SS7 flaw kill TFA Seluler

Tampa sharing info, tips dan trik seputar masalah virus/malware.
Post Reply
User avatar

Topic author
kuntua
Heart & Soul
Heart & Soul
Posts: 13
Joined: 10 Jan 2017, 13:04
Location: Manado, ID
Zodiac: Capricorn
Contact:

SS7 flaw kill TFA Seluler

#40

Post by kuntua » 15 Jun 2017, 16:23

Senjakala Pengamanan TFA Seluler
SS7 di masa perang dingin adalah senjata nuklir pemusnah massal produksi Uni Soviet yang cukup ditakuti Amerika Serikat. Jelas menakutkan karena SS7 atau lebih dikenal dengan nama R-16 yang beroperasi dari tahun 1961-1976 tersebut memiliki jangkauan sampai dengan 13.000 KM dan mampu membawa senjata termo nuklir. Kalau SS7 di dunia militer menjadi senjata yang menakutkan di tahun 1970-an, ada SS7 lain yang tidak kalah menakutkan dan celakanya ia menjadi momok yang menakutkan bagi para pengguna smartphone karena mampu membocorkan informasi seperti lokasi, SMS, data atau percakapan telepon dari pengguna seluler tanpa mampu di cegah oleh pemiliknya. Celakanya lagi sistem pengamanan transaksi finansial TFA Two Factor Authenticator banyak yang memanfaatkan jaringan seluler sebagai tulang punggung penyebaran OTP One Time Password yang digunakan untuk menyetujui transaksi finansial seperti mengotorisasi transfer dana dan transaksi finansial lainnya dalam internet banking atau menyetujui transaksi pembelian dalam kartu kredit melalui jaringan USSD.

Signaling System 7

SS7 atau Signaling System 7 adalah protokol perintis di dunia seluler yang digunakan sejak tahun 1980 dan menjadi tulang punggung jaringan telekomunikasi antar penyedia layanan komunikasi dunia. Seperti protokol perintis lainnya, SS7 dirancang tanpa terlalu memperhatikan aspek sekuriti, dimana konsep otentikasi dan otorisasi kurang diperhatikan. Selama ini pengamanan komunikasi SS7 antar provider mengandalkan pada jaringan yang tertutup antar penyedia layanan komunikasi dan kepercayaan antar peyedia layanan jasa seluler. Jadi antar penyedia layanan seluler mempercayai bahwa penyedia layanan seluler lain akan bermain sesuai dengan aturan yang telah ditetapkan tanpa dapat melakukan kontrol.
Yang menjadi masalah adalah saat ini jaringan SS7 bukan jaringan tidak tertutup lagi dan penyedia layanan seluler membuka akses ke jaringan SS7 kepada pihak ketiga sebagai bagian dari layanan komersial mereka guna meningkatkan pendapatan perusahaan.
Lebih celaka lagi, praktisi sekuriti membuktikan bahwa mereka bisa melakukan eksploitasi yang menyebabkan ancaman pada privasi pengguna layanan seperti melacak lokasi pengguna, Ddos layanan seluler, penyadapan SMS dan panggilan telepon.
Sebenarnya, trafik komunikasi seluler sudah diamankan dengan enkripsi yang cukup kuat, namun dengan akses ke jaringan SS7, kunci dekripsi dapat diminta dengan perintah khusus [kirim-Identifikasi] dan digunakan untuk mendekrip informasi yang diinginkan atau menggunakan perintah [kirim-Informasi-Otentikasi] pada jaringan 3G yang membutuhkan otentikasi untuk menyaru sebagai jaringan yang sah, lagi-lagi melalui akses ke jaringan SS7.
Untuk menyadap pesan SMS, perintah yang digunakan adalah [update-Lokasi] dimana penyerang mengirimkan otentikasi palsu ke jaringan provider asal nomor yang ingin disadap sehingga semua SMS yang harusnya diterima nomor yang disadap akan dialihkan ke nomor lain yang telah dipersiapkan. Serangan inilah yang mematahkan perlindungan otentikasi TFA OTP internet banking dan mobile banking dan menjadi sebab mengapa perlindungan TFA OTP berbasis SMS tidak disarankan dan lebih lemah dibandingkan kalkulator token atau apps token.
Lalu bagaimana dengan protokol USSD Unstructure Supplementary Service Data ? Sebenarnya USSD adalah protokol internal yang pada awalnya digunakan untuk keperluan internal provider untuk memberikan layanan tambahan seperti transfer kredit, pembayaran mobil dan layanan tambahan internal lainnya seperti *888# untuk mengecek sisa pulsa atau tagihan terakhir. Namun karena alasan tertentu, operator membuka akses untuk menerima pesan USSD dari luar jaringan dengan tujuan pengguna roaming dari provider lain di luar negeri membutuhkan akses pada layanan ini dan sekali lagi dengan perintah USSD yang tepat, penyerang dapat menyadap pesan USSD sehingga kode otorisasi persetujuan transaksi OTP One Time Password kartu kredit melalui USSD ini secara teknis akan diketahui oleh pihak penyerang.

