A-ţi lăsa celularul nesupravegheat pentru o vreme pare cea mai mare ameninţare la securitatea telefoniei. Dar recentele evenimente ne învaţă că există metode mai comode prin care cineva îţi poate accesa telefonul – fără ca măcar să-l atingă.
Detalii încă ies la iveală despre cum, exact, reporterii News of the World au accesat terminalele tuturor. Iată câteva tehnici – şocant de simple – pe care ar fi putut să le folosească.
Spargerea căsuţei vocale, potrivit experţilor în securitate, nu este cel mai rău lucru din câte se pot întâmpla ţie şi telefonului tău mobil turnător de secrete. În aceste zile, este cea mai puţin intruzivă, deoarece - ca şi unealtă - mesageria vocală dispare în spatele unui simplu apel, al mesageriei text sau al e-mailurilor. Dar este totuşi o violare a intimităţii – chiar dacă singurul care îţi mai lasă mesaje este tatăl tău.
Pentru a accesa aceste mesaje, în mod normal, operatorii de telefonie oferă un număr extern pe care îl poţi apela pentru a-ţi accesa poşta. Serviciul recunoaşte numărul care apelează, lucru convenabil pentru toată lumea – inclusiv al celor care încearcă să-ţi acceseze poşta. Numerele de telefon – acea identitate unică care presupunem că aparţine doar obiectului din buzunarul nostru – poate fi falsificat cu ajutorul VoIP (Voice over Internet Protocol) şi a unui software open source (sursă liberă). “ID-ul apelantului este un şir de date pe care îl primeşte telefonul înaintea semnalului care îi spune să sune,” explică Chester Wisniewski, un consultant senior pe probleme de securitate la Sophos. “Dacă nu foloseşti un operator de servicii comerciale, îţi poţi seta ID-ul de apelant (numărul de telefon) cum vrei.” Asta înseamnă că acel număr extern apelat poate interpreta numărul falsificat ca fiind al tău şi să acţioneze în consecinţă.
În mod normal numărul extern al furnizorului de servicii încă necesită o parolă, chiar dacă tu nu ai setat una. Bonus! Pentru a te echipa cu ceva unic, fiecare companie are un bine cunoscut cod implicit (ca şi primele 4 cifre ale numărului tău de telefon spre exemplu) care dau utilizatorului acces prima dată. Şi câţi dintre noi schimbă de fapt acel pin? Falsifică un număr, introdu codul implicit din 4 cifre şi voilà: 10 mesaje identice de la tata din 10 duminici consecutive.
Numerele falsificate mai oferă acces la ceva. Ţi-ai sunat vreodată propriul număr de telefon? “Te trimite automat la căsuţa vocală şi îţi redă mesajele,”. Ţi-ai dat seama deja unde vreau să ajung cu asta: cei care trag cu urechea pot să-ţi acceseze şi ei căsuţa folosindu-se de numărul tău. Pentru a fi redirecţionat către căsuţa vocală, cineva poate fi însărcinat ca intenţionat să-ţi ţină linia ocupată, în timp ce altul cu numărul falsificat – numărul tău falsificat – te sună de asemenea obţinând astfel acces la căsuţa ta vocală. Dacă nu primeşte acces direct atunci, apăsând * în timpul plecării mesajului este o metoda de încredere pentru obţinerea accesului.
Parolele ar fi de folos aici, dar nici măcar cele mai puternice care să păzească căsuţa vocală nu sunt 100% sigure în faţa falsificatorilor determinaţi, despre care se ştie că au sunat companiile de servicii mobile pentru a cere resetarea parolei unui cont ţintă. Experţii în securitate se aşteaptă ca o parte din aceste metode să fi fost folosite şi de cei de la News of the World. La ce se reduce totul este păcălirea unui angajat al operatorului de servicii mobile să acorde acces. Desigur, ar avea nevoie doar de câteva detalii cheie din viaţa unei persoane de la care să plece.
Ideea e că în majoritatea intruziunilor în căsuţa vocală, nu există o cale reală de a şti că s-au întâmplat. Dacă deja ţi-ai ascultat un mesaj, cineva care îl va asculta a doua oară nu va declanşa nici o alarmă. Steven Rambam, un investigator şi director al Pallorium, Inc. explică că se poate merge mai departe. “Pot să le salvez ca noi după ce le-am ascultat (valabil şi după citirea unui e-mail), astfel că nimeni nu-şi va da seama.” Să se alarmeze să spunem.
Mai alarmantă este gama de încălcări posibile, spune Rambam. Încălcările variază de la intrarea în contul web al cuiva (de pe site-ul operatorului de servicii mobile) pentru a avea acces la istoricul de apeluri şi la urmărirea fizică, legală, a terminalului mobil (şi deci a ta – fără chestiuni de genul plătirii unor poliţişti cum s-a întâmplat în Marea Britanie) până la trimiterea unui e-mail care să încorporeze ceva pe terminalul dumneavoastră care să fure parole.
Dar 90% din problemele legate de căsuţa vocală de mai sus pot fi prevenite dacă se folosesc parole puternice, potrivit lui Rambam. Asta înseamnă fără tipare de pe tastatură (precum 2580) sau cifre care se repetă de 4 ori. “Este un echilibru între confort şi viaţa privată,” spune Rambam, “şi tu trebuie să decizi dacă merită.” Cu alte cuvinte: pune parole pe orice. Chiar acum!
Articolul reprezintă traducerea articolului How News of the World Hacked Everybody’s Phones, publicat de Gizmodo.com.
Traducerea: Ioan Florea
