AgrandirCJ Ostrosky / POGO Cet article a été publié en partenariat avec le projet sur la surveillance du gouvernement. Il a été écrit par POGO chercheur Andrea Peterson, et intègre des recherches de ancienne stagiaire de POGO, Vanessa Perry.
Les pannes se sont produites à l’été 1991. Pendant plusieurs jours, téléphone lignes dans les grandes métropoles ont été tués sans avertissement, perturbant les services d’urgence et même le contrôle du trafic aérien, souvent pendant des heures. Les téléphones sont tombés un jour à Los Angeles, puis un autre jour � Washington, DC et Baltimore, puis à Pittsburgh. Même après le service a été rétabli dans une zone, il n’y avait aucune garantie que les lignes n’échouerait pas à nouveau – et parfois ils l’ont fait. Les pannes laissées des millions d’Américains déconnectés.
Le coupable? Un problème informatique. Une erreur de codage dans un logiciel utilisé pour acheminer les appels vers un élément d’infrastructure de télécommunication appelé Le système de signalisation n ° 7 (SS7) a provoqué des surcharges invalidantes pour le réseau. Il était un des premiers signes de la fragilité de l’architecture numérique relie les systèmes téléphoniques de la nation.
Les dirigeants de Capitol Hill ont fait appel à la seule agence avec le autorité pour aider: la Federal Communications Commission (FCC). le FAC a apporté des modifications, notamment de nouvelles exigences en matière de déclaration des pannes opérateurs de téléphonie. Pour aider l’agence à répondre au réseau numérique problèmes de stabilité, la FCC a également lancé un avis externe groupe – alors connu sous le nom de Network Reliability Council, mais maintenant appelé la sécurité, la fiabilité et l’interopérabilité des communications Conseil (CSRIC, prononcé «scissor-ick»).
Des décennies plus tard, la SS7 et d’autres composantes de la la dorsale numérique reste imparfaite, laissant les appels et les textes vulnérables d’interception et de perturbation. Au lieu de faire face aux défis de notre âge hyper-connecté, la FCC trébuche, selon documents obtenus par le projet sur la surveillance du gouvernement (POGO) et à travers des entretiens approfondis avec l’agence actuelle et ancienne des employés. L’agence est gênée par un manque de leadership sur les problèmes de cybersécurité et le manque d’expertise technique interne qui le laisse trop souvent s’en remettre aux conseils de sécurité du très entreprises qu’il est censé superviser.
Contents
Capturé
CSRIC est un excellent exemple de cette soi-disant «capture d’agence» – la Un groupe a été créé pour aider à compléter les compétences et le savoir-faire de FAC. règles significatives pour les technologies émergentes. Mais au lieu de cela, la FCC la confiance accordée aux conseils de sécurité des représentants de l’industrie crée un conflit d’intérêts inhérent. Le résultat est une régulation affaiblie et l’application qui met finalement tous les Américains en danger, selon l’ancien personnel de l’agence.
Bien que l’agence ait pris des mesures pour améliorer sa surveillance du numérique questions de sécurité sous l’administration Obama, beaucoup de ces les réformes ont été renvoyées sous le président actuel Ajit Pai. Pai, ancien avocat de Verizon, a toujours signalé qu’il n’avait pas veut que son agence joue un rôle important dans la sécurité numérique des communications des Américains – malgré la sécurité étant une agence de base responsabilité depuis la création de la FCC en 1934.
La loi constitutive de la FCC l’accuse de règlements de fabrication qui promeuvent la “sécurité de la vie et des biens par l’utilisation de communications par fil et radio », ce qui lui confère un large pouvoir de sécurisation communications. L’ancien président de la FCC, Tom Wheeler, et de nombreux juristes Les experts soutiennent que cela inclut les cybermenaces.
En tant que régulateur, la FCC porte un bâton: elle peut frapper entreprises de communication avec des amendes s’ils ne se conforment pas à ses règles. Cette responsabilité est encore plus importante maintenant que «intelligent» les appareils mettent en réseau presque tous les aspects de nos vies.
Mais tout le monde ne pense pas que le mandat de l’agence soit aussi clair, en particulier dans l’industrie des télécommunications. Les entreprises de télécommunication ripostent dur contre la réglementation; au cours de la dernière décennie, ils ont passé près d’un milliards de dollars de lobbying Congrès et les agences fédérales, selon aux données d’OpenSecrets. L’industrie fait valoir que les vastes objectifs de la FCC mandat de sécuriser les communications ne s’étend pas à la cybersécurité, et il a poussé pour que la surveillance de la cybersécurité vienne à la place d’autres parties du gouvernement, généralement le ministère de la Homeland Security (DHS) ou la Commission fédérale du commerce (FTC) – dont l’un ou l’autre est investi du même niveau d’élaboration de règles pouvoirs que la FCC.
À Wheeler, lui-même l’ancien chef du groupe de commerce de l’industrie CTIA, la poussée vers le DHS semblait être un stratagème évident. “Les personnes et les entreprises de la FCC a été chargée de réglementer voulait voir si ils pourraient faire passer leur juridiction à quelqu’un avec moins autorité de régulation “, a-t-il déclaré à POGO.
