لماذا لا تزال الولايات المتحدة لا تحتاج إلى إصلاحات SS7 يمكن تأمين هاتفك

لماذا لا تزال الولايات المتحدة لا تحتاج إلى إصلاحات SS7 يمكنها تأمين هاتفكتكبير CJ Ostrosky / POGO تم الإبلاغ عن هذا المقال بالشراكة مع مشروع الرقابة الحكومية. كتبه POGO المحقق أندريا بيترسون ، ويشمل البحث من تدريب POGO السابق فانيسا بيري.

ضربت انقطاع في صيف عام 1991. على مدى عدة أيام ، والهاتف خطوط في المدن الكبرى ماتت دون سابق إنذار ، تعطيل خدمات الطوارئ وحتى مراقبة الحركة الجوية ، وغالبا لساعات. انخفضت الهواتف يومًا في لوس أنجلوس ، ثم في يوم آخر واشنطن العاصمة وبالتيمور ، ثم في بيتسبرغ. حتى بعد تمت استعادة الخدمة إلى منطقة ، لم يكن هناك ضمان للخطوط لن تفشل مرة أخرى – وأحيانًا فشلوا. انقطاع الانقطاع ملايين الأميركيين مفصولين.

الجاني؟ خلل الكمبيوتر. خطأ ترميز في البرنامج تستخدم لتوجيه المكالمات إلى قطعة من البنية التحتية للاتصالات المعروفة باسم تسبب نظام التشوير رقم 7 (SS7) بأحمال زائدة على الشبكة. هذا كان علامة مبكرة على هشاشة الهندسة الرقمية التي يربط بين أنظمة الهاتف في البلاد.

ودعا القادة في الكابيتول هيل على وكالة واحدة مع سلطة المساعدة: لجنة الاتصالات الفيدرالية (FCC). ال أدخلت لجنة الاتصالات الفيدرالية FCC تغييرات ، بما في ذلك متطلبات الإبلاغ عن انقطاع التيار عن ناقلات الهاتف. لمساعدة الوكالة على الاستجابة للشبكة الرقمية مخاوف الاستقرار ، أطلقت لجنة الاتصالات الفدرالية أيضا مشورة خارجية المجموعة – التي كانت تعرف بعد ذلك باسم “مجلس موثوقية الشبكة” ، لكن تسمى الآن أمن الاتصالات والموثوقية وقابلية التشغيل البيني المجلس (CSRIC ، وضوحا “مقص إيك”).

بعد عقود ، SS7 وغيرها من مكونات الأمة لا يزال العمود الفقري الرقمي معيبًا ، مما يجعل الاتصالات والنصوص عرضة للخطر لاعتراض وتعطيل. بدلا من مواجهة تحديات لدينا عصر شديد الارتباط ، لجنة الاتصالات الفدرالية يتعثر ، وفقا ل الوثائق التي حصل عليها مشروع الرقابة الحكومية (POGO) ومن خلال مقابلات مكثفة مع الوكالة الحالية والسابقة الموظفين. الوكالة تعوقها قلة القيادة قضايا الأمن السيبراني وندرة الخبرة التقنية الداخلية أن في كثير من الأحيان يترك الأمر يعتمد على المشورة الأمنية من الشركات ذاتها من المفترض أن تشرف عليها.

القبض

CSRIC هو مثال رئيسي على ما يسمى “القبض على الوكالة” – هذا تم إنشاء مجموعة للمساعدة في تكملة الخبرة والحرفية لجنة الاتصالات الفدرالية قواعد هادفة للتقنيات الناشئة. ولكن بدلاً من ذلك ، فإن لجنة الاتصالات الفدرالية الاعتماد على المشورة الأمنية من ممثلي الصناعة يخلق تضارب متأصل في المصالح. والنتيجة هي ضعف التنظيم والإنفاذ الذي يعرض في نهاية المطاف جميع الأميركيين للخطر ، وفقا لموظفي الوكالة السابقة.

