Caller ID Spoofing e violazione della privacy
-
Upload
salvatore-saeli -
Category
Presentations & Public Speaking
-
view
127 -
download
0
Transcript of Caller ID Spoofing e violazione della privacy
Caller ID
Il termine Caller ID viene utilizzato in telefonia per identificare il numero telefonico dell'utente chiamante
L'informazione contenuta nel Caller ID è soggetta a spoofing!
lunedì 30 giugno 2014
Caller ID Spoofing: cenni storici
La nascita del Caller ID Spoofing è da fare coincidere con la creazione del concetto di Caller ID number (fine ’80)
Per oltre un decennio, lo Spoofing del Caller ID infatti veniva utilizzato dalle imprese quale strumento per poter fruire di linee telefoniche aventi tutte il medesimo numero di telefono a fronte però dell’accesso ad onerosi sistemi PRI (Primary Rate Interface)
Intorno alla fine degli anni ‘90, molte agenzie di investigazione privata si garantivano l’esclusiva d’uso delle già citate linee PRI al fine di rivenderle ad altri colleghi ed agenzie e ad un prezzo nettamente superiore, dando vita così alle c.d. “linee cieche”
lunedì 30 giugno 2014
Caller ID Spoofing: cenni storici
Questo tipo di accordi nascevano dall’esigenza di rendere fruibili ai soggetti interessati servizi di linea che garantissero l’anonimato, facendo sì che il proprio ID chiamante reale non venisse mostrato al soggetto ricevente
Contestualmente al fenomeno delle “linee cieche” prese corpo l’attività dei primi hackers telefonici mirata a dar vita ai primi tentativi di utilizzo di questo strumento per scopi privati, illegali e fraudolenti, ma ancora di carattere “artigianale” e molto spesso di scarsa efficacia
Partendo dai sopracitati primi tentativi si è innescata una repentina attività di sperimentazione (prima) e lancio commerciale (poi), di siti web e applicazioni dedicate che dal 2004 ad oggi hanno portato lo spoofing telefonico a divenire un business fiorente, oltre che a divenire un argomento molto dibattuto, in tema di privacy e difesa dell’identità personale
lunedì 30 giugno 2014
Caller ID Spoofing ai nostri giorni
Da qualche anno a questa parte, grazie anche alla diffusione delle comunicazioni che fanno uso di servizi interconnessi attraverso il VoIP, lo spoofing del caller ID è diventato alla portata di tutti
1.Spoofing Provider (SpoofCard, Telespoof… )
2.Un server Asterisk + un provider Voip che fornisca una certa libertà di configurazione e inviare chiamate con il CallerID desiderato
lunedì 30 giugno 2014
Caller ID Spoofing e la voicemail
Il Caller ID è utilizzato in alcuni casi come identificativo dell'utente chiamante per garantire l'accesso a sistemi riservati
Un esempio significativo è quello delle voicemail che permettono la telelettura dei messaggi
Caller ID Spoofing + Caller ID is automatically trusted
lunedì 30 giugno 2014
USA: il caso della voicemail di AT&T/Cingular
Hacking The next Generation (O’REILLY 2009)
Nel luglio del 2007 il ricercatore di sicurezza informatica Nitesh Dhanjani rese noto che i cellulari di AT&T/Cingular erano suscettibili allo spoofing del caller ID
Inoltre Dhanjani realizzò che era possibile accedere con i privilegi di amministratore alla voicemail di tutti gli utenti di AT&T/Cingular sfruttando la pratica dello spoofing del caller ID
lunedì 30 giugno 2014
Si basò sul fatto che accedendo alla voicemail dal proprio cellulare non era richiesto il codice d’accesso:
il sistema di autenticazione della voicemail di AT&T/Cingular si basava sul caller ID per fornire le informazioni su chi sta accedendo al menu di amministrazione della voicemail
USA: il caso della voicemail di AT&T/Cingular
lunedì 30 giugno 2014
Per testare la vulnerabilità Dhanjani creò un account su SpoofCard:
1. L’attaccante fa una chiamata dal proprio cellulare verso il numero della vittima usando SpoofCard;
2. Al momento in cui SpoofCard richiede il numero da spoofare, l’attaccante inserisce il numero della vittima
3. A questo punto la vittima riceve una chiamata dal proprio numero di cellulare; se la vittima non risponde l’attaccante ottiene l’accesso con i diritti di amministratore alla voicemail (ascolto e cancellazione dei messaggi, modifica del codice d’accesso ...)
USA: il caso della voicemail di AT&T/Cingular
lunedì 30 giugno 2014
Contromisure
attivare dalle impostazioni personali della voicemail l’utilizzo del codice d’accesso in modo tale che questo venga richiesto anche accedendovi dal proprio cellulare
Tracciabilità
1. Il flusso di chiamate consente di risalire all’attaccante in caso in cui si abbia evidenza che sia stato compiuto un illecito;
2. L’attaccante deve avere l’abilità di cogliere la vittima alla sprovvista in modo tale che questa non risponda alla chiamata e quindi che l’attacco vada a buon fine;
USA: il caso della voicemail di AT&T/Cingular
lunedì 30 giugno 2014
From the company’s blog ( 5 Aug. 2011)
Today, customers have the option and are strongly encouraged to password-protect access to their wireless voicemail. Beginning August 5, voicemail accounts for new customers, those who change phone numbers, upgrade to Visual Voice Mail, or create a new voicemail box will default to a password required setting to check voicemail from their wireless or any other device.
Although AT&T strongly recommends using a password, customers want a choice. Customers may opt out of using a password, but only after the initial password is established and they affirmatively turn off the password feature from the main menu.
