Agrandar CJ Ostrosky / POGO Este artículo fue reportado en colaboración con el Proyecto de Supervisión del Gobierno. Fue escrito por POGO investigador Andrea Peterson, e incorpora investigaciones de Vanessa Perry, ex pasante de POGO.
Los apagones se produjeron en el verano de 1991. Durante varios días, llame por teléfono las líneas en las grandes metrópolis se cortaron sin previo aviso, interrumpiendo servicios de emergencia e incluso control de tráfico aéreo, a menudo durante horas. Los teléfonos fallaron un día en Los Ángeles, luego otro día en Washington, DC y Baltimore, y luego en Pittsburgh. Incluso después el servicio fue restaurado a un área, no había garantía de las líneas no volvería a fallar, y a veces lo hicieron. Los cortes se fueron millones de estadounidenses desconectados.
�El culpable? Una falla de la computadora. Un error de codificación en el software solía enrutar llamadas para una pieza de infraestructura de telecomunicaciones conocida como El sistema de señalización N. ° 7 (SS7) causó sobrecargas en la red. Eso fue una señal temprana de la fragilidad de la arquitectura digital que une los sistemas telefónicos de la nación.
Los líderes en Capitol Hill llamaron a la única agencia con el autoridad para ayudar: la Comisión Federal de Comunicaciones (FCC). los La FCC realizó cambios, incluidos los nuevos requisitos de informes de interrupciones para operadores telefónicos. Para ayudar a la agencia a responder a la red digital preocupaciones de estabilidad, la FCC también lanzó un aviso externo grupo, entonces conocido como Network Reliability Council pero ahora llamado Seguridad, fiabilidad e interoperabilidad de las comunicaciones Consejo (CSRIC, pronunciado “tijera-ick”).
Sin embargo, décadas más tarde, SS7 y otros componentes de la nación la red troncal digital permanece defectuosa, dejando llamadas y mensajes de texto vulnerables a la intercepción y la interrupción. En lugar de enfrentar los desafíos de nuestra edad hiperconectada, la FCC está tropezando, según documentos obtenidos por el Proyecto de Supervisión del Gobierno (POGO) y a través de extensas entrevistas con la agencia actual y anterior empleados. La agencia se ve obstaculizada por la falta de liderazgo en problemas de ciberseguridad y escasez de experiencia técnica interna que con demasiada frecuencia lo deja confiando en los consejos de seguridad del muy empresas que se supone que debe supervisar.
Contents
Capturado
CSRIC es un excelente ejemplo de esta llamada “captura de agencia”: el El grupo se creó para ayudar a complementar la experiencia y la artesanía de la FCC reglas significativas para las tecnologías emergentes. Pero en cambio, la FCC la confianza en el asesoramiento de seguridad de los representantes de la industria crea Un conflicto de intereses inherente. El resultado es una regulación debilitada. y la aplicación que finalmente pone a todos los estadounidenses en riesgo, de acuerdo con el ex personal de la agencia.
Mientras que la agencia tomó medidas para mejorar su supervisión de lo digital problemas de seguridad bajo la administración de Obama, muchos de estos las reformas han sido retiradas bajo el actual presidente Ajit Pai. Pai un ex abogado de Verizon, siempre ha señalado que no quiere que su agencia desempeñe un papel importante en la seguridad digital de las comunicaciones de los estadounidenses, a pesar de que la seguridad es una agencia central responsabilidad desde el inicio de la FCC en 1934.
El estatuto fundador de la FCC lo acusa de elaborar reglamentos que promueven la “seguridad de la vida y la propiedad mediante el uso de comunicaciones por cable y radio “, lo que le otorga una amplia autoridad para asegurar comunicaciones El ex presidente de la FCC Tom Wheeler y muchos legales Los expertos sostienen que esto incluye las amenazas cibernéticas.
Como regulador, la FCC lleva un palo: puede golpear empresas de comunicaciones con multas si no cumplen con su reglas. Esa responsabilidad es aún más importante ahora que “inteligente” Los dispositivos son redes casi todos los aspectos de nuestras vidas.
Pero no todos piensan que el mandato de la agencia es tan claro, especialmente en la industria de las telecomunicaciones. Las compañías de telecomunicaciones se defienden duro contra la regulación; durante la última década, pasaron casi un mil millones de dólares presionando al Congreso y agencias federales, según a los datos de OpenSecrets. La industria argumenta que la amplia FCC El mandato de asegurar las comunicaciones no se extiende a la ciberseguridad, y ha impulsado la supervisión de la ciberseguridad en su lugar de otras partes del gobierno, típicamente el Departamento de Seguridad Nacional (DHS) o la Comisión Federal de Comercio (FTC): ninguno de los cuales tiene el mismo nivel de elaboración de reglas poderes como la FCC.
Para Wheeler, él mismo el ex jefe del grupo comercial de la industria CTIA, el impulso hacia el DHS parecía una estratagema obvia. “La gente y las compañías que la FCC estaba encargada de regular querían ver si podrían trasladar su jurisdicción a alguien con menos autoridad reguladora ”, le dijo a POGO.
