SS7 de fout in ons telefonie systeem

[AnD]

Wie heeft de volgende youtube video al gezien, is eens interessant om te kijken?

[Splitter]

als je interesse hebt in SS7 / hoe telefonie werkt (en hoe makkelijk het eigenlijk is om dat te misbruiken) is het zeker een leuke video om eens te kijken.
echt veel nieuws zat er voor mij niet in, maar veritasium videos zijn over het algemeen altijd wel goed gemaakt vind ik, dus deze heb ik dan ook gekeken toen die uitkwam

[lacer]

Ook zien passeren gisteren, maar nog niet gezien. Staat nu in mijn lijst Later Bekijken.

[AnD]

Ik vond het wel informatief als noob op dit gebied

[heist_175]

Of als je wat wil lezen zonder video te hoeven zien
https://www.economist.com/leaders/2024/ ... -it-harder
https://www.economist.com/science-and-t ... lds-phones

Conclusie: geen enkele klant maalt erom, dus investeren telco's niet in een veiligere setup

[Splitter]

artikels vallen niet te lezen zonder in te schrijven.... en dat gaan we niet doen hé.

de conclusie is trouwens ook niet correct.... klanten (en telco's) malen er wel om, maar het komt er niet van door "first mover disadvantage",
niemand wil al de nadelen zonder de voordelen natuurlijk.

[cloink]

artikels vallen niet te lezen zonder in te schrijven.... en dat gaan we niet doen hé.

niet toegelaten link/jE9rg
niet toegelaten link/TN6O5

[bvhalst]

Informatief maar scary vind ik. Als een instantie je wil nekken om welke reden ook, dan kan dat makkelijk blijkbaar.
Vermoedelijk denken veel: « ik heb niets te verbergen ». Maar dat gewoon 2 stap verificatie sms kan onderschept worden, dan zie ik toch wel gevaar voor de normale gebruiker.

[Splitter]

Als een instantie je wil nekken om welke reden ook

als je met "een instantie" een legale instantie wil bedoelen, die kunnen dat ook zonder een hack (lawful intercept, werken alle operatoren aan mee)

Vermoedelijk denken veel: « ik heb niets te verbergen ».

heeft niets te maken met wat iemand wel of niet denkt, dit toont gewoon aan dat, indien iemand (op onwettige wijze) gegevens over je wil,
of iets van je wil overnemen dat te maken heeft met je telefonie (zoals dus je 2fa codes via sms), dat dat eenvoudig mogelijk is.
je hoeft dus niet eens wat te verbergen te hebben: dit kan prima gebruikt worden om, in combinatie met social engineering, zaken zoals je bankrekening bv te plunderen.

[bvhalst]

Gelukkig hebben we itsme dan nog? Of zou dat ook op een andere smartphone kunnen geïnstalleerd worden zonder dat de gebruiker het weet?

[Avenger 2.0]

Gelukkig hebben we itsme dan nog? Of zou dat ook op een andere smartphone kunnen geïnstalleerd worden zonder dat de gebruiker het weet?

Gezien het met sms en email werkt voor verificatie zou een aanvaller beide kunnen onderscheppen gezien ze beide kwetsbaar zijn.

[bvhalst]

Wat zou je dan nog kunnen gebruiken wat volledig waterdicht is?

[devilkin]

We weten toch al een eeuwigheid dat gsm/2g/sms niet veilig is... wil je enige notie van een relatief betrouwbaar kanaal, dan moet je iets gebruiken dat e2e encrypted is.

[Splitter]

Wat zou je dan nog kunnen gebruiken wat volledig waterdicht is?

puur voor de 2de factor kan je een hardware key, zoals een yubikey, gebruiken.

dus:

- sterk paswoord
- opgeslagen in een paswoordmanager (zodat je het niet hoeft te onthouden én op geen enkele site hetzelfde gebruikt)
- met 2fa aan, indien mogelijk
- en die 2fa opgeslagen op een hardware key, zoals een yubikey

.... maar je mag nooit een van de zwakste schakels vergeten: de mens zelf (kijk maar naar hoevelen zich nog laten vangen ivm de bank & de code van de kaartlezer gewoon uit te delen)