Personvern og informasjonskapsler

På denne siden bruker vi informasjonskapsler (cookies) og andre teknologier for å tilby deg så hyggelig brukeropplevelse som mulig. Du kan lese mer om dette under våre personvernvilkår. Ved å klikke på "Godta", samtykker du i bruken av slike teknologier.


Mobiltelefoner og sikkerhet

31. august 2018

Jon E.S. Lindahl har sin ekspertise innen nettverk og sikkerhet med lang og bred erfaring fra offentlige og private virksomheter med komplekse løsninger og krav til stabilitet (oppetid) og sikkerhet. I denne artikkelen peker han på sikkerhet innen mobiltelefoni.

 

I det siste har det vært litt oppstyr i norske media om mobiltelefoner, spesielt nå at Per Sandberg tok med seg jobbtelefonen på ferietur til tvilsomme land, og at tydeligvis flere statsråder har gjort det samme tidligere.

Politisk eller prinsipielt kan det sikkert være problemer med å gjøre det, men det har jeg ikke tenkt å forsøke å si noe om her. Derimot kan vi forsøke å forstå hvorfor det er et sikkerhetsproblem, og hvilke måter en person (eller stat) med uærlige hensikter kan utnytte sårbarheter i en mobiltelefon.

Først litt historie og hva er egentlig en mobiltelefon?

Det kan være greit å gå kjapt igjennom hva vi egentlig snakker om her. Mobiltelefonen som vi bruker i dag, ble utviklet på 80-tallet. I 1991 ble det første GSM-nettet, det vi i dag kaller «2G», satt i drift. Siden da har det kommet forbedringer – i 2002 kom UMTS eller 3G og i 2009 LTE eller 4G. Disse nye standardene har forbedret sikkerheten og funksjonaliteten i mobilnettet, men 2G er fortsatt i bruk.

GSM er heller ikke den eldste delen av mobilnettet – i bakgrunnen snurrer SS7, en protokoll utviklet på 70-tallet som teleselskapene bruker for styring av både mobil- og fast-telefoner. SS7 benyttes f.eks. til å kommunisere mellom teleselskaper i forskjellige land, slik at du kan koble deg til et utenlandsk telefonselskap når du er ute og reiser (roaming).

Selve mobiltelefonene våre har også utviklet seg. I starten kunne en ringe inn og ut, først i 1995 ble det mulig å sende SMS. I 1999 kom WAP, mens MMS først kom i 2002.

I 2007 kom starten på en ny æra – den første iPhone ble sluppet, og det ble starten på smart-telefoner slik vi kjenner dem i dag.

Mobiltelefonene i dag har ikke bare GSM, men også WiFi, USB eller lightning port, noen har minnekort (MicroSD), GPS mottaker og NFC leser. Smarttelefonene har for mange erstattet PC, og vi leser nettsider, sjekker mail og spiller spill.

«Jaha. Og så?» tenker du kanskje. Du vet jo hva en smarttelefon er. Poengene med å forklare det åpenbare her, er nå å introdusere et par fagtermer. For akkurat som et hus med vinduer og dører er vanskeligere å sikre mot innbrudd enn en bunkers med bare en dør, er det i dag mange veier inn hvis en vil bryte seg inn i en mobiltelefon.

Identifisering av verdier

I sikkerhetssammenheng er jobben først å definere hva det er som er verdifullt å sikre, slik at en kan prioritere objektene og sette inn tiltak som står i økonomisk stil til verdien av de. Identifisering av hva verdien av noe er, eller hva konsekvensen av at objektet blir utilgjengelig eller stjålet, er dessverre ofte totalt glemt bort. Det er da også vanskelig å ha riktige sikringstiltak på plass – hvis man i det hele tatt har noen.

Noen kan finne på å rappe blomsterpotta di utenfor huset ditt, men vi kan være enige i at det kanskje ikke er det viktigste og første en bør sikre mot tyveri. Men hva om blomstervasen viste seg å være en ekte Ming-vase?

For en bedrift er kanskje plantegningene deres utrolig verdifull. Hva om noen fikk tilgang til e-postene hvor de ble sendt fra konsulenten til sjefen for godkjenning?

