外洩嗶聲! 攻擊者監視呼叫器通訊, 收集電話號碼、員工姓名,甚至高階目標的電子郵件

許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而,這些努力卻會被仍在使用中的舊技術所破壞,因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊

 

趨勢科技在「外洩嗶聲」系列的前幾期中討論了醫療體系工業控制系統透過傳呼通訊協定POCSAG和FLEX發送了明文形式的訊息。當我們探討醫療體系的呼叫器(或稱傳呼機或 BB.Call)使用時,很驚訝地發現內容包含病患的敏感資料。同時也對工業環境內使用POCSAG和FLEX進行無線通訊的自動化系統數量感到吃驚。這讓有心攻擊的人能夠取得足夠的資訊在未來進行攻擊。

在進行研究的過程中,我們再次看到IT系統會用明文向公司基礎設施發送重要訊息。包括會發送傳呼訊息來記錄誰打電話給公司內部員工的系統。由於這是用明文發送並且能夠被遠端觀察,攻擊者可以收集電話號碼、員工姓名,及在某些情況下包括可能高階目標的電子郵件地址。

在現今這個時代,許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而,這些努力卻會被仍在使用中的舊技術所破壞,因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊。

 

帶有個人資訊的傳呼範例

筆者還記得小時候去父親的辦公室時,看到IT人員為了警報和通訊目的而攜帶呼叫器。當我開始在IT部門工作時,仍會看到一些呼叫器的使用,但我認為只是一些老IT人員習慣於使用呼叫器作為通報機制。隨著時間的過去,手機變得越來越受歡迎。當我們開始這項研究時,並沒有預期到會看到來自IT系統的訊息。例如,來自伺服器或網路入侵偵測系統的syslog訊息:

 

包含伺服器相關資訊的傳呼範例

在某些情況下,IT系統可能被用來發送被認為私密的個人資訊。我們在外洩嗶聲:仔細檢視IT系統外洩傳呼中討論了簡訊轉傳呼系統會看到將私人訊息從簡訊轉成傳呼,令人震驚的是這些簡訊轉傳呼系統將通常是加密的訊息以明文傳送。如果人們知道自己的訊息是用明文傳送,就不會想用這些簡訊轉傳呼的系統。

我們越加深入研究,就越了解在全球各地仍有許多單位因為各種原因而繼續使用呼叫器。這是最終該被停止的東西,越早越好。資訊安全專家非常努力地預防各種不同形式的資料外洩。但很顯然地,在這些努力中,呼叫器不是被忽略就是被無視了。

今後,資訊安全專家應該檢視這些訊息,看看是否該以明文發送。如果不是,應當使用另外的通訊管道來避免敏感和私人資訊外洩。

想了解更多關於我們的發現,請參閱我們的外洩嗶聲系列第三部 – 「外洩嗶聲:仔細檢視IT系統外洩傳呼」。

 

@原文出處:Leaking Beeps: IT Systems Broadcasting Sensitive Info 作者:Stephen Hilt(資深威脅研究員)