Caller ID Spoofing e violazione della privacy

Caller ID Spoofing e violazione della privacy

Jabex

lunedì 30 giugno 2014

Caller ID

Il termine Caller ID viene utilizzato in telefonia per identificare il numero telefonico dell'utente chiamante

L'informazione contenuta nel Caller ID è soggetta a spoofing!


Caller ID Spoofing: cenni storici

La nascita del Caller ID Spoofing è da fare coincidere con la creazione del concetto di Caller ID number (fine ’80)

Per oltre un decennio, lo Spoofing del Caller ID infatti veniva utilizzato dalle imprese quale strumento per poter fruire di linee telefoniche aventi tutte il medesimo numero di telefono a fronte però dell’accesso ad onerosi sistemi PRI (Primary Rate Interface)

Intorno alla fine degli anni ‘90, molte agenzie di investigazione privata si garantivano l’esclusiva d’uso delle già citate linee PRI al fine di rivenderle ad altri colleghi ed agenzie e ad un prezzo nettamente superiore, dando vita così alle c.d. “linee cieche”


Caller ID Spoofing: cenni storici

Questo tipo di accordi nascevano dall’esigenza di rendere fruibili ai soggetti interessati servizi di linea che garantissero l’anonimato, facendo sì che il proprio ID chiamante reale non venisse mostrato al soggetto ricevente

Contestualmente al fenomeno delle “linee cieche” prese corpo l’attività dei primi hackers telefonici mirata a dar vita ai primi tentativi di utilizzo di questo strumento per scopi privati, illegali e fraudolenti, ma ancora di carattere “artigianale” e molto spesso di scarsa efficacia

Partendo dai sopracitati primi tentativi si è innescata una repentina attività di sperimentazione (prima) e lancio commerciale (poi), di siti web e applicazioni dedicate che dal 2004 ad oggi hanno portato lo spoofing telefonico a divenire un business fiorente, oltre che a divenire un argomento molto dibattuto, in tema di privacy e difesa dell’identità personale


Caller ID Spoofing ai nostri giorni

Da qualche anno a questa parte, grazie anche alla diffusione delle comunicazioni che fanno uso di servizi interconnessi attraverso il VoIP, lo spoofing del caller ID è diventato alla portata di tutti

1.Spoofing Provider (SpoofCard, Telespoof… )

2.Un server Asterisk + un provider Voip che fornisca una certa libertà di configurazione e inviare chiamate con il CallerID desiderato


Caller ID Spoofing e la voicemail

Il Caller ID è utilizzato in alcuni casi come identificativo dell'utente chiamante per garantire l'accesso a sistemi riservati

Un esempio significativo è quello delle voicemail che permettono la telelettura dei messaggi

Caller ID Spoofing + Caller ID is automatically trusted


USA: il caso della voicemail di AT&T/Cingular

Hacking The next Generation (O’REILLY 2009)

Nel luglio del 2007 il ricercatore di sicurezza informatica Nitesh Dhanjani rese noto che i cellulari di AT&T/Cingular erano suscettibili allo spoofing del caller ID

Inoltre Dhanjani realizzò che era possibile accedere con i privilegi di amministratore alla voicemail di tutti gli utenti di AT&T/Cingular sfruttando la pratica dello spoofing del caller ID


Si basò sul fatto che accedendo alla voicemail dal proprio cellulare non era richiesto il codice d’accesso:

il sistema di autenticazione della voicemail di AT&T/Cingular si basava sul caller ID per fornire le informazioni su chi sta accedendo al menu di amministrazione della voicemail



Per testare la vulnerabilità Dhanjani creò un account su SpoofCard:

1. L’attaccante fa una chiamata dal proprio cellulare verso il numero della vittima usando SpoofCard;

2. Al momento in cui SpoofCard richiede il numero da spoofare, l’attaccante inserisce il numero della vittima

3. A questo punto la vittima riceve una chiamata dal proprio numero di cellulare; se la vittima non risponde l’attaccante ottiene l’accesso con i diritti di amministratore alla voicemail (ascolto e cancellazione dei messaggi, modifica del codice d’accesso ...)



Contromisure

attivare dalle impostazioni personali della voicemail l’utilizzo del codice d’accesso in modo tale che questo venga richiesto anche accedendovi dal proprio cellulare

Tracciabilità

1. Il flusso di chiamate consente di risalire all’attaccante in caso in cui si abbia evidenza che sia stato compiuto un illecito;

2. L’attaccante deve avere l’abilità di cogliere la vittima alla sprovvista in modo tale che questa non risponda alla chiamata e quindi che l’attacco vada a buon fine;



From the company’s blog ( 5 Aug. 2011)

Today, customers have the option and are strongly encouraged to password-protect access to their wireless voicemail. Beginning August 5, voicemail accounts for new customers, those who change phone numbers, upgrade to Visual Voice Mail, or create a new voicemail box will default to a password required setting to check voicemail from their wireless or any other device.

Although AT&T strongly recommends using a password, customers want a choice. Customers may opt out of using a password, but only after the initial password is established and they affirmatively turn off the password feature from the main menu.