Eller hva om noen fikk overhørt telefonkonferansen om oppkjøpsplanene fra det utenlandske selskapet før pressemeldingen gikk ut?

Har du en Ming-vase stående ute i gata uten å vite om det?

Mobiltelefoner har blitt mer enn bare en dings til å ringe og sende SMS. Vi benytter den til sikker pålogging av nettbank (BankID), eller til 2faktor autentisering av e-postkontoer. Vi har jobb e-post, privat e-post, Facebook, bilder, Tinder, og kanskje full styring av smarthjemmet.

Hva er konsekvensen for deg privat hvis dette kommer på avveie? Hva vil konsekvensen for firmaet du jobber for være at telefonen din avlyttes eller blir utilgjengelig?

Angrepsvektorer

Mobiltelefonene vi går rundt med, kan være muligheten for å være veien inn i et ellers godt sikret firma. Akkurat som på datamaskiner, kan en i vanvare eller etter målrettede angrep få installert skadevare eller tvilsomme applikasjoner på mobiltelefonene.

Hvor raskt ville du lagt merke til at noen installerte en spion-app på telefonen din, som slo på mikrofon eller kamera på mobilen din og sendte alt ut i sanntid til en hacker?

Med moderne sikkerhetsløsninger som implementerer sikkerhet i bedriftsnettet for BYOD, med IDS og IPS og next-gen brannmurer, kan det godt være at en slik mobiltelefon ville blitt flagget og administrator ville blitt varslet.

Men det som skiller ut mobiltelefonene i datasikkerhets-sammenheng, er at vi i mye større grad kobler oss til forskjellige trådløse nett når vi er ute og reiser. Hvem har vel ikke kjedet seg i et par timer på en flyplass?

Og selv om vi ikke kobler til usikrede nett, har den oppe og sjekker Facebook eller Instagram, så er den hele tiden koblet til mobil-nettet.

WiFi og behovet for å alltid være på nett

I dag er vi konstant på nett. Og for å spare kvoten på mobil-abonnementet, kobler vi oss så ofte vi kan til trådløse nett med mobilen. Åpne, trådløse nett er tilgjengelig stadig flere steder. Problemet med disse, er at all trafikken fra mobilen din går ukryptert frem til det trådløse aksesspunktet. Noen steder nektes klienter å snakke sammen på disse trådløse nettene, men en angriper kan fortsatt se trafikken.

En uredelig aktør kan også sette opp et åpent, trådløst nett og følge med på alt som skjer.

Er man sikker hvis en kobler til trådløse nett med passord da? Vel, det forutsetter at ikke noen laster ned trafikken lengre bak i nettet. Det er svært vanskelig å vite hvem man kan stole på eller ikke når man benytter seg av andres infrastruktur.

Selv om de fleste nettsider i dag benytter HTTPS, er f.eks. navneoppslag i DNS trafikken ikke kryptert og mange IP telefon systemer krypterer heller ikke taletrafikken. Selv om det ikke er så lett å se hva du ser på i nettleseren, kan mye informasjon fortsatt samles inn om hva du gjør på nettet.

GPS og delebehovet

Om en er aldri så sikkerhetsorientert eller ikke, så er det alltids noe en har glemt å tenke på. Utbredelsen av treningsapper og fitnessklokker har eksplodert de siste årene. Det amerikanske forsvaret ble rimelig stresset da det dukket opp artikler i media om at soldatene like å bruke trenings-apper som Strava. Disse logget like gjerne joggeturene rundt i topp hemmelige baser som turene rundt Sognsvann.

Eller bildene delt på sosiale medier med GPS tagg (eller uten). Identifisering av hemmelige treningsleire ut fra stjernebilder eller geologiske formasjoner er et alternativ hvis EXIF informasjonen i bildet ikke er tilstrekkelig. Er man motivert nok, er det mye info å hente ut fra tilsynelatende uskyldige skrytebilder. Vises det sensitiv informasjon på veggen bak kakebildet fra 50-års feiringen på jobben? Vises adgangskortet i detalj på bildet av kontraktsigneringen med kunden?

På samme måte som at det kanskje ikke er så lurt å offentlig skryte av at en nå skal på en fire ukers ferie, kan det være dumt av et firma å vise for mye av hverdagslivet inne på kontorene.

