Lebih Banyak Operator Telekomunikasi Konfirmasi Pelanggaran Salt Typhoon, Gedung Putih Pertimbangkan Intervensi
(theregister.com)- AT&T, Verizon, dan Lumen Technologies mengonfirmasi akses ke sistem mereka oleh peretas yang didukung pemerintah Tiongkok, sehingga pelanggaran Salt Typhoon meluas menjadi isu keamanan nasional di seluruh jaringan telekomunikasi AS
- Gedung Putih menjelaskan bahwa melalui intrusi ini pihak Tiongkok memperoleh kemampuan melacak lokasi jutaan orang dan merekam panggilan telepon secara sewenang-wenang, dan dalam satu kasus, kompromi akun admin memungkinkan akses ke lebih dari 100.000 router
- AT&T dan Verizon menyatakan bahwa pelanggan yang terdampak hanya sejumlah kecil, sementara Lumen mengatakan tidak ada bukti akses ke data pelanggan dan firma forensik independen telah mengonfirmasi penyerang telah disingkirkan
- Banyak orang terdampak pada data lokasi dan metadata telepon, tetapi sasaran pengumpulan panggilan dan pesan yang sebenarnya lebih sedikit dan kemungkinan kurang dari 100 orang
- FCC sedang mendorong rancangan aturan yang mewajibkan praktik dasar keamanan siber bagi operator telekomunikasi, dan Senator Ron Wyden juga mengusulkan RUU yang meminta FCC menerbitkan aturan keamanan telekomunikasi yang mengikat
Konfirmasi pelanggaran operator telekomunikasi AS makin meluas
- AT&T, Verizon, dan Lumen Technologies mengonfirmasi bahwa mata-mata yang didukung pemerintah Tiongkok mengakses sebagian sistem mereka pada awal tahun ini
- Gedung Putih menyatakan jumlah operator telekomunikasi yang terdampak pelanggaran Salt Typhoon bertambah dari 8 menjadi 9
- T-Mobile sebelumnya menyebut upaya pengintaian Salt Typhoon dan aktivitas spionase yang “konsisten”, tetapi menegaskan bahwa mereka bukan salah satu dari 9 operator yang disebut pemerintah
Rincian dampak yang dikonfirmasi AT&T, Verizon, dan Lumen
- AT&T menyatakan mata-mata asing telah membobol sejumlah kecil pelanggan dalam kampanye intelijen tersebut, dan pihak itu sudah disingkirkan dari jaringannya
- Saat ini mereka tidak mendeteksi aktivitas pelaku negara di jaringan
- Mereka menilai Tiongkok menargetkan sejumlah kecil individu yang menjadi sasaran kepentingan intelijen asing
- Dalam kasus yang relatif sedikit di mana informasi pribadi terdampak, mereka telah bekerja sama dengan penegak hukum untuk memenuhi kewajiban pemberitahuan
- Investigasi masih berlanjut bersama pejabat pemerintah, operator lain, dan pakar keamanan siber
- Verizon mengonfirmasi bahwa penyusup asal Tiongkok mengakses sejumlah kecil pelanggan tingkat tinggi dari kalangan pemerintah dan politik
- Mereka telah memberi tahu pelanggan tersebut dan menyatakan telah menahan insiden siber yang disebabkan ancaman aktor negara
- Perusahaan keamanan siber yang tidak disebutkan namanya dan “sangat dihormati” juga mengonfirmasi penahanan tersebut
- Verizon bekerja sama dengan penegak hukum federal, lembaga keamanan nasional, mitra telekomunikasi lain, dan perusahaan keamanan
- Chief Legal Officer Verizon, Vandana Venkatesh, mengatakan bahwa selama beberapa waktu mereka tidak mendeteksi aktivitas pelaku ancaman di jaringan Verizon
- Lumen Technologies menyatakan telah menyingkirkan penyerang asal Tiongkok dari sistemnya dan tidak menemukan bukti akses ke data pelanggan
- Firma forensik independen mengonfirmasi bahwa Salt Typhoon sudah tidak lagi berada di dalam jaringan
- Mereka juga menyatakan bahwa mitra federal tidak membagikan informasi yang bertentangan dengan hal itu
Cakupan dan metode intrusi menurut Gedung Putih
- Anne Neuberger, Wakil Penasihat Keamanan Nasional Gedung Putih untuk siber dan teknologi baru, mengatakan bahwa intrusi ini disebut sebagai “peretasan telekomunikasi terburuk dalam sejarah AS”
- Pihak Tiongkok mengakses jaringan dan memperoleh “akses yang luas dan menyeluruh”, yang membuat mereka mampu melacak lokasi jutaan orang dan merekam panggilan telepon secara sewenang-wenang
- Dalam satu kasus, mata-mata membobol akun admin, dan dengan akun itu dapat mengakses lebih dari 100.000 router
- Neuberger menjelaskan bahwa dengan membobol akun tersebut, Tiongkok memperoleh hak akses luas di seluruh jaringan
- Ia menilai kondisi seperti ini berada di bawah tingkat keamanan siber yang dibutuhkan untuk bertahan dari aktor negara
Jumlah orang terdampak dan cakupan data
- Gedung Putih masih belum mengetahui jumlah total korban
