Daha fazla operatör Salt Typhoon ihlalini doğruladı, Beyaz Saray müdahaleyi değerlendiriyor
(theregister.com)- AT&T, Verizon ve Lumen Technologies’in Çin hükümeti destekli hackerların sistemlerine eriştiğini doğrulamasıyla Salt Typhoon ihlali, ABD telekom ağları genelinde bir ulusal güvenlik meselesine dönüştü
- Beyaz Saray, bu sızma sayesinde Çin tarafının milyonlarca kişinin konumunu belirleme ve telefon görüşmelerini istediği gibi kaydetme yeteneği elde ettiğini; bir vakada ise bir yönetici hesabının ele geçirilmesiyle 100.000’den fazla yönlendiriciye erişimin mümkün olduğunu açıkladı
- AT&T ve Verizon, etkilenen müşterilerin az sayıda olduğunu belirtirken Lumen, müşteri verilerine erişildiğine dair kanıt bulunmadığını ve bağımsız bir adli bilişim şirketinin saldırganların çıkarıldığını doğruladığını aktardı
- Konum bilgisi ve telefon metaverisinden etkilenen kişi sayısı fazla olsa da, gerçek görüşme ve SMS’leri toplanan hedeflerin daha az, muhtemelen 100 kişiden az olduğu belirtiliyor
- FCC, operatörlerden temel siber güvenlik uygulamalarını talep eden bir kural önerisini ilerletiyor; Senatör Ron Wyden da FCC’nin bağlayıcı telekom güvenliği kuralları yayımlamasını gerektiren bir yasa tasarısı önerdi
ABD telekom operatörlerinde ihlal doğrulamaları artıyor
- AT&T, Verizon ve Lumen Technologies, Çin hükümeti destekli casusların bu yılın başlarında sistemlerinin bazı bölümlerine eriştiğini doğruladı
- Beyaz Saray, Salt Typhoon ihlalinden etkilenen telekom operatörü sayısının daha önceki 8’den 9’a çıktığını açıkladı
- T-Mobile daha önce Salt Typhoon’un keşif girişimleriyle “tutarlı” casusluk faaliyetlerinden söz etmişti, ancak hükümetin belirttiği 9 telekom operatöründen biri olmadığının altını çizdi
AT&T, Verizon ve Lumen’in doğruladığı zararlar
- AT&T, yabancı casusların istihbarat kampanyasında az sayıda müşteriyi ihlal ettiğini ve söz konusu aktörlerin ağdan çıkarıldığını açıkladı
- Şu anda ağda bir devlet aktörü faaliyeti tespit edilmiyor
- Çin’in, yabancı istihbarat açısından ilgi konusu olan az sayıda kişiyi hedef aldığı düşünülüyor
- Kişisel bilgilerin etkilendiği görece az sayıdaki vakada, kolluk kuvvetleriyle birlikte çalışılarak bildirim yükümlülükleri yerine getirildi
- Hükümet yetkilileri, diğer operatörler ve siber güvenlik uzmanlarıyla birlikte soruşturma sürdürülüyor
- Verizon, Çinli saldırganların hükümet ve siyaset çevrelerinden az sayıda üst düzey müşteriye eriştiğini doğruladı
- Bu müşterilere bildirim yapıldığını ve devlet aktörü tehdidinden kaynaklanan siber olayın kontrol altına alındığını açıkladı
- Adı açıklanmayan “saygın” bir siber güvenlik şirketi de kontrol altına alma durumunu doğruladı
- Federal kolluk kuvvetleri, ulusal güvenlik kurumları, diğer telekom iş ortakları ve güvenlik şirketiyle iş birliği yapıldı
- Verizon Baş Hukuk Sorumlusu Vandana Venkatesh, bir süredir Verizon ağında tehdit aktörü faaliyeti tespit edilmediğini belirtti
- Lumen Technologies, Çinli saldırganları sistemlerinden çıkardı ve müşteri verilerine erişildiğine dair kanıt bulmadı
