9th - Ago - 2016

La proposta del NIST di sconsigliare (“deprecation”) gli SMS per l’autenticazione a due fattori (2FA) potrebbe portare il 72 per cento degli americani a non adottare mai la 2FA

Graphic of profiles of two people with a lightbulb above them

Sono andato in vacanza un paio di settimane fa e quando sono tornato ho trovato il mondo apparentemente in preda al panico a causa della bozza delle Linee Guida del NIST sull’autenticazione digitale e la sua “deprecation” degli SMS per l’uso nell’autenticazione a 2 fattori (2FA). Dopo aver letto innumerevoli articoli sono rimasto deluso per l’apparente frenesia dei media nei loro ragionamenti circolari e per la mancanza di una ricerca di base necessaria per delineare i veri rischi e le implicazioni di questa proposta per le aziende e i consumatori. I rischi dell’utilizzo degli SMS nella 2FA identificati dal NIST non sono compresi da tutti e mi sarebbe piaciuto che fosse posta maggiore enfasi su ciò che può essere fatto per ridurre tali rischi senza partire dal presupposto che gli SMS ad un certo punto verranno completamente rimossi dalla 2FA.

E’ interessante notare che gran parte della pubblicità e l’attenzione si siano focalizzati sugli SMS, ma molti (se non tutti) i punti deboli degli SMS si ritrovano anche nella comunicazione via voce e quindi una deprecation degli SMS molto probabilmente porterà a breve anche alla deprecation della voce.

I ringraziamento vanno a John Fontana per Identity Matters (ZDNet), Violet Blue (Engadget) e Michelle Maisto (eWEEK) per avere cercato almeno di calmare la frenesia e avere portato un po’ di chiarezza al dibattito. I miei ringraziamenti vanno anche a Paul Grassi del NIST per avere scritto un blog che illustra i motivi della loro bozza di decisione che ha cercato in qualche modo di calmare i nervi di molti.

In questo blog, sostengo che, mentre SMS hanno alcuni punti deboli, si tratta dell’unico tipo di autenticazione out-of-band con l’ubiquità e la convenienza che ha portato alla velocissima adozione della 2FA da parte della massa degli utenti negli ultimi anni. Ritengo che se gli SMS saranno deprecati, ciò porterà ad una più lenta adozione della 2FA in tutti i Tipi di Autenticatori e impedirà al NIST di raggiungere il suo obiettivo principale, che è quello di incoraggiare le imprese di usare sempre la 2FA. La facilità d’uso e la convenienza è di gran lunga l’aspetto più importante per adozione dell’autenticazione a 2 fattori e g.i SMS guidano il gruppo in termini di adozione globale proprio per questo motivo.

Come sappiamo dai recenti racconti dei media, la combinazione più utilizzata, indirizzo e-mail con diverse password (memorizzate in modo segreto), risulta estremamente debole dal punto di vista della sicurezza. L’aggiunta della 2FA (indipendentemente dal Tipo di Autenticatore) aumenta in modo significativo la sicurezza; quindi non deve sorprendere se il NIST vorrebbe vedere che questo diventi una realtà.

 In questo blog cercherò di portare la discussione verso qualcosa che sia meglio strutturato e verificato e, nel caso in cui non si voglia leggerlo tutto, le conclusioni sono le seguenti:

  • Il suggerimento del NIST di sconsigliare gli SMS è prematuro e danneggia l’adozione a livello globale dell’autenticazione a 2 fattori da parte delle imprese e degli utenti.
  • Non offrendo l’SMS quale alternativa di tipo 2FA alle password usa e getta a scadenza (time-based one-time password), diventerà estremamente difficile e costoso per le imprese aiutare i propri utenti i cui dispositivi sono stati persi o rubati.
  • Solo il 79,1% degli abbonati statunitensi attualmente ha uno smartphone e di questi solamente poco più della metà scarica un app molto, molto raramente. Questo ci porta a concludere che senza SMS oltre il 72% degli americani sarà bloccato senza una soluzione di 2FA percorribile.
  • I punti deboli di SS7 e SMS sono resi ancora più evidenti quando si cerca di effettuare un hack di massa da remoto e di conseguenza gli operatori mobili dovrebbero concentrarsi sulla protezione delle loro reti, dimostrando poi al NIST che questi rischi di intercettazione sono stati risolti.

