Fałszujemy SMSy

Odkryliśmy, że można fałszować SMSy. Czy wkrótce dowiemy się także, że można fałszować maile i adresy IP?

Wczorajsza Gazeta Wyborcza opublikowała obszerny artykuł o studentach, którzy odkryli sekret fałszowania SMSów przez enigmatyczne "złamanie protokołu tunelowego". Tajne strony WWW umożliwiają wysłanie SMSa z fałszywym numerem telefonu nadawcy. Skomplikowane narzędzia pozwalają zmienić treść otrzymanego SMSa w komórce.

Warto sobie uświadomić, że było to możliwe od dawna, a strony pozwalające na wysyłanie SMSów i podanie numeru nadawcy są dostępne tak długo, jak długo istniały bramki SMSowe.

Przynajmniej od kilku lat w sieci można znaleźć bramki, które za opłatą oferują wysyłanie SMSów na podany numer telefonu i są dostępne przez odpowiedni interfejs webowy. Korzystają one z analogicznych interfejsów udostępnianych przez operatorów GSM, które pozwalają na "wpuszczenie" do sieci komórkowej wiadomości tekstowej przeznaczonej dla dowolnego odbiorcy.

Oczywiście, każdy SMS musi pochodzić od kogoś. Większość bramek skierowanych dla "zwykłych ludzi" ustawia ten numer na stały numer przypisany do bramki i klient nie może go zmienić. Ale bramki przeznaczone dla firm, tworzących własne usługi webowe oferują zwykle znacznie szersze możliwości. Dostępny przez interfejs webowy zakłada dobrą wolę klienta i pozwala mu na podanie numeru nadawcy. Oczywiście, nie sprawdzając czy nadawca faktycznie jest dysponentem tego numeru bo nie ma takiej możliwości.

Stąd biorą się fałszywe SMSy. Zapewne na poziomie operatora komórkowego jest możliwe stwierdzenie, że dany SMS wysłany rzekomo polskiego numeru faktycznie pochodzi od operatora bramki w Stanach Zjednoczonych. Jednak odbiorca SMSa nie ma możliwości stwierdzenia pochodzenia wiadomości.

Fałszerstwa w sieciach IP

Problem ten jest znany w Internecie od czasu jego powstania. Po dziś dzień jest możliwe wysłanie z Krakowa fałszywego pakietu z adresem nadawcy przypisanym do sieci zarejestrowanej w Chicago. Do masowych fałszerstw nagłówków poczty elektronicznej dochodzi codziennie w milionach spamów i wiadomości wysyłanych przez phisherów.

Oczywiście, istnieją techniki, które i jedno i drugie zagrożenie mogłyby zminimalizować (powszechne stosowanie SPF przez serwery SMTP, przestrzeganie zaleceń RFC 2644 i innych na routerach). W praktyce mało kto to robi, ponieważ po pierwsze filtrowanie pakietów IP kosztuje, a po drugie ani SPF ani filtry IP nie są domyślnie włączone w większości dostępnych na rynku produktów.

Czemu jeszcze nie powinniśmy ufać?

Warto wiedzieć, że przynajmniej od kilku lat w Stanach Zjednoczonych działa firma, która oferuje usługę zmiany identyfikacji dzwoniącego (CLID) w tradycyjnej telefonii stacjonarnej. Należy pamiętać, że równie łatwo można obecnie fałszować SMSy.

Wiedząc o tym należy jednak cały czas pamiętać, że ani CLID ani SMS nie są usługami zaprojektowanymi do zapewniania jakiegokolwiek poziomu bezpieczeństwa.

Jeśli chodzi o fałszowanie wiadomości SMS, można mieć jedynie pretensje do operatorów GSM, że nie informują klientów o takim zagrożeniu. Nie zależnie od tego kto jest w tym przypadku winny, ono istnieje.