techfromthenet
  • Home
  • Hardware
  • Mercato
    • Nomine
    • Accordi
    • Attualità
  • Mobile
    • Notebook
    • Smartphone
    • Tablet
  • Networking
  • Sicurezza
    • Software
    • Piattaforme
    • Analisi
  • Software
    • Produttività
    • Sistemi operativi
  • Storage
  • Cloud
  • test
  • Interviste
HomeSicurezzaNews analisiPositive Technologies, le One-Time Password non sono più sicure

Positive Technologies, le One-Time Password non sono più sicure

5 Dicembre 2016 Positive Technologies
Positive Technologies, le One-Time Password non sono più sicure

Secondo Positive Technologies, le One-Time Password (OTP) non sono più sicure, possono essere infatti facilmente intercettate e usate per hackerare un account.
L’azienda ha analizzato dettagliatamente il protocollo SS7 (Signaling System 7), un set standardizzato di protocolli di segnalazione utilizzato dalle reti telefoniche di tutto il mondo per gestire le telefonate, in particolar modo per aprirle e chiuderle. Il protocollo SS7, chiamato anche “sistema nervoso di una rete telefonica” viene utilizzato anche per gestire i servizi di SMS, per l’invio di messaggi di testo e per gestire gli addebiti e le telefonate tra differenti operatori. Il protocollo SS7 è stato sviluppato negli anni ’70 per connettere la telefonia fissa ma nel corso degli anni si è evoluto per supportare anche la comunicazione mobile.

È già noto che questo protocollo possieda delle vulnerabilità a causa della mancanza di crittografia e di messaggi di convalida, vulnerabilità facilmente sfruttabili per intercettare e hackerare comunicazioni. La ricerca di Positive Technologies ha riguardato 16 serie di test, svolti nel 2015, sui principali operatori di telefonia mobile in EMEA e APAC allo scopo di individuare le vulnerabilità e capire come, attraverso queste, è possibile attaccare gli utenti.
La ricerca, che ha analizzato la sicurezza delle reti SS7 di vari operatori con una base di abbonati che va dai 10 ai 70 milioni, ha dimostrato che ognuna di queste reti era suscettibile di media a 9 attacchi. Attacchi DDoS sono risultati possibili nell’80% dei casi, attacchi leakeage possibili nel 77% dei casi e vi era il 67% di probabilità che si verificassero azioni fraudolenti. La maggioranza degli attacchi (61%) sono possibili per le vulnerabilità del protocollo SS7, mentre solo l’1% è causato da vulnerabilità dei software.

Nessuna rete SS7 si è rivelata sicura, tutte infatti si sono dimostrate potenzialmente attaccabili dall’esterno e con vulnerabilità che consentono fughe di dati e intercettazione di messaggi. La maggior parte delle vulnerabilità sono state individuate nelle reti degli operatori cellulari EMEA.
Gli esperti di Positive hanno dimostrato che è sufficiente che un utente richieda tramite SS7 una OTP per permettere ad un hacker di intercettarla e di entrare nell’account dell’utente stesso. Le One Time Password, generate attraverso algoritmi matematici, sono password valide solo per una singola sessione di accesso e per un breve periodo di tempo, quindi dovrebbero aumentare la sicurezza degli account.

Facebook, Whatsapp, Telegram e Twitter, così come molti altri social media, offrono la possibilità di resettare la propria password tramite una OTP che però, invece di aumentare la sicurezza degli utenti, introduce una vulnerabilità che gli hacker possono sfruttare per intromettersi all’interno degli account. Paradossalmente, scegliendo di non ricevere una OTP si aumenta notevolmente la sicurezza del proprio account. Ciò non è valido solo per i social media ma anche per tutti quei servizi, come banche online, che presentano come opzione il recupero della password tramite SMS.

I piccoli operatori di telefonia mobile sono meno protetti contro le minacce esterne, tuttavia anche gli operatori più grandi non si sono rivelati in grado di fornire un adeguato livello di sicurezza: la percentuale di attacchi possibili si è dimostrata significativa in tutte e due i casi.
Per comprendere il danno potenziale basti pensare all’account Twitter di Katy Perry che a fine Maggio 2016 è stato hackerato. Il profilo, con più di 89 milioni di follower da tutto il mondo, si è riempito di insulti razzisti e offese omofobe che la star avrebbe rivolto a colleghi e a fan. Ciò ha comportato gravi problemi alla celebrity e al suo team; tuttavia gli account delle celebrità non sono gli unici ad essere presi di mira.
Per risolvere queste vulnerabilità è necessario avere un approccio globale alla sicurezza, tenendo ben presente che anche gli intrusi con poche competenze e con scarsi strumenti possono ormai hackerare account e profili.