Mais le président Pai semble être d’accord avec l’industrie. En novembre Lettre de 2018 au sénateur Ron Wyden (D-Ore.) Au sujet de la traitement des problèmes de SS7, fourni à POGO par le bureau du sénateur, Pai a écrit que la FCC «joue un rôle de soutien, en tant que partenaire de DHS, pour identifier les vulnérabilités et travailler avec les parties prenantes augmenter la sécurité et la résilience des réseaux de communication Infrastructure.”
La FCC a refusé de commenter cette histoire.
Agrandir / La FCC actuelle a refusé de commenter, mais POGO a parlé avec des anciens le président Tom Wheeler, vu ici en train de parler avec Ars en 2016.Jon Brodkin Défaut de protéger les «joyaux de la couronne» des télécommunications
Comment le secteur des télécommunications a tiré parti des appels des législateurs à FAC la réforme à la suite des pannes SS7 est une étude de cas sur la façon dont L’influence des entreprises peut vaincre même le meilleur des intentions.
Dès le début, les représentants de l’industrie ont dominé la composition du groupe consultatif maintenant connu sous le nom de CSRIC – bien que, initialement, le groupe n’a fourni des données que sur un petit sous-ensemble de problèmes de communication numérique. Au fil du temps, comme innovations dans les communications ont couru avec l’expansion du cellulaire réseaux et Internet, les services techniques internes de la FCC capacités n’ont pas suivi: tout au long des années 1990 et au début des années 2000, L’expertise technique de l’agence se limitait largement à la téléphonie. réseaux alors que le monde évoluait vers les réseaux de données, d’anciens membres du personnel dit POGO. Les quelques membres du personnel de l’agence spécialisés dans les nouveaux technologies ont été cloisonnées dans différents bureaux, ce qui a rendu difficile coordonner une réponse globale au changement de paradigme systèmes de communication. Cet écart a laissé l’agence de plus en plus dépend des conseils du CSRIC.
Au début des années 90, le système logiciel basé sur SS7 était juste entrant dans une large utilisation. Aujourd’hui, cependant, il est considéré comme dépassé et peu sûr. Malgré cela, les opérateurs utilisent toujours la technologie en tant que sauvegarde dans leurs réseaux. Cela laisse les gens qui comptent sur ceux réseaux vulnérables aux problèmes de la technologie, comme Jonathan Mayer, professeur d’informatique et d’affaires publiques à Princeton et ancien technologue en chef du FCC En Enforcement Bureau, a expliqué lors d’une audience du Congrès en juin 2018.
Contrairement aux années 1990, les risques vont maintenant beaucoup plus loin que juste interruption de service. Les chercheurs ont longtemps prévenu que les failles du système autorise les cybercriminels ou les pirates, travaillant parfois pour le compte de des adversaires étrangers – pour transformer les téléphones cellulaires en sophistiqué dispositifs de géolocalisation ou pour intercepter des appels et des messages texte. Les problèmes de sécurité liés à la SS7 sont si graves que certains gouvernements agences et certaines grandes entreprises telles que Google s’éloignent de l’utilisation de codes envoyés par texte pour sécuriser des comptes importants, tels que comme ceux pour le courrier électronique ou les services bancaires en ligne.
Un panel conseillant le président Bill Clinton a tiré la sonnette d’alarme 1997, affirmant que la SS7 faisait partie des «joyaux de la couronne» américains et avertissant que si ces joyaux de la couronne étaient «attaqués ou exploités, [cela] pourrait entraîner une situation qui menaçait la sécurité et fiabilité de l’infrastructure de télécommunication. ” chercheurs en sécurité ont affirmé que les risques associés à SS7 étaient multiplier grâce à la «déréglementation» et «Internet et sans fil réseaux ». Ils ont eu raison en 2008 lorsque d’autres chercheurs ont démontré que les pirates pourraient utiliser les failles de SS7 pour identifier l’emplacement des utilisateurs de téléphone portable sans méfiance.
En 2014, il était clair que les gouvernements étrangers avaient compris la promesse perturbatrice du problème. Cette année, russe intelligence a utilisé les vulnérabilités SS7 pour attaquer un Ukrainien société de télécommunications, selon un rapport publié par Centre d’excellence coopératif de l’OTAN en matière de cyberdéfense, et la recherche sur l’interception d’appels SS7 a fait la une des journaux Washington Post et ailleurs.
Malgré les enjeux de plus en plus graves, la FCC n’a pas payé beaucoup attention à la question jusqu’à l’été 2016, après le représentant Ted Lieu (D-Calif.) A autorisé 60 minutes pour montrer comment les chercheurs pourrait utiliser les failles de sécurité du protocole SS7 pour espionner son téléphone. La FCC – alors dirigée par Wheeler – a répondu en passant essentiellement le Buck au CSRIC. Il a créé un groupe de travail pour étudier et faire recommandations de sécurité relatives à SS7 et à d’autres «systèmes hérités» systèmes. “Le résultat a été un rapport de mars 2017 contenant des informations non contraignantes. conseils sur les meilleures pratiques pour assurer contre SS7 vulnérabilités, un rapport non public et la création éventuelle de encore un autre groupe de travail CSRIC pour étudier une sécurité similaire problèmes.