Pero el presidente Pai parece estar de acuerdo con la industria. En noviembre Carta de 2018 al senador Ron Wyden (D-Ore.) Sobre la agencia manejo de problemas de SS7, provisto a POGO por la oficina del senador, Pai escribió que la FCC “juega un papel de apoyo, como socio de DHS, en la identificación de vulnerabilidades y en el trabajo con las partes interesadas. para aumentar la seguridad y la resistencia en la red de comunicaciones infraestructura.”
La FCC declinó hacer comentarios para esta historia.
Enlarge/ La FCC actual declinó hacer comentarios, pero POGO habló con ex El presidente Tom Wheeler, visto aquí hablando con Ars en 2016. Brodkin No proteger las “joyas de la corona” de las telecomunicaciones
Cómo la industria de las telecomunicaciones aprovechó los llamados de los legisladores para FCC La reforma a raíz de las interrupciones de SS7 es un estudio de caso sobre cómo La influencia corporativa puede superar incluso lo mejor del gobierno intenciones
Desde el principio, los representantes de la industria dominaron pertenencia al grupo asesor ahora conocido como CSRIC, aunque, inicialmente, el grupo solo proporcionó información sobre un pequeño subconjunto de Problemas de comunicación digital. Con el tiempo, como innovaciones en las comunicaciones corrieron hacia adelante con la expansión de la telefonía celular redes e Internet, la técnica interna de la FCC las capacidades no se mantuvieron al día: durante la década de 1990 y principios de 2000, la experiencia técnica de la agencia se limitó en gran medida al teléfono redes mientras que el mundo cambió a redes de datos, ex empleados le dijo a POGO. Los pocos empleados de la agencia con experiencia en nuevos las tecnologías estaban almacenadas en diferentes oficinas, lo que dificultaba coordinar una respuesta integral al cambio de paradigma en sistemas de comunicación. Esa brecha dejó a la agencia cada vez más depende del consejo de CSRIC.
A principios de la década de 1990, el sistema de software basado en SS7 era simplemente llegando a un amplio uso. Hoy, sin embargo, se considera obsoleto y inseguro. A pesar de eso, los operadores aún usan la tecnología como un copia de seguridad en sus redes. Esto deja a las personas que confían en esos redes vulnerables a los problemas de la tecnología, como Jonathan Mayer, profesora de ciencias de la computación y asuntos públicos de Princeton y el ex tecnólogo jefe de la Oficina de Aplicación de la FCC, explicó durante una audiencia en el Congreso en junio de 2018.
A diferencia de la década de 1990, los riesgos ahora son mucho más profundos que solo Interrupción del servicio. Los investigadores han advertido durante mucho tiempo que las fallas en el el sistema permite a los ciberdelincuentes o piratas informáticos, a veces trabajando en nombre de adversarios extranjeros: convertir los teléfonos celulares en sofisticados dispositivos de localización geográfica o para interceptar llamadas y mensajes de texto. Los problemas de seguridad con SS7 son tan graves que algunos gobiernos agencias y algunas compañías importantes como Google se están alejando de utilizando códigos enviados por mensaje de texto para ayudar a proteger cuentas importantes, como como los de correo electrónico o banca en línea.
Un panel que asesora al presidente Bill Clinton levantó la alarma nuevamente 1997, diciendo que SS7 estaba entre las “joyas de la corona” de redes de Estados Unidos y advirtiendo que si esas joyas de la corona fueran “atacadas o explotadas, [podría] resultar en una situación que amenace la seguridad y confiabilidad de la infraestructura de telecomunicaciones. ”Para 2001, Los investigadores de seguridad argumentaron que los riesgos asociados con SS7 eran multiplicando gracias a la “desregulación” y “Internet e inalámbrico redes ”. Se demostró que tenían razón en 2008 cuando otros investigadores demostró formas en que los piratas informáticos podrían usar fallas en SS7 para identificar la ubicación de usuarios desprevenidos de teléfonos celulares.
Para 2014, estaba claro que los gobiernos extranjeros habían captado La promesa disruptiva del problema. Ese año, ruso inteligencia utilizó vulnerabilidades SS7 para atacar a un ucraniano empresa de telecomunicaciones, según un informe publicado por El Centro de excelencia cooperativo de ciberdefensa de la OTAN y más La investigación sobre la interceptación de llamadas SS7 fue noticia en Washington Post y en otros lugares.
A pesar de las apuestas cada vez más graves, la FCC no pagó mucho atención al tema hasta el verano de 2016, después del representante Ted Lieu (D-Calif.) Permitió 60 minutos para demostrar cómo los investigadores podría usar fallas de seguridad en el protocolo SS7 para espiar su teléfono. La FCC, luego dirigida por Wheeler, respondió esencialmente pasando el dólar a CSRIC. Creó un grupo de trabajo para estudiar y hacer recomendaciones de seguridad sobre SS7 y otros llamados “legados” sistemas “. El resultado fue un informe de marzo de 2017 sin compromiso orientación sobre las mejores prácticas para protegerse contra SS7 vulnerabilidades, un informe no público y la eventual creación de otro grupo de trabajo CSRIC para estudiar seguridad similar cuestiones.
