Δεν είναι συχνά ότι κάποιος από εμάς χρειάζεται να καλέσει το 911, αλλά γνωρίζουμε πόσο σημαντικό είναι να λειτουργεί όταν το χρειάζεται. Είναι ζωτικής σημασίας οι υπηρεσίες 911 να είναι πάντα διαθέσιμες - τόσο για την πρακτικότητα της ανταπόκρισης σε καταστάσεις έκτακτης ανάγκης όσο και για να προσφέρουν στους ανθρώπους ηρεμία. Αλλά εμφανίστηκε ένας νέος τύπος επίθεσης που μπορεί νοκ άουτ πρόσβασης 911 - η έρευνά μας εξηγεί πώς αυτές οι επιθέσεις συμβαίνουν ως αποτέλεσμα των συστημάτων ευπάθειες. Δείχνουμε ότι αυτές οι επιθέσεις μπορούν να δημιουργήσουν εξαιρετικά σοβαρές επιπτώσεις για τη δημόσια ασφάλεια.
Τα τελευταία χρόνια, οι άνθρωποι έχουν συνειδητοποιήσει περισσότερο έναν τύπο κυβερνοεπίθεσης που ονομάζεται «άρνηση υπηρεσίας», κατά τον οποίο οι ιστότοποι κατακλύζονται από κίνηση-που συχνά δημιουργείται από πολλούς υπολογιστές που έχουν παραληφθεί από έναν χάκερ και δρουν σε συνεννόηση μεταξύ τους. Αυτό συμβαίνει όλη την ώρα, και έχει επηρεάσει την κίνηση προς χρηματοπιστωτικά ιδρύματα, εταιρείες ψυχαγωγίας, κυβερνητικούς οργανισμούς και ακόμη βασικές υπηρεσίες δρομολόγησης Διαδικτύου.
Μια παρόμοια επίθεση είναι δυνατή σε 911 τηλεφωνικά κέντρα. Τον Οκτώβριο, αυτό που φαίνεται να είναι το η πρώτη τέτοια επίθεση που εκτοξεύτηκε από smartphone έγινε στην Αριζόνα. Ένα Συνελήφθη 18χρονος χάκερ με την κατηγορία ότι διεξήγαγε τηλεφωνική επίθεση άρνησης υπηρεσίας σε τοπική υπηρεσία 911. Για να αποτρέψουμε αυτό να συμβεί σε περισσότερα μέρη, πρέπει να καταλάβουμε πώς λειτουργούν τα συστήματα 911 και πού βρίσκονται οι αδυναμίες, τόσο στην τεχνολογία όσο και στην πολιτική.
Κατανόηση της άρνησης υπηρεσίας
Τα δίκτυα υπολογιστών έχουν όρια χωρητικότητας - μπορούν να χειριστούν μόνο τόση κίνηση, τόσες πολλές συνδέσεις, ταυτόχρονα. Εάν υπερφορτωθούν, οι νέες συνδέσεις δεν μπορούν να περάσουν. Το ίδιο συμβαίνει με τις τηλεφωνικές γραμμές - οι οποίες είναι ως επί το πλείστον συνδέσεις δικτύου υπολογιστών ούτως ή άλλως.
Έτσι, εάν ένας εισβολέας καταφέρει να συνδέσει όλες τις διαθέσιμες συνδέσεις με κακόβουλη επισκεψιμότητα, καμία νόμιμη πληροφορία - όπως τακτικά άτομα που περιηγούνται σε έναν ιστότοπο ή καλεί το 911 σε πραγματική κατάσταση έκτακτης ανάγκης - δεν μπορεί να τα καταφέρει.
Αυτός ο τύπος επίθεσης γίνεται συχνότερα με τη διάδοση κακόβουλου λογισμικού σε πάρα πολλούς υπολογιστές, μολύνοντάς τους έτσι ώστε να μπορούν να ελέγχονται από απόσταση. Τα smartphone, τα οποία είναι τελικά πολύ μικροί υπολογιστές, μπορούν επίσης να παρασυρθούν με αυτόν τον τρόπο. Στη συνέχεια, ο εισβολέας μπορεί να τους πει να πλημμυρίσουν έναν συγκεκριμένο ιστότοπο ή έναν αριθμό τηλεφώνου με κίνηση, μεταφέροντάς τον αποτελεσματικά εκτός σύνδεσης.
Πολλές εταιρείες διαδικτύου έχουν λάβει σημαντικά μέτρα για να προστατευτούν από αυτού του είδους τις επιθέσεις στο διαδίκτυο. Για παράδειγμα, Google Shield είναι μια υπηρεσία που προστατεύει ειδησεογραφικούς ιστότοπους από επιθέσεις χρησιμοποιώντας το τεράστιο δίκτυο διακομιστών διαδικτύου της Google για να φιλτράρει την επιθετική κίνηση, επιτρέποντας παράλληλα μόνο νόμιμες συνδέσεις. Οι τηλεφωνικές εταιρείες, ωστόσο, δεν έχουν προβεί σε παρόμοια ενέργεια.
Διεύθυνση τηλεφωνικού συστήματος 911
Πριν από το 1968, οι αμερικανικές υπηρεσίες έκτακτης ανάγκης είχαν τοπικούς αριθμούς τηλεφώνου. Οι άνθρωποι έπρεπε κλήση συγκεκριμένων αριθμών για να φτάσετε στην πυρκαγιά, την αστυνομία ή τις υπηρεσίες ασθενοφόρων - ή θα μπορούσατε να καλέσετε "0" για τον χειριστή, ο οποίος θα μπορούσε να τους συνδέσει. Αλλά αυτό ήταν ενοχλητικό και επικίνδυνο - οι άνθρωποι δεν μπορούσαν να θυμηθούν τον σωστό αριθμό ή δεν το γνώριζαν επειδή απλώς επισκέπτονταν την περιοχή.
Το σύστημα 911 δημιουργήθηκε για να χρησιμεύσει ως ένα πιο καθολικό και αποτελεσματικό σύστημα. Όπως έχει αναπτυχθεί με την πάροδο των ετών, ένας καλούντος 911 συνδέεται με ένα εξειδικευμένο τηλεφωνικό κέντρο - το οποίο ονομάζεται σημείο απάντησης δημόσιας ασφάλειας - το οποίο είναι υπεύθυνο για τη λήψη πληροφοριών από τον καλούντα και την αποστολή των κατάλληλων υπηρεσιών έκτακτης ανάγκης.
Αυτά τα τηλεφωνικά κέντρα βρίσκονται σε κοινότητες σε όλη τη χώρα και το καθένα παρέχει υπηρεσίες σε συγκεκριμένες γεωγραφικές περιοχές. Ορισμένα εξυπηρετούν μεμονωμένες πόλεις, ενώ άλλα εξυπηρετούν ευρύτερες περιοχές, όπως κομητείες. Όταν οι τηλεφωνικοί πελάτες καλούν το 911 στα σταθερά ή στα κινητά τους τηλέφωνα, τα συστήματα των τηλεφωνικών εταιρειών πραγματοποιούν τη σύνδεση με το κατάλληλο τηλεφωνικό κέντρο.
Για να κατανοήσουμε καλύτερα πώς οι επιθέσεις άρνησης υπηρεσίας θα μπορούσαν να επηρεάσουν τα συστήματα κλήσεων 911, δημιουργήσαμε μια λεπτομερή προσομοίωση υπολογιστή της υποδομής 911 της Βόρειας Καρολίνας και μια γενική προσομοίωση ολόκληρου του συστήματος κλήσεων έκτακτης ανάγκης των ΗΠΑ.
Διερεύνηση του αντίκτυπου μιας επίθεσης
Αφού δημιουργήσαμε την προσομοίωσή μας, της επιτεθήκαμε για να μάθουμε πόσο ευάλωτη είναι. Διαπιστώσαμε ότι ήταν δυνατό να μειωθεί σημαντικά η διαθεσιμότητα της υπηρεσίας 911 με μόνο 6,000 μολυσμένα κινητά τηλέφωνα - μόλις το 0.0006 τοις εκατό του πληθυσμού της πολιτείας.