Seberapa parah ancaman SS7 ?
Sebenarnya kelemahan SS7 ini sudah dikumandangkan oleh pegiat sekuriti sejak tahun 2014 dan Indonesia termasuk ke dalam negara yang memiliki resiko ancaman kerentanan SS7 yang sangat tinggi yaitu 143 dari 164 negara di dunia berdasarkan pengetesan yang dilakukan oleh Priority 1 Security pada tanggal 24 Desember 2014 (lihat gambar)
Image

Indonesia termasuk ke dalam negara dengan tingkat resiko keamanan SS7 yang sangat tinggi (merah)

Lalu, apakah ancaman ini hanya ada di atas kertas dan hanya pekerjaan para pelaku sekuriti yang menakut-nakuti para pengguna layanan telekomunikasi dan finansial ?
Kabar buruknya, pada bulan April 2017 kriminal di Jerman sudah berhasil menguras habis uang dari rekening bank di Jerman dan mengirimkannya ke rekening penampung yang telah dipersiapkan. Penyedia layanan telekomunikasi Jerman O2 – Telefonica mengkonfirmasikan insiden tersebut.
Dalam menjalankan aksinya, kriminal melakukan dalam dua langkah dimana awalnya mereka akan mengumpulkan data yang diperlukan seperti nomor rekening, kata kunci dan nomor telepon pemilik rekening. Untuk mendapatkan kata kunci digunakan beberapa teknik seperti mengirimkan email phishing atau memanfaatkan jaringan botnet yang sudah melakukan aksinya mencuri kredensial (username dan password) internet banking. Setelah mendapatkan kredensial, mereka akan melakukan pengecekan akun-akun mana saja yang memiliki dana besar dan menjadi incaran mereka. Setelah berhasil mendapatkan akun sasaran dengan dana yang besar dan mendapatkan nomor telepon yang digunakan untuk menerima OTP maka kriminal akan mengeksploitasi kelemahan SS7 guna mengalihkan SMS pengiriman OTP yang akan digunakan untuk otorisasi transfer dana. Biasanya aktivitas kriminal ini akan dilakukan pada saat libur panjang / akhir minggu dengan tujuan supaya pihak IT bank yang berjaga lebih sedikit dan waktu respon terhadap insiden yang lebih lama.

Apa yang harus dilakukan ?
Belajar dari kasus di Jerman, keterbukaan informasi membuka mata masyarakat terhadap ancaman bahwa pengamanan TFA OTP melalui jaringan operator seluler kurang aman. Industri keuangan cenderung tertutup dan menutupi insiden pembobolan bank karena khawatir masyarakat yang panik dan melakukan penarikan dana dari bank. Namun tidak mengkomunikasikan ancaman atas kelemahan pengamanan tanpa aksi pengamanan yang tepat malah berpotensi memberikan ancaman kerugian lebih besar karena masyarakat tidak sadar akan adanya ancaman. Sebenarnya kelemahan bukan pada TFA atau OTP melainkan pada jaringan seluler yang bisa di eksploitasi. Pengamanan TFA OTP sendiri berbasis Token atau aplikasi Smartphone masih relatif aman dan tidak terpengaruh oleh kerentanan SS7 karena berada di luar jaringan operator.
Karena itu, penulis menyarankan para pengguna TFA OTP internet banking berbasis jaringan seluler baik SMS maupun USSD untuk berhati-hati terhadap serangan. Secara teknis, karena kelemahan SS7 bisa digunakan untuk mengeksploitasi data dan suara seluler, layanan pengamanan keuangan berbasis seluler seperti mBanking juga rentan terhadap serangan atau eksploitasi dan pengguna mBanking juga disarankan untuk berhati-hati terhadap serangan. Dibandingkan TFA OTP berbasis jaringan seluler, lebih aman menggunakan layanan perbankan berbasis Token fisik atau aplikasi token pada smartphone.

Lalu, selain pengguna layanan perbankan yang berhati-hati, adakah mitigasi yang dapat dilakukan oleh pihak perbankan dan penyedia layanan seluler ?
Pihak perbankan disarankan untuk mengevaluasi dengan baik pengamanan otorisasi transaksi dan prinsip dasarnya adalah melibatkan sesedikit mungkin pihak yang terlibat dalam pengiriman OTP. Sebagai contoh OTP Token fisik lebih aman dari OTP SMS karena OTP Token tidak melibatkan pihak ketiga (provider telekomunikasi).
Sedangkan untuk provider telekomunikasi bisa melakukan beberapa pencegahan seperti memblok perintah call forwarding dan SMS forwarding pelanggannya untuk mencegah eksploitasi dan teknik pengamanan sekuriti lain yang diperlukan untuk mengamankan kelemahan SS7.

Sumber: vaksincom

Image

Forum Kawanua - https://www.kawanua.id
Forum tampa kawanua bacirita, baku beking pande, curhat, deng laeng laeng.

Kontak Admin

Link:
BBcode:
HTML:
Hide post links
Show post links

Post Reply