- Bağımsız bir adli bilişim şirketi, Salt Typhoon’un artık ağ içinde olmadığını doğruladı
- Federal ortakların da bunun aksini gösteren bir bilgi paylaşmadığı belirtildi
Beyaz Saray’ın gördüğü sızma kapsamı ve yöntemi
- Beyaz Saray Siber ve Gelişen Teknolojilerden Sorumlu Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, bu sızmanın “ABD tarihinin en kötü telekom hack’i” olarak adlandırıldığını aktardı
- Çin tarafı ağlara erişerek “geniş kapsamlı ve tam erişim” elde etti; bunun sonucunda milyonlarca kişinin konumunu belirleme ve telefon görüşmelerini istediği gibi kaydetme yeteneğine sahip oldu
- Bir vakada casuslar bir yönetici hesabına sızdı ve bu hesapla 100.000’den fazla yönlendiriciye erişebiliyordu
- Neuberger, Çin’in söz konusu hesabı ele geçirerek ağ genelinde geniş erişim yetkileri elde ettiğini açıkladı
- Bu durumun, devlet aktörlerine karşı savunma için gerekli siber güvenlik seviyesinin altında kaldığını değerlendirdi
Etkilenen kişi sayısı ve veri kapsamı
- Beyaz Saray toplam mağdur sayısını henüz belirleyemedi
- Konum bilgisi ve telefon metaverisinden etkilenen birey sayısı çok yüksek
- Gerçek telefon görüşmeleri ve SMS’leri toplanan hedefler daha az; gerçek kişi sayısının 100’den az olma ihtimali var
Telekom güvenliği yanıtı regülasyona yöneliyor
- Beyaz Saray, bu sızmanın ardından devlet aktörü tehditlerine karşı yalnızca gönüllü siber güvenlik önlemlerinin yeterli olmadığını vurguladı
- FCC, telekom işletmecilerinden temel siber güvenlik uygulamalarını talep eden açık bir kural önerisi başlattı
- Komisyon üyelerinin bu kuralları 15 Ocak’a kadar oylaması planlanıyor
- Senatör Ron Wyden, FCC’nin telekom sistemleri için bağlayıcı kurallar yayımlamasını gerektiren bir yasa tasarısı önerdi
- İhlale uğrayan 9 telekom operatörünün CEO’larının tamamı hükümetin 60 günlük Enduring Security Framework sürecine katıldı
- Bu kamu-özel sektör çabası, istihbarat kurumları, CISA, FBI ve telekom güvenliği uzmanlarının üzerinde uzlaştığı asgari siber güvenlik uygulamalarını oluşturmayı hedefliyor
1 yorum
Hacker News yorumları
Şirketler veri minimizasyonu uygulayıp, görmeleri gerekmeyen müşteri verilerini uçtan uca şifreleseydi bu tür ihlaller azalırdı.
Çünkü içeri sızma motivasyonu ortadan kalkardı; ancak istihbarat kurumları masum vatandaşların konuşmalarına erişebilmekte ısrar ediyor.
Gerçekte caydırıcı cezalar ya da para cezaları yok; kısa vadeli kârı korumak, kullanıcı verilerini korumaktan daha önemli görülüyor. Bir ihlal şirket için ciddi bir mali darbeye dönüşene kadar bu iş “Üzgünüz, size kredi izleme hizmeti verelim” şeklinde kullanıcıların üzerine yıkılacak. Yazılım geliştirme ve mühendislik sektöründe de veri güvenliğini ciddiye alan çok kişi yok; laf çok ama gerçek iş uygulamalarında berbat pratikler çok.
Şimdi o zorunlu hâle getirilen gizlilik atlatma arka kapısı kötü niyetli aktörler tarafından kullanılıyor ve FBI, kendi yol açtığı durum yüzünden herkese uçtan uca şifreli uygulamalar kullanmasını öneriyor. Ama bu felaket geçince yine “şifreleme kötü, güvenlik kötü, verileri kolayca alabileceğimiz bir yol verin” söylemine dönecekler.