Χρησιμοποιώντας μόνο αυτόν τον σχετικά μικρό αριθμό τηλεφώνων, είναι δυνατό να αποκλείσετε αποτελεσματικά 911 κλήσεις από το 20 % των σταθερών καλούντων στη Βόρεια Καρολίνα και τους μισούς πελάτες κινητής τηλεφωνίας. Στην προσομοίωσή μας, ακόμη και άτομα που τηλεφώνησαν τέσσερις ή πέντε φορές δεν θα μπορούσαν να επικοινωνήσουν με έναν χειριστή 911 για να λάβουν βοήθεια.
Σε εθνικό επίπεδο, ένα παρόμοιο ποσοστό, που αντιπροσωπεύει μόλις 200,000 απαχθέντα smartphone, θα είχε παρόμοιο αποτέλεσμα. Αλλά αυτό είναι, υπό μια ορισμένη έννοια, ένα αισιόδοξο εύρημα. Ο Trey Forgety, διευθυντής κυβερνητικών υποθέσεων της Εθνικής Ένωσης Αριθμών Έκτακτης Ανάγκης, απάντησε στα ευρήματά μας στην Washington Post, λέγοντας: «Πραγματικά πιστεύουμε ότι η ευπάθεια είναι στην πραγματικότητα χειρότερη από ό, τι [οι ερευνητές] έχουν υπολογίσει. "
Η πολιτική κάνει την απειλή χειρότερη
Αυτού του είδους οι επιθέσεις θα μπορούσαν, δυνητικά, να γίνουν λιγότερο αποτελεσματικές εάν εντοπιστούν κακόβουλες κλήσεις και μπλοκαριστούν τη στιγμή που πραγματοποιήθηκαν. Τα κινητά τηλέφωνα διαθέτουν δύο διαφορετικά είδη αναγνωριστικών πληροφοριών. Ο IMSI (International Mobile Subscriber Identity) είναι ο αριθμός τηλεφώνου που πρέπει να καλέσει ένα άτομο για να φτάσει σε αυτό το τηλέφωνο. Το IMEI (International Mobile Station Equipment Identity) χρησιμοποιείται για την παρακολούθηση της συγκεκριμένης φυσικής συσκευής στο δίκτυο.
Θα μπορούσε να δημιουργηθεί ένα αμυντικό σύστημα για τον εντοπισμό 911 κλήσεων που προέρχονται από ένα συγκεκριμένο τηλέφωνο που έχει πραγματοποιήσει περισσότερες από έναν συγκεκριμένο αριθμό κλήσεων 911 σε μια δεδομένη χρονική περίοδο - πείτε περισσότερες από 10 κλήσεις τα τελευταία δύο λεπτά.
Αυτό εγείρει ηθικά προβλήματα - τι γίνεται αν υπάρχει πραγματική και συνεχής έκτακτη ανάγκη και κάποιος συνεχίζει να χάνει τη λήψη του τηλεφώνου ενώ μιλάει με έναν αποστολέα; Εάν τηλεφωνούσαν πάρα πολλές φορές, θα αποκλείονταν οι κραυγές για βοήθεια; Σε κάθε περίπτωση, οι επιτιθέμενοι που αναλαμβάνουν πολλά τηλέφωνα θα μπορούσαν να παρακάμψουν αυτό το είδος άμυνας λέγοντας στα αρπαχτά τους τηλέφωνα να καλούν λιγότερο συχνά - και κάνοντας περισσότερα μεμονωμένα τηλέφωνα να κάνουν τις κλήσεις.
Αλλά οι ομοσπονδιακοί κανόνες για τη διασφάλιση της πρόσβασης σε υπηρεσίες έκτακτης ανάγκης σημαίνουν ότι αυτό το ζήτημα μπορεί να είναι αμφίβολο ούτως ή άλλως. Μια εντολή της Ομοσπονδιακής Επιτροπής Επικοινωνιών του 1996 απαιτεί από τις εταιρείες κινητής τηλεφωνίας να προωθήστε όλες τις 911 κλήσεις απευθείας στους αποστολείς έκτακτης ανάγκης. Οι εταιρείες κινητής τηλεφωνίας δεν επιτρέπεται να ελέγχουν εάν το τηλέφωνο από το οποίο προέρχεται η κλήση έχει πληρώσει για να έχει ενεργό λογαριασμό σε υπηρεσία. Δεν μπορούν καν να ελέγξουν αν το τηλέφωνο διαθέτει κάρτα SIM στη θέση του. Ο κανόνας της FCC είναι απλός: Εάν κάποιος καλέσει το 911 σε κινητό τηλέφωνο, πρέπει να είναι συνδεδεμένος σε ένα κέντρο κλήσεων έκτακτης ανάγκης.
