kebetulan dalam 2 tahun terakhir saya ditugaskan untuk 'menjaga' flaw ini .. memang benar lubang ini ada .. dan sepertinya akan sulit untuk ditutup, karena untuk menutupnya butuh perubahan protokol, yang berarti investasi dan distrupsi layanan, utamanya layanan yg berhubungan dengan koneksi antar operator.
tapi ada metode-metode untuk me-mitigasi ancaman ini .. semua serangan yang mempergunakan flaw ini membutuhkan informasi nomor IMSI dari korban. Normalnya nomor IMSI bukanlah informasi publik, ini adalah informasi internal operator. memang ada cara untuk melakukan konversi nomor telepon (yg biasa diketahui publik) dengan nomor IMSI dan inilah titik awal serangan, tapi untungnya, metode-metode ini bukanlah bagian dari standard komunikasi antar operator, jadi operator bisa menutup metode ini tanpa menganggu layanan apapun. lalu bagaimana jika nomor IMSI-nya sudah diketahui ? saat ini mulai dikembangkan produk-produk yang memberikan perlindungan extra. memang tidak bisa menutup lubang yang ada, tapi setidaknya mempersulit serangan. jadi operator-operator sekarang sedang berlari berusaha memperbaiki jaringan .. apa yang bisa dilakukan bank ? menurut saya, sudah saatnya bank yang masih mempergunakan sms untuk TFA, ganti ke metode lain. On Wed, 14 Jun 2017 at 12:30 Eko Prasetiyo <ekopraset...@gmail.com> wrote: > ---------- Forwarded message ---------- > From: "alf...@vaksin.com [vaksin]" <vaksin-nore...@yahoogroups.com> > Date: Jun 14, 2017 5:23 PM > Subject: [vaksin.com] SS7 flaw kill TFA Seluler Senjakala Pengamanan TFA > Seluler > To: <vak...@yahoogroups.com> > Cc: > > > > https://www.vaksin.com/0617-ss7-exploit-celular > > > SS7 flaw kill TFA Seluler > > Senjakala Pengamanan TFA Seluler > > SS7 di masa perang dingin adalah senjata nuklir pemusnah massal produksi > Uni Soviet yang cukup ditakuti Amerika Serikat. Jelas menakutkan karena SS7 > atau lebih dikenal dengan nama R-16 yang beroperasi dari tahun 1961-1976 > tersebut memiliki jangkauan sampai dengan 13.000 KM dan mampu membawa > senjata termo nuklir. Kalau SS7 di dunia militer menjadi senjata yang > menakutkan di tahun 1970-an, ada SS7 lain yang tidak kalah menakutkan dan > celakanya ia menjadi momok yang menakutkan bagi para pengguna smartphone > karena mampu membocorkan informasi seperti lokasi, SMS, data atau > percakapan telepon dari pengguna seluler tanpa mampu di cegah oleh > pemiliknya. Celakanya lagi sistem pengamanan transaksi finansial TFA Two > Factor Authenticator banyak yang memanfaatkan jaringan seluler sebagai > tulang punggung penyebaran OTP One Time Password yang digunakan untuk > menyetujui transaksi finansial seperti mengotorisasi transfer dana dan > transaksi finansial lainnya dalam internet banking atau menyetujui > transaksi pembelian dalam kartu kredit melalui jaringan USSD. > > Signaling System 7 > > > SS7 atau Signaling System 7 adalah protokol perintis di dunia seluler yang > digunakan sejak tahun 1980 dan menjadi tulang punggung jaringan > telekomunikasi antar penyedia layanan komunikasi dunia. Seperti protokol > perintis lainnya, SS7 dirancang tanpa terlalu memperhatikan aspek sekuriti, > dimana konsep otentikasi dan otorisasi kurang diperhatikan. Selama ini > pengamanan komunikasi SS7 antar provider mengandalkan pada jaringan yang > tertutup antar penyedia layanan komunikasi dan kepercayaan antar peyedia > layanan jasa seluler. Jadi antar penyedia layanan seluler mempercayai bahwa > penyedia layanan seluler lain akan bermain sesuai dengan aturan yang telah > ditetapkan tanpa dapat melakukan kontrol. > > Yang menjadi masalah adalah saat ini jaringan SS7 bukan jaringan tidak > tertutup lagi dan penyedia layanan seluler membuka akses ke jaringan SS7 > kepada pihak ketiga sebagai bagian dari layanan komersial mereka guna > meningkatkan pendapatan perusahaan. > > Lebih celaka lagi, praktisi sekuriti membuktikan bahwa mereka bisa > melakukan eksploitasi yang menyebabkan ancaman pada privasi pengguna > layanan seperti melacak lokasi pengguna, Ddos layanan seluler, penyadapan > SMS dan panggilan telepon. > > Sebenarnya, trafik komunikasi seluler sudah diamankan dengan enkripsi yang > cukup kuat, namun dengan akses ke jaringan SS7, kunci dekripsi dapat > diminta dengan perintah khusus [kirim-Identifikasi] dan digunakan untuk > mendekrip informasi yang diinginkan atau menggunakan perintah > [kirim-Informasi-Otentikasi] pada jaringan 3G yang membutuhkan otentikasi > untuk menyaru sebagai jaringan yang sah, lagi-lagi melalui akses ke > jaringan SS7. > > Untuk menyadap pesan SMS, perintah yang digunakan adalah [update-Lokasi] > dimana penyerang mengirimkan otentikasi palsu ke jaringan provider asal > nomor yang ingin disadap sehingga semua SMS yang harusnya diterima nomor > yang disadap akan dialihkan ke nomor lain yang telah dipersiapkan. Serangan > inilah yang mematahkan perlindungan otentikasi TFA OTP internet banking dan > mobile banking dan menjadi sebab mengapa perlindungan TFA OTP berbasis SMS > tidak disarankan dan lebih lemah dibandingkan kalkulator token atau apps > token. > > Lalu bagaimana dengan protokol USSD Unstructure Supplementary Service Data > ? Sebenarnya USSD adalah protokol internal yang pada awalnya digunakan > untuk keperluan internal provider untuk memberikan layanan tambahan seperti > transfer kredit, pembayaran mobil dan layanan tambahan internal lainnya > seperti *888# untuk mengecek sisa pulsa atau tagihan terakhir. Namun karena > alasan tertentu, operator membuka akses untuk menerima pesan USSD dari luar > jaringan dengan tujuan pengguna roaming dari provider lain di luar negeri > membutuhkan akses pada layanan ini dan sekali lagi dengan perintah USSD > yang tepat, penyerang dapat menyadap pesan USSD sehingga kode otorisasi > persetujuan transaksi OTP One Time Password kartu kredit melalui USSD ini > secara teknis akan diketahui oleh pihak penyerang. > > > Seberapa parah ancaman SS7 ? > > Sebenarnya kelemahan SS7 ini sudah dikumandangkan oleh pegiat sekuriti > sejak tahun 2014 dan Indonesia termasuk ke dalam negara yang memiliki > resiko ancaman kerentanan SS7 yang sangat tinggi yaitu 143 dari 164 negara > di dunia berdasarkan pengetesan yang dilakukan oleh Priority 1 Security > pada tanggal 24 Desember 2014 (lihat gambar) > > Gambar 1, Indonesia termasuk ke dalam negara dengan tingkat resiko > keamanan SS7 yang sangat tinggi (merah) > > Indonesia termasuk ke dalam negara dengan tingkat resiko keamanan SS7 yang > sangat tinggi (merah) > > > Lalu, apakah ancaman ini hanya ada di atas kertas dan hanya pekerjaan para > pelaku sekuriti yang menakut-nakuti para pengguna layanan telekomunikasi > dan finansial ? > > Kabar buruknya, pada bulan April 2017 kriminal di Jerman sudah berhasil > menguras habis uang dari rekening bank di Jerman dan mengirimkannya ke > rekening penampung yang telah dipersiapkan. Penyedia layanan telekomunikasi > Jerman O2 – Telefonica mengkonfirmasikan insiden tersebut. > > Dalam menjalankan aksinya, kriminal melakukan dalam dua langkah dimana > awalnya mereka akan mengumpulkan data yang diperlukan seperti nomor > rekening, kata kunci dan nomor telepon pemilik rekening. Untuk mendapatkan > kata kunci digunakan beberapa teknik seperti mengirimkan email phishing > atau memanfaatkan jaringan botnet yang sudah melakukan aksinya mencuri > kredensial (username dan password) internet banking. Setelah mendapatkan > kredensial, mereka akan melakukan pengecekan akun-akun mana saja yang > memiliki dana besar dan menjadi incaran mereka. Setelah berhasil > mendapatkan akun sasaran dengan dana yang besar dan mendapatkan nomor > telepon yang digunakan untuk menerima OTP maka kriminal akan > mengeksploitasi kelemahan SS7 guna mengalihkan SMS pengiriman OTP yang akan > digunakan untuk otorisasi transfer dana. Biasanya aktivitas kriminal ini > akan dilakukan pada saat libur panjang / akhir minggu dengan tujuan supaya > pihak IT bank yang berjaga lebih sedikit dan waktu respon terhadap insiden > yang lebih lama. > > > Apa > __._,_.