और टेलीकॉम कंपनियों ने Salt Typhoon सेंध की पुष्टि की, White House हस्तक्षेप पर विचार कर रहा है
(theregister.com)- AT&T, Verizon, Lumen Technologies ने चीनी सरकार-समर्थित हैकर्स द्वारा अपने सिस्टम तक पहुँच की पुष्टि की, जिससे Salt Typhoon सेंध अमेरिकी टेलीकॉम नेटवर्क में व्यापक राष्ट्रीय सुरक्षा मुद्दा बन गई
- White House ने बताया कि इस घुसपैठ से चीन पक्ष को लाखों लोगों की लोकेशन ट्रैक करने और फोन कॉल्स को मनमाने ढंग से रिकॉर्ड करने की क्षमता मिली, और एक मामले में administrator account के समझौता होने से 100,000 से अधिक routers तक पहुँच संभव हुई
- AT&T और Verizon ने कहा कि प्रभावित ग्राहक कम संख्या में थे, जबकि Lumen ने बताया कि customer data तक पहुँच के कोई सबूत नहीं मिले और एक स्वतंत्र forensic firm ने हमलावरों को हटाए जाने की पुष्टि की
- location information और phone metadata से प्रभावित लोगों की संख्या बड़ी है, लेकिन वास्तविक calls और texts की collection का लक्ष्य कम था और संभवतः 100 से कम लोग थे
- FCC टेलीकॉम कंपनियों से basic cybersecurity practices की मांग करने वाला rules proposal आगे बढ़ा रहा है, और Senator Ron Wyden ने भी FCC द्वारा बाध्यकारी telecom security rules जारी कराने की मांग वाला bill प्रस्तावित किया
अमेरिकी टेलीकॉम कंपनियों में सेंध की पुष्टि बढ़ी
- AT&T, Verizon, Lumen Technologies ने पुष्टि की कि चीनी सरकार-समर्थित जासूसों ने इस साल की शुरुआत में उनके कुछ systems तक पहुँच बनाई थी
- White House ने कहा कि Salt Typhoon से प्रभावित टेलीकॉम कंपनियों की संख्या पहले की 8 से बढ़कर 9 हो गई है
- T-Mobile ने पहले Salt Typhoon की reconnaissance कोशिशों के साथ “consistent” जासूसी गतिविधि का उल्लेख किया था, लेकिन स्पष्ट किया कि वह सरकार द्वारा बताए गए 9 carriers में से एक नहीं है
AT&T·Verizon·Lumen ने नुकसान के बारे में क्या पुष्टि की
- AT&T ने कहा कि विदेशी जासूसों ने intelligence campaign में कम संख्या में ग्राहकों को प्रभावित किया, और वे तत्व पहले ही network से हटा दिए गए हैं
- फिलहाल network में nation-state actor की activity detect नहीं हो रही है
- माना जा रहा है कि चीन ने विदेशी intelligence रुचि के target रहे कुछ व्यक्तियों को निशाना बनाया
- जिन अपेक्षाकृत कम मामलों में personal information प्रभावित हुई, उनमें law enforcement agencies के साथ मिलकर notification obligations पूरी की गईं
- सरकारी अधिकारियों, अन्य telecom carriers और cybersecurity experts के साथ investigation जारी है
- Verizon ने पुष्टि की कि चीनी घुसपैठियों ने सरकार और राजनीति से जुड़े कुछ high-profile customers तक पहुँच बनाई
- उन customers को notify किया गया, और company ने कहा कि nation-state threat से उत्पन्न cyber incident को contain कर लिया गया
- नाम न बताने वाली एक “highly respected” cybersecurity company ने भी containment की पुष्टि की
- federal law enforcement agencies, national security agencies, अन्य communications partners और security companies के साथ सहयोग किया गया
- Verizon की chief legal officer Vandana Venkatesh ने कहा कि Verizon network में threat actor activity कुछ समय से detect नहीं हुई है
- Lumen Technologies ने चीनी attackers को अपने systems से हटा दिया और customer data access का कोई सबूत नहीं मिला
- एक independent forensic firm ने पुष्टि की कि Salt Typhoon अब network के अंदर नहीं है