- Individu yang terdampak pada data lokasi dan metadata telepon berjumlah banyak
- Sasaran pengumpulan panggilan telepon dan pesan yang sebenarnya lebih sedikit, dan jumlah orang sebenarnya kemungkinan kurang dari 100
Respons keamanan telekomunikasi bergerak ke arah regulasi
- Gedung Putih menekankan bahwa setelah intrusi ini, langkah keamanan siber sukarela saja tidak cukup untuk menghadapi ancaman aktor negara
- FCC memulai proposal aturan publik yang mewajibkan praktik dasar keamanan siber bagi operator telekomunikasi
- Para komisioner dijadwalkan memberikan suara atas aturan itu sebelum 15 Januari
- Senator Ron Wyden mengusulkan RUU yang mewajibkan FCC menerbitkan aturan yang mengikat untuk sistem telekomunikasi
- CEO dari 9 operator telekomunikasi yang terdampak semuanya berpartisipasi dalam Enduring Security Framework 60 hari milik pemerintah
- Upaya publik-swasta ini bertujuan menetapkan praktik minimum keamanan siber yang disepakati komunitas intelijen, CISA, FBI, dan pakar keamanan telekomunikasi
1 komentar
Opini Hacker News
Jika perusahaan menerapkan minimalisasi data dan mengenkripsi end-to-end data pelanggan yang tidak perlu mereka lihat, pelanggaran seperti ini akan berkurang
Karena insentif untuk membobol akan hilang, tetapi badan intelijen bersikeras bahwa mereka harus bisa mengakses percakapan warga yang tidak bersalah
Pada praktiknya tidak ada hukuman atau denda yang bersifat menghukum, dan melindungi laba jangka pendek diperlakukan lebih penting daripada melindungi data pengguna. Sampai pelanggaran benar-benar menimbulkan kerugian finansial serius bagi perusahaan, beban itu akan terus dilemparkan ke pengguna dengan gaya “maaf, kami akan memberi Anda pemantauan kredit”. Di industri pengembangan perangkat lunak dan rekayasa pun tidak banyak orang yang benar-benar serius menangani keamanan data; banyak bicara, tetapi dalam implementasi bisnis nyata banyak praktiknya buruk sekali
Kini backdoor wajib untuk melewati privasi itu sedang digunakan oleh aktor jahat, dan FBI, karena situasi yang mereka sebabkan sendiri, menyarankan semua orang memakai aplikasi terenkripsi end-to-end. Namun setelah bencana ini berlalu, mereka akan kembali lagi ke argumen “enkripsi itu buruk, keamanan itu buruk, beri kami cara mudah mengambil data”
Masalahnya, regulasi dan kepentingan komersial sama-sama saling terkait. Tidak realistis mengharapkan publik atau pemerintah menerima privasi yang benar-benar nyata untuk ponsel. Orang ingin polisi atau pemadam kebakaran datang ketika mereka menelepon 911, dan ingin kejahatan terorganisasi atau tindak pidana berat terungkap serta dituntut
Protokol SS7 memungkinkan seseorang mengetahui pada suatu waktu ponsel terhubung ke RNC/MMC mana, dan ini merupakan bagian mendasar dari cara kerja jaringan. Jika penyerang yang cukup canggih memiliki akses yang memadai ke peralatan telekomunikasi, mereka dapat mengirim langsung perintah protokol tersebut untuk mengetahui lokasi
Saya memahami prinsip dasar ketika hanya ada satu pengguna, tetapi ingin tahu lebih banyak bagaimana chat grup terenkripsi end-to-end bersama seperti Facebook Messenger diimplementasikan
Aneh bahwa bank-bank AS, Venmo, PayPal, dan lainnya masih meminta nomor telepon “asli” untuk autentikasi
Venmo tidak mengizinkan nomor VoIP, tetapi ketika saya mendaftar Tello dan mengaktifkan eSIM dari luar negeri, saya langsung bisa menerima SMS dan mendaftar. Hambatannya cuma 5 dolar; sungguh keamanan yang hebat
Pada akhirnya, cara paling efektif adalah mengetahui siapa pihak-pihak yang bertransaksi. Sebagian perusahaan memiliki standar Kenali Pelanggan Anda yang rendah, tetapi seiring waktu mereka menjadi saluran yang membantu kejahatan dan akan mendapat pengawasan dari mitra regulator serta pemerintah. AS relatif lebih longgar dibanding Singapura, Kanada, Jepang, dan UE yang makin ketat; di beberapa yurisdiksi, Anda harus melakukan verifikasi biometrik, autentikasi foto, dan kadang wawancara video dengan petugas sambil menunjukkan dokumen
Ada satu perusahaan yang belakangan memblokir nomor VoIP secara retroaktif, dan itu benar-benar bodoh
Seharusnya ada proses untuk memeriksa apakah suatu nomor tidak digunakan untuk penipuan lalu mengizinkannya. Bukankah fakta bahwa seseorang sudah bertahun-tahun menjadi pelanggan, terus memakai nomor itu, dan telah bertransaksi ribuan dolar di platform tanpa masalah bisa menjadi dasar penilaian?
