Cosa rende un gateway SMS insicuro?

1

Si tratta in particolare di un protocollo SMS, del software proprietario utilizzato per il routing dei messaggi o forse di un ACL sul server? Immagino che un gateway che accetta email da qualsiasi luogo che è stato poi inviato via SMS controllerebbe il campo da su qualsiasi messaggio in arrivo contro RFC5322 , ma di nuovo non è così, poiché alcuni gateway consentono il passaggio di qualsiasi messaggio, consentendo lo spoofing.

Qualcuno può spiegare in che punto dell'intero processo questo è debole, e perché? Inoltre perché non aggiustano cose come questa?

    
posta knishka 06.02.2015 - 20:19
fonte

2 risposte

1

Non c'è niente di sbagliato con SMS. Eseguiamo il reverse engineering e ridisegniamo l'intera rete come se fosse necessario proteggere la comunicazione tra due persone.

1) Facciamo in modo che sia una rete di comunicazione point-to-point dove c'è un sale noto solo al mittente e al destinatario e i numeri di telefono sono crittografati. Questo impedisce spoofing e / o spam.

2) il gateway stesso ha solo un'istanza e tale istanza è protetta da almeno 256 bit di crittografia ed è fisicamente isolata da altre apparecchiature e manomissioni. Per garantire che il furto del dispositivo endpoint non sia un problema, la modalità offline è disabilitata.

3) È possibile utilizzare un numero di telefono unico per inviare SMS agli utenti al di fuori di questo ambiente protetto limitando il numero di telefono originale dalla raccolta o dallo spoofing.

4) Il numero di telefono blocca tutti gli SMS per i numeri non presenti nell'elenco dei contatti. . . . . Ora, inoltriamo l'ingegnere per circa 20 anni, lo scaliamo utilizzando l'attrezzatura aziendale e quella immediatamente disponibile e lo chiamiamo Snapchat (e disattiviamo la funzione di messaggistica di gruppo). Ora è più sicuro del Blackberry del Presidente Obama, ma non è ancora impermeabile alle fidanzate gelose, alle mogli e alle schermate.

    
risposta data 06.02.2015 - 21:02
fonte
0

Dichiarazione di non responsabilità: lavoro per un fornitore di SMS.

Il protocollo SMS predefinito (SMPP) è intrinsecamente insicuro (in base alla progettazione), pertanto è necessario implementare diversi livelli di sicurezza in cima al protocollo stesso, ad esempio tramite VPN, ad esempio il livello di connettività (o rete). Con altre tecnologie come la posta elettronica come hai affermato, un'autorità di dominio come il tuo registrar di domini può limitare tecnicamente altri utenti dall'uso o dallo spoofing del tuo dominio, quindi c'è un po 'più di sicurezza lì, che non è applicabile in SMS o SMPP. A causa di queste carenze di sicurezza nel protocollo SMS, un gateway SMS deve prendere ulteriori precauzioni per proteggere tutti gli altri livelli coinvolti nella trasmissione di SMS, abbiamo già parlato del livello di rete, c'è anche il livello di applicazione e le password di protezione e account e restrizioni di accesso a ad esempio solo gli indirizzi IP della whitelist, c'è anche il livello del contenuto, le interfacce (la maggior parte dei gateway SMS consente l'accesso alle API, ad esempio un altro livello di sicurezza), utilizzando HTTPS per crittografare i dati durante la trasmissione.

Investiamo pesantemente nella protezione del nostro gateway SMS perché la maggior parte dei nostri clienti si trova nel settore finanziario che richiede la conformità con gli standard di sicurezza del settore come PCI / DSS. Maggiori dettagli sulla sicurezza del gateway SMS e un whitepaper sullo stesso possono essere trovati su questo post del blog .

    
risposta data 25.07.2016 - 09:57
fonte

Leggi altre domande sui tag