- federal partners ने भी इससे अलग कोई जानकारी साझा नहीं की, ऐसा company ने कहा
White House के अनुसार घुसपैठ का दायरा और तरीका
- White House की cyber और emerging technology के लिए Deputy National Security Advisor Anne Neuberger ने बताया कि इस घुसपैठ को “अमेरिकी इतिहास का सबसे खराब telecom hack” कहा गया है
- चीन पक्ष ने networks में प्रवेश कर “व्यापक और पूर्ण पहुँच” हासिल की, जिसके परिणामस्वरूप उसे लाखों लोगों की location track करने और phone calls को मनमाने ढंग से record करने की क्षमता मिली
- एक मामले में जासूसों ने administrator account में सेंध लगाई, और उस account से 100,000 से अधिक routers तक पहुँचा जा सकता था
- Neuberger ने समझाया कि उस account को compromise करके चीन ने पूरे network में व्यापक access rights हासिल कर लिए
- इस स्थिति को nation-state actors से बचाव के लिए जरूरी cybersecurity स्तर से कम आंका गया
प्रभावित लोगों की संख्या और data का दायरा
- White House अभी कुल victims की संख्या नहीं जानता
- location information और phone metadata से प्रभावित individuals की संख्या काफी अधिक है
- वास्तविक phone calls और texts की collection के targets कम थे, और वास्तविक लोगों की संख्या संभवतः 100 से कम हो सकती है
telecom security response regulation की ओर बढ़ रहा है
- White House ने इस घुसपैठ के बाद जोर दिया कि nation-state threats के खिलाफ केवल voluntary cybersecurity measures पर्याप्त नहीं हैं
- FCC ने telecom operators से basic cybersecurity practices की मांग करने वाला public rule proposal शुरू किया
- commissioners 15 जनवरी तक इस rule पर vote करने वाले हैं
- Senator Ron Wyden ने FCC को communication systems के लिए binding rules जारी करने की मांग वाला bill प्रस्तावित किया
- सेंध से प्रभावित 9 telecom companies के सभी CEOs सरकार के 60-day Enduring Security Framework में शामिल हुए
- इस public-private effort का लक्ष्य intelligence agencies, CISA, FBI और telecom security experts द्वारा सहमत minimum cybersecurity practices तैयार करना है
1 टिप्पणियां
Hacker News टिप्पणियां
अगर कंपनियां data minimization अपनातीं, और जिस ग्राहक डेटा को देखने की जरूरत नहीं है उसे end-to-end encryption से सुरक्षित करतीं, तो ऐसी breaches कम होतीं
क्योंकि घुसपैठ करने की प्रेरणा ही खत्म हो जाती, लेकिन खुफिया एजेंसियां इस बात पर अड़ी रहती हैं कि उन्हें निर्दोष नागरिकों की बातचीत तक पहुंच मिलनी चाहिए
असल में कोई दंडात्मक सजा या जुर्माना नहीं है, और short-term profit बचाना user data की सुरक्षा से ज्यादा अहम माना जाता है। जब तक breach कंपनी को गंभीर आर्थिक नुकसान नहीं पहुंचाती, तब तक यह “माफ कीजिए, हम आपको credit monitoring दे देंगे” की तरह यूजर्स पर डाल दिया जाएगा। Software development और engineering industry में भी data security को गंभीरता से लेने वाले लोग ज्यादा नहीं हैं; बातें बहुत होती हैं, लेकिन असली business implementation में बेहद खराब practices दिखती हैं
अब वही अनिवार्य privacy-bypass backdoor दुर्भावनापूर्ण पक्षों द्वारा इस्तेमाल हो रहा है, और FBI, खुद पैदा की गई स्थिति की वजह से, सभी को end-to-end encrypted apps इस्तेमाल करने की सलाह दे रही है। लेकिन यह आपदा गुजरने के बाद वे फिर “encryption खराब है, security खराब है, हमें data आसानी से लेने का तरीका दीजिए” वाली दलील पर लौट आएंगे
