 המשמשות כמעט כל טלפון נייד, כולל טלפונים חכמים, באמצעות טלאי תוכנה פשוט. במחקרו גילה נול כי רק שני מפעילים, T-Mobile בגרמניה ו Swisscom בשווייץ, משתמשים באמצעי האבטחה המשופר, המצריך הוספה של ספרה מקרית בסוף כל פקודה כדי לסכל את הפיענוח. לדוגמה: "יש לי שיחה בשבילך 4".

"פגיעות זו משמעותית, ומצאנו אותה במרבית הרשתות שבדקנו. עלות התיקון שלה כמעט אפסית", אמר נול. "לא אחת מדובר בסתם עצלות של החברות או סדר עדיפויות אחר, כמו למשל בניית הרשתות שלהן".

פיליפ ליברמן, העומד בראש חברה המספקת תוכנת ניהול זהות לחברות גדולות ולממשלת ארה"ב, הטעים שחלק גדול מהטכנולוגיה הדיגיטלית המגינה על פרטיות הטלפונים הניידים פותחה בשנות ה 80 וה 90, וכיום היא פשוט בשלה להתקפות.
עם זאת, לדבריו, בדיקות היירוט שעורכים חוקרים כנול דורשות רמת מיומנות ותחכום מעל ומעבר ליכולות של מרבית האנשים.

"השיחות שאתם מקבלים בטלפון הנייד מוגנות היטב מפני אנשים כמוכם, שאינם מסוגלים לפרוץ אליהן", הוסיף ליברמן. "הטכנולוגיה הדרושה לסוג כזה של מעקבים, שפעם הייתה רק בהישג ידן של סוכנויות המודיעין הממשלתיות, נעשית במהירות נגישה ליותר ויותר בני אדם".

לדברי נול, ככל שהצרכנים מרבים להשתמש בטלפונים הניידים לקניות ולבנקאות מקוונת, האפשרות לנזק כתוצאה מגניבות זהות עלול לגדול. "בדרך כלל כלי האבטחה הדיגיטליים שבשימוש הבנקים והחנויות המקוונות עולות בהרבה על אלה שמשתמשות המפעילות הסלולריות ומן הסתם הם מסוגלים לסכל את מרבית ההתקפות".
 



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו