טייק אווי מפתח

  • מערכת איתות מס' 7 (SS7) היא פרוטוקול טלפוניה מיושן שעשוי לחשוף את פרטיותך לאיומי סייבר ולמעקבים.
  • פגיעויות SS7 נוצלו על ידי פושעים כדי לרוקן חשבונות בנק, ממשלות כדי לעקוב אחר משתמשי טלפונים סלולריים וחברות מודיעין כדי לרגל אחרי אנשים ברחבי העולם.
  • כדי להגן על עצמך מפני פגיעויות SS7, השתמש באפליקציות הודעות מאובטחות עם הצפנה מקצה לקצה כמו Signal או WhatsApp, מכיוון שהם מציעים פרטיות ואבטחה טובים יותר מאשר SMS וטלפון מסורתיים שירותים.

האם שמעתם פעם על מערכת איתות מס' 7 (SS7)? כנראה שלא, אבל אתה עדיין משתמש בו מדי יום, וכך גם כל מי שאתה מכיר. הבעיה היא שהטכנולוגיה הזו מאוד מיושנת ומאוד לא בטוחה. עם זאת, ישנן אלטרנטיבות לשימוש ב-SS7, והכי טוב, הן בחינם.

מה זה SS7, ולמה הוא לא מאובטח?

מערכת איתות מס' 7 היא קבוצה של פרוטוקולי טלפוניה המאפשרת לרשתות טלקומוניקציה לתקשר זו עם זו. במובן מסוים, זוהי מערכת תקשורת המאפשרת לרשתות טלפון להחליף מידע חשוב. חלקית, הודות לטכנולוגיה זו, ניתן לבצע שיחות טלפון, לשלוח הודעות טקסט ולהשתמש בשירותים דומים.

SS7 הוצג לראשונה בשנות ה-70 ונפרס ברשת AT&T בארצות הברית. זמן קצר לאחר מכן, הוא הפך לסטנדרטי לשימוש בינלאומי והחליף מערכות ישנות יותר במדינות אחרות ברחבי העולם. בשנות ה-90, SS7 ראה אימוץ נרחב יותר והפך לעמוד השדרה של התקשורת העולמית.

instagram viewer

זיהוי מתקשר, העברת שיחות ו שירות הודעות קצרות (SMS) הוצגו גם בשנות ה-90 בזמן שהרשתות הסלולריות התרחבו ברחבי העולם. אינטגרציה של SS7 מילאה תפקיד מפתח בתהליך זה, והמאז החברה שלנו לא הייתה אותו הדבר. מעטים מאיתנו יכולים כעת לדמיין לחיות בעולם שבו אי אפשר לשלוח הודעת טקסט לחבר שמשתמש בספק אחר, וזה בעיקר הודות לאימוץ הנרחב של הטכנולוגיה הזו.

אז מה הבעיה עם SS7? ובכן, SS7 מיושן ולא בטוח, שריד מתקופת האיומים הדיגיטליים לא היו מתוחכמים ולא נפוצים כמו היום. לפחות מאז אמצע שנות ה-2000, פגמי האבטחה ניכרים, והם רק הלכו והפכו בולטים יותר עם הזמן. זה לא עניין של ספקולציות או דעה, וגם לא נושא שמשפיע רק על רשת, מכשיר או אדם ספציפיים. פגיעויות אלו טבועות ב-SS7 עצמו.

כיצד פגיעויות SS7 חושפות את הפרטיות שלך

ככל שהטכנולוגיה ופשעי הסייבר התפתחו, SS7 נאבקה לעמוד בקצב. עשרות תקריות ופריצות אבטחה בפרופיל גבוה נרשמו ברחבי העולם בשנים האחרונות.

לדוגמה, עוד בשנת 2017, קבוצה של פושעים לא מזוהים ניצלה את חורי האבטחה ב-SS7 כדי לנקז כסף מחשבונות בנק של אנשים. הם עשו זאת על ידי עקיפת אימות דו-גורמי שבנקים מסוימים השתמשו בהם כדי למנוע גישה לא מורשית ולהגן על לקוחות, לפי Ars Technica. בזמנו, נציג הקונגרס האמריקני, טד ליאו, קרא לממשלה הפדרלית לתקן את הפגמים ה"הרסניים" הללו, אומר שזה "לא מקובל ש-FCC ותעשיית הטלקום לא פעלו מוקדם יותר כדי להגן על הפרטיות והפיננסית שלנו בִּטָחוֹן."

באופן דומה, הוושינגטון פוסט דיווח ב-2014 שפגיעות SS7 מאפשרת לגופים ממשלתיים לעקוב אחר משתמשי סלולר בזמן אמת. מקורב אמר לרשת כי "עשרות" מדינות עושות זאת, בעוד מומחי אבטחה ציינו ששום דבר לא מונע מקבוצות האקרים וארגונים דומים לעשות את אותו הדבר. בשנת 2020, חושפת חשף שסעודיה מנצלת את אותן נקודות תורפה כדי לעקוב אחר אזרחיה בארצות הברית, לפי האפוטרופוס.