___ > ------------------------------ > Posted by: alf...@vaksin.com > ------------------------------ > Reply via web post > <https://groups.yahoo.com/neo/groups/vaksin/conversations/messages/1032;_ylc=X3oDMTJwbmllbTFkBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BG1zZ0lkAzEwMzIEc2VjA2Z0cgRzbGsDcnBseQRzdGltZQMxNDk3NDM1ODA0?act=reply&messageNum=1032> > • Reply to sender > <alf...@vaksin.com?subject=Re%3A%20SS7%20flaw%20kill%20TFA%20Seluler%20Senjakala%20Pengamanan%20TFA%20Seluler> > • Reply to group > <vak...@yahoogroups.com?subject=Re%3A%20SS7%20flaw%20kill%20TFA%20Seluler%20Senjakala%20Pengamanan%20TFA%20Seluler> > • Start a New Topic > <https://groups.yahoo.com/neo/groups/vaksin/conversations/newtopic;_ylc=X3oDMTJlbGQ1bTcxBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwNmdHIEc2xrA250cGMEc3RpbWUDMTQ5NzQzNTgwNA--> > • Messages in this topic > <https://groups.yahoo.com/neo/groups/vaksin/conversations/topics/1032;_ylc=X3oDMTM0Z290dDRlBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BG1zZ0lkAzEwMzIEc2VjA2Z0cgRzbGsDdnRwYwRzdGltZQMxNDk3NDM1ODA0BHRwY0lkAzEwMzI-> > (1) > ------------------------------ > Have you tried the highest rated email app? <https://yho.com/1wwmgg> > With 4.5 stars in iTunes, the Yahoo Mail app is the highest rated email > app on the market. What are you waiting for? Now you can access all your > inboxes (Gmail, Outlook, AOL and more) in one place. Never delete an email > again with 1000GB of free cloud storage. > ------------------------------ > Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan > melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya > apapun. > Silahkan email ke i...@vaksin.com untuk mendapatkan informasi detail > layanan PT. Vaksincom. > Visit Your Group > <https://groups.yahoo.com/neo/groups/vaksin/info;_ylc=X3oDMTJldXF2YWhqBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwN2dGwEc2xrA3ZnaHAEc3RpbWUDMTQ5NzQzNTgwNA--> > > > [image: Yahoo! Groups] > <https://groups.yahoo.com/neo;_ylc=X3oDMTJkYTlqZ2hxBF9TAzk3NDc2NTkwBGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwNmdHIEc2xrA2dmcARzdGltZQMxNDk3NDM1ODA0> > • Privacy <https://info.yahoo.com/privacy/us/yahoo/groups/details.html> • > Unsubscribe <vaksin-unsubscr...@yahoogroups.com?subject=Unsubscribe> • Terms > of Use <https://info.yahoo.com/legal/us/yahoo/utos/terms/> > > . > > __,_._,___ > > -- > =========== > Install #MyTelkomsel Apps Terbaru dari Play Store > https://play.google.com/store/apps/details?id=com.telkomsel.telkomselcm > > --------------------- > Toko Headphone & Earphone Terlengkap dan Terbaru > Kunjungi >> http://bassaudio.net > ---------------------- > Kontak Admin, Twitter @agushamonangan > ----------------------- > FB Groups : https://www.facebook.com/groups/android.or.id > > Aturan Umum ID-ANDROID >> goo.gl/mL1mBT > > ========== > --- > Anda menerima pesan ini karena berlangganan grup "[id-android] Indonesian > Android Community" di Google Grup. > Untuk berhenti berlangganan dan berhenti menerima email dari grup ini, > kirim email ke id-android+unsubscr...@googlegroups.com. > Kunjungi grup ini di https://groups.google.com/group/id-android. > -- =========== Install #MyTelkomsel Apps Terbaru dari Play Store https://play.google.com/store/apps/details?id=com.telkomsel.telkomselcm --------------------- Toko Headphone & Earphone Terlengkap dan Terbaru Kunjungi >> http://bassaudio.net ---------------------- Kontak Admin, Twitter @agushamonangan ----------------------- FB Groups : https://www.facebook.com/groups/android.or.id Aturan Umum ID-ANDROID >> goo.gl/mL1mBT ========== --- Anda menerima pesan ini karena Anda berlangganan grup "[id-android] Indonesian Android Community" dari Google Grup. Untuk berhenti berlangganan dan berhenti menerima email dari grup ini, kirim email ke id-android+unsubscr...@googlegroups.com. Kunjungi grup ini di https://groups.google.com/group/id-android.
