¿Qué hace que una puerta de enlace SMS sea insegura?

Navega tus respuestas
1

¿Se trata específicamente de algo relacionado con el protocolo SMS, el software propietario utilizado para hacer el enrutamiento de mensajes o quizás una ACL en el servidor? Me imagino que una pasarela que acepte correos electrónicos desde cualquier lugar que luego se envíen por SMS verificará el campo desde en cualquier mensaje entrante contra RFC5322 , pero nuevamente, este claramente no es el caso ya que algunas puertas de enlace permiten el paso de cualquier mensaje, permitiendo la suplantación de identidad.

¿Puede alguien explicar en qué punto del proceso todo esto es débil y por qué? Además, ¿por qué no arreglan cosas como esta?

    
pregunta knishka 06.02.2015 - 20:19
fuente

2 respuestas

1

No hay nada de malo en SMS. Hagamos ingeniería inversa y rediseñemos toda la red como para proteger la comunicación entre dos personas.

1) Hagamos que sea una red de comunicación punto a punto donde haya una sal conocida solo por el remitente y el receptor, y que los números de teléfono estén encriptados. Esto evita la suplantación de identidad y / o el spam.

2) la puerta de enlace solo tiene una instancia, y esa instancia está protegida por al menos 256 encriptación, y está físicamente aislada de otros equipos y manipulaciones. Para garantizar que el robo de dispositivos de punto final no sea un problema, el modo sin conexión está deshabilitado.

3) Se puede usar un número de teléfono de una sola vez para enviar SMS a usuarios fuera de este entorno seguro que restringe que el número de teléfono original no sea recogido o falsificado.

4) El número de teléfono bloquea todos los SMS para los números que no están en la lista de contactos. . . . . Ahora, enviamos al ingeniero unos 20 años, lo escalamos utilizando un equipo empresarial y comercial y lo llamamos Snapchat (y eliminamos la función de mensajería del grupo). Ahora es más seguro que el Blackberry del presidente Obama, pero aún no es insensible a las novias, esposas y capturas de pantalla celosas.

    
respondido por el Kevin Yu 06.02.2015 - 21:02
fuente
0

Descargo de responsabilidad: trabajo para un proveedor de SMS.

El protocolo de SMS predeterminado (SMPP) es intrínsecamente inseguro (por diseño), por lo que se deben colocar varias capas de seguridad sobre el protocolo en sí mismo, una forma de lograrlo es mediante VPN, por ejemplo, esto estaría activado. La capa de conectividad (o red). Con otras tecnologías, como el correo electrónico, tal como lo indicó, una autoridad de dominio como su registrador de dominios puede restringir técnicamente que otros usen o falsifiquen su dominio, por lo que hay un poco más de seguridad allí, que no es aplicable en SMS o SMPP. Debido a estas deficiencias de seguridad en el protocolo de SMS, una pasarela de SMS debe tomar precauciones adicionales para asegurar todas las otras capas involucradas en la transmisión de SMS, ya hablamos sobre la capa de red, también está la capa de aplicación y la seguridad de contraseñas y cuentas y restringiendo el acceso a solo las direcciones IP de la lista blanca, por ejemplo, también está la capa de contenido, las interfaces (la mayoría de las puertas de enlace SMS permiten el acceso a la API, por lo que es otra capa de seguridad, por ejemplo), que utiliza HTTPS para cifrar los datos durante la transmisión.

Invertimos fuertemente en proteger nuestra puerta de enlace SMS porque la mayoría de nuestros clientes están en el sector financiero, lo que exige el cumplimiento de los estándares de seguridad de la industria como PCI / DSS. Puede encontrar más detalles sobre la seguridad de la puerta de enlace de SMS y un documento técnico sobre el mismo en esta publicación de blog .

    
respondido por el Sherif Hussein 25.07.2016 - 09:57
fuente

Lea otras preguntas en las etiquetas

¿Por qué se prolonga la vida de una cocinera después de que haya transcurrido la mitad del tiempo en un algoritmo de expiración deslizante? Implementar la verificación GPG (Bitcoin-OTC)