Отказ в обслуживании абонентов возможен в 100% сетей 4G

Отказ в обслуживании абонентов возможен в 100% сетей 4G

Согласно отчету Positive Technologies, используя недостатки протокола Diameter, злоумышленник может лишить абонентов основных преимуществ 4G — высокой скорости и качества связи. Уязвимости протокола Diameter могут привести к блокировке работы банкоматов, POS-терминалов, приборов учета ЖКХ, автосигнализаций, а также систем видеонаблюдения. Если абонент является системой диагностики на магистральном газопроводе или GSM-контроллером утечки бытового газа, отсутствие связи может привести не только к прямому денежному ущербу, но и к опасным авариям.

Мобильные сети 4G с каждым годом получают все более широкое распространение. При этом пользователи ожидают от оператора, которому они доверяют, высокого качества связи и надежной защиты данных. Однако в протоколе Diameter, применяемом в сетях 4G для передачи служебных сообщений, эксперты Positive Technologies обнаружили ряд уязвимостей.

Например, злоумышленник может зарегистрировать абонента в несуществующей сети — и полностью оставить его без связи. Кроме того, уязвимости позволяют атакующему реализовать массовый отказ в обслуживании, что чревато серьезными финансовыми и репутационными потерями для мобильного оператора, так как сразу тысячи пользователей могут быть отключены на длительное время (до перезагрузки устройства или перехода в зону действия другого узла управления мобильностью).

Риску мошенничества в отношении оператора подвержена каждая третья сеть 4G. Киберпреступники могут пользоваться мобильной связью бесплатно и продавать подобные услуги третьим лицам. Под угрозой и приватность: все сети четвертого поколения позволяют отследить местоположение абонентов.

«В 2017 году мы уже показывали, что в сетях 4G можно реализовывать атаки, связанные с определением местоположения абонента, отказом в обслуживании и другими нелегитимными действиями. Однако пока операторы принимают лишь минимальные меры защиты в отношении уязвимостей протокола Diameter, — отмечает руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. — А если посмотреть на инфраструктуру предыдущих поколений, то картина еще печальней. Злоумышленник может принудительно перевести устройство абонента в режим 3G — и проводить атаки на менее защищенную систему SS7, где прослушивать голосовые вызовы или перехватывать SMS гораздо проще. Напомню, что в сетях 2G и 3G в процессе исследования их безопасности нам удалось перехватить 9 из 10 SMS».

Большинство выявленных недостатков были связаны не только с некорректной настройкой или уязвимостями сетевого оборудования, но также с фундаментальными проблемами протокола Diameter, для решения которых требуются дополнительные средства защиты. Эксперты Positive Technologies подчеркивают необходимость комплексного подхода к безопасности.

В исследовании Positive Technologies участвовали операторы связи стран Европы и Азии. Большую часть (80%) составили крупные телекоммуникационные компании с объемом абонентской базы более 40 миллионов человек.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

GitHub улучшил систему двухфакторной аутентификации с помощью WebAuthn

GitHub отныне официально поддерживает веб-стандарт WebAuthn (Web Authentication). По замыслу разработчиков, новые меры помогут усовершенствовать процесс аутентификации и лучше защитят учетные записи пользователей платформы.

До этого GitHub уже поддерживал двухфакторную аутентификацию (2FA), в процессе которой пользователю приходило SMS-сообщение с кодом. Это не самая безопасная практика, так как киберпространство уже знает множество случаев, когда злоумышленники перехватывали SMS со вторым фактором.

Помимо этого, на платформе GitHub можно было использовать приложения для одноразовых кодов и ключи безопасности U2F (Universal Second Factor). При этом U2F — уже довольно старый стандарт.

Внедрение поддержки WebAuthn поможет GitHub поддерживать работу физических ключей безопасности вкупе с браузерами Firefox и Chrome в системах Windows, macOS, Linux и Android. Пользователи iOS смогут воспользоваться браузером Brave и ключом YubiKey 5Ci.

Более того, если вы используете площадку GitHub, у вас теперь есть возможность задействовать ноутбук или телефон в качестве ключа безопасности — с помощью Windows Hello, Touch ID на macOS или сканера отпечатка пальца на Android..

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru