Nokia 1100 - po co to komu?
24 kwietnia, 2009
Trochę szumu o Nokię 1100 się zrobiło, spekulacje są różne, ale wydaje mi się, że sprawa jest prosta, a przynajmniej prostsza. IMO wcale nie chodzi o wysyłanie SMSa z dowolnego numeru czy podsłuch rozmów, tylko o fazę drugą ataku na konta bankowe - gangi rosyjskie i rumuńskie to tradycyjnie pobieranie pieniędzy z kont.
Hasła do paneli WWW kont bankowych wykradł już trojan (lub zdobyto je za pomocą phishingu), teraz trzeba zrobić przelew... Numer telefonu ofiary nie jest trudny do ustalenia (przy odrobinie szczęścia będzie widoczny w przelewach), coraz więcej banków pozwala na zastąpienie listy haseł jednorazowych lub tokena przez kod wysłany SMSem (taniej i wygodniej). Pewnie masa ludzi ma tę usługę włączoną. W końcu bank woli to, niż token czy listę haseł jednorazowych (taniej!), a użytkownik niż listę haseł jednorazowych (wygodniej!)...
Teraz przestępcy wystarczy zalogować się do legalnego panelu, zrobić przelew, odebrać SMS z kodem do potwierdzenia skierowany do właściciela konta i... koniec. Odpada całe żmudne kopiowanie serwisu, przekierowania DNS, podmienianie zawartości strony w locie (to wymaga wiedzy i narzędzi) czy tradycyjne kopiowanie kart bankomatowych... Pewnie trzeba co prawda mieć ludzi w różnych krajach, odpowiedni telefon i być może karty SIM różnych operatorów, ale to już dla zorganizowanego gangu pikuś.
Czemu akurat ten telefon? Cóż, pewnie jako pierwszy ujawnił dziurę (i nie sądzę, by była możliwość jej wyeliminowania). Wątpię, by był jedynym podatnym modelem, ale jest już rozpracowany a hasła pewnie można kupić tanio (a konta są pełne). Niebawem pełnych kont będzie mniej...
Czy 25k zł to dużo? Niekoniecznie. Przy odrobinie szczęścia zwraca się już po jednym przelewie (patrz: istnieją złamane konta z 40k zł).
Jak się zabezpieczyć? Dość prosto. Można wyłączyć uwierzytelnianie przy pomocy telefonu komórkowego (przynajmniej na koncie z większą ilością gotówki) lub wymienić je na tradycyjny token lub listę haseł jednorazowych - wtedy jesteśmy bezpieczni, jeśli chodzi o ten atak. Inne sposoby utrudniania działania przestępcom lub minimalizacji skutków włamania to okresowa zmiana hasła do panelu, limit kwot przelewów (niekoniecznie skuteczne, nie zapominaj, że przestępca ma dostęp do panelu i hasła!). Tradycyjnie przypominam o logowaniu się tylko z zaufanego komputera - w tej chwili dostęp do panelu to już nie tylko podejrzenie salda i historii przelewów, ale realna możliwość zabrania pieniędzy.
1. anoriell napisał(a):
24 kwietnia 2009, 09:52:09
W niektórych bankach uwierzytelnienie przez SMS jest jedyną istniejącą możliwością.
W takim ING na przykład.
2. jachacy napisał(a):
24 kwietnia 2009, 10:17:04
Ja się nie znam ale to wygląda na dziurę w protokole którego używa telefonia komórkowa. Fajnie gdyby jakiś specjalista się wypowiedział.
3. Ganc napisał(a):
24 kwietnia 2009, 10:27:37
Niech żyje emulacja sprzętowa! Precz z programatorami!
4. groszek napisał(a):
24 kwietnia 2009, 12:38:54
Dziwne to jest. Jeśli znają metodę ataku, wiedzą jak działa dziura – czemu nie wprowadzą takiej zmiany w telefonie z otwartym systemem, jak OpenMoko? Taki by kupili nie za 25 tysięcy ale za 1 tysiąc i mogli wprowadzić te same zmiany…
wygląda mi to na jakiś przekręt/plotkę, dzięki któremu ktoś sprzedał telefon za tysiąc razy więcej niż jest warty ;)
5. rozie napisał(a):
24 kwietnia 2009, 13:06:06
groszek: Prawda, ale po pierwsze tu kod już istnieje i może im zależeć na czasie, po drugie, być może chodzi o abuse jakiegoś scalaka/zamkniętego kodu, który nie wiadomo dokładnie jak działa, ale działa (po podaniu określonych danych zwraca coś, co system chce dostać), po trzecie, jakiś scalak w otwartym sprzęcie może nie mieć tej wady. ;-)
Wersja hoaxem i sztucznym z podbiciem ceny jest jak najbardziej prawdopodobna, pytanie czy te telefony faktycznie się sprzedają. Jeśli faktycznie się sprzedają, to bug raczej istnieje.
6. remiq napisał(a):
24 kwietnia 2009, 13:31:54
> Fajnie gdyby jakiś specjalista się wypowiedział.
Specjalistą nie jestem, ale miałem wykłady nt. działania sieci gsm. To tak jakby ta Nokia mogłaby się logować do sieci, nie podając hasła zapisanego w karcie. Hoax.
7. rozie napisał(a):
24 kwietnia 2009, 16:18:49
remiq: Z tego co pamiętam w GSM są krótkie klucze. Bug np. w RNG we wspomnianym modelu może drastycznie ułatwiać atak. Albo po prostu łatwo się dany model na sniffer przerabia i np. powstaje możliwość zdalnego kopiowania kart SIM podłączonych do danego BTSa. Pożyjemy – zobaczymy.
8. Grzegorz napisał(a):
24 kwietnia 2009, 17:39:24
Parafrazując pierwszy komentarz do tego wpisu: W takim ING na przykład, 80% przelewów w ogólnie nie wymaga uwierzytelniania.
9. remiq napisał(a):
24 kwietnia 2009, 21:51:36
Żeby zalogować się do sieci, trzeba odebrać 128 bitowy RAND, wysłać go do karty sim, odebrać z niej 32 bitowy SRES i wysłać go do sieci, by został zweryfikowany. Nic w tym algorytmie nie zależy od telefonu. RAND jest generowany przez „sieć”, SRES jest generowany przez mikrokontroler w karcie sim (z użyciem identyfikatora, do którego telefon nie ma dostępu).
10. Grzegorz napisał(a):
24 kwietnia 2009, 21:54:58
[błędny komentarz, jogger plugin dla Pidgina]
11. Pomiędzy bitami napisał(a):
14 lutego 2010, 12:46:20
Security - ostatnie różności zabezpieczenia moBILETu ponownie .
Po pierwsze, po dyskusji z netu na ten temat, postanowiłem się przyjrzeć moBILTowi . W sumie po raz kolejny bo i na zabezpieczenia patrzyłem i to dwa razy . Przy dyskusji zeszło oczywiście na temat jak oni to sprawdzają jak pisałem , sp[...]