Setidaknya di Eropa, menurut standar PSD2, itulah inti mengapa nomor telepon diakui sebagai sarana autentikasi dua faktor
Satu-satunya alasan saya tidak mengangkat telepon dan berkata “Saya …” adalah karena saya jujur. Pengguna jahat yang sudah mengetahui semua informasi yang mereka tanyakan tidak akan bisa dihentikan; mereka tinggal berbohong dan mengaku sebagai pemilik bisnis atau pemilik akun
Saya bekerja di bidang keamanan, dan kasus ini mengejutkan. Yang mengejutkan bukan sekadar fakta bahwa perusahaan-perusahaan diretas, melainkan cakupan serangannya tampak serentak dan terkoordinasi
Membobol banyak perusahaan sekaligus mengatakan sesuatu tentang tujuan pihak Tiongkok. Cara seperti ini berisiko menimbulkan “noise” yang besar, jadi saya bertanya-tanya mengapa mereka tidak menyuap karyawan untuk menyadap target tingkat tinggi saja, alih-alih menyentuh semuanya sampai memicu respons setingkat presiden. Ini terasa digerakkan oleh citra dan politik, dan saya merasa Perang Dingin modern adalah serangan terhadap infrastruktur
Pilih hampir industri apa pun yang menarik, dan badan intelijen dari 50 negara teratas akan punya tim khusus untuk meretas bidang itu, dan sebagian besar berhasil. Sayangnya, bahkan orang-orang di industri keamanan pun sering tidak benar-benar memahami cakupan dan skala operasi semacam ini, bahkan di dalam jaringan yang menjadi tanggung jawab mereka sendiri. “Noise” di sini bukan dibuat oleh penyerang; penyerang juga tidak ingin tertangkap, tetapi kesalahan memang terjadi
Karena begitu menemukan satu, mereka mulai mencari yang lain juga. Merekrut orang dalam itu rumit dan sulit, tetapi menyerang SS7 dari jarak jauh jauh lebih mudah, terutama jika ada banyak target pengawasan
Tindakan terang-terangan mengutak-atik kabel telekomunikasi dan listrik tampak seperti sinyal kepada politisi Barat. Ada juga klaim bahwa Korea Utara mencuri kripto, tetapi tidak ada korban yang dapat diidentifikasi yang muncul. Para politisi Barat sedang berusaha merombak seluruh ekonomi dunia dengan dalih menyelamatkan kita dari hal-hal yang terjadi tepat sekarang, jadi ini terasa lebih dari sekadar kebetulan
Terlepas dari kecenderungan politik pihak yang akan keluar maupun yang akan masuk, situasinya akan lebih kacau, dan meski mencolok, ada kemungkinan ini tersisih atau terlupakan dari daftar hal yang harus ditangani
Ada bias seleksi yang sangat besar dalam serangan-serangan yang muncul di berita
Penjelasan tentang peretasan ini tidak jelas sehingga belum bisa dipastikan, tetapi makin banyak operator telekomunikasi yang diretas, makin besar kemungkinan China menyusup dengan menyerang penyadapan legal
Caranya bisa bermacam-macam. Misalnya menyuap atau mengancam aparat penegak hukum yang punya hak akses ke sistem manajemen penyadapan legal, menyerang rantai pasok sistem tersebut, atau meretas autentikasi antara jaringan dan sistem manajemen. Jika memang ini serangan terhadap penyadapan legal, berarti semua jaringan yang mendukung penyadapan legal terotomasi telah compromised. Ini serangan yang menjengkelkan karena dirancang agar target penyadapan tidak mudah terlihat oleh operator, sehingga sulit dideteksi
Orang yang pernah bekerja di bidang jaringan pasti tahu maksudnya. Kondisi industri ini begitu buruk sampai terasa konyol. SSH memang dipakai, tetapi host key tidak diverifikasi, agent forwarding digunakan, dan protokol seperti RADIUS atau SNMP dipakai meski jika satu perangkat saja ditembus, hampir selalu semuanya runtuh karena shared secret global. Patut diragukan juga apakah secure boot digunakan secara bermakna, atau apakah sistem berkas diverifikasi
Ketika 20 tahun lalu seseorang menemukan bahwa koneksi BGP bisa diputus dengan menyuntikkan TCP reset palsu, industri tidak mengadopsi BGP over TLS. Mereka hanya menambahkan TCP MD5 hash berbasis shared secret pada 1999: https://datatracker.ietf.org/doc/html/rfc2385. Hingga kini pun suasananya masih seperti tidak bisa membayangkan penggunaan PKI, dan penerapannya sendiri biasanya tidak dilakukan