Spesielt for hackere som driver med «social engineering», manipulering av personer, kan sosiale medier eller pessemeldinger på hjemmesidene til firmaet de vil bryte seg inn i være mer enn gull verdt.

Et bevisst forhold til hva en deler av informasjon på nettet er vel så viktig privat som på jobb.

Sikkerhetsparadigmer

Verden er i rivende utvikling, og kanskje dataverden spesielt. Det er derfor en utfordring at vi i dag benytter teknologier som ble utviklet for 30 – 40 år siden.

Den gang benyttet man seg i litt for stor grad av det vi i dag kaller «security by obscurity» – sikkerhet i utilgjengelighet. Krypteringsprotokollene baserte seg ofte på at bare leverandørene kjente hjemligheten i protokollen. Hvis den ble kjent, var det ingen sikkerhet igjen, den krypterte informasjonen kunne leses like lett som klartekst.

Systemer ble også bygd opp rundt tillit. Alle som benyttet seg av det var jo redelige og etterrettelige folk.

For mobiltelefoner ser vi dessverre begge disse naive holdningene i fri utfoldelse. GSM protokollen ble som tidligere nevnt utviklet på 80-tallet. I 2G nett finnes det 4 krypteringsnivåer for tale og data trafikk. A5/3 er den nyeste, og er rimelig sikker. A5/1 var ment for vestlige land og er ganske sikker, A5/2 for land med krypteringseksport restriksjoner og av en eller annen grunn: A5/0, ingen kryptering.

GSM 2G nett autentiserer også bare mobiltelefonen (med SIM kortet). Og med bare en nøkkel. Ingen ville vel finne på å sette opp falske basestasjoner og knekke krypteringen?

2G angrep

En angriper kan sette opp en falsk basestasjon med sterkere signal enn den ekte basestasjonen, fortelle mobiltelefonen at den skal autentisere seg med A5/2 eller A5/0 kryptering, som er lett å knekke, for å hente ut SIM nøkkel. Angriper kan nå spille av samtaler tatt opp tilbake i tid, også de som er kryptert med de sterkere versjonene. For nøkkelen endrer seg ikke, og er den samme uansett hvilken av 2G kryptering som benyttes.

Normalt sett vil bare en mobiltelefon klage hvis 2G nettet ber om å bruke ingen kryptering (A5/0), ved å vise et utropstegn ved antennesignal ikonet. Men denne advarselen kan deaktiveres i SIM kortet.

«Ah», sier du, «men jeg har 4G telefon». Ja, men 2G og 4G er på forskjellige frekvenser. Og med mindre du har endret på det selv, så er mobiltelefonen satt opp til å prioritere 4G nett, men koble seg til 3G eller 2G hvis 4G ikke er tilgjengelig. Ved å sende ut radiostøy på 4G frekvensene (jamming), kobler mobilen seg automatisk til 2G basestasjoner.

IMSI catcher

Disse falske basestasjonene kan også benyttes til å registrere hvilke mobiltelefoner som er i et bestemt område. Når telefonen kobler seg opp på mobil-nettet, sender den «registreringsnummeret» sitt ut, IMSI eller International Mobile Subscriber Identity. IMSI registeringsnummeret er lagret på SIM kortet en får fra telefonselskapet. Dette nummeret endrer seg ikke før en bytter SIM kort, og er således en sikker identifisering av at en spesifikk person er i et gitt område.

Ved å sette opp en falsk basestasjon med formålet å spore mobil-telefoner, kalles det en «IMSI catcher». Mest kjent er kanskje amerikanske «Stingray».

Det er demonstrert at bruk at slikt utstyr kan lokalisere en mobiltelefon ned til 10-20meters nøyaktighet, og fungerer også på 4G nettet.

I Norge er det ikke så utbredt enda, men noen telefonselskaper har begynt å sette opp WiFi nett for å avlaste 4G nettene i sterkt trafikkerte områder. Disse trådløsnettene autentiserer abonnenter automatisk med IMSI nummeret fra SIM kortet. Ved å sette opp et falskt trådløsnett med riktig navn og autentiseringstype, vil en angriper kunne overvåke hvilke mobiltelefoner fra hvilke mobilselskaper som befinner seg i området.