Innanzitutto, chi è NIST? Alcuni lettori non americani potrebbero sono sapere chi sono e cosa fanno. Fondamentalmente, si tratta di “un laboratorio per standard di misura e un’agenzia di tipo non-normativo del Dipartimento del Commercio degli Stati Uniti.” Un punto importante è che suggeriscono alle imprese di seguire gli standard che definiscono, ma non possono costringere nessuno ad aderirvi. Il governo federale degli Stati Uniti per quanto possibile è tenuto a rispettare i loro standard.

In secondo luogo, si deve notare che le linee guida del NIST sono attualmente in forma di BOZZA e chiunque voglia fare commenti lo può fare qui. E’ probabile che la raccomandazione finale verrà pubblicata solo nel corso del prossimo anno.

Ho creato un diagramma per cercare di spiegare la logica seguita dal NIST per proporre la deprecation degli SMS nell’autenticazione a due fattori.

Graphic showing an SMS 2FA dilemma with annotations

 

 

 

In sintesi, il NIST vuole sconsigliare gli SMS per l’uso nell’autenticazione a 2 fattori perché a) Esistono metodi più sicuri (anche se meno comodi) e b) l’SMS è percepito come insicuro in gran parte a causa della quantità di articoli di stampa recenti che sottolineano la debolezze del SS7 e che sono stati ripresi dai media mainstream.

Ci sono metodi più sicuri della 2FA con SMS senza perdere la comodità che offre?

E’ importante sottolineare che in questo contesto la “deprecation” non vuole dire vietare o impedire l’uso, ma piuttosto che raccomandare vengano utilizzati altri metodi al suo posto. Paul Grassi scrive sul blog del NIST che vogliono semplicemente per scoraggiare l’uso degli SMS, perché “ci puoi giocare ancora per un po’, ma stanno per essere gettati via”.

Non si può negare che esistano metodi più sicuri, a condizione che l’utente sia disposto a scaricare un TOTP o un’altra applicazione e a configurare tale applicazione per lavorare con un particolare servizio. Ciò sembra improbabile possa essere fatto da utenti tradizionali, non tecnici, per le ragioni citate di seguito. Inoltre questo metodo, anche se più sicuro, non è la soluzione magica in grado di sostituire completamente gli SMS.

Ai fini di questo blog, partirà dal presupposto che tutti gli smartphone siano protetti da un pin di almeno 4 cifre (o dall’impronta digitale) e quindi, in caso di un telefono perso o rubato, che possano essere fatta molto rapidamente la segnalazione in modo da bloccare la SIM rendendola inutilizzabile. Le implicazioni di sicurezza di ciò sono al fuori dell’ambito di questo blog e pertanto sono saranno trattate.

Se assumiamo che questo sia vero, allora sorge una questione fondamentale con il metodo TOTP nel caso in cui si perda il proprio dispositivo o se ne riceva uno nuovo, come ho scoperto di recente; l’unico modo con cui ho potuto accedere alla mia e-mail personale su Google (che aveva l’autenticazione a 2 fattori abilitata) è stato quello di utilizzare gli SMS, in quanto avevo bisogno di accedere al mio account conto di di prima di potere ri-configurare il mio Autenticatore di Google sul mio nuovo dispositivo.

Senza SMS semplicemente non sarei stato in grado di accedere al mio account senza passare attraverso una procedura di 3 giorni con Google per dimostrare che avevo perso il mio dispositivo. Concludo pertanto che i due sistemi dovrebbero essere utilizzati come uno il backup dell’altro e che gli SMS svolgono un ruolo di fondamentale importanza in questo caso d’uso.

 

Come si può vedere dallo studio di Forbes/Statista (Fonte: Gallup), nel 2015 gli utenti sono più propensi a cambiare il loro telefono ogni due anni e quindi, su base mobile, circa 8,3 milioni di persone ogni mese che cambiano il loro dispositivo; si tratta di una notevole quantità di persone che scopriranno che la loro applicazione TOTP non può essere facilmente trasferita ad un altro dispositivo senza la 2FA con SMS. Vedi l’immagine qui sotto delle opzioni per accedere a Google con un nuovo dispositivo.

