Trejus metus SIM kortelių saugumo tyrimams skyręs kriptografas Karstenas Nohlis tikina galų gale atradęs šifravimo ir programavimo klaidų, kurios būdingos milijonams SIM kortelių ir atveria duris slaptam kortelių naudojimo stebėjimui bei jų naudojimui.
K. Nohlis, savo žiniomis pasidalinsiantis „Black Hat“ saugumo konferencijoje Las Vegase (JAV) liepos 31 dieną, teigia, kad tai yra pirmas tokio tipo įsilaužimas per pastarąjį dešimtmetį. Saugumo skylę jis bei kolegos išbandė su beveik 1000 SIM kortelių, siųsdami į jas slaptas SMS žinutes. Iš dviejų komponentų – seno saugumo standarto ir prastai konfigūruoto programinio kodo – sudaryta saugumo skylė kibernetiniams nusikaltėliams suteikia galimybę nuotoliniu būdu užkrėsti SIM kortelę virusu, kuris gali siuntinėti žinutes padidinto tarifo gavėjams ir išpūsti teisėto naudotojo sąskaitą, gali nukreipti ir įrašinėti skambučius, o pasiuntus tinkamas komandas netgi suteiktų galimybę sukčiauti mobiliojo mokėjimo sistemose.
Sukčiavimas mokėjimo sistemose daugiausiai problemų sukeltų Afrikoje, kur atsiskaitymai, grįsti SIM kortelių naudojimu, yra labai paplitę. Be to, tai gali pakenkti ir NFC mokėjimo technologijoms, kurios ir jau ir taip plinta labai lėtai. Pasak K. Nohlio, dėl šios saugumo spragos ryšio operatoriams taptų sudėtinga tinkamai apmokestinti savo vartotojus.
Kriptografui nepavyko nustatyti, kaip atskirti korteles, kurios turi saugumo skylę ir kurios yra saugios. „Skirtingos SIM kortelių siuntos šią skylę turi arba neturi. Pasiskirstymas labai atsitiktinis“, - sakė rizikos valdymo bendrovės „Security Research“ vyriausiasis mokslininkas.
Tyrimą atlikęs specialistas teigia, kad žinute atsiųsti virusą galima beveik į ketvirtį visų bandytų SIM kortelių, tačiau žinant, kad skirtingose valstybėse taikomi skirtingi šifravimo standartai, jis mano, jog pažeidžiamumas būdingas maždaug aštuntadaliui viso pasaulio SIM kortelių – o tai yra visas milijardas, rašo forbes.com.
K. Nohlis abejoja, kad kibernetiniai nusikaltėliai šią spragą galėjo atrasti anksčiau už jį. Dabar, kai žinia apie tokią galimybę pasklido, jis mano, kad sukčiavimo įrankiai bus sukurti ne mažiau nei per pusmetį – tai yra pakankamai laiko viso pasaulio operatoriams įdiegti reikiamus pataisymus.
Taisymo procesas jau prasidėjo – K. Nohlio teigimu, bent du stambūs ryšio operatoriai jau pateikė užduotį savo inžinieriams užkišti SIM kortelių saugumo skylę, o saugumą didinančiomis priemonėmis jie ketina pasidalinti ir su kitais operatoriais, per ryšio paslaugų teikėjus vienijančią asociaciją GSMA.
„Bendrovės yra stebėtinai atviros idėjai bendradarbiauti saugumo srityje, nes konkurencija vyksta ne tarp operatorių. Konkuruojama su organizuotu nusikalstamumu“, - sakė K. Nohlis. Panaši situacija yra ir mokėjimo kortelių rinkoje, kur „MasterCard“, „Visa“ ir „American Express“ per „EMVco“ asociaciją bendroms pajėgomis stiprina kortelių saugumo standartus.