AT&T says it is changing its voicemail password policy
lunedì 30 giugno 2014
Articoli web sulle voicemail degli operatori telefonici statunintensi vulnerabili (T-Mobile, Sprint....)
Script per asterisk che permette, chiamando un numero registrato sul pbx, di digitare il numero dal quale si vuole far partire la telefonata, il numero da chiamare e poi far partire la chiamata con il callerID 'spoofato'
Casi di gossip di intercettazione della voicemail (Paris Hilton, giornalisti.. )
Stato dell’arte
lunedì 30 giugno 2014
Le domande cui si tenterà di rispondere sono le seguenti:
E’ possibile eseguire un attacco del genere in Italia?
Esiste un modo per rendere l’attacco non tracciabile e invisibile alla vittima?
Italia: nessuno ne parla!?
Il caso della voicemail di WIND
Il caso Digilab del 2007 (Sky Tg 24 e PuntoInformatico)
“Il sistema telefonico permette di falsificare il mittente di una chiamata”
..............
lunedì 30 giugno 2014
Codice d’accesso
il codice d’accesso è richiesto solamente nel caso in cui si tenti di ascoltare i messaggi da un altro telefono o dall’estero
Modalità d’accesso
1. Da un cellulare Wind occorre digitare il 4200
2. Da un altro telefono (escluso TIM) occorre digitare il 323 2054200
Caratteristiche della voicemail di Wind
Da un cellulare Wind utilizzando la modalità 2 si ottiene il medesimo effetto che si ha utilizzando la modalità 1
lunedì 30 giugno 2014
Deposito Diretto
Viene illustrato come lasciare un messaggio nella voicemail senza fare squillare il telefono della persona interessata anteponendo il prefisso 32 al numero di cellulare.
Caratteristiche della voicemail di Wind
Da un cellulare Wind digitando il proprio numero di cellulare anteponendo il prefisso 32 si ottiene il medesimo effetto che si ha utilizzando la modalità 1
lunedì 30 giugno 2014
Ripilogando....
Da un cellulare Wind è possibile accedere al menù di amministrazione della voicemail nei seguenti modi:
1. digitando 4200
2. digitando 323 2054200
3. digitando 32 [proprio numero di cellulare]
Condizioni verificate
1. il codice d’accesso è richiesto solo per l’ascolto della voicemail da un altro telefono
2. il sistema di autenticazione della voicemail per l’accesso al menù di amministrazione si basa sul caller ID
Caratteristiche della voicemail di Wind
lunedì 30 giugno 2014
Creando un account su Skype è possibile acquistare del credito per effettuare delle chiamate verso telefoni fissi e cellulari
Di default, chiamando un telefono fisso o cellulare non verrà visualizzato alcun numero sul telefono dell'altra persona, a meno che non venga impostato l'ID chiamante
Chiamare da Skype impostando l’ID chiamante
lunedì 30 giugno 2014
Utilizzando gli elementi raccolti fino ad ora e impostando l’ID chiamante di Skype con il proprio numero di cellulare Wind è possibile configurare l’attacco proposto da Dhanjani in due varianti
Variante 1: Attacco tracciabile
Variante 2: Attacco non tracciabile
Proof Of Concept
lunedì 30 giugno 2014
VARIANTE 1: attacco in 3 step
1.Effettuare una chiamata verso il proprio numero di cellulare usando Skype;
2.Al momento in cui si riceve la chiamata sul cellulare attendere che a rispondere sia la voicemail;
3. Si ottiene l’accesso al menù di amministrazione della propria voicemail da Skype!
Proof Of Concept
lunedì 30 giugno 2014
VARIANTE 1: attacco in 2 step
1.Effettuare una chiamata verso il 323 2054200 o verso il 32 [proprio numero di cellulare] usando Skype;
2. Si ottiene l’accesso al menu di amministrazione della propria voicemail da Skype!
Proof Of Concept
lunedì 30 giugno 2014
Wind non permette in alcun modo di attivare l’utilizzo del codice d’accesso in modo tale che questo venga richiesto anche accedendo dal proprio cellulare
Wind lascia alla totale discrezione dell’utente la modifica del codice d’accesso e quindi la protezione della privacy della voicemail
“Il codice d'accesso garantisce la riservatezza dei tuoi messaggi e li protegge da ascolti indesiderati, ti suggeriamo perciò di modificarlo e memorizzarlo”
➡ la voicemail di Wind è accessibile da qualunque telefono digitando il 323 2054200 nel caso in cui non si modifichi il codice d’accesso standard!
Contromisure??
lunedì 30 giugno 2014
Nella pagina di Vodafone dedicata al servizio di segreteria telefonica, nella sezione Domande Frequenti, viene espressamente indicato che non è possibile accedere alla propria voicemail da un altro telefono finché non viene modificato il codice d’accesso iniziale.
L’esempio di Vodafone
lunedì 30 giugno 2014
http://www.andreafortuna.org/2007/05/digilab-e-spoofing-telefonico-la_26.html
http://www.dhanjani.com/blog/2007/07/iphone-users-at.html
http://www.wnyc.org/story/147043-hacking-voicemails-scary-easy-i-did-it/
http://www.cnet.com/news/kevin-mitnick-shows-how-easy-it-is-to-hack-a-phone/
http://ianhsutherland.com/2013/05/12/is-your-mobile-phone-voicemail-wide-open/
https://apps.fcc.gov/edocs_public/attachmatch/FCC-11-100A1.pdf
http://www.comparazionedirittocivile.it/prova/files/codiglione_spoofing.pdf
Riferimenti
lunedì 30 giugno 2014