Untuk memahami industri ini, cukup lihat ini. Alih-alih memakai TLS begitu saja, mereka membuat sesuatu seperti https://datatracker.ietf.org/doc/html/rfc5925, dan dalam penerapan nyata tetap memakai model tuple bersama yang sama, sehingga sama buruknya dengan 2385. Bahkan di antara vendor yang mengaku “mendukung”, ada yang tidak mendukung keseluruhan RFC. Situasi seperti ini sudah diketahui selama puluhan tahun, tetapi vendor hampir tidak menunjukkan minat untuk meningkatkan keamanan selain menambal masalah bodoh yang ketahuan, dan peneliti keamanan pun jarang menelaah perangkat jaringan penting
Bukan berarti ada lebih banyak tempat yang diretas, melainkan lebih banyak kasus yang terkait peretasan yang sama telah ditemukan. Pelaku dengan tingkat kemampuan seperti ini pasti memantau berita, dan akan bergerak seperlunya demi keuntungan mereka atau menutup jaringan sebelum indikator kompromi direkayasa balik
Kemungkinan besar situasinya bukan serangan berbasis penyadapan legal, melainkan belum diketahui pasti bagaimana mereka masuk. Sebagian besar panduan CISA adalah praktik terbaik keamanan siber standar seperti pemantauan, memperoleh visibilitas, dan mengurangi attack surface. Perubahan utama tampaknya adalah tuntutan untuk tidak lagi memakai TFTP, serta menjadikan produsen sebagai sumber hash acuan. Kemungkinan serangan berbasis firmware pada jalur kirim-terima tampak sangat besar
Server TFTP mengirim konfigurasi ke perangkat terminal di jaringan ISP, yaitu modem pelanggan, dan juga mencakup image firmware; di sana tidak ada autentikasi, otorisasi, maupun audit. Perangkat keras terkait secara desain sulit mengaudit perubahan dengan benar, TR-47 jarang digunakan sebagaimana mestinya, dan kriptografi terkait juga diwajibkan secara hukum untuk tetap kompatibel mundur dengan kriptografi yang sudah pecah. Beberapa tahun lalu ada presentasi bagus di Cyphercon 6: https://www.youtube.com/watch?v=_hk2DsCWGXs
Penekanan yang tidak biasa pada TLS 1.3 mengisyaratkan kemungkinan koneksi sedang di-downgrade, atau perangkat keras/firmware pada bridge CPE di versi sebelumnya melakukan serangan man-in-the-middle transparan terhadap situs publik. Penekanan pada penggunaan grup DH tertentu juga bisa mengisyaratkan adanya grup pertukaran kunci yang belum diketahui publik telah pecah, tetapi sebenarnya sudah pecah
Jika penyerang sudah punya akses dan dapat menyisipkan kode berbahaya secara langsung ke lalu lintas yang menargetkan orang sensitif, mereka bisa dengan mudah menembus sistem yang sangat sensitif melalui lalu lintas itu. Hipotesis yang lebih pinggiran adalah mungkin telah ditemukan cara untuk memecahkan struktur Feistel. NSA dulu pernah mengatakan ada terobosan kriptografi; jika itu terkait serangan terhadap struktur jaringan Feistel, yang menjadi dasar sebagian besar kriptografi modern, maka itu bisa menjadi penjelasan lain
Hampir semua komputer memiliki koprosesor bantu bernuansa backdoor seperti TrustZone, Management Engine, atau AMD PSP, dan dilindungi hanya dengan bergantung pada kriptografi tanpa jejak audit yang memadai. Ini tampak seperti buah yang tergantung rendah dan terkonsentrasi pada hampir semua platform komputasi di Bumi. Jika komputer kuantum memecahkan satu kunci tanda tangan pada sistem seperti ini, itu bisa menjadi kunci emas untuk semuanya, dan pada level negara hal itu tidak sepenuhnya mustahil. Tanpa visibilitas, cara untuk mendeteksi, merespons, atau mengisolasi masalah pun hanya bersifat tidak langsung
Diskusi sebelumnya yang terkait:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
Beberapa tahun lalu badan intelijen masih mendesak agar backdoor diwajibkan, tapi sekarang rasanya seperti komedi ketika FBI merekomendasikan Signal untuk chat yang aman.
