Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Federal İletişim Komisyonu Kalıcı Gözetim Sorunlarına Yanıt Veriyor
Mathew J. Schwartz (euroinfosec) •
2 Nisan 2024
Kablosuz taşıyıcılar, ağları birbirine bağlamak için kullanılan protokollerin, coğrafi konum bilgilerini çalabilecek siber saldırılara açık olduğunu yıllardır biliyor. ABD Federal İletişim Komisyonu, taşıyıcıların bu saldırıları önlemek için ne gibi önlemler aldığını bilmek istediğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Karşı önlemlerin etkinliği ve telekomünikasyon şirketlerinin bunları ne ölçüde uygulamaya koyduğuna ilişkin yeni yorum çağrısının odak noktası da bu.
Uzmanlar, kötü aktörlerin, yaygın olarak kullanılan iki yönlendirme protokolündeki (Sinyal Sistemi 7 ve Çap) iyi bilinen, uzun süredir duyurulan zayıflıklardan yararlanarak bireylerin konumunu takip etmeye ve aynı zamanda otoriter hükümetler de dahil olmak üzere coğrafi konum verilerini satmaya devam ettiği konusunda uyarıyor. Suçlular ayrıca tek seferlik kodları çalmak ve banka soygunları gerçekleştirmek için bu tür protokolleri kötüye kullandılar.
FCC'nin yorum çağrısı, Kamu Güvenliği ve Ulusal Güvenlik Bürosu'nun telekomünikasyon şirketlerini ağlarının güvenliğini artırmaya yönlendirme yönündeki geçmiş çabalarından bir değişikliği temsil ediyor. Daha önce kurum, telekomünikasyon şirketlerini SS7 ve daha yeni Diameter gibi temel sinyalleşme protokollerindeki iyi bilinen güvenlik açıklarını gidermeye teşvik etmişti.
Şimdi, güvenlik açığının azaltılmasına ve diğer uzun süredir devam eden tavsiyelere odaklanmak yerine, kurum telekomünikasyon sağlayıcılarından aşağıdakilerle ilgili ayrıntılar istiyor:
- Konum izleme olayları: Ajans, 2018'den bu yana “SS7 veya Diameter protokollerindeki açıkları kullanarak kullanıcı konumunu takip etmek için ABD'de faaliyet gösteren iletişim hizmeti sağlayıcılarının ağ kullanıcı konum verilerine erişmeye yönelik başarılı, yetkisiz girişimler” hakkında ayrıntılı bilgi istiyor. böyle bir izleme.
- Yasa dışı konum takibinin önlenmesi: Kurum, telekomünikasyon şirketlerinin kimlik doğrulama, yetkilendirme ve muhasebe ağları için hangi karşı önlemlerin bulunduğunu bilmek istiyor; hangi en iyi uygulamaları tavsiye etmesi gerektiği – eğer halihazırda yapmıyorsa; ve telekomünikasyon şirketlerinin çabalarının üçüncü taraf denetimleriyle desteklenmesi gerekip gerekmediği.
- Küresel tapu kiralama: Mobil endüstri lobi grubu olan Londra merkezli GSM Birliği'ne göre, tarihsel olarak bu, “sinyal mesajlarını telekomünikasyon ağları üzerinden üçüncü taraflara yönlendirerek” hizmetlerin sağlanması açısından çok önemliydi. Şimdi FCC, ABD telekomünikasyon şirketlerinin, özellikle tapu kiralama yoluyla yabancı hizmet sağlayıcılarla çalışırken, konum takibini engellemek için ne tür güvenlik önlemleri aldığını kısmen bilmek istiyor.
FCC'nin soruları, kısmen Sen. Ron Wyden, D-Ore. tarafından SS7 ve Diameter ile ilgili olarak kurumla paylaşılan konum izleme endişelerinden kaynaklanmıştır. Protokoller, telekomünikasyon şirketlerinin, hem diğer telekomünikasyon şirketlerinden gelen kısa mesajları iletmek hem de aboneler diğer ağlarda dolaşırken çağrıları işlemek ve yönlendirmek için abonelerin konumunu izlemesine olanak tanıyor. Hem sabit hem de mobil telekomünikasyon ağları için dünya çapında yaygın olarak kullanılmaktadırlar.
Wyden, “Son on yılda, siber güvenlik araştırmacıları ve araştırmacı gazeteciler, kablosuz operatörlerin ağlarını hileli SS7 ve Diameter müşteri verilerine yönelik taleplere karşı korumadaki başarısızlığının, gözetim yürütmek için otoriter hükümetler tarafından nasıl istismar edildiğini vurguladılar” dedi.
Wyden, 2017'den bu yana çok sayıda siber güvenlik uzmanıyla birlikte FCC'yi telekomünikasyon şirketlerinin “gevşek siber güvenliğini” ele almaya ve SS7 ve diğer protokollerdeki iyi bilinen ve düzenli olarak kötüye kullanılan güvenlik açıklarını azaltmalarını sağlamaya çağırıyor.