Screenshot of Google's 2FA process

Abbiamo visto simili co-dipendenze nel mondo delle applicazioni di messaggistica con OTP in cui applicazioni come Viber, Whatsapp ecc. utilizzano gli SMS e la voce per convalidare e mappare un dispositivo su un numero di telefono. Dato che l’SMS dovrebbe essere sempre utilizzato come backup, allora la sicurezza complessiva di un servizio sarà sempre solo forte come quella degli SMS, e a tal fine mi avrei di gran lunga preferito che gli operatori di telefonia mobile si concentrassero su come aumentare la sicurezza degli SMS nell’autenticazione a 2 fattori per mezzo dell’installazione di firewall piuttosto che incoraggiare le aziende ad abbandonarli.

Va inoltre notato che anche le applicazioni TOTP più sicure sono ancora vulnerabili agli attacchi proprio come qualsiasi software, e che qualsiasi applicazione TOTP si utilizzi, è necessario assicurarsi che sia possibile tenerla aggiornato (senza perdere le configurazioni dei servizi) e che sia disponibile per sempre, altrimenti c’è il rischio, ad un certo punto, di lasciare tutti i propri gli utenti bloccati e di dover chiedere loro di cambiare il loro Autenticatore.

Pie chart showing the number of app downloads per month performed by smartphone users

Infine, guardiamo il numero di abbonati alla telefonia mobile negli Stati Uniti che hanno una reale possibilità di scaricare effettivamente una app per il TOTP; stiamo dimenticando che non tutti nel mondo hanno uno smartphone e di conseguenza l’utilizzo di SMS è di nuovo il metodo migliore per questi utenti. Comscore ritiene che attualmente la penetrazione di smartphone negli USA rimanga interno al 79,1%, lasciando quasi il 21% della popolazione nell’impossibilità di utilizzare qualsiasi tipo autenticazione “out of band” da cellulare (ad eccezione degli SMS).

Questa però non è tutta la storia, in quanto il numero di utenti che non ha mai scaricato un’applicazione sul proprio smartphone è estremamente bassa, con il 65,5% di questi utenti non ha quasi mai a scaricato un app. Il che significa che il 72% della popolazione degli Stati Uniti difficilmente scaricherà un’alternativa alla 2FA con SMS.

L’SMS davvero non sicuro?

Il NIST delinea due problemi principali, uno dei quali molto specifico per i numeri virtuali (cioè numeri non associati a un dispositivo fisico, come il VOIP o numeri legati a un app), o un numero fisico che è stato configurato per essere ricevuto attraverso un servizio IP. Questo include numeri quali quelli forniti da Skype, o anche accessibili sul iMessage attraverso il proprio desktop. La preoccupazione è che, anche se questi servizi non sono necessariamente non sicuri, sono però sicuri nella misura in cui lo sono i loro standard di sicurezza degli accessi, che nella maggior parte dei casi sono i nomi utente e una password segreta memorizzata, che sono quindi suscettibili di attacchi remoti su larga scala che però non fanno scattare un avviso al titolare del numero che lo informa della compromissione della sua sicurezza. Penso che questa sia una preoccupazione legittima, ma possiamo fare molto per risolvere questo problema a) ricordando agli utenti di non utilizzare questi servizi sui numeri che vengono utilizzati per la 2FA b) facendo una ricerca MNP (Mobile Number Portability) come parte del processo di convalida del numero del servizio per essere certi che il numero non sia un VOIP o un numero virtuale. 

La seconda preoccupazione riguarda come i numeri fisici possano essere intercettati attraverso punti deboli nell’infrastruttura SS7. Queste debolezze sono state relativamente ben documentato da diversi studi e articoli dei media, ma a mio avviso i rischi associati a tali debolezze sono state notevolmente esagerato dai media a causa della mancanza di comprensione della rete SS7 e le ipotesi di partenza è stata sintetizzata come “è facile ottenere l’accesso alla rete SS7 in modo da raggiungere rete della vittima”.

