Spoofing skyldes design-problem i sms-systemet: »Bekæmpelse en balancegang«

4. september 2018 kl. 05:125
Spoofing skyldes design-problem i sms-systemet: »Bekæmpelse en balancegang«
Illustration: MKM / Screendump.
Sms-systemet er ikke bygget til at dæmme op for såkaldte spoofing-angreb, der udnytter muligheden for at oplyse hvad som helst i afsenderfeltet på sms'er. Grundlæggende er det et design-problem, mener civilingeniør og stifter af Netplan Torben Rune.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Danskere må vænne sig til, at de i bølger kan blive ramt af snyde-sms'er, hvor navne fra virksomheder optræder i afsenderfeltet i et forsøg på at vække potentielle ofres tillid - sms'er, som fører modtageren videre til ondsindede hjemmesider.

Problemet er, at systemet er designet på en måde, der tillader spoofingen, siger en fagmand.

I sidste uge var blandt andet snyde-sms'er fra 'SAS' i omløb, og mens lignende angreb ikke er daglige begivenheder, så er spoofing nemt at udnytte for enhver lukrerende kriminel med en stor håndfuld telefonnumre i baghånden og en smule teknisk snilde.

Muligheden for at oplyse hvad som helst i afsenderfeltet på sms’er er nemlig indbygget i sms-systemet, der samtidig ikke er bygget til at dæmme op for misbruget, fortæller Torben Rune, der er stifter af virksomheden Netplan.

Artiklen fortsætter efter annoncen

»Man har tilladt, at du kan skrive hvad som helst ind i afsenderfeltet på sms'er. Det bliver slet ikke tjekket,« siger han.

Funktionen har et helt legitimt formål, der benyttes i stort omfang. For eksempel vil virksomheder ofte gerne have samme navn på beskeder til kunder sendt fra forskellige numre. Det besværliggør bekæmpelsen, mener Torben Rune.

»Hvis man vil dæmme op for den her form for spoofing, så står man over for det problem, at man dermed ikke kan lave de her funktioner, hvor der er et legitimt formål,« siger han.

Designproblem i sms-systemet

Modsat i mail-systemet - hvor det ligeledes er muligt at oplyse et andet domænenavn - er sms-systemet ikke bygget til at bekæmpe problemet, mener han.

»På mail har man globale registre over, hvad man skal se efter, og hvis det domænenavn, der er skrevet ind som afsender, ikke stemmer overens med ip-adressen, der er knyttet til mailen, så slår man alarm. Det er klodset, men det virker, og det findes altså ikke på sms-systemet,« siger Torben Rune.

Det kan skyldes, at hverken sms'ers enorme popularitet, eller de sikkerhedsomstændigheder, der gælder i dag, var tydelige, da systemet oprindeligt blev bygget.

»Graver vi helt ned til den allerinderste kerne, så er det her et designproblem, som blev skabt, da man for lang tid siden udviklede sms-systemet. Da var verden en helt anden, og man tænkte slet ikke i de samme baner som i dag,« fortsætter han.

Omfanget for småt til whitelisting

Selvom 'SAS'-beskederne i sidste uge syntes at nå ud både nært og fjernt, så er denne form for spoofing-angreb ikke noget, teleselskaberne støder på i hverdagen. De kommer i bølger, og ofrene er få, fortæller pressechef i Telia Ramus Avnskjold.

Derfor giver det ikke mening at gå ind og begrænse adgangen til funktionen med whitelisting.

»Problemet rammer for få mennesker, i forhold til hvor mange der benytter den her mulighed helt legitimt, til at det ville give mening at gå ind og whiteliste specifikke virksomheder eller lignende,« siger Rasmus Avnskjold.

Teleselskabet gør dog brug af deres mulighed for at blokere for specifikke numre. Det sker enten efter kundehenvendelser, eller når Telias automatiske filter opfanger et uforholdsmæssigt stort antal beskeder sendt over kort tid fra samme nummer.

Igen er der dog tale om en afvejning, der betyder, at langtfra alle tilfælde bliver fanget.

»Hvis vi laver det her filter for fintmasket, så rammer vi fuldstændig legale kunder, og det har vi ingen interesse i. Så vi har et filter, men det er konstant en balancegang, hvor fintmasket det skal være,« siger Rasmus Avnskjold.

»Derfor vil man nok aldrig komme det helt til livs. Så skulle man gå ind og tjekke hver eneste sms, og det er ikke noget, vi har mulighed for,« fortsætter han.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
4. september 2018 kl. 15:14

Hvordan bruger man det legitimt??

Til at virksomheder kan købe smarte platforme, så beskederne sendes fra SAS med SAS som afsender, i stedet for deres telefonnummer?

Det ville måske være en fin stramning af sikkerheden, at droppe de "legitime" formål. Men det koster måske lidt på de smarte ydelser hos teleselskaberne.

4
4. september 2018 kl. 12:31

Jeg diskuterede det med en mangeårig ven som er forsvarsadvokat for et par måneder siden.

Han forstod det ikke, før før jeg gik ud af lokalet og sendte ham en falsk sms fra en gateway til ham fra hans kone og takkede for god mad dagen før.

Han var seriøst rystet over at det var så let - for jeg kunne jo have skrevet noget virkeligt lort som han så ville tro at konen havde skrevet, for sms’en lagde sig jo i “beskerne” med konen i den rigtige tråd.

3
4. september 2018 kl. 12:26

Jeg kørte på et tidspunkt mit "eget mobilselskab", som blot var en server til at modtage og videresende MMS. Det gav pænt mange muligheder, først og fremmest gratis MMS på et tidspunkt hvor prisen ellers var rimeligt ublu.

2
4. september 2018 kl. 10:46

Tja - en simpelt SMS-gateway kan mange ting. Jeg lavede på et tidspunkt en joke med min chef hvor jeg via smsgateway sendte ham SMS fra hans eget nummer - hvorefter han begyndte at skrive til sig selv. Hvad værre var - der var jo konstant optaget nårnu han ringede til dette nummer ( jaja han kunne ikke sit eget tlf nummer - derfor var det sjovt)

Men det problem har jo netop som et design spørgsmål været der fra starten. Jeg har flere gange diskuteret i AMT om SMS er gyldig dokumentation. - da jeg så viste dem hvor nemt jeg kunne sende en sms fra deres eget nummer -. blev de ret overrasket - Men accepterer stadig SMS som dokumentation

1
4. september 2018 kl. 08:08

Det samme er gældende for opkald. Da jeg legede med et dialer system, så kunne man blot indtaste det nummer man ville ringe fra. Så man kunne fx ringe til Kristoffer Jørgensen (forfatteren af denne artikel) fra 33 26 53 00 (Mediehuset Ingeniørens hovednummer) og forsøge at bilde ham alt muligt ind. Hvis Kristoffer har kodet hovednummeret ind på hans telefon, så vil der fx stå "Arbejde" på hans skærm.