המתקפה על הסמארטפון
נוזקות וחולשות בפרוטוקולים של רשת התקשורת מאפשרות התקפה על הסמארטפון. איכון, האזנה וניטור נתונים הם חלק ממטרות ההתקפה. אחד הפתרונות הוא הפרדה בין המכשיר לסים. הצצה לעולם ההגנה הטקטית
עמי רוחקס דומבה
| 08/12/2016
צילום: ביגסטוק
סמארטפון הפך בשנים האחרונות לאחד ההתקנים העיקריים למסירה וקבלה של מידע. בין שמדובר במידע דיגיטלי ברשת האינטרנט ורשתות חברתיות, ביישומים סלולאריים או בשיחות קוליות. מרכזיות הסמארטפון בעולם המידע הופכת אותו למטרה עיקרית בעיני קבוצות פשע מאורגן, שירותי ביון, האקרים וחברות שעוסקות במודיעין עסקי.
סוגי ההתקפות על הסמארטפון מגוונות וכוללת תקיפות ישירות באמצעות התקנת תוכנה או חומרה במכשיר עצמו או התקפות דרך רשת הטלפוניה תוך ניצול חולשות מובנות בפרוטוקולים התקשורת השונים – לרבות פרוטוקול ה-SS7.
הגנה על שני עולמות
אחת החברות שמפתחת מוצרי הגנה לסמארטפון היא חברת Vaulto מקבוצת "נטליין". מדובר בפתרון גם לאיומים ישירים על המכשיר וגם מכיוון ספק התקשורת (דרך רשת ה-7SS). "הסלולר הוא מחשב חשוף לאיומים", אומר אילן פרידמן, סמנכ"ל פיתוח עסקי בנטליין ומוביל את Vaulto. "השוני לעומת PC טמון בכך שבסמארטפון כל יישום רץ על VM בנפרד. כלומר, אם לא עשית ROOT, גם ליישום שמנסה להגן אין גישה ליישומים השונים.
"יש מוצרים שמזהים התקפה גם במתאר כזה לרבות כמה חברות ישראליות שעושות עבודה יפה מאד בתחום, אבל גם כלי הגנה טוב יהיה מוגבל בהגדרה. הנוזקה יכולה להגיע למכשיר בפישינג ולהתקין עליה כלי תקיפה מבוסס על זירו דיי. כחלק מהפתרון שלנו אנחנו מניחים שתוקף נחוש עשוי לעבור את מערכות המניעה (Prevention) ולכן מספקים פתרון שכולל גם מלכודות ואלמנטים נוספים לגילוי מוקדם של נוזקות שהגיעו אל הסמארטפון.
"לצד היותו מחשב, סמארטפון הוא גם טלפון. המשמעות היא שהוא חשוף לוקטור נוסף של התקפות כמו התקפות 'איש באמצע' (MITM) באמצעות התחזות לתחנות בסיס. אלו מערכות יירוט שיחות או נתונים (interception). יש מספר חברות ישראליות שעוסקות בכך. לרוב המוצר דומה למזוודה או תיק שיודע ליירט תעבורה מהסמארטפון בדרכים שונות. כולל כאלו שיודעים גם לייצר האזנות נפח ללא ידיעת המשתמש. חלק מהמערכות הללו גם עושות שיתוף פעולה עם יצרני סוסים טרויאנים ומשמשות כאמצעי הדבקה. ההתייחסות אליהן היא כאל מערכות טקטיות.
"לצדן, יש מערכות מבוססות על רשת הסלולר עצמה. אלו מערכות שמחוברות למפעילי התקשורת. הן יושבות ברשת הטלפוניה העולמית, ודרך רשת המתגים העולמית יכולות לאכן את המשתמש, להאזין לו, לקלוט הודעות ותכתובות צ'אטים.
"בעוד הגישה לרשתות הטלפוניה הייתה בעבר נחלתן הבלעדית של מפעילי סלולר גדולים וארגוני ביון ממשלתיים, בשנים האחרונות יש שינוי שמאפשר לחברות אזרחיות בעולם גישה לרשת העולמית. דוגמה מוכרת אלו חברות המשמשות כמפעילים וירטואליים ברשת הסלולרית. חברות אחרות משיגות גישה דומה, ועל בסיסה מפתחות כלים אותם הן מוכרות לממשלות כדי לבצע יירוטים ברשתות תקשורת במדינות אחרות. "
טלפון מוקשח
כדי להגן מפני מתקפות על הטלפון הסלולרי, צצו בשנים האחרונות חברות שמספקות טלפון מוקשח. מדובר בטלפון שמגבילים בו את חופש הפעולה של המשתמש לטובת אבטחת מידע יותר טובה. הבעיה עם טלפונים מסוג זה טמונה בשינוי חווית השימוש.