Sorun, hem düzenlemelerin hem de ticari çıkarların işin içinde olması. Kamuoyunun ya da devletin cep telefonlarında gerçek mahremiyeti kabul edeceğini beklemek gerçekçi değil. İnsanlar 911’i aradığında polisin ya da itfaiyecilerin gelmesini, organize suçların veya ağır suçların ortaya çıkarılıp kovuşturulmasını istiyor.
SS7 protokolü, belirli bir anda bir telefonun hangi RNC/MMC’ye bağlı olduğunu öğrenmeyi mümkün kılar ve bu, ağın çalışmasının özünde yer alan bir parçadır. Yeterince gelişmiş bir saldırgan telekom ekipmanına yeterli erişim yetkisine sahipse, ilgili protokol komutlarını doğrudan göndererek konumu öğrenebilir.
Tek kullanıcı olduğunda temel prensipleri anlıyorum ama Facebook Messenger gibi paylaşımlı uçtan uca şifreli grup sohbetlerinin nasıl uygulandığını daha çok bilmek istiyorum.
ABD bankalarının, Venmo’nun, PayPal’ın vb. kimlik doğrulamada hâlâ “gerçek” telefon numarası istemesi garip.
Venmo VoIP numaralarına izin vermiyor ama Tello’ya kaydolup yurt dışından eSIM etkinleştirince hemen SMS alabildim ve kayıt olabildim. Engel yalnızca 5 dolardı; gerçekten harika güvenlik.
Sonuçta en etkili yöntem, işlem taraflarının kim olduğunu bilmektir. Bazı şirketlerin müşterini tanı standartları düşük olsa da zamanla suçlara yardımcı olan bir kanala dönüşür ve düzenleyici ortakların ve devletin denetimine girer. ABD, Singapur, Kanada, Japonya ve giderek sıkılaşan AB’ye kıyasla görece gevşek; birçok yargı alanında biyometrik doğrulama, fotoğraflı doğrulama, bazen de bir görevliyle görüntülü görüşmede belgeleri göstermek gerekiyor.
Bir şirket daha sonra VoIP numaralarını geriye dönük olarak engelledi; gerçekten aptalcaydı.
Numaranın dolandırıcılıkta kullanılmadığını kontrol edip izin veren bir süreç olmalı. Yıllardır müşteri olmam, o numarayı sürekli kullanmam ve platformda binlerce dolarlık işlemi sorunsuz yapmış olmam gibi şeyler bir değerlendirme dayanağı olamaz mı diye düşünüyorum.
En azından Avrupa’da PSD2 standartları açısından telefon numarasının iki faktörlü kimlik doğrulama aracı olarak kabul edilmesindeki kilit nokta bu.
Telefona çıkıp “Ben …” demememin tek nedeni dürüst olmam. Sorulan tüm bilgileri zaten bilen kötü niyetli bir kullanıcıyı engelleyemezler; sadece yalan söyleyip işletme sahibi ya da hesap sahibi olduğunu iddia eder.
