Rowland Corr, vicepresidente de Relaciones Gubernamentales de Enea, fue invitado recientemente al Parlamento Europeo como experto en seguridad de señalización de telecomunicaciones para hablar sobre cómo se puede explotar el acceso a las redes de telecomunicaciones con fines de vigilancia. Nos reunimos con Rowland para saber más.
Recientemente tuvo la oportunidad de dirigirse al Parlamento Europeo. ¡Cuéntanos por qué estabas ahí!
Fui invitado a intervenir como experto en una audiencia pública celebrada por el Comité de Investigación de PEGA, que está investigando el uso indebido denunciado de spyware de vigilancia en la UE. Ahora que lleva un año de trabajo, la invitación del Comité a Enea parece seguir a la comprensión entre sus miembros de que el problema de la vigilancia intrusiva implica mucho más que spyware, como expresó recientemente la relatora del Comité, Sophie in ‘t Veld.
Las redes de telecomunicaciones no son nuevas en la UE, ¿por qué el repentino interés político en protegerEn g ¿a ellos?
Creo que la inmediatez del problema en este momento se deriva de una comprensión cada vez mayor de las brechas dentro y entre la protección de la infraestructura crítica y los marcos de seguridad cibernética que permiten que la privacidad, la confidencialidad y la soberanía digital «se deslicen entre las grietas» de nuestra resiliencia colectiva. Ha habido un reconocimiento reciente de tales lagunas con respecto a la ciberseguridad de los productos con elementos digitales, por ejemplo, lo que ha dado lugar a una propuesta de ley de resiliencia cibernética de la UE. Sin embargo, la seguridad de la señalización móvil sigue representando un ciego sistémico lugar y una brecha considerable en la resiliencia cibernética de la UE.
qLas preguntas sobre el uso y el uso indebido de software espía han recibido mucha atención en Europa y, de hecho, en otros lugares en los últimos tiempos, como se refleja, por ejemplo, en una nueva Orden Ejecutiva del presidente de los EE. UU., Biden, que prohíbe el uso por parte del gobierno federal de ciertos productos comerciales de software espía.. Sin embargo, la cuestión de la vigilancia mediante señalización apenas se ha abordado a nivel político en Europa hasta ahora. Nuestra intervención en esta audiencia muestra el reconocimiento de la señalización móvil como una parte importante de la amenaza general y la seguridad de la señalización como un componente clave para abordar las brechas.
¿Por qué el comité lo invitó a presentar como experto?
Creo que la competencia de Enea para contribuir al trabajo del Parlamento Europeo en esta área se puede medir a partir de su reconocimiento como líder de la industria. con fuerte legitimidad en términos de experiencia en esta área. Hemos publicado muchas investigaciones basadas en datos del mundo real, como nuestra serie de artículos sobre la invasión rusa de Ucrania; detección de actores de amenazas como HiddenArt; y descubrimiento de vulnerabilidades previamente desconocidas como Simjacker.
Nuestra contribución al desarrollo de pautas de seguridad de la industria también es un asunto de dominio público.como si fuera. Nuestro CTO, Cathal Mc Daid, fue uno de los principales autores de FS.11, por ejemplo, que sigue sirviendo como una piedra de toque importante para la seguridad de las interconexiones móviles en la actualidad.
¿Qué llamó la atención de los miembros del comité en su discurso?
Hablé sobre el riesgo de vigilancia más allá del uso indebido de software espía que representa para los países de la UE la manipulación del entorno de interconexión móvil. Específicamente, hablé sobre el potencial de la infraestructura y los recursos de telecomunicaciones de la UE para ser utilizados por los actores de amenazas para la vigilancia de objetivos en muchas regiones a nivel mundial, así como dentro de la UE.
Para ilustrar las brechas de gobernanza involucradas, primero destaqué el papel que juegan los acuerdos de arrendamiento comercial a través de los cuales los actores de amenazas de terceros países pueden obtener el uso efectivo de los recursos de telecomunicaciones de la UE, a menudo explotados junto con el acceso obtenido en otras regiones.
También señalé que aunque el hecho básico de ciertas vulnerabilidades técnicas características de los sistemas de señalización se conoce desde hace algún tiempo, la naturaleza del panorama de amenazas, el ecosistema involucrado y la calibre de los atacantes están lejos de ser bien entendidos hoy en día.
Ahora, casi diez años después de la demostración pública de Karsten Nohl de cómo se pueden explotar las vulnerabilidades de señalización para la vigilanciaya no se trata realmente de una cuestión de reconocimiento sino de dotación de medidas de mitigación.
Es por eso que subrayé la importancia de que los operadores, los reguladores, las agencias cibernéticas y otras partes interesadas aborden el problema no solo como una cuestión de cumplimiento, sino como una cuestión de capacidad para detectar y mitigar las amenazas de señalización.
Si bien la audiencia pública no fue un foro de debate técnico, era importante que los eurodiputados entendieran que, más allá del riesgo del software espía, los mismos servicios móviles en los que confían los suscriptores de la UE, ya sean funcionarios públicos o ciudadanos privados, podrían ser armados con impunidad mediante amenazas. actores
¿Cuál es el problema con las redes de telecomunicaciones? ¿Por qué son tan vulnerables?