"כאשר מנכ"ל או מנהל בכיר אחר קונה טלפון מוקשח, הוא רוצה את אותה חווית שימוש כמו בטלפון הרגיל שלו. אותה חוויה שהוא מכיר", מסביר פרידמן. "במציאות, חווית השימוש בטלפון מוקשח שונה מטלפון רגיל. קב"טים ואנשי אבטחת מידע לא אוהבים טלפון מוקשח כי העובדים מתלוננים. בעיקר מנהלים שהזמן שלהם שווה הרבה כסף. למשתמש אין סבלנות לטלפון מוקשח שמשנה לו את חווית המשתמש. ולכן, ברוב המקרים לוקחים שני טלפונים - אחד מוקשח ואחד רגיל. אבל מה עוזרים לך שני טלפונים אם אני מבצע על הטלפון הרגיל האזנת נפח? כמו כן, על ציר הזמן המשתמש לא שומר על הפרדת הסביבות.
"הפתרון שלנו מותקן כחייגן על הטלפון הרגיל של הלקוח והוא אינו דורש שיתוף פעולה מהמפעיל הסלולרי כדי למנוע איכון. צריך להבין שאם יש לך מספר טלפון קבוע, והיריב יודע אותו, ללא הגנה כמו שלנו או פתרונות מאותו סוג, הוא יכול לאכן אותך בכל מקום בעולם. זו הסיבה שארגוני טרור ופשע משתמשים בטלפונים "נשרפים". כלומר, הם קונים כמה כרטיסי סים, כאשר כל כרטיס הוא חד פעמי - השתמשת וזרקת לפח. בצורה כזו הם מתחמקים מאיכון של שירותי הביטחון.
"אנחנו פותרים את זה באמצעות הפרדה בין הזהות של המשתמש ברשת הסלולרית לזו שבמכשיר הסלולרי. כרטיס הסים המקורי של המשתמש נשלף ממכשירו והוא מתחיל לעשות שימוש בסים אחר, זמני, שמותקן במכשיר ודרכו מתקשר בתווך מוצפן לשרתים אשר דואגים להוציא את השיחה למנוי שמנגד. את הסים הזמני אפשר להחליף אחת לתקופה כדי שלא ילמדו אותו, גם אוטומטית מרחוק. בצורה כזו השיחות לא יוצאות מהמודם של הסמארטפון, אלא משרת מרוחק.
"עוד יתרון הוא שבין משתמשי המערכת השיחות מוצפנות על ידי השרת מקצה לקצה. אם רק אחד הצדדים מחובר למערכת אז החלק של השיחה בינו לבין השרת יהיה מוצפן, והחלק השני לא. גם במקרה כזה הצד השני רואה את המספר המקורי שלי. המשתמש מבחינתו תמיד רואה חיווי האם השיחה מוצפנת קצה לקצה או רק עד השרת, והוא בוחר מה להגיד ומה לא. עם הפתרון הזה קשה לתקוף אותי טקטית. אם מישהו בכל זאת יבוא עם מזוודה וינטר את התקשורת בין המכשיר שלי לשרת, הוא לא ישמע כלום. זו לא שיחת קול, אלא רק קישור נתונים מוצפן.
"במידה וקישור הנתונים לא עובד ויש רק קישור קול, השרת יעביר את השיחה למנוי עם חיווי שמדובר בשיחה לא מוצפנת. בנינו את השירות כך שהמנוי לא יפספס שיחות. הוא יקבל חיווי האם השיחה מוצפנת או לא, ובאילו מקטעים, והוא יבחר האם לענות ומה לומר בשיחה".
"המטרה: לייקר את עלות התקיפה"
"כדי להצליח לתקוף אותי, להאזין לשיחה, צריכים לנטר את התווך הטלפוני בין השרת שמוציא שיחה לסמארטפון של מקבל השיחה", אומר פרידמן. "גם אם הצליחו לעשות זאת, וזה מאד לא פשוט, ההתקפה תצליח רק אם הצד השני לא מנוי שלנו, ולכן המקטע בין השרת אליו לא יהיה מוצפן. במקרים בהם המקטע בין השרת לצד השני לא מוצפן, המשתמש בשירות מקבל חיווי בחייגן.