Gli esperti di Positive Technologies raccomandano soluzioni che analizzano velocemente i network SS7 e che non hanno un impatto negativo sui servizi di telefonia mobile. Le soluzioni devono essere aggiornate di frequente per far fronte a minacce sempre più avanzate.
Il livello di sicurezza generale delle reti SS7 esaminate si è rivelato quindi inferiore alle aspettative: ogni rete analizzata ha dimostrato infatti di poter essere vittima di attacchi volti al furto di dati, ad interruzioni di rete o ad azioni fraudolenti. Le misure di protezione impiegate dalle aziende di telecomunicazioni non sono sufficienti a contrastare possibili attacchi hacker, e ciò riguarda sia i piccoli operatori di telefonia sia aziende molto più grandi. Al fine di ridurre i rischi, gli operatori dovrebbero adottare un approccio globale alla protezione SS7 e effettuare controlli periodici della rete, affidandosi ad aziende in grado di fornire misure adeguate a fronteggiare le vulnerabilità.

Related Posts:

  • password sicure
    Password sicure, Fortinet offre quattro utili consigli
  • cambiare password password
    ESET: quanto spesso dovremmo cambiare password?
  • SMS
    Imprese IT, e-commerce e TLC: primi nell'uso degli SMS
  • SMS
    Skebby, una guida per utilizzare gli SMS in ambito business
  • sms
    SMS e comunicazione mobile con TeamSystem Communication
  • itsmine Yandex TXT Group
    La tecnologia Nozomi per la sicurezza OT e IoT di Telefónica
  • account
  • analisi
  • One
  • otp
  • password
  • protezione
  • sicurezza
  • Time
Viva la Robolution! Come i robot cambieranno il mondo del lavoroPrecedente

Viva la Robolution! Come i robot cambieranno il mondo del lavoro

FRITZ!Powerline 1220E, la rete Gbit corre sulla linea elettricaSuccessivo

FRITZ!Powerline 1220E, la rete Gbit corre sulla linea elettrica

ULTIMI ARTICOLI

Synology protezione dei dati

Synology DP7200 migliora la protezione dei dati su più sedi

email spam

L’email spam è generata dall’AI, non dagli esseri umani

cloud

Snowflake Summit 2025: una piattaforma cloud per i dati

protezione dati data center data cloud

L’enterprise data cloud gestisce i dati senza storage

backup

Dati e microimprese: l’importanza del backup

FOCUS

intelligenza artificiale

Intelligenza artificiale: il motore turbo per le aziende

lavoro ibrido

Lavoro ibrido e digital workplace per le aziende PMI

industry 5.0

Industry 5.0 e Smart Factory: soluzioni e progetti

data center

La trasformazione dei data center, tra AI e sostenibilità

lavoro ibrido smart working

Smart working e digital workplace anche per le PMI

SPECIALE SICUREZZA

email spam

L’email spam è generata dall’AI, non dagli esseri umani

backup

Dati e microimprese: l’importanza del backup

firewall cybersecurity SentinelOne

Anche SentinelOne nel programma AWS ISV Workload Migration

cybersecurity security analyst

Formazione in cybersecurity, AssoCISO e SPES Academy

CPS

Sistemi CPS: nasce l’approccio alla riduzione del rischio centrato sull’impatto

SCOPRI IL MONDO QNAP

TEST

NUC

Asus NUC 14, miniPC senza complessi di inferiorità!

videosorveglianza

Synology CC400W, videosorveglianza con intelligenza artificiale

nas qnap

NAS QNAP TS-h765eU, edge storage a profondità ridotta

NAS Synology

NAS Synology DS224+, storage compatto entry-level

Notebook Asus

ExpertBook P5, il notebook Asus leggero e potente per il business

TECH

cloud

Snowflake Summit 2025: una piattaforma cloud per i dati

backup

Dati e microimprese: l’importanza del backup

Hard disk

Hard disk, le best practice per aumentarne la durata

gestione IT ibrida

Le strategie di ManageEngine per la nuova gestione IT ibrida

archiva group

Archiva Group, due acquisizioni per puntare anche all’estero

  • Contatti
  • Redazione
  • Privacy Policy
  • Cookie Policy

Avalon Media srl, via Brioschi, 29 20842 Besana in Brianza. P.Iva: 08119820960