---------- Forwarded message ---------- From: "[email protected] [vaksin]" <[email protected]> Date: Jun 14, 2017 5:23 PM Subject: [vaksin.com] SS7 flaw kill TFA Seluler Senjakala Pengamanan TFA Seluler To: <[email protected]> Cc:
https://www.vaksin.com/0617-ss7-exploit-celular SS7 flaw kill TFA Seluler Senjakala Pengamanan TFA Seluler SS7 di masa perang dingin adalah senjata nuklir pemusnah massal produksi Uni Soviet yang cukup ditakuti Amerika Serikat. Jelas menakutkan karena SS7 atau lebih dikenal dengan nama R-16 yang beroperasi dari tahun 1961-1976 tersebut memiliki jangkauan sampai dengan 13.000 KM dan mampu membawa senjata termo nuklir. Kalau SS7 di dunia militer menjadi senjata yang menakutkan di tahun 1970-an, ada SS7 lain yang tidak kalah menakutkan dan celakanya ia menjadi momok yang menakutkan bagi para pengguna smartphone karena mampu membocorkan informasi seperti lokasi, SMS, data atau percakapan telepon dari pengguna seluler tanpa mampu di cegah oleh pemiliknya. Celakanya lagi sistem pengamanan transaksi finansial TFA Two Factor Authenticator banyak yang memanfaatkan jaringan seluler sebagai tulang punggung penyebaran OTP One Time Password yang digunakan untuk menyetujui transaksi finansial seperti mengotorisasi transfer dana dan transaksi finansial lainnya dalam internet banking atau menyetujui transaksi pembelian dalam kartu kredit melalui jaringan USSD. Signaling System 7 SS7 atau Signaling System 7 adalah protokol perintis di dunia seluler yang digunakan sejak tahun 1980 dan menjadi tulang punggung jaringan telekomunikasi antar penyedia layanan komunikasi dunia. Seperti protokol perintis lainnya, SS7 dirancang tanpa terlalu memperhatikan aspek sekuriti, dimana konsep otentikasi dan otorisasi kurang diperhatikan. Selama ini pengamanan komunikasi SS7 antar provider mengandalkan pada jaringan yang tertutup antar penyedia layanan komunikasi dan kepercayaan antar peyedia layanan jasa seluler. Jadi antar penyedia layanan seluler mempercayai bahwa penyedia layanan seluler lain akan bermain sesuai dengan aturan yang telah ditetapkan tanpa dapat melakukan kontrol. Yang menjadi masalah adalah saat ini jaringan SS7 bukan jaringan tidak tertutup lagi dan penyedia layanan seluler membuka akses ke jaringan SS7 kepada pihak ketiga sebagai bagian dari layanan komersial mereka guna meningkatkan pendapatan perusahaan. Lebih celaka lagi, praktisi sekuriti membuktikan bahwa mereka bisa melakukan eksploitasi yang menyebabkan ancaman pada privasi pengguna layanan seperti melacak lokasi pengguna, Ddos layanan seluler, penyadapan SMS dan panggilan telepon. Sebenarnya, trafik komunikasi seluler sudah diamankan dengan enkripsi yang cukup kuat, namun dengan akses ke jaringan SS7, kunci dekripsi dapat diminta dengan perintah khusus [kirim-Identifikasi] dan digunakan untuk mendekrip informasi yang diinginkan atau menggunakan perintah [kirim-Informasi-Otentikasi] pada jaringan 3G yang membutuhkan otentikasi untuk menyaru sebagai jaringan yang sah, lagi-lagi melalui akses ke jaringan SS7. Untuk menyadap pesan SMS, perintah yang digunakan adalah [update-Lokasi] dimana penyerang mengirimkan otentikasi palsu ke jaringan provider asal nomor yang ingin disadap sehingga semua SMS yang harusnya diterima nomor yang disadap akan dialihkan ke nomor lain yang telah dipersiapkan. Serangan inilah yang mematahkan perlindungan otentikasi TFA OTP internet banking dan mobile banking dan menjadi sebab mengapa perlindungan TFA OTP berbasis SMS tidak disarankan dan lebih lemah dibandingkan kalkulator token atau apps token. Lalu bagaimana dengan protokol USSD Unstructure Supplementary Service Data ? Sebenarnya USSD adalah protokol internal yang pada awalnya digunakan untuk keperluan internal provider untuk memberikan layanan tambahan seperti transfer kredit, pembayaran mobil dan layanan tambahan internal lainnya seperti *888# untuk mengecek sisa pulsa atau tagihan terakhir. Namun karena alasan tertentu, operator membuka akses untuk menerima pesan USSD dari luar jaringan dengan tujuan pengguna roaming dari provider lain di luar negeri membutuhkan akses pada layanan ini dan sekali lagi dengan perintah USSD yang tepat, penyerang dapat menyadap pesan USSD sehingga kode otorisasi persetujuan transaksi OTP One Time Password kartu kredit melalui USSD ini secara teknis akan diketahui oleh pihak penyerang. Seberapa parah ancaman SS7 ? Sebenarnya kelemahan SS7 ini sudah dikumandangkan oleh pegiat sekuriti sejak tahun 2014 dan Indonesia termasuk ke dalam negara yang memiliki resiko ancaman kerentanan SS7 yang sangat tinggi yaitu 143 dari 164 negara di dunia berdasarkan pengetesan yang dilakukan oleh Priority 