"יש פתרונות הצפנה מקצה לקצה נוספים בשוק, אבל רובם מחייבים ששני הצדדים יהיו מנויים בשירות. היתרון של השרת באמצע הוא שהמקטע בין המנוי לשרת תמיד מוצפן, גם אם הצד השני לא מנוי בשירות. ישנם גם פתרונות אחרים אשר מודיעים לך אם יש תא סלולרי מזויף באזור. פתרונות כאלו שבחנו דורשים שימוש בשיטות שעשויות להיות מפוקחות על ידי משרד הביטחון. אנחנו לא עושים זאת. כל האלמנטים של הפתרון שלנו פותחו בצורה כזו שהוא לא יהיה מפוקח ולא יטריד את המשתמש".
כאשר מדובר במערכת טקטית, ההתקפה מתחילה בגילוי ה-IMSI של המנוי (זהות בינלאומית של המנוי ברשת הסלולר). בפתרון של Vaulto התוקף לא מוצא אותו, היות וה-IMSI המקורי לא נמצא בסמארטפון. יחד עם זאת, אם מדובר בשירות ביון שעוקב אחרי המנוי, הוא יכול להבין שיש פער בין האיכון של הסמארטפון למיקום של המשתמש והוא יכול להתחיל לחקור מה זה אומר. "מדובר בארגונים שצריכים להפעיל יומינט ולהשקיע הרבה כדי להאזין או לאכן את המנוי", מסביר פרידמן. "ידוע שאין הגנה מושלמת, המטרה היא לייקר את עלות התקיפה לרמה שהיא לא תשתלם לתוקף.
"הפתרון שלנו מאפשר גם פיזור שרתים כאלו בעולם וניתוב המנויים בהתאם למיקום שהם רוצים, גם ללא שיתוף פעולה עם המפעיל. אם יש שיתוף פעולה עם מפעיל הסלולר אפשר לספק פתרון יותר מתקדם. שיתוף פעולה עם מפעיל סלולרי מאפשר לעשות מניפולציה דינמית על המיקום שלי בעולם ולהקשות עוד יותר על התוקף. אפשר לספק עוד יכולות. אנחנו נמצאים בניסוי מפעילים בארץ ובעולם סביב פתרון כזה".
נוזקות וחולשות בפרוטוקולים של רשת התקשורת מאפשרות התקפה על הסמארטפון. איכון, האזנה וניטור נתונים הם חלק ממטרות ההתקפה. אחד הפתרונות הוא הפרדה בין המכשיר לסים. הצצה לעולם ההגנה הטקטית
סמארטפון הפך בשנים האחרונות לאחד ההתקנים העיקריים למסירה וקבלה של מידע. בין שמדובר במידע דיגיטלי ברשת האינטרנט ורשתות חברתיות, ביישומים סלולאריים או בשיחות קוליות. מרכזיות הסמארטפון בעולם המידע הופכת אותו למטרה עיקרית בעיני קבוצות פשע מאורגן, שירותי ביון, האקרים וחברות שעוסקות במודיעין עסקי.
סוגי ההתקפות על הסמארטפון מגוונות וכוללת תקיפות ישירות באמצעות התקנת תוכנה או חומרה במכשיר עצמו או התקפות דרך רשת הטלפוניה תוך ניצול חולשות מובנות בפרוטוקולים התקשורת השונים – לרבות פרוטוקול ה-SS7.
הגנה על שני עולמות
אחת החברות שמפתחת מוצרי הגנה לסמארטפון היא חברת Vaulto מקבוצת "נטליין". מדובר בפתרון גם לאיומים ישירים על המכשיר וגם מכיוון ספק התקשורת (דרך רשת ה-7SS). "הסלולר הוא מחשב חשוף לאיומים", אומר אילן פרידמן, סמנכ"ל פיתוח עסקי בנטליין ומוביל את Vaulto. "השוני לעומת PC טמון בכך שבסמארטפון כל יישום רץ על VM בנפרד. כלומר, אם לא עשית ROOT, גם ליישום שמנסה להגן אין גישה ליישומים השונים.