Le loro ipotesi iniziali di base assumono che l’attaccante abbia:

  • il numero di telefono della vittima. Questo può sembrare banale in un attacco mirato, ma nel caso di un attacco hacker di massa, sarebbe necessaria una mappatura dei nomi utente, e-mail e numeri di cellulare assolutamente non banale.
  • accesso alla rete SS7. Molte dimostrazioni suggeriscono che sia molto semplice ottenere l’accesso alla rete SS7 e l’attaccante ha accesso a questa rete.
  • accesso ad una rete SS7 che a sua volta ha il “signalling reach” e/o un accordo di roaming con la rete dell’operatore della vittima.
  • verificato che la rete dell’operatore della vittima non abbia protezione contro questo tipo di frode e/o non effettui un monitoraggio in merito.
  • verificato che la vittima abbia il roaming attivato sul proprio account o che questo possa essere manipolato in qualche modo dall’attaccante separatamente.
  • una conoscenza approfondita di SS7/SIGTRAN e delle attrezzature per effettuare l’hackeraggio (per farlo adeguatamente è necessario probabilmente un investimento di 10.000 dollari)
  • la capacità di coordinare l’invio di un messaggio a 2 fattori durante la finestra temporale in cui la scheda SIM è in roaming con la rete falsa.
  • cancellato tutte le prove e non possa essere tracciato.

Affinché tutti gli 8 punti possano essere soddisfatti, direi che l’attaccante dovrebbe essere essere un dipendente disonesto all’interno dell’azienda dell’operatore con autorizzazioni sufficienti per intercettare un messaggio. Ottenere l’accesso alla rete SS7 dell’operatore mobile della vittima dall’esterno (cioè non da un’altra grande rete di un operatore mobile o MNO) sembra essere tanto facile quanto compromettere il firewall del fornitore di servizi che si sta tentando di violare. Effettuare un attacco hacker su larga scala che coinvolga la vittima arrivando da più operatori telefonici in una finestra temporale molto piccola pare estremamente improbabile. 

È interessante notare che Verizon e Sprint sono immuni a questo tipo di frode di intercettazione del roaming grazie al fatto che si tratta di reti CDMA e non GSM. Quando attiveranno il 4G LTE questa situazione potrebbe cambiare, ma fino ad ora sono probabilmente gli operatori più sicuri per quanto riguarda la 2FA con SMS. Si tratta di circa il 50% di tutti gli abbonati. Un semplice modo per attenuare questo rischio di “intercettazione del roaming” sulle altre reti è quello di eseguire una ricerca HLR del numero di telefono prima di autenticare un utente in modo da essere certi che essi si trovino sulla rete del proprio operatore e non sono in roaming.

L’altra minaccia che viene comunemente citata quando si parla di sicurezza degli SMS è la relativa facilità con cui qualcuno è in grado di ottenere un clone della vostra scheda SIM e/o sapere da un operatore del servizio clienti il contenuto di un SMS. Mentre decisamente facile immaginare che una persona possa ingannare l’impiegato di un negozio di telefonia mobile per avere una nuova SIM facendosi passare per un’altra persona, questo ovviamente non può avvenire nel caso di tentativi di azione fraudolente su larga scala, in quanto c’è un’elevata probabilità di venire scoperti, sia dal vero cliente che nota un errore nell’autenticazione alla rete, sia dalle registrazioni video nel negozio che consentono di identificare l’autore del reato. Analogamente, ottenere la complicità di un tecnico all’interno di un operatore mobile, di un aggregatore o un’azienda di invio per accedere alle registrazioni dei messaggi SMS e rivelare il contenuto di un messaggio specifico, sembra altamente improbabile su larga scala o in situazioni in cui l’obiettivo sia quello di contrastare metodi di sicurezza, come ad esempio la 2FA.

Infine, è vero che il malware possa intercettare un messaggio SMS su un dispositivo (in particolare su Android), ma si potrebbe obiettare che questa non è una debolezza degli SMS, ma piuttosto del sistema operativo mobile e/o del software anti-virus.

Raccomandazioni

Raccomandazioni per le imprese

  • Continuare a utilizzare la 2FA per SMS per la maggior parte delle tipiche applicazioni di business. Valutare l’utilizzo di altri metodi di 2FA per i casi d’uso più critici che richiedono una sicurezza elevata. Consentire agli utenti di scegliere tra SMS e applicazioni TOTP nelle diverse situazioni e come backup l’uno dell’altro.