समस्या यह है कि regulation और commercial interests दोनों उलझे हुए हैं। यह उम्मीद करना अवास्तविक है कि जनता या सरकार मोबाइल फोन के लिए वास्तविक privacy स्वीकार करेगी। लोग चाहते हैं कि 911 पर कॉल करने पर पुलिस या firefighters पहुंचें, और organized crime या गंभीर अपराधों का पता चले और prosecution हो
SS7 protocol यह जानने देता है कि किसी खास समय पर फोन किस RNC/MMC से जुड़ा है, और यह network operation का मूल हिस्सा है। अगर पर्याप्त sophisticated attacker के पास telecom equipment तक पर्याप्त access हो, तो वह सीधे protocol commands भेजकर location पता कर सकता है
एक user के लिए basic principles समझता हूं, लेकिन Facebook Messenger जैसे shared end-to-end encrypted group chat कैसे implement होते हैं, इसके बारे में और जानना चाहता हूं
यह अजीब है कि अमेरिकी banks, Venmo, PayPal वगैरह अभी भी authentication के लिए “असली” phone number मांगते हैं
Venmo VoIP numbers इस्तेमाल नहीं करने देता, लेकिन Tello में sign up करके विदेश में eSIM activate किया तो तुरंत SMS मिला और sign up कर पाया। barrier सिर्फ 5 डॉलर था; कमाल की security है
आखिर सबसे असरदार तरीका यह जानना है कि transaction के parties कौन हैं। कुछ कंपनियों के Know Your Customer standards कम होते हैं, लेकिन समय के साथ वे अपराध में मदद करने का रास्ता बन जाती हैं और regulatory partners व सरकार की निगरानी में आ जाती हैं। Singapore, Canada, Japan और धीरे-धीरे सख्त होते EU की तुलना में अमेरिका अपेक्षाकृत ढीला है, और कई jurisdictions में biometric verification, photo authentication, और कभी-कभी agent के साथ video interview में documents दिखाने पड़ते हैं
एक कंपनी ने बाद में VoIP number को retroactively block कर दिया, जो सचमुच मूर्खतापूर्ण था
यह check करने और allow करने की प्रक्रिया होनी चाहिए कि number fraud में इस्तेमाल नहीं हो रहा है। कई सालों से customer होना, उसी number को लगातार इस्तेमाल करना, और platform पर हजारों dollars के transactions बिना किसी issue के कर चुका होना—इतना तो judgment का आधार हो सकता है, ऐसा लगता है
कम से कम Europe में PSD2 standards के तहत phone number को two-factor authentication method मानने की मुख्य बात यही है
फोन उठाकर “मैं … हूं” न कहने का एकमात्र कारण यह है कि मैं ईमानदार हूं। कोई malicious user जो पूछी जाने वाली सारी जानकारी पहले से जानता है, उसे यह नहीं रोक सकता; वह बस झूठ बोलकर खुद को business owner या account owner बता देगा
मैं सुरक्षा क्षेत्र में काम करता/करती हूँ, और यह घटना चौंकाने वाली थी। हैरानी इस बात से ज़्यादा नहीं थी कि कंपनियाँ hack हो गईं, बल्कि इस बात से थी कि हमले का दायरा एक साथ कई जगह और coordinated दिख रहा था
कई कंपनियों में एक साथ सेंध लगाना चीन के लक्ष्यों के बारे में कुछ बताता है। ऐसा करने से “noise” बढ़ने का जोखिम होता है, इसलिए सवाल है कि high-level targets की सुनवाई करने के लिए किसी कर्मचारी को खरीदने के बजाय उन्होंने सबको क्यों छेड़ा और राष्ट्रपति-स्तर की प्रतिक्रिया तक क्यों बुला ली। यह image और राजनीति से प्रेरित लगता है, और मुझे लगता है कि आधुनिक Cold War का मतलब infrastructure attacks है