"יש מוצרים שמזהים התקפה גם במתאר כזה לרבות כמה חברות ישראליות שעושות עבודה יפה מאד בתחום, אבל גם כלי הגנה טוב יהיה מוגבל בהגדרה. הנוזקה יכולה להגיע למכשיר בפישינג ולהתקין עליה כלי תקיפה מבוסס על זירו דיי. כחלק מהפתרון שלנו אנחנו מניחים שתוקף נחוש עשוי לעבור את מערכות המניעה (Prevention) ולכן מספקים פתרון שכולל גם מלכודות ואלמנטים נוספים לגילוי מוקדם של נוזקות שהגיעו אל הסמארטפון.
"לצד היותו מחשב, סמארטפון הוא גם טלפון. המשמעות היא שהוא חשוף לוקטור נוסף של התקפות כמו התקפות 'איש באמצע' (MITM) באמצעות התחזות לתחנות בסיס. אלו מערכות יירוט שיחות או נתונים (interception). יש מספר חברות ישראליות שעוסקות בכך. לרוב המוצר דומה למזוודה או תיק שיודע ליירט תעבורה מהסמארטפון בדרכים שונות. כולל כאלו שיודעים גם לייצר האזנות נפח ללא ידיעת המשתמש. חלק מהמערכות הללו גם עושות שיתוף פעולה עם יצרני סוסים טרויאנים ומשמשות כאמצעי הדבקה. ההתייחסות אליהן היא כאל מערכות טקטיות.
"לצדן, יש מערכות מבוססות על רשת הסלולר עצמה. אלו מערכות שמחוברות למפעילי התקשורת. הן יושבות ברשת הטלפוניה העולמית, ודרך רשת המתגים העולמית יכולות לאכן את המשתמש, להאזין לו, לקלוט הודעות ותכתובות צ'אטים.
"בעוד הגישה לרשתות הטלפוניה הייתה בעבר נחלתן הבלעדית של מפעילי סלולר גדולים וארגוני ביון ממשלתיים, בשנים האחרונות יש שינוי שמאפשר לחברות אזרחיות בעולם גישה לרשת העולמית. דוגמה מוכרת אלו חברות המשמשות כמפעילים וירטואליים ברשת הסלולרית. חברות אחרות משיגות גישה דומה, ועל בסיסה מפתחות כלים אותם הן מוכרות לממשלות כדי לבצע יירוטים ברשתות תקשורת במדינות אחרות. "
טלפון מוקשח
כדי להגן מפני מתקפות על הטלפון הסלולרי, צצו בשנים האחרונות חברות שמספקות טלפון מוקשח. מדובר בטלפון שמגבילים בו את חופש הפעולה של המשתמש לטובת אבטחת מידע יותר טובה. הבעיה עם טלפונים מסוג זה טמונה בשינוי חווית השימוש.
"כאשר מנכ"ל או מנהל בכיר אחר קונה טלפון מוקשח, הוא רוצה את אותה חווית שימוש כמו בטלפון הרגיל שלו. אותה חוויה שהוא מכיר", מסביר פרידמן. "במציאות, חווית השימוש בטלפון מוקשח שונה מטלפון רגיל. קב"טים ואנשי אבטחת מידע לא אוהבים טלפון מוקשח כי העובדים מתלוננים. בעיקר מנהלים שהזמן שלהם שווה הרבה כסף. למשתמש אין סבלנות לטלפון מוקשח שמשנה לו את חווית המשתמש. ולכן, ברוב המקרים לוקחים שני טלפונים - אחד מוקשח ואחד רגיל. אבל מה עוזרים לך שני טלפונים אם אני מבצע על הטלפון הרגיל האזנת נפח? כמו כן, על ציר הזמן המשתמש לא שומר על הפרדת הסביבות.
"הפתרון שלנו מותקן כחייגן על הטלפון הרגיל של הלקוח והוא אינו דורש שיתוף פעולה מהמפעיל הסלולרי כדי למנוע איכון. צריך להבין שאם יש לך מספר טלפון קבוע, והיריב יודע אותו, ללא הגנה כמו שלנו או פתרונות מאותו סוג, הוא יכול לאכן אותך בכל מקום בעולם. זו הסיבה שארגוני טרור ופשע משתמשים בטלפונים "נשרפים". כלומר, הם קונים כמה כרטיסי סים, כאשר כל כרטיס הוא חד פעמי - השתמשת וזרקת לפח. בצורה כזו הם מתחמקים מאיכון של שירותי הביטחון.