Un problema general es que, desde los primeros días de la interconexión móvil, se prestó relativamente poca atención a la seguridad a medida que avanzaban la tecnología y los servicios móviles. En efecto, una falla persistente del modelo de interconexión de señalización, desarrollado originalmente en forma de SS7 a mediados de la década de 1970, fue su supuesto acceso confiable. Hoy, sin embargo, el problema no es tanto que los protocolos intrínsecamente inseguros sigan en uso sino que permanezcan desprotegidos. Los protocolos específicos involucrados son menos importantes que los naturaleza de la interconexión como superficie de ataque. Después de todo, a los atacantes no les importan los protocolos, les importa penetrar en las redes.
El problema se ve agravado por el efecto combinado de las brechas persistentes en los marcos regulatorios, la facilidad de acceso a los sistemas de señalización y la falta, históricamente hablando, de incentivos comerciales para que los operadores recurran a las medidas de seguridad necesarias.
¿Quién está detrás de estos ataques?
Varias entidades pueden estar involucradas en una sola instancia, pero en última instancia, detrás de todos estos ataques hay un actor de amenazas a nivel estatal. Este tipo de segmentación no está en el ámbito de los ‘script-kiddies’.
Los principales actores no estatales involucrados incluyen proveedores de vigilancia cibernética en forma de empresas privadas, que son contratadas para llevar a cabo actividades de focalización por parte de entidades del estado-nación. Esto no es una cuestión de especulación; de hecho, dichos proveedores anuncian abiertamente sus servicios. Ellos, a su vez, normalmente tendrán acceso arrendado a los recursos de los operadores de redes móviles (MNO). Por supuesto, esa parte no se anuncia, pero es fundamental para este modelo comercial de cibervigilancia. Los grupos de amenazas más avanzados, contra los que defendemos a los suscriptores de nuestros clientes de manera continua, pueden movilizar los recursos obtenidos de esta manera a medida que la infraestructura de ataque se extiende por docenas de países en todo el mundo.
Es importante subrayar que tantos grados de separación posibles también significan que el operador móvil cuyos recursos se explotan en última instancia de esta manera puede no ser consciente del uso indebido, pero esto también es parte del problema sistémico que debe abordarse, como dije. señaló al Comité.
¿Qué tan grande diría que es el problema de vigilancia de la red de telecomunicaciones?
El uso de redes de telecomunicaciones para la vigilancia no es solo una posibilidad hipotética, pero una realidad demasiado común. Con base en nuestra inteligencia, estimamos que más de la mitad de todos los países miembros de la UE están expuestos de esta manera al posible uso ilícito de recursos de señalización para intrusiones no autorizadas. A nivel mundial, estimamos que más del 90 % de todas las redes de operadores están sujetas a intentos de intrusión por parte de atacantes que buscan vulnerabilidades, a veces incluso en una sola instancia de actividad por parte de un solo actor de amenazas.
Tal actividad es masiva en escala, pero sería un error considerarla indiscriminada. Estos son esfuerzos de reconocimiento deliberados y, a través de ellos, los atacantes obtienen inteligencia importante sobre los niveles individuales de protección en las redes de los operadores en todo el mundo.
¿Cuáles son sus recomendaciones para los operadores y reguladores en el futuro?
Como mencioné en mi discurso, en última instancia, diferentes países estarán expuestos a diferentes niveles de riesgo. Para algunos, en un momento dado, el riesgo podría ser bajo. Lo que es vital es que las partes interesadas puedan determinar el nivel de exposición de sus países a lo largo del tiempo y responder cuando sea necesario, idealmente de manera proactiva.
Ser proactivo comienza por entender lo que está pasando en las redes. La base de la mitigación es el descubrimiento de amenazas. Con este fin, los operadores deben esforzarse por implementar tantas recomendaciones de GSMA sobre seguridad de interconexión como sea posible. Al mismo tiempo, no deben depender de cualquier medida estática de cumplimiento como garantía para salvaguardar sus redes y sus suscriptores.
Otro vacío que creo que es importante señalar aquí es el de la notificación a las víctimas. Todas las partes interesadas, los reguladores, los operadores y las autoridades nacionales de ciberseguridad deben considerarlo, especialmente dada la importancia de los derechos de privacidad en tantos otros contextos legislativos. Dado que una de las consecuencias de esta brecha sistémica en la gobernanza es que, incluso cuando se puede descubrir la actividad de la amenaza, nadie informa a las víctimas que se accedió ilegalmente a sus datos personales y, de hecho, se exfiltró de la red del suscriptor.
¿Cuáles fueron las reacciones de los miembros del comité?
El Comité estaba muy comprometido con lo que teníamos que decir. Varios miembros expresaron su alarma ante la idea de que tantas redes podrían estar expuestas a accesos ilícitos, la posible escala de intrusiones no autorizadas y la amenaza potencial que se presenta para los ciudadanos de la UE.
Con suerte, los esfuerzos del Comité impulsarán acciones significativas para mitigar este riesgo estratégico.
Descubra más sobre cómo las redes móviles se arman para la vigilancia y otros ataques en nuestro libro blanco sobre ataques habilitados para redes móviles en Híbrido Guerra.
Relacionado:
Conoce a John Hughes, el nuevo responsable de Enea AdaptiveMobile Security
Cuatro razones para visitar el stand de Enea MWC
Enea comparte ideas para el próximo año y presenta nuevas soluciones para operadores en el MWC
¿Quiénes son las mujeres que ayudan a Enea a dar forma a la industria de las telecomunicaciones?
Qué significa realmente la seguridad «Shift Left» para los proveedores de SDK | por alanb