Ο κανόνας έχει νόημα από την άποψη της δημόσιας ασφάλειας: Εάν κάποιος έχει (ή παρακολουθεί) μια απειλητική για τη ζωή κατάσταση έκτακτης ανάγκης, δεν θα πρέπει να του απαγορεύεται να ζητήσει βοήθεια μόνο επειδή δεν πλήρωσε τον λογαριασμό του κινητού του ή δεν τυχαίνει έχουν ενεργό λογαριασμό.
Αλλά ο κανόνας ανοίγει μια ευπάθεια στο σύστημα, την οποία οι επιτιθέμενοι μπορούν να εκμεταλλευτούν. Ένας εξελιγμένος εισβολέας θα μπορούσε να μολύνει ένα τηλέφωνο με τρόπο που να το κάνει να καλέσει το 911 αλλά να αναφέρει ότι δεν διαθέτει κάρτα SIM. Αυτό το "ανώνυμο" τηλέφωνο δεν αναφέρει ταυτότητα, αριθμό τηλεφώνου και πληροφορίες σχετικά με το ποιος το κατέχει. Ούτε η τηλεφωνική εταιρεία ούτε το τηλεφωνικό κέντρο 911 θα μπορούσαν να αποκλείσουν αυτήν την κλήση χωρίς ενδεχομένως να αποκλείσουν μια νόμιμη κλήση για βοήθεια.
Τα αντίμετρα που υπάρχουν, ή είναι δυνατά, σήμερα είναι δύσκολα και πολύ ελαττωματικά. Πολλά από αυτά περιλαμβάνουν αποκλεισμό ορισμένων συσκευών από το να καλούν στο 911, το οποίο ενέχει τον κίνδυνο αποτροπής μιας νόμιμης κλήσης για βοήθεια. Ωστόσο, υποδεικνύουν τομείς όπου η περαιτέρω έρευνα - και η συνεργασία μεταξύ ερευνητών, τηλεπικοινωνιακών εταιρειών, ρυθμιστικών αρχών και προσωπικού έκτακτης ανάγκης - θα μπορούσε να αποφέρει χρήσιμες εξελίξεις.
Για παράδειγμα, τα κινητά τηλέφωνα ενδέχεται να απαιτούνται για την εκτέλεση λογισμικού παρακολούθησης για να αποκλείονται από την πραγματοποίηση δόλιων κλήσεων 911. Or τα συστήματα 911 θα μπορούσαν να εξετάσουν τις πληροφορίες ταυτοποίησης των εισερχόμενων κλήσεων και να δώσουν προτεραιότητα σε αυτές που γίνονται από τηλέφωνα που δεν προσπαθούν να καλυφθούν. Πρέπει να βρούμε τρόπους να προστατεύσουμε το σύστημα 911, το οποίο μας προστατεύει όλους.
Σχετικά με τους συγγραφείς
Mordechai Guri, Επικεφαλής Ε & Α, Κέντρο Έρευνας για την Κυβερνοασφάλεια. Επικεφαλής επιστήμονας, ασφάλεια τελικού σημείου Morphisec, Πανεπιστήμιο Ben-Gurion του Negev? Yisroel Mirsky, Ph.D. Υποψήφιος Μηχανικός Πληροφοριακών Συστημάτων, Πανεπιστήμιο Ben-Gurion του Negev, και Yuval Elovici, Καθηγητής Μηχανικής Πληροφοριακών Συστημάτων, Πανεπιστήμιο Ben-Gurion του Negev
Αυτό το άρθρο δημοσιεύθηκε αρχικά στις Η Συνομιλία. Διαβάστε το αρχικό άρθρο.
Σχετικές Βιβλία:
at InnerSelf Market και Amazon
