Ključni zahvati
- Sustav signalizacije br. 7 (SS7) je zastarjeli telefonski protokol koji može izložiti vašu privatnost kibernetičkim prijetnjama i nadzoru.
- Ranjivost SS7 iskorištavaju kriminalci za pražnjenje bankovnih računa, vlade za praćenje korisnika mobilnih telefona, a obavještajne tvrtke za špijuniranje ljudi diljem svijeta.
- Kako biste se zaštitili od ranjivosti SS7, koristite sigurne aplikacije za razmjenu poruka s end-to-end enkripcijom poput Signala ili WhatsAppa, budući da nude bolju privatnost i sigurnost od tradicionalnog SMS-a i telefona usluge.
Jeste li ikada čuli za sustav signalizacije br. 7 (SS7)? Vjerojatno niste, ali ga i dalje koristite svakodnevno, kao i svi koje poznajete. Problem je što je ova tehnologija vrlo zastarjela i vrlo nesigurna. Međutim, postoje alternative korištenju SS7, a što je najbolje, besplatne su.
Što je SS7 i zašto je nesiguran?
Sustav signalizacije br. 7 skup je telefonskih protokola koji omogućuje međusobnu komunikaciju telekomunikacijskih mreža. U određenom smislu, to je komunikacijski sustav koji telefonskim mrežama omogućuje razmjenu važnih informacija. Djelomično, zahvaljujući ovoj tehnologiji, možete telefonirati, slati SMS poruke i koristiti slične usluge.
SS7 je prvi put predstavljen 1970-ih i postavljen u AT&T mreži u Sjedinjenim Državama. Ubrzo nakon toga postao je standardiziran za međunarodnu upotrebu i zamijenio je starije sustave u drugim zemljama diljem svijeta. U 1990-ima SS7 je doživio sve veću primjenu i postao je okosnica globalnih telekomunikacija.
ID pozivatelja, prosljeđivanje poziva i Usluga slanja kratkih poruka (SMS) također su uvedene 1990-ih dok su se mobilne mreže širile globalno. Integracija SS7 odigrala je ključnu ulogu u ovom procesu i naše društvo od tada nije isto. Rijetki od nas sada mogu zamisliti da žive u svijetu u kojem je nemoguće poslati SMS prijatelju koji koristi drugog operatera, a to je uglavnom zahvaljujući širokoj primjeni ove tehnologije.
U čemu je onda problem sa SS7? Pa, SS7 je zastario i nesiguran, relikt iz vremena kada digitalne prijetnje nisu bile ni tako sofisticirane ni tako raširene kao danas. Najmanje od sredine 2000-ih, sigurnosni nedostaci su evidentni, a s vremenom su postali samo izraženiji. Ovo nije stvar nagađanja ili mišljenja, niti je problem koji utječe samo na određenu mrežu, uređaj ili pojedinca. Ove su ranjivosti svojstvene samom SS7.
Kako ranjivosti SS7 otkrivaju vašu privatnost
Kako su se tehnologija i kibernetički kriminal razvijali, SS7 se borio da održi korak. Posljednjih godina diljem svijeta zabilježeni su deseci visokoprofilnih incidenata i sigurnosnih propusta.
Na primjer, još 2017. godine skupina neidentificiranih kriminalaca iskoristila je sigurnosne rupe u SS7 kako bi izvukla novac s bankovnih računa ljudi. Učinili su to zaobilazeći dvofaktorsku autentifikaciju koju su određene banke koristile za sprječavanje neovlaštenog pristupa i zaštitu klijenata, prema Ars Technica. U to je vrijeme predstavnik američkog Kongresa Ted Lieu pozvao saveznu vladu da popravi te "poražavajuće" nedostatke, rekavši da je "neprihvatljivo da FCC i telekomunikacijska industrija nisu djelovali ranije kako bi zaštitili našu privatnost i financijske sigurnost."
Slično tome, Washington Post izvijestio je 2014. da ranjivost SS7 omogućuje vladinim subjektima praćenje korisnika mobilnih telefona u stvarnom vremenu. Insajder je rekao da to rade "desetci" zemalja, dok su sigurnosni stručnjaci primijetili da ništa ne sprječava hakerske skupine i slične organizacije da učine isto. Godine 2020. zviždač je otkrio da Saudijska Arabija iskorištava te iste ranjivosti kako bi pratila svoje građane u Sjedinjenim Državama, po Čuvar.