Güvenlik alanında çalışıyorum ve bu olay beni şaşırttı. Şirketlerin hacklenmiş olmasından çok, saldırının kapsamının eş zamanlı ve koordineli görünmesi şaşırtıcı
Birden fazla şirketi aynı anda delmek, Çin tarafının hedefleri hakkında bir şeyler söylüyor. Böyle yapınca “gürültünün” artması riski var; bu yüzden üst düzey hedefleri dinlemek için neden çalışanları satın almak yerine herkese dokunup başkan düzeyinde bir tepkiyi bile çağırdıklarını merak ediyorum. Bu, imaj ve siyaset tarafından yönlendirilmiş gibi hissettiriyor; modern Soğuk Savaşın altyapı saldırıları olduğu düşüncesine kapılıyorum
İlgi duyduğunuz neredeyse herhangi bir sektörü seçin; ilk 50 ülkedeki istihbarat kurumlarında o alanı hackleyen özel ekipler vardır ve çoğu başarılı olur. Ne yazık ki güvenlik sektöründeki insanlar bile, kendi sorumluluklarındaki ağların içinde dahi bu operasyonların kapsamını ve ölçeğini çoğu zaman doğru dürüst bilmez. Buradaki “gürültü” saldırganın çıkardığı bir şey değil; saldırgan da yakalanmak istemez ama hatalar olur
Çünkü birini bulunca diğerlerini de aramaya başlarsınız. Çalışan devşirmek karmaşık ve zordur; SS7’ye uzaktan saldırmak ise, özellikle izlenecek kişi sayısı fazlaysa, çok daha kolaydır
Telekom ve elektrik kablolarına alenen müdahale etmek, Batılı siyasetçilere yönelik bir sinyal gibi görünüyor. Kuzey Kore’nin kripto para çaldığı iddiaları da var, ama kimliği belirlenebilir bir mağdurun ortaya çıkmamış olması da dikkat çekiyor. Batılı siyasetçiler, tam şu anda olan bitenlerden bizi kurtarma gerekçesiyle tüm dünya ekonomisini yeniden şekillendirmeye çalışıyor; bu yüzden tesadüften fazlası gibi geliyor
Giden ve gelen yönetimin siyasi eğilimlerinden bağımsız olarak daha kaotik olur; göze çarpar ama yapılacaklar listesinde geriye düşmesi ya da unutulması mümkün
Haberlerde gördüğümüz saldırılarda devasa bir seçim yanlılığı var
Saldırının açıklaması belirsiz olduğu için doğrulamak mümkün değil; ancak saldırıya uğrayan telekom operatörlerinin sayısı arttıkça Çin’in yasal dinleme mekanizmasını hedef alarak sızmış olma olasılığı büyüyor.
Bunun birkaç yolu olabilir. Yasal dinleme yönetim sistemine erişim yetkisi olan kolluk kuvvetleri görevlilerini satın almak ya da tehdit etmek, bu sistemin tedarik zincirine saldırmak veya ağ ile yönetim sistemi arasındaki kimlik doğrulamayı kırmak gibi. Eğer bu bir yasal dinleme saldırısıysa, otomatik yasal dinlemeyi destekleyen tüm ağlar compromised olmuş demektir. Dinleme hedeflerinin operatöre kolayca görünmemesi için tasarlandığından, tespit edilmesi zor ve kötü niyetli açıdan epey sinsi bir saldırı.
Ağ işi yapmış olanlar ne demek istediğimi anlar. Bu sektör gülünç derecede kötü durumda. SSH kullanılıyor ama host key doğrulanmıyor, agent forwarding kullanılıyor; RADIUS veya SNMP gibi, tek bir cihaz ele geçirildiğinde neredeyse her zaman küresel paylaşılan gizli değer yüzünden çöken protokoller kullanılıyor. Güvenli önyüklemenin anlamlı şekilde kullanılıp kullanılmadığı, dosya sistemlerinin doğrulanıp doğrulanmadığı da şüpheli.
20 yıl önce biri sahte TCP reset enjekte ederek BGP bağlantılarının koparılabileceğini keşfettiğinde sektör BGP over TLS’e geçmedi. Bunun yerine 1999’da paylaşılan gizli değere dayalı TCP MD5 hash eklemekle yetindi: https://datatracker.ietf.org/doc/html/rfc2385. Bugün bile PKI kullanmayı hayal edemeyen hava sürüyor; dağıtım da genellikle yapılmıyor.
Bu sektörü anlamak için sadece şuna bakmak yeterli. Düz TLS kullanmak yerine https://datatracker.ietf.org/doc/html/rfc5925 gibi bir şey yaptılar; gerçek dağıtımlarda da aynı paylaşılan tuple modelini kullanmaya devam ettikleri için 2385 kadar kötü. “Destekliyoruz” diyen bazı vendor’lar bile RFC’nin tamamını desteklemiyor. Bu durum onlarca yıldır biliniyordu; ancak vendor’lar yakalandıkları aptalca sorunlara yama yapmanın ötesinde güvenliği iyileştirmeye pek ilgi göstermedi, güvenlik araştırmacıları da kritik ağ ekipmanlarına pek bakmıyor.