بينما اتخذت الوكالة خطوات لتحسين الرقابة الرقمية القضايا الأمنية في ظل إدارة أوباما ، وكثير من هذه تم إصلاح الإصلاحات في عهد الرئيس الحالي أجيت باي. باي، محام سابق من Verizon ، أشار باستمرار إلى أنه لا يفعل ذلك تريد وكالته أن تلعب دورا هاما في الأمن الرقمي اتصالات الأميركيين – على الرغم من كون الأمن وكالة أساسية المسؤولية منذ تأسيس لجنة الاتصالات الفدرالية في عام 1934.

يتهمه القانون التأسيسي لـ FCC بأنظمة الصياغة التي تعزز “سلامة الحياة والممتلكات من خلال استخدام الاتصالات السلكية واللاسلكية ، “مما يعطيها سلطة واسعة لتأمين مجال الاتصالات. رئيس لجنة الاتصالات الفيدرالية السابق توم ويلر والعديد من القانونية يرى الخبراء أن هذا يشمل تهديدات الإنترنت.

بصفتها جهة تنظيمية ، تحمل لجنة الاتصالات الفيدرالية (FCC) عصا: يمكن أن تضرب شركات الاتصالات مع غرامات إذا كانت لا تمتثل لها قواعد. هذه المسؤولية أصبحت أكثر أهمية الآن بعد أن أصبحت “ذكية” الأجهزة تعمل على ربط كل جانب من جوانب حياتنا تقريبًا.

ولكن لا يعتقد الجميع أن ولاية الوكالة واضحة تمامًا ، خاصة في صناعة الاتصالات. شركات الاتصالات تقاوم من الصعب ضد التنظيم ؛ على مدى العقد الماضي ، أمضوا ما يقرب من مليار دولار الضغط على الكونغرس والوكالات الفيدرالية ، وفقا ل إلى البيانات من OpenSecrets. وتقول الصناعة أن لجنة الاتصالات الفدرالية واسعة لا يمتد تفويض تأمين الاتصالات إلى الأمن السيبراني ، وقد دفعت إلى مراقبة الأمن السيبراني للمجيء بدلاً من ذلك من أجزاء أخرى من الحكومة ، عادة وزارة الأمن الداخلي (DHS) أو لجنة التجارة الفيدرالية (لجنة التجارة الفيدرالية) – أي منهما منوط بمستوى صنع القواعد نفسه القوى مثل لجنة الاتصالات الفدرالية.

إلى ويلر ، هو الرئيس السابق لمجموعة تجارة الصناعة CTIA ، بدا أن الدفع نحو DHS كان بمثابة خدعة واضحة. “الناس والشركات كانت لجنة الاتصالات الفدرالية مكلفة بتنظيم أرادت معرفة ما إذا كان يمكن أن تحصل على نقل اختصاصها لشخص أقل وقال للسلطة التنظيمية “.

لكن يبدو أن الرئيس باي يتفق مع الصناعة. في نوفمبر رسالة 2018 إلى السناتور رون وايدن (مد أور) حول الوكالة معالجة مشاكل SS7 ، المقدمة إلى مكتب السناتور لـ POGO ، كتب باي أن لجنة الاتصالات الفدرالية “تلعب دورا داعما ، كشريك مع DHS ، في تحديد نقاط الضعف والعمل مع أصحاب المصلحة لزيادة الأمن والمرونة في شبكة الاتصالات بنية تحتية.”

رفضت لجنة الاتصالات الفدرالية التعليق على هذه القصة.

The current FCC declined comment, but POGO spoke with former chairman Tom Wheeler, seen here speaking with Ars back in 2016.Enlarge/ رفضت لجنة الاتصالات الفدرالية الحالية التعليق ، لكن POGO تحدث مع السابق رئيس توم ويلر ، ينظر هنا يتحدث مع آرس مرة أخرى في عام 2016. جون Brodkin

الفشل في حماية “جواهر التاج” للاتصالات

كيف استفادت صناعة الاتصالات من دعوات المشرعين إلى لجنة الاتصالات الفيدرالية الإصلاح في أعقاب انقطاع SS7 هو دراسة حالة في كيف يمكن لنفوذ الشركات التغلب على أفضل ما لدى الحكومة النوايا.

