最近，黑客从德国银行账户中成功攫取了大笔金钱，但却不是通过黑了银行本身，而是利用了全球电话通讯协议SS7中所知已久的一个漏洞。这种类型的攻击，研究人员们早在几年前就发出了警告，或许会让电信产业最终解决其SS7大麻烦。

　　SS7让各运营商之间能够互通，是全球电信主干的一部分。你无论在家、在路上，还是在国外都能收到朋友短信，就是因为有SS7的存在。但多年来，分析师一直在警告，第三方有可能侵入SS7，监视和窃听数据。或者，将银行发送给客户的双因子验证码重定向到攻击者手中。

　　正如《南德日报》最先报道的，一旦黑客获得了某银行客户的用户名、口令和电话号码，他们就能利用SS7漏洞，重路由作为防欺诈最后一道防线的双因子验证码。报道中，黑客盯上的是德国运营商O2-Telefonica，但这有可能发生在任何一家运营商身上。是时候一次性解决SS7问题了。

　　德国安全研究实验室首席科学家卡尔斯滕·诺尔说：“这是我们第一次有了不可忽视的SS7滥用证据。我觉得这是个好的发展——只要客户会遭到损失，就必须采取行动;否则，若客户‘只是’被监视，你就有可能将之掩盖下来。”

　　修复漏洞

　　SS7问题源自其原始设置。因为这是电信运营商之间互通的方式，比如德国电信T-Mobile要求威瑞森传递短信，该协议被设计成信任任意请求。比如说，运营商经常相互“问”某设备的位置，以便计算出距离最近的信号塔来路由呼叫。这种自动化的交互一直在发生，但却几乎没有任何审查。骗子只需要伪装成电信服务商，询问一样的位置问题，就会像真正的电信运营商一样得到答案，并进行非法跟踪。

　　诺尔和其他专家称，解决SS7安全问题，需要实现一系列的防火墙和过滤器，阻止此类攻击。说起来容易做起来难。首先，设置自动化过滤器有屏蔽合法通信的风险，至少也会造成不便。3月份的时候，美国联邦通信委员会(FCC)一个工作组总结称：“巨大的SS7流量是合法的，运营商在实现解决方案时应充分考量这一点，要避免连带网络影响。”

　　一些SS7专家警告，考虑到涉及的复杂性，真正强化SS7安全的过程，需要更精妙的方法，而不仅仅是过滤。电信安全公司 P1 Security 首席执行官菲利普·兰格罗伊斯说：“我很怀疑有哪种简易的过滤可以完全清除此类攻击。我们可不是在讨论添加一条防火墙规则就可以放手不管的事。”

　　研究人员称，往SS7添加加密将解决更长期的SS7隐患，因为可以遮住网络流量不让人窥探到，还能支持和强化身份验证。

　　但诺尔称，电信公司目前能实现的过滤系统，足够防护现实世界中发生的攻击了。如果可以从头开始构建一个新的SS7，那这肯定不是安全专家眼中完美的解决方案，但是网络或其他类似脆弱协议，并不会因为互操作问题就消失不见。添加有效过滤，至少提供了最低限度的缓解。“SS7解决方案的推出涉及许多步骤。这可不像网购那么简单，下个订单就坐等收货什么的。有一整套的过滤规则，你得一个接一个地应用。”

　　整个过程至少会耗掉公司2至3个月的时间。如果公司大，竞争项目多，拖出几年都有可能。不过，专家希望，近期的银行欺诈最终会激励公司做出必要的改变。

　　采取行动

　　尽管有漏洞，SS7依然是个私有网络，意味着罪犯必须黑进去，或者找个电信公司内部人士提供非法访问。但是，地下间谍软件市场上什么都有，花个几百万，访问权限到手。

　　无论何种方式进去，SS7攻击者显然胆子会变更大，可能会激发其他方式激发不出的行动。俄勒冈民主党参议员隆·威登和加州民主党代表刘云平，几个月来一直在敦促电信公司和FCC对SS7采取行动。目前为止，工作组的发现，以及国土安全部(DHS)近期的一份报告，就是他们想要呈现出来的东西。去年，美国国家标准与技术局(NIST)同样不再建议在双因子身份验证中使用短信了，就是因为考虑到了利用SS7攻击的可能。

　　5月10号有关德国银行欺诈的声明中，刘云平说：“FCC和电信行业没能更早采取行动保护我们的隐私和金融安全，是不可接受的。每个人的账户都由基于短信的双因子身份验证保护，比如银行账户，但只要FCC和电信行业没有补上那灾难性的SS7安全漏洞，这些账户就处于风险之中。”

　　虽然关于短信和通信的隐私及安全问题没能刺激行动，但基于短信的双因子身份验证给在线账户带来的危险却能够做到。IBM里研究过SS7的安全架构师哈桑·莫拉德说：“实现完整的解决方案需要时间和金钱，而且会侵入运营商不愿触碰的核心网络。但运营商可以采取更快的行动来防止这种情况。”

　　如果他们不这么做，就等于向黑客发出明确的信号：SS7依然是可供猎取的猎物。只要用双因子，就是潜在受害者。

　　责任编辑;DJ编辑