Daha fazla yerin hack’lendiğini söylemiyorlar; aynı saldırıyla ilişkili daha fazla vakanın bulunduğunu söylüyorlar. Bu seviyedeki bir saldırgan haberleri izliyor olur ve çıkarına göre uygun şekilde hareket eder ya da ihlal göstergeleri tersine mühendislikle çıkarılmadan önce ağdan çekilir.
Bunun yasal dinleme temelli bir saldırı olmasındansa, içeri nasıl girildiğinin kesin olarak bilinmediği bir durum olması daha olası. CISA yönergelerinin çoğu izleme ve görünürlük sağlama, saldırı yüzeyini azaltma gibi standart siber güvenlik iyi uygulamaları. Başlıca değişiklik, TFTP’nin artık kullanılmaması talebi ve üreticinin referans hash’lerin kaynağı olarak alınması gibi görünüyor. Gönderim-alım yolunda firmware tabanlı saldırı olasılığı çok yüksek görünüyor.
TFTP sunucuları ISP ağlarındaki uç cihazlara, yani müşteri modemlerine yapılandırma indirir ve firmware imajlarını da içerir; burada kimlik doğrulama, yetkilendirme ve denetim kaydı yoktur. İlgili donanım tasarımı gereği değişiklikleri düzgün şekilde denetlemeyi zorlaştırır; TR-47 nadiren doğru kullanılır ve ilgili şifreleme de hukuken zaten kırılmış şifrelemeyle geriye dönük uyumluluk gerektirir. Birkaç yıl önce Cyphercon 6’da iyi bir sunum vardı: https://www.youtube.com/watch?v=_hk2DsCWGXs
TLS 1.3’ün özellikle vurgulanması, bağlantıların downgrade edildiğini ya da CPE köprülerinin donanım/firmware’inin önceki sürümlerde açık sitelere karşı şeffaf ortadaki adam saldırısı yürüttüğünü düşündürüyor. Belirli DH gruplarının kullanılmasının vurgulanması da henüz kırıldığı bilinmeyen ama gerçekte kırılmış olabilecek anahtar değişim grupları bulunduğunu ima ediyor olabilir.
Saldırgan, zaten erişim yetkisi bulunan hassas kişileri hedefleyerek trafiğe anlık olarak kötü amaçlı kod enjekte edebiliyorsa, bu trafik üzerinden son derece hassas sistemlere kolayca sızabilir. Daha uç bir hipotez olarak Feistel yapısını kırmanın bir yolu bulunmuş olabilir. NSA geçmişte kriptografide bir atılım olduğunu söylemişti; bu, modern kriptonun büyük kısmının temeli olan Feistel ağ yapısına yönelik bir saldırıyla ilgiliyse başka bir açıklama olabilir.
Neredeyse tüm bilgisayarlarda TrustZone, Management Engine, AMD PSP gibi arka kapı niteliğinde yardımcı işlemciler yerleşik; bunlar düzgün denetim izi olmadan yalnızca kriptografiye dayanarak korunuyor. Bu, dünyadaki neredeyse tüm bilgi işlem platformlarında odaklanmış düşük asılı meyve gibi görünüyor. Kuantum bilgisayar böyle bir sistemin tekil imza anahtarını kırarsa her şey için altın anahtar haline gelebilir; devlet düzeyinde bu tamamen imkânsız da değil. Görünürlük yoksa sorunu tespit etmenin, tepki vermenin ya da izole etmenin yolları da yalnızca dolaylı kalır.
