Ο έλεγχος ταυτότητας δύο παραγόντων SMS δεν θα σας προστατεύσει αν οι χάκερ μπορούν να παραλάβουν τα μηνύματά σας
Για λόγους απλότητας, οι εμπειρογνώμονες συχνά περιγράφουν τον έλεγχο ταυτότητας δύο στοιχείων (2FA) ως ένα σύστημα που σας επιτρέπει να συνδεθείτε στο λογαριασμό σας μόνο εάν παρέχετε κάτι που γνωρίζετε καθώς και κάτι που έχετε.
Το πράγμα που γνωρίζετε είναι προφανές - ο σωστός συνδυασμός ονόματος χρήστη και κωδικού πρόσβασης. Το πράγμα που έχετε, ωστόσο, είναι μια διαφορετική ιστορία. Με μερικές εξαιρέσεις, δεν παρέχετε πραγματικά κάτι που έχετε μαζί σας. Συνήθως εισάγετε έναν προσωρινό κωδικό που εμφανίζεται με κάποιο τρόπο σε μια συσκευή που έχετε. Και ποια συσκευή έχετε μαζί σας ανά πάσα στιγμή; Αυτό είναι σωστό, το κινητό σας τηλέφωνο.
Table of Contents
SMS και έλεγχος ταυτότητας δύο παραγόντων
Η σύνταξη του προσωρινού κωδικού πρόσβασης στο κινητό σας τηλέφωνο είναι μια προφανής λύση. Είναι γρήγορο, είναι φθηνό και για λίγο δεν υπήρχαν άλλες εναλλακτικές λύσεις. Μέχρι σήμερα, υπάρχουν πολλές ηλεκτρονικές υπηρεσίες που προσφέρουν αυτό το είδος επαλήθευσης δύο παραγόντων, και πολλοί άνθρωποι το χρησιμοποιούν, θεωρώντας ότι είναι το πιο λογικό πράγμα στον κόσμο.
Οι ειδικοί ασφαλείας, ωστόσο, είχαν αμφιβολίες για κάποιο διάστημα. Το γεγονός είναι ότι, όταν εκφράζουν τις ανησυχίες τους, συχνά επικρίνουν ότι είναι υπερβολικά παρανοϊκές και πρέπει να ειπωθεί ότι από καιρό προς το πάλι, τα σενάρια που περιγράφουν ορισμένα από αυτά δεν είναι πολύ πιθανά, ειδικά όσον αφορά τους τακτικούς χρήστες. Ωστόσο, στην περίπτωση SMS και ταυτότητας με δύο παράγοντες, οι φόβοι βασίζονται σε ψυχρά, σκληρά γεγονότα σχετικά με την εν λόγω τεχνολογία και δεν πρέπει να απορριφθούν ελαφρά.
SS7 - η αρχαία τεχνολογία που εξακολουθούμε να χρησιμοποιούμε για την αποστολή και λήψη SMS
Το Σύστημα Σήμανσης Νο 7 (SS7) είναι μια συλλογή πρωτοκόλλων που έχουμε χρησιμοποιήσει, μεταξύ άλλων, για τη μετάδοση μηνυμάτων κειμένου από τότε που βγήκαν τα πρώτα κινητά τηλέφωνα. Τα πραγματικά πρωτόκολλα αναπτύχθηκαν από το 1975 και, όπως κάθε τεχνολογία ηλικίας άνω των σαράντα ετών, έχουν αποδειχθεί ότι έχουν ένα ή δύο μειονεκτήματα.
Από την άποψη της ασφάλειας, τα πράγματα ήταν ιδιαίτερα ανησυχητικά, ειδικά κατά την τελευταία δεκαετία περίπου. Οι ειδικοί μιλούσαν για τα τρωτά σημεία SS7 από το 2008, με τα πρώτα ελαττώματα που επέτρεπαν την παρακολούθηση των θυμάτων και με μεταγενέστερες ανακαλύψεις που άφησαν τους απατεώνες προς τα εμπρός και παρεμπόδισαν κλήσεις και μηνύματα. Θεωρητικά, μόνο οι πάροχοι τηλεπικοινωνιών θα πρέπει να έχουν πρόσβαση στα δίκτυα SS7, αλλά στην πραγματικότητα όλοι μπορούν να πάνε στις υπόγειες αγορές και να αγοράσουν εργαλεία που θα τους επιτρέψουν να παρακολουθήσουν τη ροή των πληροφοριών.
Μόλις βρεθούν τα πρώτα τρωτά σημεία, οι ειδικοί δήλωσαν ότι το SS7 είναι ανεπαρκές για την προστασία της ιδιωτικής ζωής των χρηστών και είπε ότι κάτι πιο μοντέρνο θα το αντικαταστήσει. Προφανώς, ωστόσο, οι πάροχοι τηλεπικοινωνιών σκέφτηκαν ότι η απειλή δεν είναι τόσο σοβαρή, και οι προσκλήσεις της κοινότητας ασφαλείας αγνοήθηκαν. Το 2017, το αναπόφευκτο συνέβη.