A 2020 Haaretz istraga je u međuvremenu otkrila da je privatna izraelska obavještajna tvrtka Rayzone Group zlorabila nedostatke u SS7 kako bi pratila ljude diljem svijeta u ime svojih klijenata. Otprilike godinu dana kasnije, izvršni direktor švicarske tehnološke tvrtke fokusirane na automatizirano slanje poruka iskoristio je te iste ranjivosti da špijunira ljude, prema Ured za istraživačko novinarstvo.
Imajte na umu da je ovo samo vrh ledenog brijega: očito je da je SS7 nesiguran i iznimno osjetljiv na iskorištavanje. To je razlog zašto ne biste trebali koristiti SMS kako biste zaštitili svoju privatnost—pretpostavite da sve što pošaljete putem SMS-a može presresti i pročitati vaša vlada ili gotovo bilo tko drugi s pravim alatima i stručnošću.
Ali pravo pitanje je: zašto se ništa ne radi na rješavanju ranjivosti SS7? Operateri i mobilne mreže su ih sigurno svjesni; sigurnosni stručnjaci već godinama znaju za njih, kao i političari. Zapravo, neki su otvoreno govorili o njima, poput Lieua, i pozvali regulatorna tijela da poduzmu mjere. Ipak, ništa se nije promijenilo. Kada Registar izvijestili o tome, zaključili su da se "možda američkim obavještajnim službama sviđa ideja o, za njih, lako kompromitiranim mrežama".
No treba napomenuti da je ovo samo jedno od mogućih objašnjenja koje samo djelomično može odgovoriti na postavljeno pitanje. SS7 je naslijeđena infrastruktura, a uvođenje sveobuhvatnih promjena vjerojatno bi zahtijevalo međunarodnu suradnju i razvoj i implementacija novih tehnologija, što bi zahtijevalo značajno vrijeme i financije ulaganje. Ukratko, poticaja za uvođenje potrebnih promjena jednostavno nema.
Što možete učiniti da se zaštitite od SS7 ranjivosti
Ako je SS7 sveprisutan, što obični ljudi mogu učiniti da se zaštite? Jedno jednostavno rješenje je korištenje sigurnih aplikacija za razmjenu poruka za slanje poruka i telefonske pozive budući da one nude sloj zaštite kojeg nema kod tradicionalnih SMS i telefonskih usluga poduprtih SS7.
Ove aplikacije koriste puno sigurniju i privatniju tehnologiju od SS7, ali ako želite ići dodatno, razmislite koristeći end-to-end šifriranu aplikaciju za razmjenu poruka—end-to-end enkripcija osigurava da je vaša komunikacija sigurna od prisluškivanje. Na tržištu postoje deseci takvih aplikacija, a mnoge su potpuno besplatne. Signal je vjerojatno najsigurnija aplikacija za razmjenu poruka dostupan danas, ali WhatsApp ne zaostaje mnogo.
Signal je otvorenog koda, može se pohvaliti snažnim algoritmom šifriranja i nevjerojatno je siguran. WhatsApp je, s druge strane, vjerojatno najbolja opcija za one koji žele jednostavnu aplikaciju laku za korištenje s kojom su svi upoznati i koju već imaju na svom telefonu. Međutim, neki se klone WhatsAppa jer je u vlasništvu Mete (matične tvrtke Facebooka i Instagrama) i vjeruju da ima problema s privatnošću.
Unatoč očiglednim problemima, SS7 ne ide nikamo
SS7 je zastario i ima duboke nedostatke, ali ne ide nikamo. Barem za sada nema naznaka da će ga telekomunikacijska industrija ugasiti. Dok SS7 ne bude zamijenjen boljom, sigurnijom tehnologijom, učinite što možete da zaštitite svoju privatnost.
Doduše, nije uvijek moguće izbjeći korištenje SMS-a ili upućivanje poziva, ali instaliranje aplikacije za komunikaciju s end-to-end enkripcijom dobar je početak. U svakom slučaju, zaštita od nadzora i drugih prijetnji zahtijeva ozbiljnu i trajnu posvećenost digitalnoj higijeni i sigurnosti.