I de siste årene har også 4G over WiFi blitt lansert. Her benyttes også IMSI som autentisering av bruker, og en angriper med kontroll over trådløsnett, kan følge med på hvilke mobiltelefoner som er koblet til, selv om selve taletrafikken er trygt kryptert med sikre algoritmer.

Så fort en bestemt IMSI er identifisert i et område, kan angriperen selvfølgelig gå videre til å sette i gang et 2G angrep som beskrevet over.

Telefonselskapangrep

Men en angriper trenger ikke sette opp basestasjoner der du er. I bakgrunnen styrer teleselskapene all telefontrafikk med SS7 protokollen, utviklet på 70-tallet. Denne protokollen har ingen, eller vanskelig implementerbar sikkerhet.

Det er litt mer komplisert å komme seg inn i SS7 nettet, da teleoperatørene forståelig nok beskytter dette nettet rimelig godt. Men har en først kommet innenfor, er det få begrensninger for hva en kan gjøre. Virker fristende for en utro tjener i et ellers redelig firma? Hva med statsaktører i et litt mer – hm – liberalt land?

SS7 styrer bla. roaming mellom teleselskaper i forskjellige land. Og selv om du befinner deg i Norge, kan noen i Republikken Wadiya sende SS7 roaming melding om at telefonen din befinner seg der, f.eks. for å gi beskjed om at talepostkassen skal videresendes til et bestemt telefonnummer, rute SMS eller telefonsamtaler dit.

En kan også forespørre lokasjon til et telefonnummer via SS7. Den legitime grunnen er selvfølgelig for å kunne rute en samtale eller SMS til riktig sted. Har man andre motiver, er det også en fin mulighet for å følge med hvor en mobiltelefon befinner seg.

Hypotetisk problem? Nei, dette er ettertrykkelig demonstrert at det er praktisk mulig av sikkerhetsforskere i Tyskland.

Hvis du først befinner deg på ferie i Republikken Wadiya, så reagerer du selvfølgelig ikke på at det «bare» finnes 2G nett i området der du er og at det tar lang tid å koble opp samtaler eller sende SMS.

Heldigvis tilbyr hotellet du bor på gratis WiFi så du får surfet nyheter og sjekket nettbank likevel.

SMS krøll

GSM protokollen ble som nevnt utviklet i en lykkeligere og mer uskyldig tidsalder. Teleoperatørene implementerte kontroll og konfigurasjons SMS som kan programmere en mobiltelefon.

Hvis falske basestasjoner eller kontroll over SS7 servere er litt upraktisk å benytte, finnes det heldigvis også løsninger i såkalte «Silent SMS». En slik SMS prosesseres av GSM brikken før den når operativsystemet til mobiltelefonen og den dukker opp i SMS appen din. Telefonen svarer da med oppkoblingsinformasjon – og posisjon. Politiet og sikkerhetstjenestene i bla. Tyskland og Frankrike vet vi har benyttet denne typen SMS for å få oversikt over hvem som befinner seg hvor, eller for å følge med bevegelsene til en mistenkt.

På noen Android telefoner er det også vist kan aktivere mikrofonen på med slike kontroll-SMS, og sende taletrafikken over GSM nettet, hvor en uredelig aktør kan sitte klar for å lytte.

Alt dette uten at noe vises på mobiltelefonen eller at varsles vises eller spilles av.

Som tidligere nevnt, kan en også ved hjelp av SS7 protokollen i telefonnettverket omdirigere SMS slik at de kan leses av andre enn sender og mottaker. For SMS sendes via SS7 protokollen i teleselskapenes nettverk.

At meldingene går i en kontroll-protokoll forklarer også hvorfor SMS er nedprioritert trafikk, og SMS kan forsinkes eller droppes underveis fra avsender til mottaker, og ikke er garantert å komme frem i det hele tatt. Mange husker kanskje SMS forsinkelsene på nyttårsaften?