रुचि के लगभग किसी भी industry को चुन लीजिए—top 50 देशों की intelligence agencies में उस sector को hack करने के लिए dedicated team होती है, और उनमें से अधिकांश सफल होती हैं। दुख की बात है कि security industry के लोग भी अक्सर ऐसे operations के दायरे और पैमाने को ठीक से नहीं समझते, यहाँ तक कि उन networks के अंदर भी नहीं जिनकी जिम्मेदारी उन्हीं की होती है। यहाँ “noise” attacker ने जानबूझकर नहीं किया; attacker भी पकड़ा जाना नहीं चाहता, लेकिन गलतियाँ हो जाती हैं
क्योंकि एक चीज़ मिल जाए तो आप दूसरी चीज़ें भी ढूँढना शुरू कर देते हैं। किसी कर्मचारी को recruit करना जटिल और कठिन है, लेकिन SS7 पर remotely attack करना, खासकर जब surveillance targets कई हों, कहीं आसान है
telecom और power cables से खुलेआम छेड़छाड़ करना Western politicians के लिए एक signal जैसा लगता है। यह दावा भी है कि North Korea ने cryptocurrency चुराई, लेकिन कोई identifiable victim सामने नहीं आया। Western politicians हमें अभी हो रही चीज़ों से बचाने के नाम पर पूरी global economy को reshape करने की कोशिश कर रहे हैं, इसलिए यह संयोग से ज़्यादा लगता है
outgoing और incoming की political leanings चाहे जो हों, यह ज्यादा chaotic होगा, और दिखेगा तो सही, लेकिन संभव है कि इसे संभालने वाली to-do list में नीचे धकेल दिया जाए या भुला दिया जाए
खबरों में दिखने वाले attacks में भारी selection bias होता है
हैकिंग का विवरण स्पष्ट नहीं है, इसलिए पुष्टि नहीं की जा सकती, लेकिन जितनी ज्यादा telecom companies के hacked होने की बात सामने आती है, उतनी ही संभावना बढ़ती है कि चीन ने lawful interception पर हमला करके घुसपैठ की हो
तरीके कई हो सकते हैं। जैसे lawful interception management system तक access रखने वाले law enforcement अधिकारियों को रिश्वत देना या धमकाना, उस system की supply chain पर हमला करना, या network और management system के बीच authentication को hack करना। अगर यह lawful interception पर हमला है, तो automated lawful interception support करने वाले सभी networks compromised माने जाएंगे। यह एक बेहद खराब हमला है, क्योंकि यह इस तरह design किया गया होता है कि interception targets operators को आसानी से दिखाई न दें, इसलिए detection मुश्किल होती है
जिन्होंने networking का काम किया है, वे समझेंगे कि इसका मतलब क्या है। यह industry हास्यास्पद रूप से खराब हालत में है। SSH इस्तेमाल होता है, लेकिन host keys verify नहीं की जातीं, agent forwarding इस्तेमाल होती है, और RADIUS या SNMP जैसे protocols चलते हैं जिनमें एक device compromise होते ही लगभग हमेशा globally shared secret values के कारण सब ढह जाता है। यह भी शक है कि secure boot का meaningful इस्तेमाल होता है या file system verify किया जाता है
20 साल पहले जब किसी ने पाया कि forged TCP reset inject करके BGP connection तोड़ा जा सकता है, तो industry ने BGP over TLS नहीं अपनाया। इसके बजाय 1999 में shared secret value पर आधारित TCP MD5 hash ही जोड़ा गया: https://datatracker.ietf.org/doc/html/rfc2385. आज भी PKI इस्तेमाल करने की कल्पना तक न कर पाने जैसा माहौल बना हुआ है, और deployment भी आम तौर पर नहीं होता
इस industry को समझने के लिए बस यही देखना काफी है। सीधे TLS इस्तेमाल करने के बजाय https://datatracker.ietf.org/doc/html/rfc5925 जैसी चीज बनाई गई, और actual deployments में वही shared tuple model जारी रखा गया, इसलिए यह 2385 जितना ही खराब है। “support” का दावा करने वाले vendors में भी कुछ पूरे RFC को support नहीं करते। यह स्थिति दशकों से ज्ञात थी, लेकिन vendors ने पकड़े गए बेवकूफी भरे issues पर patch लगाने के अलावा security सुधारने में शायद ही रुचि दिखाई, और security researchers भी critical network equipment को ज्यादा नहीं खंगालते