Sektör için “minimum güvenlik standartları” görmek isteyen senatör, FCC'nin telekomünikasyon şirketlerinin altta yatan sorunları çözmeye yönelik mevcut çabalarını değerlendirme hamlesini alkışladı. “Bu tehdidi etkili bir şekilde ele almak, tüm hükümetin çabasını ve müttefiklerimizle diplomatik ortaklığı gerektirecektir” dedi.
Sinyal Protokollerinin Güvenlik Eksiklikleri
Sorunlar, 3G ve önceki ağların güvenliğini sağlamak için kullanılan SS7'yi ve 4G'yi güvence altına almak için kullanılan Diameter'ı destekleyen güven temelli yaklaşımdan kaynaklanıyor. İsveçli telekomünikasyon devi Ericsson'un teknik incelemesinde ayrıntılı olarak açıklandığı gibi, her iki protokol de birbirleriyle iletişim kuran tüm ağ öğelerinin bunu yapması gerektiğini varsayarak güven temelli bir yaklaşım benimsiyor.
Diameter daha yeni bir protokol olmasına rağmen güvenlik yeteneklerinden yoksundur. FCC, “Çap, taşıma sırasında kaynak IP adreslerini şifrelemez, bu da bir saldırganın ağa erişim kazanmak için ağ üzerinde meşru bir dolaşım ortağı gibi davrandığı ağ sahtekarlığı riskini artırır” dedi.
SS7 ve Çap hâlâ “cep telefonu ağlarının, özellikle de ağları birbirine bağlayabilmek için dolaşım özelliklerinin temelini” oluşturduğundan, ağlar kapsama alanlarını genişlettikçe ve yeni ağlar ve daha fazla kullanıcı ortaya çıktıkça, “kötü bir aktörün SS7'den yararlanma fırsatı” ortaya çıkıyor. ve Çap arttı” dedi FCC.
Ericsson, SS7 ve Diameter gibi protokollerin kullanımının güvenli tünellerle sınırlandırılabileceğini ve böylece tünellerin daha güvenli hale getirilebileceğini ancak güvenli tünel kullanımının zorunlu olmadığını söyledi.
Her ne kadar 5G, HTTP sinyalizasyonunun yanı sıra şifreli sinyalizasyon ve dolaşım bağlantıları için uçtan uca koruma kullanımı sayesinde daha iyi bir yerleşik güvenliğe sahip olsa da, “5G ve eski ağlar, bir düğümün güvenliği ihlal edildiğinde hâlâ saldırılara karşı savunmasızdır – örneğin Ericsson, “Sıfırıncı gün güvenlik açığından yararlanılarak,” dedi. “Bir ağ işlevi personel tarafından kötüye kullanıldığında içeriden gelen tehditler de büyük endişe kaynağıdır.”
Küresel tapu kiralamanın kullanımına ilişkin sorular arttı. GSMA'nın endüstri güvenliği başkanı Samantha Kight, geçen yıl bir blog yazısında “GT kiralamanın kötüye kullanılmasının önemli güvenlik sorunları ve hain faaliyetler için fırsatlar yarattığını” ve bu tür kötüye kullanımı önlemenin hala zor olduğu konusunda uyardı.
“Bütün bunlar, üçüncü tarafların SMS veya çağrıları izlemek, kişilerin konumlarını takip etmek ve spam veya smishing mesajları göndermek için SS7 protokolünü kullanabileceği anlamına geliyor” dedi.
Sonuç olarak, artık teknik olarak gerekli olmayan küresel tapu kiralama kullanımının sona erdirilmesi gerekip gerekmediğini sordu.
Önerilerin Ötesinde
FCC'ye bağlı bir federal danışma komitesi, 2016 yılında sinyal protokolü güvenlik eksikliklerini incelemeye başladı ve bunları hafifletmek için sektör önerileri geliştirdi. Bunlar arasında dünya çapındaki sinyal trafiğinin daha fazla izlenmesi, güvenlik değerlendirmelerinin yürütülmesi ve tehdit istihbaratının paylaşılmasının yanı sıra abonelerinin, ses ve metin mesajlarını korumak için uçtan uca şifreleme sunan mesajlaşma uygulamalarını kullanmalarının teşvik edilmesi de yer alıyor.
Ajans, sektörü bunları benimsemeye teşvik etti ve bazı büyük iletişim hizmeti sağlayıcılarının da bunu yaptığını söylediğini bildirdi.
Ajans, özellikle konum takibiyle ilgili olarak artık telekomünikasyon şirketlerinin güvenlik iyileştirmelerinin aboneleri korumak için yeterli olup olmadığını ve yeterli değilse daha nelerin gerekli olabileceğini bilmek istiyor.
FCC'nin yorum çağrısı 28 Mayıs'ta sona eriyor.