1 Security pada tanggal 24 Desember 2014 (lihat gambar) Gambar 1, Indonesia termasuk ke dalam negara dengan tingkat resiko keamanan SS7 yang sangat tinggi (merah) Indonesia termasuk ke dalam negara dengan tingkat resiko keamanan SS7 yang sangat tinggi (merah) Lalu, apakah ancaman ini hanya ada di atas kertas dan hanya pekerjaan para pelaku sekuriti yang menakut-nakuti para pengguna layanan telekomunikasi dan finansial ? Kabar buruknya, pada bulan April 2017 kriminal di Jerman sudah berhasil menguras habis uang dari rekening bank di Jerman dan mengirimkannya ke rekening penampung yang telah dipersiapkan. Penyedia layanan telekomunikasi Jerman O2 – Telefonica mengkonfirmasikan insiden tersebut. Dalam menjalankan aksinya, kriminal melakukan dalam dua langkah dimana awalnya mereka akan mengumpulkan data yang diperlukan seperti nomor rekening, kata kunci dan nomor telepon pemilik rekening. Untuk mendapatkan kata kunci digunakan beberapa teknik seperti mengirimkan email phishing atau memanfaatkan jaringan botnet yang sudah melakukan aksinya mencuri kredensial (username dan password) internet banking. Setelah mendapatkan kredensial, mereka akan melakukan pengecekan akun-akun mana saja yang memiliki dana besar dan menjadi incaran mereka. Setelah berhasil mendapatkan akun sasaran dengan dana yang besar dan mendapatkan nomor telepon yang digunakan untuk menerima OTP maka kriminal akan mengeksploitasi kelemahan SS7 guna mengalihkan SMS pengiriman OTP yang akan digunakan untuk otorisasi transfer dana. Biasanya aktivitas kriminal ini akan dilakukan pada saat libur panjang / akhir minggu dengan tujuan supaya pihak IT bank yang berjaga lebih sedikit dan waktu respon terhadap insiden yang lebih lama. Apa __._,_.___ ------------------------------ Posted by: [email protected] ------------------------------ Reply via web post <https://groups.yahoo.com/neo/groups/vaksin/conversations/messages/1032;_ylc=X3oDMTJwbmllbTFkBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BG1zZ0lkAzEwMzIEc2VjA2Z0cgRzbGsDcnBseQRzdGltZQMxNDk3NDM1ODA0?act=reply&messageNum=1032> • Reply to sender <[email protected]?subject=Re%3A%20SS7%20flaw%20kill%20TFA%20Seluler%20Senjakala%20Pengamanan%20TFA%20Seluler> • Reply to group <[email protected]?subject=Re%3A%20SS7%20flaw%20kill%20TFA%20Seluler%20Senjakala%20Pengamanan%20TFA%20Seluler> • Start a New Topic <https://groups.yahoo.com/neo/groups/vaksin/conversations/newtopic;_ylc=X3oDMTJlbGQ1bTcxBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwNmdHIEc2xrA250cGMEc3RpbWUDMTQ5NzQzNTgwNA--> • Messages in this topic <https://groups.yahoo.com/neo/groups/vaksin/conversations/topics/1032;_ylc=X3oDMTM0Z290dDRlBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BG1zZ0lkAzEwMzIEc2VjA2Z0cgRzbGsDdnRwYwRzdGltZQMxNDk3NDM1ODA0BHRwY0lkAzEwMzI-> (1) ------------------------------ Have you tried the highest rated email app? <https://yho.com/1wwmgg> With 4.5 stars in iTunes, the Yahoo Mail app is the highest rated email app on the market. What are you waiting for? Now you can access all your inboxes (Gmail, Outlook, AOL and more) in one place. Never delete an email again with 1000GB of free cloud storage. ------------------------------ Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya apapun. Silahkan email ke [email protected] untuk mendapatkan informasi detail layanan PT. Vaksincom. Visit Your Group <https://groups.yahoo.com/neo/groups/vaksin/info;_ylc=X3oDMTJldXF2YWhqBF9TAzk3MzU5NzE0BGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwN2dGwEc2xrA3ZnaHAEc3RpbWUDMTQ5NzQzNTgwNA--> [image: Yahoo! Groups] <https://groups.yahoo.com/neo;_ylc=X3oDMTJkYTlqZ2hxBF9TAzk3NDc2NTkwBGdycElkAzI1MTc1NjYEZ3Jwc3BJZAMxNzA1MTk1MDY4BHNlYwNmdHIEc2xrA2dmcARzdGltZQMxNDk3NDM1ODA0> • Privacy <https://info.yahoo.com/privacy/us/yahoo/groups/details.html> • Unsubscribe <[email protected]?subject=Unsubscribe> • Terms of Use <https://info.yahoo.com/legal/us/yahoo/utos/terms/> . __,_._,___ -- =========== Install #MyTelkomsel Apps Terbaru dari Play Store https://play.google.com/store/apps/details?id=com.telkomsel.telkomselcm --------------------- Toko Headphone & Earphone Terlengkap dan Terbaru Kunjungi >> http://bassaudio.net ---------------------- Kontak Admin, Twitter @agushamonangan ----------------------- FB Groups : https://www.facebook.com/groups/android.or.id Aturan Umum ID-ANDROID >> goo.gl/mL1mBT ========== --- Anda menerima pesan ini karena Anda berlangganan grup "[id-android] Indonesian Android Community" dari Google Grup. Untuk berhenti berlangganan dan berhenti menerima email dari grup ini, kirim email ke [email protected]. Kunjungi grup ini di https://groups.google.com/group/id-android.