Το γερμανικό υποκατάστημα της O2-Telefonica, ένας ευρωπαϊκός πάροχος υπηρεσιών κινητής τηλεφωνίας, παραδέχτηκε ότι ορισμένοι από τους πελάτες του είχαν αποφορτίσει τους τραπεζικούς τους λογαριασμούς αφού οι εγκληματίες εκμεταλλεύτηκαν ένα ελάττωμα στο δίκτυο SS7. Πρώτον, οι χάκερ χρησιμοποίησαν την κοινωνική μηχανική για να εξαπατήσουν τα θύματα να εγκαταστήσουν κακόβουλα προγράμματα στους υπολογιστές τους. Οπλισμένοι με κλεμμένα ονόματα χρηστών, κωδικούς πρόσβασης και αριθμούς τηλεφώνου, οι απατεώνες προσπάθησαν να συνδεθούν στους λογαριασμούς των χρηστών στη μέση της νύχτας. Στη συνέχεια, παρέσυραν τα SMS με τους κωδικούς ταυτοποίησης δύο παραγόντων και αποκόμισαν με επιτυχία τα χρήματα.
Μετά το περιστατικό, περισσότεροι άνθρωποι άρχισαν να πιέζουν για μια νεότερη τεχνολογία για να αντικαταστήσουν το SS7, αλλά το γεγονός είναι ότι αυτή τη στιγμή, απλά δεν έχουμε μια εναλλακτική λύση. Αυτό, παράλληλα με την απειλή της αντικατάστασης της κάρτας SIM, κάνει το SMS ως μέσο μεταφοράς των κωδικών 2FA λιγότερο από τέλειο. Μήπως αυτό σημαίνει ότι σε καμία περίπτωση δεν πρέπει να χρησιμοποιείτε ποτέ έλεγχο ταυτότητας με δύο παράγοντες SMS;
Ο έλεγχος ταυτότητας δύο παραγόντων SMS είναι καλύτερος από τον μη επαληθευτή δύο παραγόντων
Το SMS, ειδικά όταν χρησιμοποιείται για κάτι τόσο ευαίσθητο όσο οι κωδικοί 2FA, έχει τα ελαττώματά του. Πρέπει να ειπωθεί, ωστόσο, ότι μερικοί άνθρωποι απογοητεύονται με τις προειδοποιήσεις. Πράγματι, οι επιθέσεις SS7 δεν είναι μόνο μια θεωρητική δυνατότητα, αλλά ένα γεγονός ζωής, όπως μπορούν να καταθέσουν οι πελάτες της O2-Telefonica. Αυτός ο τύπος εγκλημάτων μπορεί να διαπραχθεί μόνο από εξελιγμένες ομάδες πειρατείας, οι οποίες είναι εξειδικευμένες και έχουν υψηλό κίνητρο. Και σε αντίθεση με τη δημοφιλή πεποίθηση, δεν υπάρχουν πολλοί από εκείνους που βρίσκονται γύρω. Οι περισσότεροι εγκληματίες του κυβερνοχώρου που ασχολούνται με τους χρήστες δεν έχουν ούτε τις γνώσεις ούτε τους πόρους για να αποσύρουν μια τέτοια επίθεση. Το ίδιο ισχύει και για την εναλλαγή κάρτας SIM.
Και σε κάθε περίπτωση, ακόμα και αν είναι αρκετά ικανός να παρεμποδίσει τα μηνύματα κειμένου, έχοντας ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων, είστε, τουλάχιστον, κάνοντας τη ζωή τους πολύ πιο δύσκολη. Αυτό είναι πάντα καλό.
Πρέπει να γνωρίζετε μέχρι τώρα ότι υπάρχουν μερικές εναλλακτικές λύσεις. Οι εφαρμογές επαλήθευσης ταυτότητας δύο παραγόντων, όπως το Google Authenticator, δημιουργούν τους κωδικούς τους τοπικά, πράγμα που σημαίνει ότι οι απατεώνες δεν μπορούν να τις παρακολουθήσουν. Και αν θέλετε να είστε ακόμα πιο ασφαλείς, μπορείτε πάντα να εξετάζετε τις μάρκες ελέγχου ταυτότητας U2F.
Ακόμη και αυτές οι επιλογές δεν είναι άψογες, αλλά, ειδικά αν προστατεύετε κάτι σημαντικό, όπως το ηλεκτρονικό σας ταχυδρομείο ή ο ηλεκτρονικός σας τραπεζικός λογαριασμός, κάνουν πολύ καλύτερη δουλειά από τα μηνύματα κειμένου. Ελέγξτε τις επιλογές 2FA για όλες τις υπηρεσίες που χρησιμοποιείτε και εάν μπορείτε να επιλέξετε κάτι πιο ασφαλές από τα μηνύματα κειμένου, βεβαιωθείτε ότι το κάνετε. Ακόμη και αν τα SMS είναι η μόνη επιλογή, θα πρέπει να βεβαιωθείτε ότι είναι ενεργοποιημένο το 2FA.