Mangelen på autentisering gjør også at falske SMS har blitt et problem. Nummeret oppgitt som avsender kan enkelt forfalskes, og lure mottaker til å tro en har fått beskjed fra noen de stoler på som banken eller kanskje sjefen. Ut fra et sikkerhetsperspektiv er det derfor helt krise når store, kjente aktører sender ut masse-SMS med beskjed om endringer. Og enda verre når de legger ved en lenke brukeren skal trykke på for å oppdatere informasjon eller en app.

Abonnement problemer

Utbredelsen av SMS som 2faktor har gjort at kriminelle har i stadig større grad fokusert på å få tak i disse meldingene.

Ved å enten benytte «social engineering» og kontakte et teleselskap for å få tatt over abonnementet ditt, eller ved å få tak i «blanke» SIM kort via utro tjenere i en telebutikk, kan en angriper ta kontroll over hele mobiltelefonnummeret ditt. I tidsrommet fra nummeret ditt kobles over til et nytt SIM kort til du får ordnet opp med teleselskapet og telefonnummeret ditt igjen, kan en rekke å gjøre mye skade. Det er eksempler på tyver som har stjålet verdier for ti-talls millioner USD med denne teknikken.

Det er flere år siden sikkerhetsmiljøet begynte å fraråde bruk av SMS som sikkerhetselement. Nyere løsninger, som USB nøkler eller 2faktor apper på mobilen anses som veien å gå.

Dessverre ser en at det er treghet i markedet med å gå bort fra telefonnummer som en del av autentiseringsløsninger, og som sluttbrukere er en prisgitt hva leverandørene leverer.

Konklusjon

Det at vi nå stadig mer benytter mobilabonnementet til å identifisere oss, har satt telefonselskapene i en uheldig situasjon. Telefonnummeret ditt var opprinnelig bare en måte å kontakte noen på, og ikke ment å identifisere en person. På samme måte som norske banker går bort fra bilder på bankkort siden de ikke vil sitte med ansvaret for sikker identifisering av personer, sliter telefonselskapene med konsekvensen av hva de gjerne vil selge oss og at vi gjerne skal bruke mobiltelefonene mer, samtidig som det stiller dem i en vanskelig situasjon med tanke på sikkerhet.

Men det er ikke til å komme bort fra at vi har også løpt fra teknologien. Selv om en ikke benytter mobiltelefonnummeret i sikkerhetssammenheng, er mulighetene for overvåkning og spionasje alt for store til at vi kan akseptere at ikke myndigheter, telefonselskaper og mobilprodusenter ikke fortsetter med jobben for å sikre oss brukere mot sårbarheter og misbruk.

Så lenge vi benytter mobiltelefonen til noe den opprinnelig ikke var ment å være, åpner vi oss for mange sårbarheter. Mye bra har skjedd med utviklingen av sikkerhet i nyere systemer som 4G (og snart 5G), men det gjenstår fortsatt mye før vi kan begynne å si vi har kontroll.

Slik situasjonen er i dag er det beste en kan gjøre som eier av en mobiltelefon, å være bevisst sårbarhetene og svakhetene. Noen bruksvaner og bekvemmeligheter må vi kanskje legge fra oss. Benytter du VPN når du er koblet til andre nett enn de du vet er trygge (strengt tatt bare jobb og hjemme)?

Bruker du krypterte meldings og tale-tjenester for sensitiv informasjon? Har du ikke tatt i bruk tjenester som WhatsApp, Telegram, Signal eller lignende er det kanskje på tide?

Det er kanskje ikke bare god møteskikk å ikke sitte på mobilen i møter, kanskje man skal begynne å legge den igjen før man tar den sensitive praten. Og akkurat som man diskuterer om man bør legge ut bilder av barn og barnebarn på sosiale medier, bør en kanskje diskutere hva en deler av informasjon fra firmaet og tenke over hva som kan misbrukes både privat og på jobb slik at en ikke i vanvare deler for mye.

Skrevet av Jon E.S.Lindahl

Få en GRATIS gjennomgang av dine IT-løsninger!

Vi gir deg forslag på hvordan du kan flytte dine data til en skyløsning som er smartere og enklere enn dagens tradisjonelle IT-løsninger.

Kontakt oss på 40000500 eller fyll ut skjema under for en uforpliktende samtale. Les mer om hvordan din data blir håndtert under våre personvernvilkår.





Relatert innhold