İlgili önceki tartışmalar:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
Birkaç yıl öncesine kadar istihbarat kurumlarının arka kapı zorunluluğu savunduğunu düşününce, şimdi FBI’ın güvenli sohbetler için Signal’ı önermesi komik geliyor.
Yeni yönetimin, son 4 yılda onların e-postalarına ve mesajlarına da göz atmasını umuyorum. “Benim gizliliğim olur, seninki olmaz” tavrı.
Saldırı, dinleme işini dışarıdan sağlayan bir şirket üzerinden CALEA arka kapısını vurmuş. Hangi şirketti acaba?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
Bu işi yapan başka kimler var? Dinleme dış kaynak şirketleri o kadar çok değil. Verisign da eskiden bu işi yapıyordu ama artık yapmıyor gibi.
Elbette teknik olarak imkânsız, ama istihbarat kurumlarının bakış açısından istedikleri nihai durumun kendisi oldukça anlaşılır.
Karşı istihbarat tarafının güçlü şifreleme istemesi, suçla mücadele tarafının ise arka kapı açılabilen şifreleme istemesi şaşırtıcı değil.
FBI gizliliğe hak ettiği saygıyı göstermiyor olsa bile.
Operatörlerin sahip olduğu tüm güvenliğin üstüne cihazlar arası şifreleme gerekmesinin nedeni bu.
Kurduğum hiçbir bağlantının, alıcı dışındaki bir noktada şifrelenmemiş olması için bir sebep yok.
Çin’in hedeflediği şey, kimin kiminle iletişim kurduğuna dair meta verilerdi; bu tamamen farklı bir sorun.
Telefon numaralarıyla uğraşmak bile zahmetliyken, bunun üstüne bir de açık anahtar eklemekten söz ediyoruz. Kolayca bir yere not edilemez ve büyük olasılıkla cihaza bağlı olur; telefonu kaybedip değiştirince, yeni anahtarı bir şekilde herkese dağıtana kadar çağrı alamazsınız.
Uçtan uca şifrelemenin, denendiği tüm bağlamlarda çalışamaz olduğu ortaya çıktı diye düşünüyorum. Bugün gerçekten işe yarayan gerçek bir uçtan uca şifreleme sistemi yok; sektör de bu terimi, şifrelemeyi hasmın kontrol ettiği yazılımın yaptığı “şifreleme benzeri” bir şey anlamında kullanacak şekilde değiştirip anlamsızlaştırdı. Zaten gerçek uçtan uca şifreleme kullanan bir yer olmadığından, böyle bir karar alan mühendisleri de bir ölçüde anlayabiliyorum.
ABD Hazine Bakanlığı da Çinli bir tehdit aktörünün sızdığını duyurdu.
“Siber güvenlik tedarikçisinin” sahip olduğu uzaktan erişim anahtarının sızdırılmasıyla saldırganın Hazine’nin iç uç noktalarına erişebildiği söyleniyor.
Bildiğim kadarıyla bu, AB operatörleri için haber sayılmaz. Çünkü Çinli şirketler tarafından işletiliyorlar ve neredeyse her şeye kalıcı erişimleri var.
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
ABD operatörlerinde durum böyle değil mi?
Neyse ki ABD çevrimiçi hizmetleri, iletişimi korumak için Avrupa’nın yanında herkesten çok çalışıyor. Üstelik Avrupa’dan para bile almıyorlar; Avrupa ise karşılığında milyarlarca dolar ceza kesiyor. Avrupa, dikkat ekonomisini vergilendirmek için web sitelerini bozdu ve açık kaynak geliştiricilere yönelik hukuki korumayı da kaldırdı.
“Milyonlarca kişinin konumunu belirleme kabiliyeti” deniyorsa, Starlink de dev bir direct-to-cell anteni olarak tüm 4G/5G telefonların IMEI konumlarını kolayca öğrenebilir gibi geliyor.
Cihazı ağın büyük kısmına tanıtırken geçici tanımlayıcılar kullanan çok aşamalı bir prosedür var; bu yüzden böyle olması şart değil.