बात यह नहीं है कि और जगह hack हुई हैं, बल्कि यह है कि उसी hack से जुड़े और अधिक मामले पाए गए हैं। इस स्तर का attacker news देख रहा होगा, और अपने फायदे के लिए सही कदम उठाएगा या indicators of compromise reverse-engineer होने से पहले network समेट लेगा
यह lawful interception आधारित attack से ज्यादा ऐसी स्थिति हो सकती है जहां पक्का पता ही नहीं है कि अंदर कैसे आए। CISA guidance का बड़ा हिस्सा standard cybersecurity best practices है, जैसे monitoring/visibility हासिल करना और attack surface कम करना। मुख्य बदलाव TFTP का इस्तेमाल बंद करने की मांग और manufacturers को baseline hashes का source मानने वाला हिस्सा लगता है। Send/receive path में firmware-based attack की संभावना बहुत ज्यादा लगती है
TFTP servers ISP network के endpoints, यानी customer modems, को configuration भेजते हैं और firmware images भी शामिल करते हैं, लेकिन इसमें authentication, authorization या auditing नहीं होती। संबंधित hardware design के कारण changes का ठीक से audit करना मुश्किल होता है, TR-47 शायद ही सही तरीके से इस्तेमाल होता है, और संबंधित encryption को कानूनी तौर पर ऐसे encryption के साथ backward compatibility रखने को कहा जाता है जो पहले ही टूट चुका है। कुछ साल पहले Cyphercon 6 में इस पर अच्छी presentation थी: https://www.youtube.com/watch?v=_hk2DsCWGXs
TLS 1.3 पर असामान्य जोर यह संकेत देता है कि connections downgrade हो रहे हैं, या CPE bridge का hardware/firmware पुराने versions में public sites के खिलाफ transparent man-in-the-middle attack कर रहा है। किसी खास DH group के इस्तेमाल पर जोर भी यह संकेत दे सकता है कि कोई key exchange group ऐसा हो सकता है जिसे अभी public तौर पर टूटा हुआ नहीं माना जाता, लेकिन वास्तव में वह टूट चुका हो
अगर attacker पहले से access वाले sensitive लोगों के traffic में malicious code तुरंत inject कर सकता है, तो वह उस traffic के जरिए अत्यधिक sensitive systems में आसानी से घुस सकता है। एक और ज्यादा किनारे की hypothesis यह है कि Feistel structure तोड़ने का तरीका मिल गया हो। NSA ने पहले कहा था कि cryptography में कोई breakthrough हुआ था; अगर वह आधुनिक cryptography के बड़े हिस्से के आधार Feistel network structure पर attack से जुड़ा हो, तो यह एक और explanation हो सकता है
लगभग हर computer में TrustZone, Management Engine, AMD PSP जैसे backdoor-जैसे auxiliary processors मौजूद होते हैं, और वे proper audit trail के बिना सिर्फ cryptography पर निर्भर होकर protected रहते हैं। यह पृथ्वी के लगभग हर computing platform पर केंद्रित low-hanging fruit जैसा दिखता है। अगर quantum computer ऐसे systems की single signing key तोड़ दे, तो वह हर चीज के लिए golden key बन सकता है, और nation-state level पर यह पूरी तरह असंभव भी नहीं है। Visibility न होने पर problem detect करने, respond करने या isolate करने के तरीके भी सिर्फ indirect रह जाते हैं
संबंधित पिछली चर्चाएं:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
कुछ साल पहले तक intelligence agencies backdoor अनिवार्य करने की बात कर रही थीं, और अब FBI सुरक्षित चैट के लिए Signal की सलाह दे रही है—यह किसी कॉमेडी जैसा लगता है