Raccomandazioni per gli operatori mobili

  • Bloccare tutto gli accessi SS7 da parte degli operatori che non hanno accordi di roaming
  • Implementare firewall per SS7 e SMS al fine di monitorare e rilevare per frode da intercettazione
  • Essere a conoscenza delle minacce potenziali e attenuare costantemente questi rischi
  • Effettuare frequentemente test di penetrazione per assicurarsi che la rete SS7 sia sicura
  • Assicurarsi che gli IR21 siano mantenuti confidenziali e cercare di utilizzare i titoli globali non sequenziali per l’infrastruttura di rete di base
  • Lavorare con organismi di standardizzazione tra cui il NIST per comprendere meglio i probabili rischi derivanti dalla 2FA con SMS
  • Consentire agli operatori degli accessi autorizzati a pagamento per l’accesso all’HLR (senza l’IMSI completo) per assicurarsi che le frodi da intercettazione possano essere rilevate.

Raccomandazioni per i consumatori

  • Bloccare automaticamente il proprio telefono e richiedere il codice di accesso o l’impronta digitale per sbloccarlo
  • Abilitare la 2FA su tutti gli account sia con SMS che con TOTP
  • Proteggere il dispositivo dal malware
  • Attivare il roaming solo quando è probabile che si vada all’estero
  • Verificare se i propri indirizzi e-mail sono mai stati violati visitando il sito https://haveibeenpwned.com e non utilizzare mai più le password associate a quegli indirizzi.
  • Utilizzare https://howsecureismypassword.net/ per scegliere una password robusta e assicurarsi di utilizzare password e/o indirizzi e-mail per ogni servizio. Ricordare che una password composte da 3 parole (ad es. pesce.martello.torta) più robusta di diversi ordini di grandezza più robusta di una stringa di 8 cifre di lettere/numero casuali e di gran lunga più facile da ricordare.

Avendo personalmente trovato la mia e-mail e password di Myspace, Linkedin, Tumblr e Adobe pubblicate su internet, non mi sorprende quanto spesso questo tipo di semplice autenticazione venga violata, e perché una violazione possa permettere di effettuarne molte altre. Utilizzare una password robusta e assicurarsi di utilizzare password e/o indirizzi e-mail per ogni servizio.

Conclusioni

La facilità, la convenienza e l’ubiquità della 2FA con SMS è la nostra unica possibilità collettiva di estendere la 2FA al grande pubblico in tempi brevi. Offre un ottimo compromesso tra il semplice nome utente e la password (che non è sicuro) e le più avanzate soluzioni di TOTP sicuro oggi disponibili. 

Le aziende dovrebbero continuare ad adottare gli SMS per la 2FA per la maggior parte dei tipi di servizi, in quanto questo è molto più sicuro che non usare affatto la 2FA. Per quelle aziende e consumatori che vogliono prendere ulteriori precauzioni, questo blog offre una serie di mitigazioni, tra cui effettuare ricerche MNP/HLR prima di ogni autenticazione.

Raccomando vivamente che la comunità dell’operatore mobile lavori per ridurre i rischi di frode da intercettazione del roaming o, per lo meno, informare i media di quanto sia stati compresi e siano stati mitigati questi rischi.

Di gran lunga il risultato più importante è quello che ogni azienda adotti la 2FA in qualche modo e che poi incoraggia tutti i consumatori ad adottarlo. L’SMS favorirà l’adozione in quanto a) oltre il 72% degli americani non ha uno smartphone o comunque è improbabile che scarichi e configuri un’app 2FA e b) sostituire i dispositivi senza gli SMS sui servizi abilitati alla 2FA può richiedere molto tempo ed essere decisamente frustrante per le aziende e gli utenti.

Va ricordato che la sicurezza non riguarda solo la tecnologia, ma piuttosto nel normative e i processi aziendali. Secondo il mio punto di vista, le debolezze in questo settore pongono un rischio molto maggiore rispetto alle debolezze degli SMS nella 2FA.

La nostra raccomandazione complessiva al NIST è quella di non sconsigliare gli SMS, ma di continuare a consigliare gli SMS per molti/la maggior parte degli impieghi in cui la 2FA può essere utilizzato, e di raccomandare dei modi per aumentare la sicurezza in caso di necessità, come indicato in questo blog. Per i servizi che presentano situazioni particolarmente ad alto rischio o con il pericolo di perdite elevate, siamo d’accordo che il TOTP o equivalente sia una soluzione migliore a condizione che gli utenti accettino di adottarla.

Autore: Rob Malcolm (Mblox / CLX)

Signup for Blog Updates