SIM kortelių rinkoje, kurios pagrindiniai užsakovai yra mobiliojo ryšio operatoriai, didžiąją dalį produkcijos gamina dvi bendrovės - „Gemalto“ ir „Oberthur Technologies“. Abi jos augant mobiliojo ryšio rinkoms uždirbo milžiniškas pinigų sumas: prieš dvejus metus visame pasaulyje buvo 1 milijardas SIM kortelių, o dabar – daugiau nei 5 milijardai, teigia bendrovės „ABI Research“ analitikas Johnas Devlinas. Tiesa, paklausos kreivė iš lėto artėja prie plato fazės. Pasak analitiko, SIM kortelės buvo vertinamos kaip pati saugiausia mobiliojo telefono dalis, kuri, būdama ryšio operatoriaus nuosavybe, „užtikrina santykius tarp jų ir mūsų, vartotojų“.
GSMA asociacija teigia, kad įvertino K. Nohlio analizę ir pripažino, jog „mažuma SIM kortelių, pagamintų laikantis senesnių standartų, gali būti pažeidžiamos“. Ryšio operatoriams ir SIM kortelių gamintojams jau išsiųstos instrukcijos kaip nustatyti, kas gali būti pažeidžiamas. „Bet nėra įrodymų, kad šiuolaikinės, saugesnės kortelės, kurios palaiko įvairias pažangesnes paslaugas, būtų pažeidžiamos“, - teigė asociacijos atstovas.
K. Nohlio teigimu, nors kai kurie didieji operatoriai taiko griežtesnius kortelių šifravimo standartus, tikrai esama tokių, kurie naudoja seną gerą Duomenų šifravimo standartą DES, kurio gairės sukurtos dar 1970 metais – būtent šis standartas saugumo ekspertui suteikė galimybę įsilaužti į daugybę kortelių.
„Duokite man bet kokį telefono numerį ir visai tikėtina, kad po kelių minučių aš jau galėsiu nuotoliniu būdu valdyti jo SIM kortelė ir netgi pasidaryti kortelės kopiją“, - sakė K. Nohlis.
SIM kortelės iš esmės yra mini-kompiuteriai, turintys savo operacinę sistemą ir iš anksto įdiegtos programinės įrangos rinkinį.
Esminis saugumo skylės komponentas yra „Java Card“ - programavimo kalba, kurią naudojant pagaminti 6 mlrd. SIM kortelių. jeigu operatoriams prireikia ką nors atnaujinti Jūsų SIM kirtelėje - pavyzdžiui, papildomas funkcijas, kurias galėtų teikti kitos šalies operatorius - jis į SIM kortelę SMS pavidalu atsiųs atitinkamą „Java Card“ programa parašytą dvejetainį kodą. Žinutės niekada nepamatysite - toks persiuntimo metodas yra vadinamas "programavimu per atstumą" (over-the-air programming, OTA).
Lietuvos mobiliojo ryšio operatoriai dievagojasi, kad mūsų šalies vartotojai yra saugūs.
„SIM kortelių saugumu rūpinasi tiek tiekėjai, tiek mūsų specialistai. Be to, bendradarbiaujame ir su tarptautinėmis organizacijomis, tokiomis kaip tekste paminėta GSMA. Bendros pastangos užtikrina, kad mūsų tinklas yra saugus. DES standarto, kuriame aptikta saugumo spraga, nenaudojame“, - sakė „Tele2“ komunikacijos direktorius Baltijos šalims Andrius Baranauskas.
„Tele2“ tinkle – ne tik Lietuvoje, bet visose valstybėse, kur veikia ši bendrovė – naudojamas 3DES (Triple DES) standartas, užtikrinantis stipresnį šifravimą. Paprasto DES šifravimo ir „JAVA Card“ programavimo kalba parašyto kodo kombinacijos, kuriam ir būdinga saugumo spraga, bendrovės atstovai teikia niekada nenaudoję.
„Omnitel“ atstovė spaudai Daiva Selickaitė informavo, kad šis operatorius su problema susipažinęs: „Žinome apie tokios problemos galimybę, tačiau nei mūsų klientai, nei mes patys su ja nesame susidūrę. Kad būtume visiškai tikri dėl savo klientų saugumo, mes bendraujame su SIM kortelių gamintojais dėl proaktyvių veiksmų patikrinant visas SIM korteles ir jų funkcionalumus“.