من البداية ، سيطر ممثلو الصناعة عضوية المجموعة الاستشارية المعروفة الآن باسم CSRIC – في البداية ، قدمت المجموعة فقط المدخلات على مجموعة فرعية صغيرة من قضايا الاتصالات الرقمية. مع مرور الوقت ، كما الابتكارات في تسابق الاتصالات إلى الأمام مع التوسع في الخلوية الشبكات والإنترنت ، واللجنة الفنية لجنة الاتصالات الفدرالية الداخلية القدرات لم تواكب: طوال التسعينيات وأوائل الألفية الثانية ، كانت الخبرة الفنية للوكالة مقصورة إلى حد كبير على الهاتف شبكات في حين تحول العالم إلى شبكات البيانات ، والموظفين السابقين وقال بوجو. عدد قليل من موظفي الوكالة من ذوي الخبرة في الجديد تم إسكات التقنيات في المكاتب المختلفة ، مما يجعل من الصعب عليها تنسيق استجابة شاملة لتحول النموذج في نظم الاتصالات. هذه الفجوة تركت الوكالة على نحو متزايد يعتمد على نصيحة CSRIC.

خلال أوائل التسعينيات ، كان نظام البرمجيات القائم على SS7 عادلًا حيز الاستخدام على نطاق واسع. اليوم ، على الرغم من أنها تعتبر قديمة و غير آمن. على الرغم من ذلك ، لا تزال شركات النقل تستخدم التكنولوجيا ك النسخ الاحتياطي في شبكاتهم. هذا يترك الناس الذين يعتمدون على هؤلاء شبكات عرضة لمشاكل التكنولوجيا ، مثل جوناثان ماير ، أستاذ علوم الحاسوب والعلاقات العامة برينستون وأوضحت كبير تقنيي مكتب إنفاذ لجنة الاتصالات الفيدرالية السابق خلال جلسة استماع للكونجرس في يونيو 2018.

على عكس تسعينيات القرن الماضي ، أصبحت المخاطر الآن أعمق بكثير من مجرد المخاطر اضطراب الخدمة. وحذر الباحثون منذ فترة طويلة أن العيوب في يسمح النظام لمجرمي الإنترنت أو المتسللين – يعملون أحيانًا نيابة عنهم من الخصوم الأجانب – لتحويل الهواتف المحمولة إلى متطورة أجهزة التتبع الجغرافي أو لاعتراض المكالمات والرسائل النصية. مشاكل الأمن مع SS7 شديدة للغاية لدرجة أن بعض الحكومات الوكالات وبعض الشركات الكبرى مثل جوجل تبتعد عن باستخدام الرموز المرسلة عبر النص للمساعدة في تأمين حسابات مهمة ، مثل كتلك الخاصة بالبريد الإلكتروني أو الخدمات المصرفية عبر الإنترنت.

لجنة المشورة للرئيس بيل كلينتون رفعت ناقوس الخطر مرة أخرى 1997 ، قائلة إن SS7 كان من بين “جواهر التاج” الأمريكية ويحذر من أنه إذا تم الهجوم على جواهر التاج هذه أو استغلالها ، [أنه] يمكن أن يؤدي إلى موقف يهدد الأمن و موثوقية البنية التحتية للاتصالات. “بحلول عام 2001 ، جادل باحثو الأمن أن المخاطر المرتبطة SS7 كانت مضاعفة بفضل “إلغاء القيود” و “الإنترنت واللاسلكية الشبكات. “لقد ثبت أنهم على حق في عام 2008 عند باحثين آخرين أثبتت الطرق التي يمكن أن المتسللين استخدام العيوب في SS7 لتحديد موقع مستخدمي الهواتف المحمولة المطمئنين.