א 2020 הארץ חקירה, בינתיים, מצאה שחברת הביון הישראלית הפרטית Rayzone Group מנצלת לרעה את הפגמים ב-SS7 כדי לעקוב אחר אנשים ברחבי העולם בשם לקוחותיהם. כשנה לאחר מכן, מנכ"ל חברת טכנולוגיה שוויצרית שהתמקדה בהודעות טקסט אוטומטיות ניצל את אותן נקודות תורפה כדי לרגל אחרי אנשים, לפי הלשכה לעיתונות חוקרת.

זכור שזה רק קצה הקרחון: ברור ש-SS7 אינו בטוח ופגיע ביותר לניצול. זו הסיבה לכך אתה לא צריך להשתמש ב-SMS כדי להגן על הפרטיות שלך - הנח שכל דבר שאתה שולח באמצעות טקסט יכול להיות מיירט ולקרוא על ידי הממשלה שלך או כמעט כל אדם אחר עם הכלים והמומחיות הנכונים.

אבל השאלה האמיתית היא: מדוע לא נעשה דבר כדי לטפל בפרצות SS7? ספקים ורשתות סלולריות בהחלט מודעים להם; מומחי אבטחה יודעים עליהם במשך עידנים, וכך גם פוליטיקאים. למעשה, חלקם דיברו עליהם בגלוי, כמו ליאו, ודחקו בגופים הרגולטוריים לנקוט בפעולה. ובכל זאת, שום דבר לא השתנה. מתי הקופה דיווחו על כך, הם הגיעו למסקנה ש"אולי שירותי המודיעין של אמריקה אוהבים את הרעיון של, עבורם, רשתות שנפגעות בקלות".

עם זאת, יש לציין שזהו רק הסבר אפשרי אחד שעשוי לענות על השאלה באופן חלקי בלבד. SS7 היא תשתית מדור קודם, וביצוע שינויים מפליגים יחייב ככל הנראה שיתוף פעולה בינלאומי פריסה והטמעה של טכנולוגיות חדשות, שכולן ידרשו זמן רב וכלכלי הַשׁקָעָה. בקיצור, התמריצים לעשות את השינויים הדרושים פשוט לא שם.

מה אתה יכול לעשות כדי להגן על עצמך מפני פגיעויות SS7

אם SS7 נמצא בכל מקום, מה אנשים רגילים יכולים לעשות כדי להגן על עצמם? פתרון פשוט אחד הוא להשתמש באפליקציות הודעות מאובטחות עבור הודעות טקסט ושיחות טלפון מכיוון שהן מציעות שכבת הגנה נעדרת משירותי SMS וטלפון מסורתיים בבסיס SS7.

יישומים אלה משתמשים בטכנולוגיה הרבה יותר בטוחה ופרטית מ-SS7, אבל אם אתה רוצה ללכת על המרחק, שקול שימוש באפליקציית הודעות מוצפנת מקצה לקצה - הצפנה מקצה לקצה מבטיחה שהתקשורת שלך בטוחה מפני צִתוּת. יש עשרות אפליקציות כאלה בשוק, ורבות מהן חינמיות לחלוטין. האות הוא ללא ספק אפליקציית העברת ההודעות המאובטחת ביותר זמין היום, אבל WhatsApp לא רחוק מאחור.

Signal הוא קוד פתוח, מתהדר באלגוריתם הצפנה רב עוצמה, והוא מאובטח להפליא. וואטסאפ, לעומת זאת, היא כנראה האפשרות הטובה ביותר למי שרוצה אפליקציה פשוטה וקלה לשימוש שכולם מכירים וכבר יש בטלפון. עם זאת, חלקם מתרחקים מוואטסאפ, שכן היא בבעלות Meta (חברת האם של פייסבוק ואינסטגרם), והם מאמינים שיש לה בעיות פרטיות.

למרות בעיות בוהקות, SS7 לא הולך לשום מקום

SS7 מיושן ופגום עמוק, אבל הוא לא הולך לשום מקום. לפחות לעת עתה, אין שום אינדיקציה לכך שתעשיית הטלקומוניקציה תפסיק אותה בהדרגה. עד ש-SS7 יוחלף בטכנולוגיה טובה יותר ומאובטחת יותר, עשה מה שאתה יכול כדי להגן על הפרטיות שלך.

נכון, לא תמיד אפשר להימנע משימוש ב-SMS או מביצוע שיחה, אבל התקנת אפליקציית תקשורת עם הצפנה מקצה לקצה היא התחלה טובה. בכל מקרה, שמירה על ביטחון מפני מעקב ואיומים אחרים דורשת מחויבות רצינית ומתמשכת להיגיינה ואבטחה דיגיטלית.