Saya berharap pemerintahan baru juga mengintip email dan pesan mereka selama 4 tahun terakhir. Ini pola “privasi saya boleh, privasi kamu tidak boleh”.
Serangan itu mengenai backdoor CALEA lewat perusahaan outsourcing penyadapan. Kira-kira perusahaan mana?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
Siapa lagi perusahaan yang bergerak di bisnis ini? Perusahaan outsourcing penyadapan tidak sebanyak itu. Verisign dulu juga pernah menjalankan bisnis ini, tapi sepertinya sekarang tidak lagi.
Tentu saja secara teknis itu mustahil, tetapi dari sudut pandang badan intelijen, kondisi akhir yang mereka inginkan sendiri cukup bisa dipahami.
Tidak mengherankan jika pihak kontraintelijen menginginkan enkripsi yang kuat, sementara pihak penanggulangan kejahatan menginginkan enkripsi yang bisa diberi backdoor.
Itu tetap berlaku meskipun FBI memang tidak sepantasnya mengabaikan privasi.
Inilah alasan kita membutuhkan enkripsi antarklien di atas semua keamanan yang dimiliki operator telekomunikasi.
Tidak ada alasan koneksi apa pun yang saya buat tidak dienkripsi sampai titik selain penerima.
Yang diincar Tiongkok adalah metadata tentang siapa berkomunikasi dengan siapa, dan itu masalah yang sama sekali berbeda.
Mengurus nomor telepon saja sudah merepotkan, lalu ditambah lagi kunci publik di atasnya. Itu tidak bisa mudah dicatat, dan kemungkinan besar akan terikat ke perangkat, sehingga jika ponsel hilang dan diganti, Anda tidak bisa menerima panggilan sampai entah bagaimana berhasil mendistribusikan kunci baru ke semua orang.
Menurut saya, enkripsi ujung-ke-ujung terbukti tidak bisa berjalan dalam setiap konteks yang pernah dicoba. Saat ini tidak ada sistem enkripsi ujung-ke-ujung sejati yang benar-benar berguna, dan industri telah mengubah istilah itu menjadi bermakna “enkripsi semu”, yakni ketika software yang dikendalikan adversary melakukan enkripsinya, sehingga istilah itu menjadi tidak berarti. Karena memang tidak ada yang memakai enkripsi ujung-ke-ujung sejati, sampai batas tertentu saya bisa memahami para engineer yang mengambil keputusan seperti itu.
Departemen Keuangan AS juga mengumumkan intrusi oleh pelaku ancaman dari Tiongkok.
Disebutkan bahwa kunci akses jarak jauh milik “vendor keamanan siber” mereka bocor, sehingga penyerang bisa mengakses endpoint internal Departemen Keuangan.
Setahu saya, ini mungkin bukan berita bagi operator telekomunikasi Uni Eropa. Sebab perusahaan-perusahaan Tiongkok mengoperasikannya dan punya akses permanen ke hampir semuanya.
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
Apakah operator telekomunikasi AS tidak begitu?
Untungnya layanan online AS berpihak pada Eropa dan bekerja lebih keras daripada siapa pun untuk melindungi komunikasi. Bahkan mereka tidak dibayar oleh Eropa, tetapi sebagai balasannya Eropa mengenakan denda miliaran dolar. Eropa merusak situs web demi memajaki ekonomi atensi, dan juga menghapus perlindungan hukum bagi developer open-source.
Kalau bicara “kemampuan melacak lokasi jutaan orang”, Starlink dengan antena direct-to-cell raksasanya juga sepertinya bisa dengan mudah mengetahui lokasi IMEI semua ponsel 4G/5G.
Ada prosedur bertahap yang memakai identifier sementara saat mengidentifikasi perangkat ke sebagian besar jaringan, jadi belum tentu begitu.