Domů
13.12.2004
Z kuličky iHned prd
Prominentní důchodce z Vysočiny se nikdy netajil názorem, že novináři jsou individua nevalných morálních kvalit a povýtce mdlého rozumu. Pohled na titulní stránku pátečních Hospodářských novin vytrubující SMS aféru a dnešní snahu ji podruhé spařit nabádá k úvaze, že problematickému předsedovi vlády nelze upřít jistý pozorovatelský talent.Snadno nahlédneme, že SMS centrum umí vytvořit libovolnou SMS zprávu – tedy včetně libovolné adresy odesilatele. Při odesílání zprávy z mobilky je to jednoduché – odesilatel je v rámci poměrně spolehlivé GSM authentikace znám.
Koncem minulého století ale operátoři začali laborovat s obsahovými službami nebo možností zpřístupnit SMS centra aplikacím svých korporátních zákazníků. GSM standardy sice počítají s možností SMS vytvářených externí aplikací, ale nedefinovaly, jakým protokolem ta aplikace má s SMSC komunikovat.
Situace se posléze vyřešila tak, že ETSI schválil proprietární protokoly čtyř hlavních hráčů na trhu: SMPP (Logica), CIMD (Nokia), UCP/EMI (CMG) a SMS2000 OIS (Schlumberger-SEMA).
Většina útoků směřuje proti UCP/EMI – protokol je triviální a řada operátorů zpřístupnila content providerům a menším firemním zákazníkům SMSC přes dial-up (ať už z mobilky nebo z pevné linky). V některých případech dokonce byla přes UCP/EMI dial-up udělána služba pro posílání SMS z pevné linky. Samotný protokol přitom není z hlediska zabezpečení a authentikace uživatele žádný zázrak. Lecos je sice dohnáno v možnostech konkrétní implementace v SMSC, ale s železnou pravidelností se objevují logické chyby v nastavení nebo přímo konfigurace, které jsou naprosto nekompetentně odbyté.
Podvržení zprávy lze poměrně snadno zjistit – arciť jen za předpokladu, že telefon umí ukázat číslo SMS centra, ze kterého SMS přišla. Dorazí-li SMS z čísla +420777něco skrze centrum +49něco, je jasné, že je podezřelá.
Přirozenou bariérou proti přílišnému rozšíření SMS spoofingu je nutnost mezinárodního volání na modemové pole otevřeného SMSC. To lze sice obejít všelikými proxinami a webovými branami, ale lokální škůdci se pak zase postiženému operátorovi lépe dohledávají.
V podstatě není ani třeba nic programovat. U textově orientovaných protokolů vlastně stačí Hyperterm a kalkulačka. Posílat SMS pomocí UCP/EMI dial-up spojení umí řada freeware/shareware prográmků – třeba i SmartSMS.
Expert v televizi cosi kutil s notebookem. Mnohem stylovější a mobilnější aplikace pro Palm je na internetu už asi tři roky, a to včetně zdrojáků. Neworder ji má pochopitelně indexovanou.
Na internetu je i řada více-méně placených webových bran a branek, které umožňují zasílání žertovných SMS s libovolným číslem odesilatele. Jejich legalita je ale problematická a životnost zpravidla omezená, protože dříve či později se to operátoři dozví a nějak je utnou. Některým takovým službám se s (alespoň tichým) vědomím operátora nicméně daří přežívat – třeba tahle to řeší tak, že pět minut po "žertovné" SMS s podvrženou adresou odesilatele pošle upozornění, že se jednalo o vtip.
Celé věci se dostávalo publicity hlavně v Británii a Německu někdy kolem roku 2000. V okrajových částech Evropy se ale druhořadé plátky občas rozhodnou vyčpělou historku znovu provařit i dnes. Naposledy Aftenposten v září v Norsku a nakonec i tuzemské HN.
V té souvislosti je tedy vysloveně lživé i tvrzení HN "falešné SMS se sice prvně objevily v Česku, ...."
Všechny články jsou vyrobené dle stejného mustru. Vystupuje v nich student Svensson, programátor Volyňský, nebo podobné individuum. Ti nejprve připustí, že je to stará vesta, ale pak se moudře rozhovoří o blahu lidstva a elektronických komunikací. Dotázaní nepřipravení mluvkové operátorů reflexivně plytce plkají a v článu se musí objevit i zástupce regulátora, který neví nic, ale vše přislíbí odpovědně zvážit.
Problematika podvržených SMS je mediálně vděčná, a tak celá řada českých gigantů ducha pocítila potřebu se k ní pro potřeby HN vyjádřit.