AT&T says it is changing its voicemail password policy


Articoli web sulle voicemail degli operatori telefonici statunintensi vulnerabili (T-Mobile, Sprint....)

Script per asterisk che permette, chiamando un numero registrato sul pbx, di digitare il numero dal quale si vuole far partire la telefonata, il numero da chiamare e poi far partire la chiamata con il callerID 'spoofato'

Casi di gossip di intercettazione della voicemail (Paris Hilton, giornalisti.. )

Stato dell’arte


Le domande cui si tenterà di rispondere sono le seguenti:

E’ possibile eseguire un attacco del genere in Italia?

Esiste un modo per rendere l’attacco non tracciabile e invisibile alla vittima?

Italia: nessuno ne parla!?

Il caso della voicemail di WIND

Il caso Digilab del 2007 (Sky Tg 24 e PuntoInformatico)

“Il sistema telefonico permette di falsificare il mittente di una chiamata”

..............


Codice d’accesso

il codice d’accesso è richiesto solamente nel caso in cui si tenti di ascoltare i messaggi da un altro telefono o dall’estero

Modalità d’accesso

1. Da un cellulare Wind occorre digitare il 4200

2. Da un altro telefono (escluso TIM) occorre digitare il 323 2054200

Caratteristiche della voicemail di Wind

Da un cellulare Wind utilizzando la modalità 2 si ottiene il medesimo effetto che si ha utilizzando la modalità 1


Deposito Diretto

Viene illustrato come lasciare un messaggio nella voicemail senza fare squillare il telefono della persona interessata anteponendo il prefisso 32 al numero di cellulare.


Da un cellulare Wind digitando il proprio numero di cellulare anteponendo il prefisso 32 si ottiene il medesimo effetto che si ha utilizzando la modalità 1


Ripilogando....

Da un cellulare Wind è possibile accedere al menù di amministrazione della voicemail nei seguenti modi:

1. digitando 4200

2. digitando 323 2054200

3. digitando 32 [proprio numero di cellulare]

Condizioni verificate

1. il codice d’accesso è richiesto solo per l’ascolto della voicemail da un altro telefono

2. il sistema di autenticazione della voicemail per l’accesso al menù di amministrazione si basa sul caller ID



Creando un account su Skype è possibile acquistare del credito per effettuare delle chiamate verso telefoni fissi e cellulari

Di default, chiamando un telefono fisso o cellulare non verrà visualizzato alcun numero sul telefono dell'altra persona, a meno che non venga impostato l'ID chiamante

Chiamare da Skype impostando l’ID chiamante


Chiamare da Skype impostando l’ID chiamante


Utilizzando gli elementi raccolti fino ad ora e impostando l’ID chiamante di Skype con il proprio numero di cellulare Wind è possibile configurare l’attacco proposto da Dhanjani in due varianti

Variante 1: Attacco tracciabile

Variante 2: Attacco non tracciabile

Proof Of Concept


VARIANTE 1: attacco in 3 step

1.Effettuare una chiamata verso il proprio numero di cellulare usando Skype;

2.Al momento in cui si riceve la chiamata sul cellulare attendere che a rispondere sia la voicemail;

3. Si ottiene l’accesso al menù di amministrazione della propria voicemail da Skype!

Proof Of Concept


VARIANTE 1: attacco in 2 step

1.Effettuare una chiamata verso il 323 2054200 o verso il 32 [proprio numero di cellulare] usando Skype;

2. Si ottiene l’accesso al menu di amministrazione della propria voicemail da Skype!

Proof Of Concept


Wind non permette in alcun modo di attivare l’utilizzo del codice d’accesso in modo tale che questo venga richiesto anche accedendo dal proprio cellulare

Wind lascia alla totale discrezione dell’utente la modifica del codice d’accesso e quindi la protezione della privacy della voicemail

“Il codice d'accesso garantisce la riservatezza dei tuoi messaggi e li protegge da ascolti indesiderati, ti suggeriamo perciò di modificarlo e memorizzarlo”

➡ la voicemail di Wind è accessibile da qualunque telefono digitando il 323 2054200 nel caso in cui non si modifichi il codice d’accesso standard!

Contromisure??


Nella pagina di Vodafone dedicata al servizio di segreteria telefonica, nella sezione Domande Frequenti, viene espressamente indicato che non è possibile accedere alla propria voicemail da un altro telefono finché non viene modificato il codice d’accesso iniziale.

L’esempio di Vodafone


http://www.andreafortuna.org/2007/05/digilab-e-spoofing-telefonico-la_26.html

http://www.dhanjani.com/blog/2007/07/iphone-users-at.html

http://www.wnyc.org/story/147043-hacking-voicemails-scary-easy-i-did-it/

http://www.cnet.com/news/kevin-mitnick-shows-how-easy-it-is-to-hack-a-phone/

http://ianhsutherland.com/2013/05/12/is-your-mobile-phone-voicemail-wide-open/

https://apps.fcc.gov/edocs_public/attachmatch/FCC-11-100A1.pdf

http://www.comparazionedirittocivile.it/prova/files/codiglione_spoofing.pdf

Riferimenti


THE END


Presentations & Public Speaking

Caller ID Spoofing e violazione della privacy