Dua peneliti mengatakan mereka telah menemukan cara untuk mengeksploitasi kelemahan dalam sistem telekomunikasi mobile untuk secara hukum memata-matai orang dengan memikirkan nomor telepon seluler pribadi dari siapa pun yang mereka inginkan, pelacakan keberadaan mereka, dan mendengarkan voice mail mereka.
Peneliti keamanan Independen Nick DePetrillo dan Don Bailey, seorang konsultan keamanan dengan iSec Partners, direncanakan untuk memberikan rincian bicara berjudul "We Found Carmen San Diego" pada konferensi keamanan Source Boston pada hari Rabu, 21 April 2010.
"Ada banyak telur yang rapuh dalam industri telekomunikasi dan mereka dapat dibatalkan," kata Bailey dalam sebuah wawancara dengan CNET. "Kami menganggap industri telekomunikasi melindungi privasi kami. Tapi kami telah mampu memecahkan telur dan potongan mereka bersama-sama.."
Bagian pertama dari operasi ini untuk mendapatkan nomor ponsel target dari database publik yang menghubungkan nama ke nomor-nomor untuk tujuan ID pemanggil. DePetrillo menggunakan software open source PBX untuk menipu ID pemanggil keluar dan kemudian telepon otomatis panggilan untuk dirinya sendiri, memicu sistem untuk memaksa pencarian nama.
"Kami log informasi dan mengasosiasikannya dengan nomor telepon dalam database (caller ID)," kata DePetrillo. "Kami menciptakan perangkat lunak yang iterates melalui angka-angka dan dapat menjelajah seluruh database telepon di Amerika Serikat dalam beberapa minggu ... Kita telah melakukan di seluruh kota dan menarik ribuan catatan."
"Ini tidak ilegal, juga bukan pelanggaran persyaratan layanan," kata Bailey.
Berikutnya adalah pencocokan nomor telepon dengan lokasi geografis. SS7 (Signaling System) masyarakat beralih rute jaringan telepon di seluruh dunia dan menggunakan apa yang disebut dengan Home Location Register untuk log keberadaan nomor sehingga jaringan bisa menyerahkan panggilan ke satu sama lain, kata DePetrillo. Telepon Individu terdaftar ke pusat-pusat mobile switching dalam wilayah geografis tertentu dan mereka log in ke yang mendaftar utama, katanya.
Hanya penyedia telekomunikasi yang seharusnya memiliki akses ke lokasi yang mendaftar, tetapi telcos kecil di Uni Eropa menawarkan akses online kesana dengan biaya, terutama untuk perusahaan-perusahaan menggunakannya untuk data pemasaran dan proyeksi biaya, kata DePetrillo.
"Menggunakan penelitian sebelumnya pada subjek sebagai titik awal, kami mengembangkan cara untuk peta ini nomor ponsel beralih ke pemanggil ID pusat informasi untuk menentukan apa yang dalam kota dan bahkan apa bagian dari nomor telepon kota ". "Saya bisa melihat nomor telepon yang berbeda . Jika aku tahu nomor telepon Anda, saya dapat melacak keberadaan Anda secara global.."
Misalnya, para peneliti mampu melacak seorang wartawan Jerman berbicara dengan seorang informan rahasia di Serbia dan mengikuti perjalanan kembali ke Jerman, serta mendapatkan informan nomor telepon, kata Bailey.
Bailey mengatakan dia telah menghubungi penyedia layanan telekomunikasi dengan informasi tentang bagaimana industri luar bisa mendapatkan informasi diyakini memiliki hak istimewa untuk penyedia layanan.
"Serangan itu didasarkan pada asumsi tentang bagaimana jaringan kerja di seluruh dunia," katanya. "Untuk interoperabilitas rekan, penyedia layanan yang lebih besar di Amerika Serikat harus menyerahkan informasi ke provider lain."
Ditanyakan apa pengguna telepon seluler dapat lakukan untuk melindungi diri mereka sendiri, Bailey mengatakan, "orang hanya akan harus dibuat sadar akan ancaman."
Ini juga relatif mudah untuk mengakses voice mail orang lain, sebuah layanan yang sudah ada selama bertahun-tahun dari penyedia seperti SlyDial. Mereka beroperasi dengan membuat dua panggilan hampir simultan ke nomor target, salah satu yang memutus hubungan sebelum mengambil dan lain yang langsung masuk ke voice mail karena panggilan sebelumnya. Hal ini memungkinkan penelpon untuk langsung ke pesan suara tanpa dering telepon. DePetrillo dan Bailey diciptakan kembali bahwa fungsi untuk tujuan skenario mereka memata-matai hukum.
"Jika saya ingin menemukan Brad Pitt, saya menemukan nomor dengan menggunakan pemanggil ID database, gunakan Home Location Register akses untuk mencari tahu apa operator dia. T-Mobile rentan terhadap suara spoofing mail jadi aku masuk ke voice mail dan mendengarkan pesan nya, "kata DePetrillo. "Tapi saya juga bisa memiliki sistem mengatakan jumlah penelepon dan aku bisa mengambil angka-angka dan mencari mereka di caller ID database dan menggunakan sistem Location Register System untuk menemukan penyedia dan masuk ke kotak suara ".
Hal ini dapat memungkinkan seseorang untuk membuat web sosial masyarakat, nomor seluler mereka, konteks surat suara mereka, dan hubungan mereka kepada orang lain, ujarnya.
"Serangan skenario ini berlaku untuk perusahaan dan pengguna individu sama, "kata DePetrillo" Korporasi khusus harus mulai untuk melihat pada kebijakan keamanan mereka untuk eksekutif karena hal ini dapat berdampak pada bisnis yang sangat keras, dengan insider trading, pelacakan para eksekutif, dll. "
Sumber : CNET News
Elinor Mills. Dia bergabung CNET News pada tahun 2005 setelah bekerja sebagai koresponden asing untuk Reuters di Portugal dan menulis untuk Standar Industri, dengan IDG News Service, dan Associated Press. 
Tidak ada komentar:
Posting Komentar