Jeho Informatičnost, ministr Mlynář, se kupříkladu dle HN nechala slyšet takto: "Budu hledat způsob, jak takovému zneužití SMS zabránit." Baže. GSM asociaci se tak v boji s SMS spoofingem dostane pomoci a inspirace z věru nečekané strany. Jen mě děsí, že kdo hledá, najde. Výsledek lze snadno předvídat: DPH z telekomunikačních služeb dále stoupne na 24%. Zato ovšem bude definována Národní SMS politika a pořízena Národní SMS laboratoř, Národní SMS server, jakož i SMS kniha a SMS kůň – to vše vysoce přístupné. Dále bude navrženo věnovat 0,043% z prodeje ČTc na Národní program zamezení SMS spoofingu v regionech (NPZSSR).
Aféra týkající se SMS také přispěla k lepšímu náhledu veřejnosti na stav státu a práva. Vyšlo totiž najevo, jak nad nimi bdí na slovo vzatí odborníci Ústavu státu a práva Akademie věd. Nezbývá než doufat, že učený doktorus obojího práva František Brabec pro větší obveselení publika rozvede své tvrzení, že "Mobilní operátoři jsou v případě, který popisujete, odpovědní za eventuální škody" do větší epické šíře. Nabízí se i rozšíření jeho převratné myšlenky na analogickou odpovědnost pošty za škody vzniklé doručením zásilky odeslané ze zahraničí s nepravou zpáteční adresou.
Regulační orgán zase potřebuje nějaké to udáníčko, aby mohl konat. "Abych s tím mohl něco dělat, potřeboval bych nějaké podání, abych mohl rozeběhnout mašinérii," reagoval David Stádník. Což o to – u řeky Blátavy je Mrvů vždy dost. Vánoce se blíží – strojí si stomeček. Až se tedy mašinérie rozeběhne, nepochybně vyprodukuje horu papíru, která bude stát život několik vzrostlých stromů, ale zjistí jen to, co už z čísla SMS centra ukázaného v televizi viděli bystřejší diváci – na SMS centrum si nedal pozor nějaký expert německého Vodafone.
Až tedy jednou budou všechna SMSC v širém světě řádně zabezpečena, bude identita odesílatele SMS jasná? Byla by důvěryhodnější, ale jistá pochopitelně nebude. Sice nebude kdejaký šášula moci snadno pořádat novinářské exhibice, ale i tak zbývá dost technických slabin nebo lidských selhání – SMS se na signalizaci koneckonců dá vygenerovat i bez SMSC.
Co se tedy s touto nevídanou SMS aférou bude z technického pohledu díti dál? Asi nic jiného než se už léta v obdobných případech SMS spamu nebo podstrkávání zpráv děje. Pokud tedy ministr Mlynář nenajde nic chytřejšího. Je-li škodivé SMSC někde v Nigérii, prostě se pro posílání SMS jeho gateway MSC ustřihne a povolí se až po uspokojivém korespondenčním vysvětlení celé záležitosti. To ale znamená, že si zákazníci postiženého operátora do české sítě SMS vůbec nepošlou – alespoň tedy ne přes své SMSC. V případech velkých seriózních operátorů tedy bude pořadí akcí spíše opačné. Nejprve více-méně sprostý dopis a blokace jen v případě nevyřešení celé situace jinak.
Laskavého čtenáře bych rád ubezpečil, že to – navzdory nesmyslům bláboleným v iHned – neznamená, že by operátoři museli přestat nabízet roaming. Zablokováním cizího SMSC přestane fungovat SMS interconnect z dané sítě do předmětné sítě v ČR. Při rozumném nastavení to nemá vliv na české roamery v síti dotčeného operátora ani na jeho zákazníky roamující v ČR (tedy za předpokladu, že zrovna nechtějí poslat SMS do místní sítě).
SMS na tom není hůře ale ani lépe než jiné prostředky komunikace. Učebnice dějepisu jsou plné příběhů o podvržených zprávách. Přesto můžeme klidně každý den posílat poštu, e-mail a SMS. Jen jde-li o svobodu, životy nebo peníze, je dobré mít na paměti, že nic není tím, čím se to býti zdá, jen proto, že je to na tom napsáno. A ostatně ani proto, že to ukazují v televizi nebo píší v novinách.
Zapsal: kamojedov
13.12.2004, 8:58:07
Trackback
Trackback
Komentáře
Slova jak z mramoru (Honza Kynčl - Mail - WWW) Vloženo 14.12.2004, 22:42:16
Opravdu krásně napsáno, jen se bojím aby ta Národní SMS laboratoř opravdu nevznikla...
Masy používají SMS (Trackback: 2Agiblok - Mail - WWW) Vloženo 14.12.2004, 10:10:34
Pro koho je určen článek Hospodářských novin SMS lze falšovat, nejsou chráněné? Pro pana Stádníka, který rád spouští mašinérii? Nebo ne? Je k nezaplacení, když se můžete pod pokličku problému podívat článkem odborníka z Výzkumného Ústavu Čar a Kouzel.
ba, ba (pj - Mail - WWW) Vloženo 13.12.2004, 22:40:06
Krasne napsano.
Přidání komentáře...