بحلول عام 2014 ، كان من الواضح أن الحكومات الأجنبية استوعبت ذلك الوعد التخريبي للمشكلة. في تلك السنة ، الروسية تستخدم المخابرات نقاط الضعف SS7 لمهاجمة الأوكرانية شركة الاتصالات ، وفقا لتقرير نشرته مركز التميز للدفاع السيبراني التابع لمنظمة حلف شمال الأطلسي ، وأكثر من ذلك البحث عن SS7 اعتراض الدعوة جعل عناوين الصحف في واشنطن بوست وغيرها.

على الرغم من المخاطر الرهيبة المتزايدة ، لم تدفع لجنة الاتصالات الفدرالية الكثير الانتباه إلى القضية حتى صيف عام 2016 ، بعد النائب تيد تمكن ليو (D-Calif.) لمدة 60 دقيقة من شرح كيفية قيام الباحثين يمكن استخدام العيوب الأمنية في بروتوكول SS7 للتجسس على هاتفه. استجابت لجنة الاتصالات الفدرالية (FCC) – ثم بقيادة ويلر – بالمرور بشكل أساسي باك ل CSRIC. أنشأت مجموعة عمل للدراسة وصنع توصيات الأمان حول SS7 وغيرها من ما يسمى “إرث أنظمة. “كانت النتيجة تقرير مارس 2017 مع غير ملزمة إرشادات حول أفضل الممارسات للتأمين ضد SS7 نقاط الضعف ، تقرير غير عام ، وإنشاء في نهاية المطاف من بعد فريق عمل CSRIC آخر لدراسة الأمن مماثلة مسائل.

تحليل POGO لعضوية CSRIC في السنوات الأخيرة يوضح ذلك عضويتها ، التي تم تعيينها فقط من قبل رئيس لجنة الاتصالات الفدرالية ، يميل بشدة نحو الصناعة. ومؤلف مارس 2017 كان التقرير غير متوازن أكثر من CSRIC ، بشكل عام. من العشرين أعضاء مجموعة العمل المدرجة في التقرير النهائي ، خمسة فقط كانوا من الحكومة ، بما في ذلك أربعة من وزارة الداخلية الأمان. ويمثل الخمسة عشر الباقون القطاع الخاص الإهتمامات. لم يكن أي من الأكاديميين أو دعاة المستهلكين.

قراءة متعمقة

كيف تنصت المتسللين على عضو في الكونغرس الأمريكي باستخدام هاتفه فقط رقم

تم استنباط قيادة الفريق العامل بالكامل من الصناعة. جاء الرؤساء المشاركون للمجموعة من شركة البنية التحتية للشبكات Verisign و iconectiv ، شركة تابعة لشركة الاتصالات السويدية إريكسون. رئيس التحرير للتقرير النهائي للمجموعة كان نائب CTIA رئيس التكنولوجيا والأمن السيبراني جون مارينهو.

رسائل البريد الإلكتروني من عام 2016 بين أعضاء مجموعة العمل ، التي حصلت عليها POGO عبر طلب قانون حرية المعلومات ، أظهر أن المجموعة سحب قدميه على حل الثغرات الأمنية SS7 على الرغم من حث المسؤولين في لجنة الاتصالات الفدرالية على التحرك بسرعة. المجموعة أيضا تجاهل مرارا وتكرارا مدخلات من الخبراء التقنيين DHS.

المشكلة لم تكن معرفة حل ، ولكن وفقا ل ديفيد سيمبسون ، الأدميرال المتقاعد الذي قاد فريق FCC مكتب السلامة والأمن الداخلي في ذلك الوقت. كانت المجموعة قادر بسرعة على تمييز بعض أفضل الممارسات – في المقام الأول من خلال استخدام أنظمة تصفية مختلفة — التي كانت لدى بعض شركات النقل الكبرى بالفعل نشر والتي يمكن للآخرين استخدامها لتخفيف المخاطر المرتبطة مع SS7.

