В последний день 2015 года проукраинская хакерская группировка RUH8 довольно оригинальным образом поздравила жителей России с Новым годом, выложив в сеть почти 300 000 СМС-сообщений россиян. Архив включал даты, данные отправителя и текст СМС.
Выложенный архив сопровождался обращением:
Я хочу напомнить россиянам, что нет ничего тайного, что не сделалось бы явным, ни сокровенного, что не сделалось бы известным, и желаю, чтобы ваша грубость, ложь, невежество, похоть, ваши измены, страстишки, ошибки, невыполненные обещания остались с вами в Новом Году! ФСБ вас не защитит, МВД вас не защитит, ФСТЭК вас не защитит, и ***ло не поможет. Rete nostrum, в сети вас ждем мы.RUH8
Оценку подобным эпизодам должны давать правоохранительные органы, я же хотел обратить внимание на небезопасность СМС как инструмента передачи данных. СМС – это, пожалуй, один из самых опасных способов передачи информации. Утечки в сеть СМС-сообщений пользователей пугающе часты – и, к сожалению, они происходят по самым разным причинам.
Самый громкий из подобных скандалов ‒ утечка СМС, отправленных с сайта оператора сотовой связи Мегафон, произошедшая в 2011 году. Многие из вас знают, что сообщения можно отправлять не только с телефона, но и через веб-сайты. Причем в последнем случае за отправку СМС плата не взымается, а потому этот способ остается достаточно популярным инструментом.
Но из-за некорректной настройки файла robots.txt и инструментов аналитики на сайте оператора сотовой связи Мегафон поисковый робот Яндекса начал индексировать СМС, отправляемые пользователями с сайта, и они появились в поисковой выдаче по запросу url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*.
Проблема была устранена достаточно быстро, однако огромное количество СМС-сообщений пользователей оказалось в публичном доступе, что и вызвало скандал, за которым, если мне не изменяет память, последовали судебные иски. Пользователи популярных ресурсов начали распространять содержание сообщений, обсуждая самые интересные тексты.
Помимо сайтов операторов, возможность отправки СМС с веб-страниц предоставляют и различные сторонние сайты. Их вы можете найти в поисковике по запросу «отправить СМС». Пользуясь подобными сайтами, вы передаете все данные, а именно номер получателя и текст СМС. В отличие от операторов, такие сайты мало заботятся о безопасности этой информации: собирая данные, они, как правило, или продают их, или используют в рекламных целях.
Подобные сайты нередко взламывают, получая пользовательские данные, которые в абсолютном большинстве случаев хранятся в незашифрованном виде.
Еще один момент, на который следует обратить внимание, ‒ срок хранения СМС. В отличие от звонков, запись которых весит весьма внушительно, СМС – простые текстовые сообщения, и, например, тот же архив из почти 300 000 СМС, с которого мы начали данную главу, весил всего 8 Мб. Это позволяет спокойно хранить СМС годами, а потому мой совет – не использовать СМС для передачи какой-либо значимой информации.
Совет
Не используйте СМС для передачи значимой информации.Отправляемые с телефона СМС могут прочесть не только оператор связи и уполномоченные органы, ведь для перехвата СМС используются те же инструменты, что и для перехвата звонков: поддельные базовые станции и эксплуатирование уязвимостей в SS7, – обо всем этом мы говорим в главе о перехвате звонков и СМС. К сожалению, безопасность – это большая проблема мобильной связи.
Нередко недобросовестные сотрудники сотовых операторов продают информацию о пользователях, включая их детализацию звонков и СМС. Подобные предложения вы можете в изобилии найти на теневых форумах.
Помните также, что отправленные СМС хранятся не только у оператора связи, но и у вас, и у адресата в мобильном и могут утечь при получении доступа к любому из устройств. В следующей главе мы научим вас использовать одноразовые СМС, которые будут уничтожаться после прочтения адресатом и не могут быть перехвачены при атаке “человек посередине”.