Une analyse du nombre de membres de la CSRIC effectuée par POGO au cours des dernières années montre que sa composition, qui est uniquement nommée par le président de la FCC, penche fortement vers l’industrie. Et la paternité de mars 2017 Le rapport était encore plus déséquilibré que le CSRIC, dans l’ensemble. Des vingt membres du groupe de travail énumérés dans le rapport final, cinq seulement du gouvernement, dont quatre du Department of Homeland Sécurité. Les quinze autres représentants du secteur privé intérêts. Aucun d’entre eux n’étaient des universitaires ou des défenseurs des consommateurs.
Lectures complémentaires
Comment les pirates ont écouté un membre du Congrès américain en utilisant uniquement son téléphone nombre
La direction du groupe de travail était entièrement issue de l’industrie. Les coprésidents du groupe venaient de la société d’infrastructure réseau Verisign et iconectiv, une filiale de la société de télécommunications suédoise Ericsson. Le rédacteur en chef du rapport final du groupe était CTIA Vice Président de la technologie et de la cybersécurité, John Marinho.
Courriels de 2016 entre les membres du groupe de travail, obtenus par POGO via une demande en vertu de la loi sur l’information, montrez que le groupe traîné ses pieds sur la résolution des vulnérabilités de sécurité SS7 malgré exhorter les représentants de FAC à agir rapidement. Le groupe aussi ignoré à plusieurs reprises les contributions des experts techniques du DHS.
Le problème n’était pas de trouver une solution, cependant, selon David Simpson, un arrière-amiral à la retraite qui a dirigé la conférence publique de la FCC Bureau de la sécurité et de la sécurité intérieure à l’époque. Le groupe était rapidement capable de discerner certaines des meilleures pratiques, principalement en utilisant différents systèmes de filtrage – que certains grands transporteurs avaient déj� déployé et que d’autres pourraient utiliser pour atténuer les risques associés avec SS7.
�Nous connaissions la réponse dans les deux premiers mois de la experts techniques dans les groupes de travail », a déclaré Simpson, qui consulté le groupe de travail. Mais finalement, le “consensus L’orientation de la CSRIC a malheureusement permis être poussé de la session boiteux dans le Trump l’administration — qui n’est généralement pas enclin à introduire nouvelle réglementation fédérale.
Dans l’ensemble, l’analyse par POGO des courriels du groupe et les entretiens avec d’anciens membres du personnel de FAC a constaté que la position dominante de CSRIC dans l’industrie semble avoir contribué à un certain nombre de problèmes liés au processus et le rapport final, y compris:
- Les membres de l’industrie du groupe de travail ont réussi à faire adopter les recommandations finales reposant sur le respect volontaire, selon d’anciens membres du personnel de FCC. Les experts en sécurité disent que stratégie finalement laisse l’ensemble du réseau cellulaire à risque parce qu’il y a des milliers de petits fournisseurs, souvent dans les zones rurales zones, qui ont peu de chance de donner la priorité au déploiement des protections sans règle ferme.
- Un courriel daté d’août 2016 montre que, tôt dans le processus, DHS experts se sont opposés à la description de l’axe du groupe de travail sur les systèmes «anciens» car il «transmet un message que ces protocoles et les menaces associées disparaissent bientôt et cela n’est pas nécessairement le cas. “Le groupe n’a pas révisé l’héritage langue, et il est resté dans le rapport final.
- Dans un courriel de septembre 2016, un fonctionnaire de FAC a envoyé un courriel � Marinho, notant que les modifications de DHS n’étaient pas incorporées dans le projet de travail. Marinho a répondu qu’il les avait aussi reçus tard et prévu de les incorporer dans une version ultérieure. cependant, dans une lettre de mai 2018 à la FCC, le sénateur Wyden a déclaré aux responsables du DHS a déclaré à son bureau que «la grande majorité des modifications apportées à la rapport “suggéré par les experts du DHS” ont été rejetés. ”
Dans les courriels obtenus par POGO, Marinho fait également référence aux avertissements sur les problèmes de sécurité avec SS7 venant de panélistes lors d’un événement organisé par la stratégie de cybersécurité de la George Washington University et le programme de gestion de l’information comme «hyperbolique».
Marinho n’a pas répondu à une série de questions spécifiques sur activités du groupe de travail. Dans une déclaration à la POGO, la CTIA a déclaré: �L’industrie du sans-fil s’engage à protéger les consommateurs sécurité et confidentialité et collabore étroitement avec DHS, la FCC, et d’autres parties prenantes pour lutter contre l’évolution des menaces pouvant avoir un impact réseaux de communication. ”
Le rapport du groupe de travail reconnaît que des problèmes subsistent avec SS7, mais il a recommandé des mesures volontaires et mis la responsabilité sur les utilisateurs de télécommunications doivent prendre des mesures supplémentaires, comme utiliser des applications qui chiffrent leurs appels téléphoniques et les textos.