Un análisis POGO de la membresía CSRIC en los últimos años muestra que su membresía, que es designada únicamente por el presidente de la FCC, se inclina fuertemente hacia la industria. Y la autoría de marzo de 2017 El informe fue incluso más desigual que CSRIC, en general. De los veinte miembros del grupo de trabajo enumerados en el informe final, solo cinco fueron del gobierno, incluidos cuatro del Departamento de Patria Seguridad. Los quince restantes representaban al sector privado. intereses. Ninguno era académico ni defensor del consumidor.
Otras lecturas
Cómo los piratas informáticos escucharon a un congresista de EE. UU. Usando solo su teléfono número
El liderazgo del grupo de trabajo se obtuvo completamente de la industria. Los copresidentes del grupo provienen de una empresa de infraestructura de redes. Verisign e iconectiv, filial de la compañía sueca de telecomunicaciones. Ericsson El editor principal del informe final del grupo fue CTIA Vice Presidente de Tecnología y Seguridad Cibernética John Marinho.
Correos electrónicos de 2016 entre miembros del grupo de trabajo, obtenidos por POGO a través de una solicitud de la Ley de Libertad de Información, demuestre que el grupo arrastró sus pies en la resolución de vulnerabilidades de seguridad SS7 a pesar de instando a los funcionarios de la FCC a moverse rápidamente. El grupo tambien repetidamente ignorado la aportación de los expertos técnicos del DHS.
Sin embargo, el problema no era encontrar una solución, según David Simpson, un almirante retirado que dirigió el público de la FCC Oficina de Seguridad y Seguridad Nacional en el momento. El grupo estaba capaz de discernir rápidamente algunas de las mejores prácticas, principalmente mediante el uso diferentes sistemas de filtrado, que algunos operadores principales ya tenían desplegado y que otros podrían usar para mitigar los riesgos asociados con SS7.
“Sabíamos la respuesta en los primeros dos meses de la expertos técnicos en los grupos de trabajo “, dijo Simpson, quien consultado con el grupo de trabajo. Pero en última instancia, el “consenso La orientación del CSRIC desafortunadamente permitió “el informe final a ser empujado de la sesión del pato cojo al Trump administración, que generalmente no está inclinada a introducir Nuevas regulaciones federales.
En general, el análisis de POGO de correos electrónicos del grupo y entrevistas con el ex personal de la FCC encontró que el dominio de la industria de CSRIC parece haber contribuido a una serie de problemas con el proceso y el informe final, que incluye:
- Los miembros de la industria del grupo de trabajo presionaron con éxito para las recomendaciones finales para confiar en el cumplimiento voluntario, según ex empleados de la FCC. Los expertos en seguridad dicen que En última instancia, la estrategia deja en riesgo a toda la red celular porque hay miles de proveedores más pequeños, a menudo en zonas rurales áreas, que es poco probable que prioricen el despliegue de lo necesario protecciones sin una regla firme.
- Un correo electrónico de agosto de 2016 muestra que, al principio del proceso, DHS los expertos se opusieron a describir el enfoque del grupo de trabajo como en sistemas “heredados” porque “transmite un mensaje de que estos los protocolos y las amenazas asociadas desaparecerán pronto y eso no es necesariamente el caso “. El grupo no revisó el legado idioma, y se mantuvo en el informe final.
- En un correo electrónico de septiembre de 2016, un funcionario de la FCC envió un correo electrónico Marinho, señalando que las ediciones del DHS no se estaban incorporando en el borrador de trabajo. Marinho respondió que también los recibió tarde y planeó incorporarlos en una versión posterior. Sin embargo, En una carta de mayo de 2018 a la FCC, el senador Wyden dijo que los funcionarios del DHS dijo a su oficina que “la gran mayoría de las ediciones a la final informe “sugerido por expertos del DHS” fue rechazado “.
En los correos electrónicos obtenidos por POGO, Marinho también se refiere a advertencias. sobre problemas de seguridad con SS7 que vinieron de panelistas en un evento organizado por la Estrategia de Ciberseguridad de la Universidad George Washington y el Programa de Gestión de la Información como “hiperbólico”.
Marinho no respondió a una serie de preguntas específicas sobre las actividades del grupo de trabajo. En una declaración a POGO, CTIA dijo: “[L] a industria inalámbrica se compromete a proteger al consumidor seguridad y privacidad y colabora estrechamente con DHS, la FCC, y otras partes interesadas para combatir las amenazas en evolución que podrían afectar redes de comunicaciones “.
El informe del grupo de trabajo reconoció que los problemas persisten. con SS7, pero recomendó medidas voluntarias y le dio la responsabilidad a los usuarios de telecomunicaciones deben tomar medidas adicionales, como usar aplicaciones que cifran sus llamadas telefónicas y mensajes de texto.
