Wie is er bang van SMS? Ik!
Het nieuws is uit dat het Amerikaanse 'National Institute of Standards and Technology' eindelijk bevestigde wat zowel beveiligingsprofessionals als hackers al jaren weten: sms is onveilig en niet langer geschikt als oplossing voor sterke authenticatie. Sms-berichten zijn niet beschermd tegen vreemde ogen en er bestaat geen enkele garantie dat ze daadwerkelijk naar de beoogde ontvanger gaan. Terwijl iedereen al lang wist dat deze dag zou komen, gebruiken tal van toepassingen sms toch als beveiligingsmechanisme. De vraag hierbij is: waarom?
Het is heel eenvoudig: toen men het vertrouwen begon te verliezen in met een wachtwoord beveiligde diensten, werden inderhaast sms-diensten voorzien om gebruikers een gevoel van veiligheid te geven via een goedkoop, alomtegenwoordig, en gemakkelijk te begrijpen proces. Met andere woorden: "We zijn veilig, dus blijf alstublieft onze service gebruiken!". In het beste geval werd sms gebruikt voor toegang tot websites met een laag risico. In het ergste geval werd het misplaatste vertrouwen gebruikt voor toegang tot intellectuele eigendom (een gewild doelwit van hackers), netwerken, en zelfs door een aantal uitgevers van kredietkaarten en financiële instellingen. De providers die geen geschikte alternatieven konden bieden, hemelden deze technologie op met nietszeggende slagzinnen, zoals "out-of-band"- en "step-up"-authenticatie. In werkelijkheid levert sms-beveiliging geen echte "tweede factor", zoals door sommigen beweerd werd. Aanvallen tegen sms zijn niet alleen theorie, maar komen algemeen voor.
Wat was dan het probleem met sms vanaf het begin, en wat is er veranderd?
Sms vormde altijd een "logische" schakel tussen het telefoonnummer van de gebruiker en het toestel dat zij in hun hand hebben. Voordat er smartphones en apps waren, schuilde het gevaar in de draadloze account van de gebruiker. Verander de telefoon gelinkt aan een account, en voilà:
je ontvangt berichten zonder die account te moeten hacken. Eigenlijk vertrouwde je op de mobiele providers om je veiligheid te garanderen. In sommige gevallen verhoogden de providers weldegelijk de veiligheid bij dit soort veranderen van toestel, waardoor het onvermijdelijke misschien werd uitgesteld...
Veel mensen geloven onterecht dat hun sms-berichten enkel kunnen worden bekeken door de persoon die in het bezit is van die telefoon. Ze hebben een vals gevoel van extra veiligheid als ze met behulp van een wachtwoord of een vingerafdruk de toegang tot hun telefoon afschermen. Ze konden niet verder van de waarheid af zijn! Er bestaat nu de mogelijkheid om de telefoon direct aan te vallen. Bij het downloaden van allerlei apps verleent een gebruiker meestal verschillende toestemmingen zonder er veel bij na te denken. Of gebruikers downloaden apps vanop niet-betrouwbare plekken, naar een telefoon met een jailbreak (iPhone) of een die geroot is (Android), zonder enig idee over de risicos die daaraan verbonden zijn.
Denk daarbij ook aan de hele resem aan apps die voor "legitiem" gebruik beschikbaar zijn. Wil je nagaan met wie je kinderen omgaan door hun berichtjes te volgen? Wil je je oude vader of moeder helpen door hun sms-berichten van een van een bepaalde dienst te volgen?
Installeer dan gewoon een verborgen sms-hulpprogramma op hun telefoon. Zo kan je vanop afstand al hun inkomende en uitgaande berichten lezen. Als dit soort apps dat op aanvraag kan doen, waarom zou je dan denken dat een hacker dit soort kwaadaardige tools niet in een app kan verbergen zonder jouw medeweten? Wil je de nieuwste populaire app downloaden? Dan krijg je er gewoon een paar extra toeters en bellen bij die je helemaal niet wil en die misschien wel je inloggegevens stelen.
Dus wat nu? Er bestaan alternatieven. Je app kan beschermd worden door het zogenaamde Runtime Application Self Protection, met beveiliging voor transacties en technologieën die je apparaat linken aan je account, waardoor je mobiele telefoon toch als een tweede factor gebruikt kan worden.
We horen al jarenlang "Wachtwoorden zijn verleden tijd!", maar de meesten van ons kunnen er nog steeds niet omheen. Authenticatie die op kennis gebaseerd is, is even kwetsbaar. Nu we horen dat sms-authenticatie verleden tijd is, moeten we de gebruiker en zijn toestellen echt veilig maken. We moeten stoppen met de benadering van sms als beveiliging, of we gaan deze les opnieuw moeten leren, en opnieuw, en opnieuw.
Jan Valcke, President & COO VASCO Data Security