“لقد عرفنا الجواب خلال أول شهرين من وقال سيمبسون ، من التشاور مع الفريق العامل. لكن في النهاية ، “الإجماع التوجه ل CSRIC لسوء الحظ سمح “التقرير النهائي ل يتم دفعها من جلسة بطة عرجاء في ترامب الإدارة – التي لا تميل بشكل عام نحو التقديم اللوائح الفيدرالية الجديدة.

عموما ، تحليل POGO لرسائل البريد الإلكتروني من المجموعة والمقابلات مع الموظفين السابقين لجنة الاتصالات الفدرالية وجدت أن هيمنة صناعة CSRIC يبدو أنه ساهم في عدد من المشكلات في هذه العملية والتقرير النهائي ، بما في ذلك:

  • دفع أعضاء الصناعة لمجموعة العمل بنجاح التوصيات النهائية للاعتماد على الامتثال الطوعي ، وفقا لموظفي لجنة الاتصالات الفدرالية السابقة. خبراء الأمن يقولون ذلك استراتيجية يترك في نهاية المطاف الشبكة الخلوية بأكملها في خطر لأن هناك الآلاف من مقدمي الخدمات الأصغر ، غالبًا في المناطق الريفية المناطق ، التي من غير المرجح أن تعطي الأولوية لطرح ما هو مطلوب الحماية دون قاعدة ثابتة.
  • تظهر رسالة بريد إلكتروني لشهر آب (أغسطس) 2016 أنه ، في بداية العملية ، DHS اعترض الخبراء على وصف تركيز مجموعة العمل على ذلك على النظم “القديمة” لأنها “تنقل رسالة تفيد بأن هذه البروتوكولات والتهديدات المرتبطة بها تختفي قريبًا وهذا ليس كذلك بالضرورة القضية “. لم تقم المجموعة بمراجعة الإرث اللغة ، وظلت في التقرير النهائي.
  • في رسالة بريد إلكتروني من سبتمبر 2016 ، أرسل مسؤول FCC عبر البريد الإلكتروني مارينهو ، مشيرا إلى أن التعديلات من DHS لم يتم دمجها في مشروع العمل. أجاب مارينهو أنه استقبلهم أيضًا في وقت متأخر والمخطط لدمجها في إصدار لاحق. ومع ذلك، في خطاب مايو 2018 إلى لجنة الاتصالات الفدرالية ، قال السناتور وايدن مسؤولي وزارة الأمن الوطني أخبر مكتبه أن “الغالبية العظمى من التعديلات على المباراة النهائية تقرير “اقترح خبراء DHS” تم رفض “.

    في رسائل البريد الإلكتروني التي حصلت عليها POGO ، يشير مارينهو أيضًا إلى التحذيرات حول مشاكل الأمان مع SS7 التي جاءت من أعضاء اللجنة في الحدث نظمتها إستراتيجية الأمن السيبراني بجامعة جورج واشنطن وبرنامج إدارة المعلومات باسم “القطعي”.

    لم يرد مارينهو على سلسلة من الأسئلة المحددة حول أنشطة الفريق العامل. في بيان ل POGO ، قالت CTIA ، “إن الصناعة اللاسلكية ملتزمة بحماية المستهلك الأمن والخصوصية وتتعاون بشكل وثيق مع وزارة الأمن الوطني ، لجنة الاتصالات الفدرالية ، وأصحاب المصلحة الآخرين لمكافحة التهديدات المتطورة التي يمكن أن تؤثر شبكات الاتصالات. ”

    أقر تقرير الفريق العامل بأنه لا تزال هناك مشاكل مع SS7 ، لكنه أوصى باتخاذ تدابير طوعية ووضع المسؤولية على عاتقه يجب على مستخدمي الاتصالات اتخاذ خطوات إضافية مثل استخدام التطبيقات التي تشفر المكالمات الهاتفية والنصوص.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: