YJij kent de oefening. U logt in op uw bank of een andere dienst (Gmail, om er maar een te noemen) die u regelmatig gebruikt. U voert uw gebruikersnaam en wachtwoord in en vervolgens zegt de dienst dat u een sms-bericht wordt gestuurd met een code erin waarmee u kunt bevestigen dat u inderdaad bent ingelogd. Dit heet “tweefactorauthenticatie” (2FA) en het geldt als de beste praktijk in onze netwerkwereld, aangezien wachtwoorden en inloggegevens gemakkelijk kunnen worden gekraakt.
Helaas is onze wereld zowel slecht als genetwerkt, en kan dat sms-bericht worden doorgestuurd naar de telefoon van iemand anders – die van de crimineel die heeft ingelogd met jouw phishing-persoonsgegevens – en die nu druk bezig is met het legen van jouw huidige account.
Dit soort bedrog is al jaren mogelijk. Ik kwam er zojuist een verslag van tegen gebeurt met bankklanten in Duitsland in 2017, maar veiligheidsexperts waarschuwden er al lang daarvoor voor. Aan de basis van het probleem ligt chronische veiligheid kwetsbaarheden in SS7een geheimzinnig, tientallen jaren oud, technisch protocol voor het routeren van telefoongesprekken en berichten, dat is ingebed in alle telefoonsystemen.
Deze kwetsbaarheden kunnen misbruikt door hackers om verschillende schade aan te richten: volg elke mobiele telefoon waar ook ter wereld; naar oproepen luisteren; SMS-berichten lezen en doorsturen; internetverkeer onderscheppen; en interfereren met gebruikersconnectiviteit of netwerkbeschikbaarheid, om er maar een paar te noemen. Maar SS7 zorgt er ook voor dat uw telefoon verbonden blijft tijdens een gesprek terwijl u in een trein zit die door veel lokale cellen rijdt. Het is dus een integraal onderdeel van het mobiele telefoonsysteem – de lijm die het hele systeem bij elkaar houdt.
Je zou kunnen zeggen dat het ‚too big to fail‘ is, wat zou kunnen verklaren waarom de grote telecombedrijven terughoudend zijn geweest om de duidelijke nadelen ervan onder ogen te zien. Deze traagheid is er nu ingegrepen interventie door de Amerikaanse toezichthouder, de Federal Communications Commission (FCC), mogelijk omdat de Oregon-senator Ron Wyden de SS7-kwetsbaarheden heeft omschreven als een ‘nationale veiligheidskwestie’.
Toevallig duwt de senator tegen een open deur, want er heerst paniek in Washington over de omvang en diepte van buitenlandse (ook wel Chinese) penetratie in Amerikaanse communicatie- en kritieke infrastructuur, waarvan een deel ongetwijfeld wordt vergemakkelijkt door de kwetsbaarheden van SS7. Op een internationale veiligheidstop in Bahrein op 7 december gaf Anne Neuberger van de Nationale Veiligheidsraad van het Witte Huis toe dat Chinese cyberspionnen had “zeer senior” opgenomen Amerikaanse politieke figuren bellen, hoewel ze nalaat de namen van de slachtoffers te noemen. Ze bevestigde ook dat acht Amerikaanse telecomproviders zijn gecompromitteerd door de Chinese hackers.
Hoewel Noord-Korea en Rusland ook worden gezien als tegenstanders van cyberveiligheid, lijken de Amerikanen geobsedeerd door de Chinese dreiging. Het lijkt erop dat vooral drie hackgroepen de mensen in Washington ’s nachts wakker houden. Het is, zoals een kwispel opmerkte, ‘tyfoonseizoen’ in de stad – een weerspiegeling van de namen die aan het trio zijn toegewezen: Salt Typhoon, Volt Typhoon en Flax Typhoon. Flax had een botnet met 260.000 apparaten tot het zover was ontmanteld door de FBI. Salt-cyberspionnen hebben inbreuk gemaakt op de Amerikaanse telecommunicatiebedrijven Verizon, AT&T en Lumen Technologies – en ook, heel netjes, hun afluistersystemen gehackt (de systemen die ze moeten inzetten als FBI-agenten arriveren met een bevelschrift).
Volt is in zekere zin de meest sinistere van het trio. Het is gespecialiseerd in de Amerikaanse kritieke infrastructuur – watersystemen, elektriciteitsnetwerken en dergelijke. Het draait botnets op basis van end-of-life Cisco- en Netgear-routers (modellen waarvoor geen beveiligingsupdates meer worden uitgegeven). Het is sinds medio 2021 actief met als doel: volgens Microsoftom het vermogen op te bouwen om tijdens toekomstige crises de kritieke communicatie-infrastructuur tussen de VS en de Aziatische regio te ontwrichten. (Misschien een Chinese invasie van Taiwan?) De getroffen organisaties “omspannen de sectoren communicatie, productie, nutsvoorzieningen, transport, bouw, maritiem, overheid, informatietechnologie en onderwijs”. De gevolgtrekking is dat Volt “van plan is spionage uit te voeren en de toegang zo lang mogelijk onopgemerkt te houden”.
Dus, zoals de technologie bedrijven staan in de rij om miljoenen te doneren aan het inauguratiefonds van Trump, zullen twee van de drie Chinese hackgroepen die vernoemd zijn naar stormen nog steeds stilletjes grote schade aanrichten in de digitale achtertuin van de VS. Het idee dat Salt Typhoon de eigen afluistersystemen van de FBI zou hacken is bijzonder verrukkelijk. Ondertussen zullen mobiele telefoons overal gebonden blijven aan een verouderd protocol dat ongeveer net zo veilig is als een tweepersoonstent in een orkaan. En wanneer Trump naar Peking gaat om de deal met zijn mede-keizer te sluiten, zal Xi Jinping zijn bezoeker een in leer gebonden boek kunnen overhandigen met al zijn privé-telefoongesprekken sinds 2016.
Gelukkig nieuwjaar!
na nieuwsbriefpromotie
Wat ik heb gelezen
Verblind door het licht
Optische wanen is Een mooie knaller op de blog van Tina Brown over de vreemde aantrekkingskracht van Trumpiaanse glitter voor veel Amerikanen.
Universitaire uitdaging
Hoe de Ivy League Amerika brak – de titel van een nadenkend lang essay van David Brooks in de Atlantische Oceaan over het kwaad van de ‘meritocratie’.
Aan meneer, met liefde
Het essay terugkrijgen: twee herinneringen. Een mooi stuk geschreven door Richard Farr over hoe het is om een geweldige leraar te hebben.
Source link