उम्मीद है नई administration पिछले 4 सालों में उनके emails और texts भी खंगालेगी। बात ऐसी है: “मेरी privacy ठीक, तुम्हारी privacy नहीं”
हमला intercept outsourcing company के जरिए CALEA backdoor पर था। कौन-सी company रही होगी?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
और कौन-सी कंपनियां यह business करती हैं? intercept outsourcing companies इतनी ज्यादा नहीं हैं। Verisign भी पहले यह business करती थी, लेकिन अब शायद नहीं
बेशक, तकनीकी तौर पर यह असंभव है, लेकिन intelligence agencies के नजरिये से उनकी desired end state काफी समझ में आती है
इसमें हैरानी नहीं कि counterintelligence side मजबूत encryption चाहती है, और crime response side backdoor-able encryption चाहती है
भले ही FBI privacy का वह सम्मान न करती हो जो उसे करना चाहिए
carriers के पास मौजूद सारी security के ऊपर device-to-device encryption की जरूरत इसी वजह से है
मेरे द्वारा बनाई गई किसी भी connection के recipient के अलावा किसी भी point पर unencrypted रहने की कोई वजह नहीं है
China ने जिस चीज को target किया वह यह metadata था कि कौन किससे communicate कर रहा है, और यह पूरी तरह अलग problem है
phone numbers संभालना ही झंझट है, और उसके ऊपर public keys जोड़ने की बात हो रही है। उन्हें आसानी से लिखकर रखा भी नहीं जा सकता और वे संभवतः handset से बंधी होंगी; अगर फोन खो गया और बदलना पड़ा, तो जब तक आप किसी तरह नई key सब तक distribute नहीं कर देते, आप calls receive नहीं कर पाएंगे
मुझे लगता है end-to-end encryption जितने भी contexts में आजमाई गई है, उनमें practically unworkable साबित हुई है। आज वास्तव में useful कोई real end-to-end encryption system नहीं है, और industry ने इस term को “pseudo-encryption” के अर्थ में इस्तेमाल करना शुरू कर दिया है, जहां adversary द्वारा controlled software encryption करता है, जिससे यह term meaningless हो गई है। वैसे भी real end-to-end encryption कहीं इस्तेमाल नहीं हो रही थी, इसलिए ऐसा फैसला लेने वाले engineers को कुछ हद तक समझा जा सकता है
अमेरिकी Treasury Department ने भी Chinese threat actor की intrusion की घोषणा की है
कहा गया कि उनके “cybersecurity vendor” के पास मौजूद remote access key leak हो गई, जिससे attacker Treasury के internal endpoints तक पहुंच सका
मेरी जानकारी में यह EU carriers के लिए शायद news नहीं होगी। क्योंकि Chinese companies उन्हें operate करती हैं और लगभग हर चीज तक permanent access रखती हैं
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
क्या अमेरिकी carriers ऐसे नहीं हैं?
सौभाग्य से अमेरिकी online services Europe के पक्ष में खड़ी होकर communications की सुरक्षा के लिए सबसे ज्यादा मेहनत करती हैं। यहां तक कि वे Europe से पैसे भी नहीं लेतीं, और बदले में Europe उन पर अरबों डॉलर का जुर्माना लगाता है। Europe ने attention economy पर tax लगाने के लिए websites को नुकसान पहुंचाया, और open source developers के लिए legal protections भी हटा दीं
“लाखों लोगों की location पता लगाने की क्षमता” की बात हो, तो Starlink भी विशाल direct-to-cell antenna के जरिए सभी 4G/5G phones के IMEI location आसानी से पता कर सकता है, ऐसा लगता है
device को network के ज्यादातर हिस्सों के सामने identify करने के लिए temporary identifiers वाली multi-step प्रक्रिया होती है, इसलिए जरूरी नहीं कि ऐसा हो