Per Thorsheim

Dato: 03.12.2019 Svartype: Med merknad Svar på høring om tydeligere krav til entydig identifisering av sluttbrukere. ------------- Det var jeg som varslet Dagens Næringsliv om de muligheter for svindel og tilhørende konsekvenser, og som avisen så jobbet videre med å undersøke før de publiserte sine saker om mobilkapring. Det ligger i sakens natur at det finnes flere angrepsmåter og mulige konsekvenser som ikke ble tatt med i pressens dekning, av hensyn til nettopp de konsekvenser slike avsløringer kan medføre. Jeg har i dette svaret oppgitt ytterligere informasjon om angrepsteknikker. Disse er ikke ukjente for hverken kriminelle eller fageksperter, men helt ukjent for folk flest. 1) Fokus på mobilkapring gjennom porteringsangrep Høringsutkastet fokuserer på portering som angrep, det vil si at et eksisterende abonnement flyttes fra en operatør til en annen. Når dette gjennomføres vil gammelt SIM kort og tilknyttet abonnement slutte å fungere, og nytt abonnement hos ny leverandør med tilhørende SIM kort blir benyttet. Den som blir utsatt for et slikt angrep vil naturlig nok forstå at noe er galt når mobiltelefonen slutter å fungere, eventuelt når gammel og ny leverandør sender tekstmelding eller annet varsel om at porteringen er satt i gang og når den er fullført. Det som ikke nevnes i samme grad er muligheten for å få utstedt såkalt "tvilling SIM". Dette kan benyttes av en angriper til å motta samtaler og tekstmelding på samme måte som den reelle abonnenten, uten at denne oppdager at tekstmeldinger går til 2 simkort / telefoner. Dette er hverken portering eller endring av eksisterende abonnement, men en tilleggstjeneste til eksisterende abonnement som kan bestilles. Tilleggstjeneste for videresending av SMS hos teleoperatørene:I etterkant av at høringen ble publisert ble det også dokumentert fra Adresseavisen ("Jakten på Max", 22 august 2019) at teleoperatørene tilbød en tjeneste for videresending av innkommende SMS til et annet telefonnummer, eller som epos t til valgfri epost adresse. En person utnyttet mangelfull sikkerhet ved innlogging hos teleoperatørene til å sette opp slik videresending av SMS Dette gjorde at en angriper kunne overta kontoer i sosiale medier og det digitale livet til rundt 50 kvinner over hele Norge. Dette angrepet er heller ikke å anse som en endring av eksisterende abonnement, men en tilleggstjeneste til eksisterende abonnement. 2) Erfaringer fra andre land Det nevnes at Nkom har undersøkt myndigheters erfaring med porteringssvindel i en rekke land, og det er kun 3 land som har erfaring med dette. Siden denne typen svindel raskt kan oppfattes som "menneskelig feil" og erfaringsnivået er nesten ikke-eksisterende, så er jeg redd for at mørketallene er større enn hva som er rapportert inn til de ulike regulatoriske myndigheter. Jeg kjenner heller ikke til hvilke konkrete krav som eventuelt stilles til teleoperatører i de enkelte land for å rapportere forsøk på, eller reelt gjennomførte angrep av denne typen. Det er derfor grunn til å anta at mørketallene kan være mye større enn det som er faktisk kjent av hendelser. 3) Innspill fra deltakere i Arbeidsgruppe NummerFlere av aktørene har fremmet forslag om bruk av SMS, samt nevner mulige utfordringer med personvernregler. Dessverre er det særdeles enkelt å sende SMS med falsk avsender, hvor man kan bruke det avsendernummeret man måtte ønske, f.eks. 112, eller et alfanumerisk navn som f.eks. "POLITI". Slike tjenester finnes også i Norge, hvorav flere tillater å gjøre dette uten legitimasjon eller betaling, gjennom løsninger ment for demonstrasjon av tjenestene som tilbys for masseutsendelse av SMS. Tilsvarende er det også svært enkelt å gjennomføre telefonoppringning og samtale med forfalsket avsendernummer. Dette er ikke svakhet hos den enkelte teleoperatør, men grunnleggende svakheter i mobilstandardene som benyttes globalt i dag. Dette er godt kjent gjennom presseoppslag om "Microsoft support" svindel, og konsekvensene av at vanlige abonnenter får sitt nummer misbrukt for gjennomføring av slike telefonoppringninger. Autentiseringsløsninger som skal vurderes brukt bør ikke baseres på dagens mobiltelefoni (samtale / SMS), da disse simpelthen ikke tilbyr tilstrekkelig sikkerhet mot forfalskning. 4) Departementet foreslår at kontrollen av sluttbrukeres identitet skal skje før avtaleinngåelsen, før endring av abonnementet gjennomføres eller oppsigelse av avtale. Dette bør presiseres ytterligere fra Nkom og i samarbeid med bransjen om felles forståelse av hva som menes med "endring av abonnementet gjennomføres". Skal dette inkludere for eksempel utstedelse av nytt SIM kort som en service, også kjent som et "simswap" angrep, skal det inkludere oppsett av videresending av SMS til telefon eller epost, eller utstedelse av tvilling-, eller data SIM kort? 5) Entydig identifikasjon og videre bestilling gjennom mellomledd Undertegnede har selv opplevd mangelfull entydig identifikasjon ved portering av mitt nummer til ny operatør, med ny juridisk eier og betaler av abonnementet. Som en forlengelse av dette observerte jeg også at bestillingen til ny operatør ble gjort gjennom brukt av ukryptert epost over internett. Tilstrekkelig identifikasjon av undertegnede ble ikke utført av noen part, og eposten som ble sendt kunne også blitt forfalsket for å iverksette en portering som ikke var reell. Jeg vil anbefale at teleoperatørene pålegges å verifisere eller innhente entydig identifikasjon fra personen man ønsker å endre abonnement for, og at dette gjennomføres før prosessen iverksettes. Slik jeg selv opplevde denne prosessen så utførte ikke hverken gammel eller ny teleoperatør noen form for identifisering eller autorisering mot meg som person. I mitt tilfelle valgte en operatør å stole på en ukryptert epost sendt via Internett uten autentisering for å iverksette portering av mitt nummer. Det finnes meg bekjent ingen funksjon hos operatørene hvor jeg kan sperre for portering, endring eller avslutning av abonnement. Dette er funksjonalitet som teleoperatører i flere andre land, blant annet USA, har tilbudt sine kunder i flere år. Jeg støtter høringsforslaget, men anbefaler presiseringer gjennom Nkom og mobilbransjen for enighet om felles forståelse og krav til identifisering og autorisasjon ved: A) Endringer i abonnement, inkludert endringer som ikke endrer pris, juridisk eier eller bruker av abonnement, samt B) Endringer av abonnement gjennom mellomledd, typisk ny arbeidsgiver. Her er erfaringen at teleoperatørene ikke har gjort noen tilstrekkelig eller selvstendig identifisering eller autorisasjon av hverken bestiller, juridisk eier eller bruker av abonnement. Med vennlig hilsen, Per Thorsheim Digitaliserings- og forvaltningsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"