"אנחנו פותרים את זה באמצעות הפרדה בין הזהות של המשתמש ברשת הסלולרית לזו שבמכשיר הסלולרי. כרטיס הסים המקורי של המשתמש נשלף ממכשירו והוא מתחיל לעשות שימוש בסים אחר, זמני, שמותקן במכשיר ודרכו מתקשר בתווך מוצפן לשרתים אשר דואגים להוציא את השיחה למנוי שמנגד. את הסים הזמני אפשר להחליף אחת לתקופה כדי שלא ילמדו אותו, גם אוטומטית מרחוק. בצורה כזו השיחות לא יוצאות מהמודם של הסמארטפון, אלא משרת מרוחק.
"עוד יתרון הוא שבין משתמשי המערכת השיחות מוצפנות על ידי השרת מקצה לקצה. אם רק אחד הצדדים מחובר למערכת אז החלק של השיחה בינו לבין השרת יהיה מוצפן, והחלק השני לא. גם במקרה כזה הצד השני רואה את המספר המקורי שלי. המשתמש מבחינתו תמיד רואה חיווי האם השיחה מוצפנת קצה לקצה או רק עד השרת, והוא בוחר מה להגיד ומה לא. עם הפתרון הזה קשה לתקוף אותי טקטית. אם מישהו בכל זאת יבוא עם מזוודה וינטר את התקשורת בין המכשיר שלי לשרת, הוא לא ישמע כלום. זו לא שיחת קול, אלא רק קישור נתונים מוצפן.
"במידה וקישור הנתונים לא עובד ויש רק קישור קול, השרת יעביר את השיחה למנוי עם חיווי שמדובר בשיחה לא מוצפנת. בנינו את השירות כך שהמנוי לא יפספס שיחות. הוא יקבל חיווי האם השיחה מוצפנת או לא, ובאילו מקטעים, והוא יבחר האם לענות ומה לומר בשיחה".
"המטרה: לייקר את עלות התקיפה"
"כדי להצליח לתקוף אותי, להאזין לשיחה, צריכים לנטר את התווך הטלפוני בין השרת שמוציא שיחה לסמארטפון של מקבל השיחה", אומר פרידמן. "גם אם הצליחו לעשות זאת, וזה מאד לא פשוט, ההתקפה תצליח רק אם הצד השני לא מנוי שלנו, ולכן המקטע בין השרת אליו לא יהיה מוצפן. במקרים בהם המקטע בין השרת לצד השני לא מוצפן, המשתמש בשירות מקבל חיווי בחייגן.
"יש פתרונות הצפנה מקצה לקצה נוספים בשוק, אבל רובם מחייבים ששני הצדדים יהיו מנויים בשירות. היתרון של השרת באמצע הוא שהמקטע בין המנוי לשרת תמיד מוצפן, גם אם הצד השני לא מנוי בשירות. ישנם גם פתרונות אחרים אשר מודיעים לך אם יש תא סלולרי מזויף באזור. פתרונות כאלו שבחנו דורשים שימוש בשיטות שעשויות להיות מפוקחות על ידי משרד הביטחון. אנחנו לא עושים זאת. כל האלמנטים של הפתרון שלנו פותחו בצורה כזו שהוא לא יהיה מפוקח ולא יטריד את המשתמש".
כאשר מדובר במערכת טקטית, ההתקפה מתחילה בגילוי ה-IMSI של המנוי (זהות בינלאומית של המנוי ברשת הסלולר). בפתרון של Vaulto התוקף לא מוצא אותו, היות וה-IMSI המקורי לא נמצא בסמארטפון. יחד עם זאת, אם מדובר בשירות ביון שעוקב אחרי המנוי, הוא יכול להבין שיש פער בין האיכון של הסמארטפון למיקום של המשתמש והוא יכול להתחיל לחקור מה זה אומר. "מדובר בארגונים שצריכים להפעיל יומינט ולהשקיע הרבה כדי להאזין או לאכן את המנוי", מסביר פרידמן. "ידוע שאין הגנה מושלמת, המטרה היא לייקר את עלות התקיפה לרמה שהיא לא תשתלם לתוקף.
"הפתרון שלנו מאפשר גם פיזור שרתים כאלו בעולם וניתוב המנויים בהתאם למיקום שהם רוצים, גם ללא שיתוף פעולה עם המפעיל. אם יש שיתוף פעולה עם מפעיל הסלולר אפשר לספק פתרון יותר מתקדם. שיתוף פעולה עם מפעיל סלולרי מאפשר לעשות מניפולציה דינמית על המיקום שלי בעולם ולהקשות עוד יותר על התוקף. אפשר לספק עוד יכולות. אנחנו נמצאים בניסוי מפעילים בארץ ובעולם סביב פתרון כזה".
