YAnda tahu latihannya. Anda masuk ke bank Anda atau layanan lain (Gmail, salah satunya) yang Anda gunakan secara teratur. Anda memasukkan nama pengguna dan kata sandi Anda, lalu layanan mengatakan akan mengirimi Anda SMS berisi kode yang dapat Anda gunakan untuk memverifikasi bahwa memang Anda yang masuk. Ini disebut “otentikasi dua faktor” (2FA) dan ini merupakan praktik terbaik di dunia online kita, mengingat kata sandi dan detail login mudah dibobol.
Sayangnya, dunia kita jahat, tetapi juga berjejaring, dan SMS itu dapat dialihkan ke telepon orang lain – telepon penjahat yang masuk menggunakan kredensial phishing Anda – dan yang sekarang sibuk mengosongkan rekening giro Anda.
Penipuan semacam ini telah terjadi selama bertahun-tahun. Saya baru saja menemukan akun tentang hal itu terjadi pada nasabah bank di Jerman pada tahun 2017, namun pakar keamanan telah memperingatkan hal ini jauh sebelum itu. Akar permasalahannya adalah rasa tidak aman yang kronis kerentanan di SS7sebuah protokol teknis rahasia yang sudah berumur puluhan tahun untuk merutekan panggilan telepon dan pesan yang dibangun di semua sistem telepon.
Kerentanan ini bisa saja terjadi dieksploitasi oleh hacker untuk melakukan berbagai kerusakan: melacak ponsel apa pun di mana pun di dunia; mendengarkan panggilan; membaca dan meneruskan pesan SMS; intersepsi lalu lintas internet; dan mengganggu konektivitas pengguna atau ketersediaan jaringan, dan masih banyak lagi. Namun SS7 juga memungkinkan ponsel Anda tetap terhubung saat melakukan panggilan saat berada di kereta yang melewati banyak sel lokal. Jadi ini merupakan bagian integral dari sistem telepon seluler – perekat yang menyatukan keseluruhan sistem.
Hal ini bisa dibilang terlalu besar untuk gagal, yang mungkin menjelaskan mengapa perusahaan-perusahaan telekomunikasi besar enggan menghadapi dampak negatifnya. Dia memiliki kelambanan sekarang intervensi yang diinduksi oleh regulator AS, Komisi Komunikasi Federal (FCC), mungkin karena Senator Oregon Ron Wyden menggambarkan kerentanan SS7 sebagai masalah “keamanan nasional”.
Kenyataannya, sang senator mendorong pintu terbuka, karena ada kepanikan di Washington mengenai tingkat dan kedalaman penetrasi asing (AKA China) terhadap komunikasi dan infrastruktur penting AS, yang beberapa di antaranya tidak diragukan lagi difasilitasi oleh kerentanan SS7. Pada pertemuan puncak keamanan internasional di Bahrain pada tanggal 7 Desember, Ann Neuberger dari Dewan Keamanan Nasional Gedung Putih mengakui bahwa mata-mata dunia maya Tiongkok telah merekam “jauh lebih tua” Telepon ke tokoh politik Amerika, meski dia tidak menyebutkan nama korbannya. Laporan tersebut juga mengonfirmasi bahwa delapan penyedia telekomunikasi AS telah disusupi oleh peretas Tiongkok.
Meskipun Korea Utara dan Rusia juga dipandang sebagai musuh keamanan siber, orang Amerika tampaknya terobsesi dengan ancaman Tiongkok. Tiga kelompok peretas khususnya tampaknya membuat orang-orang di Washington terjaga pada malam hari. Ini adalah, seperti komentar salah satu suara, “musim topan” di kota – mencerminkan nama yang diberikan kepada ketiganya – Salt Typhoon, Volt Typhoon, dan Flax Typhoon. Len memiliki botnet sebanyak 260.000 perangkat hingga akhirnya dia tidak memilikinya lagi dibongkar oleh FBI. Mata-mata cyber Salt melanggar perusahaan telekomunikasi AS Verizon, AT&T dan Lumen Technologies – dan juga, dengan rapi, meretas sistem penyadapan mereka (yang seharusnya mereka gunakan ketika agen FBI datang dengan surat perintah).
Walt, dalam beberapa hal, adalah yang paling jahat dari ketiganya. Ia berspesialisasi dalam infrastruktur penting AS – sistem air, jaringan listrik, dan sejenisnya. Ia menjalankan botnet berdasarkan router Cisco dan Netgear yang sudah habis masa pakainya (model yang pembaruan keamanannya tidak lagi dikeluarkan). Aktif mulai pertengahan tahun 2021 dengan tujuan, menurut Microsoftuntuk membangun kemampuan untuk mengganggu infrastruktur komunikasi penting antara AS dan kawasan Asia selama krisis di masa depan. (Mungkin invasi Tiongkok ke Taiwan?) Organisasi-organisasi yang terkena dampak “mencakup sektor komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi dan pendidikan.” Intinya adalah Walt “berniat melakukan spionase dan menjaga akses tidak terdeteksi selama mungkin.”
Jadi, sebagai seorang teknisi perusahaan-perusahaan sedang berbaris untuk menyumbangkan jutaan dolar untuk dana pelantikan Trump, dua dari tiga kelompok peretas Tiongkok yang diberi nama setelah badai tersebut diam-diam akan menimbulkan kekacauan di halaman belakang digital Amerika. Gagasan Salt Typhoon meretas sistem penyadapan FBI sendiri sangat cocok. Sementara itu, ponsel di mana pun akan tetap terikat pada protokol lama yang sama amannya dengan tenda untuk dua orang saat terjadi badai. Dan ketika Trump pergi ke Beijing untuk menandatangani perjanjian dengan rekan kaisarnya, Xi Jinping akan dapat memberikan pengunjungnya sebuah buku bersampul kulit yang berisi semua percakapan telepon pribadinya sejak tahun 2016.
Selamat tahun baru!
setelah promosi buletin
Apa yang saya baca
Dibutakan oleh cahaya
Ilusi optik adalah sebuah ledakan bagus di blog Tina Brown tentang daya tarik aneh dari kecemerlangan Trump bagi banyak orang Amerika.
Tantangan Universitas
Bagaimana Ivy League Menghancurkan Amerika – judul esai panjang yang penuh pemikiran oleh David Brooks di Atlantik tentang kejahatan “meritokrasi”.
Kepada Tuan, dengan cinta
Merebut Kembali Esai: Dua Kenangan. Sebuah karya indah dari Richard Farr tentang bagaimana rasanya memiliki guru yang hebat.