/dev/null - Overig

SMS 2FA (een jaar later...)

01-12-2019, 10:39 door [Account Verwijderd], 8 reacties
...Bitwiper startte hierover een topic nu bijna een jaar geleden op 11-12-2018
https://www.security.nl/posting/590332/DigiD+et+al%3A+stop+met+SMS+2FA%21
Mij overkwam afgelopen week een mindere toestand van heel andere orde met SMS 2FA bij een creditcarduitgever: De SMS die mij werd gezonden m.b.t. de zeer recent door hen ingestelde 2FA kwam niet binnen op mijn GSM telefoon.

Met nadruk: het is dus geen smartphone.

Gebeld hierover stond de helpdeskmedewerker voor een raadsel. Hij kon zien dat er vele SMS berichten waren gezonden naar mij en kwam niet verder qua suggestie dan een ander 06 nummer door hen laten uitproberen, waarop ik meldde dat ik dat niet zinnig achtte omdat ik - uiteraard - al had gevraagd aan iemand om mij een SMS te zenden: met positief resultaat.

Hoewel het dus helemaal geen nut had - wat ook bleek - om ook nog de bekende controles uit te voeren deed ik dat toch. Dat zijn:

- De ontvanger had het toestel niet aan staan.
- Er is gebruik gemaakt van de mogelijkheid om het bericht later te verzenden.
- De inbox is vol.
- Geen acceptatie van sms-berichten.
- Er is een verkeerd nummer ingevoerd.

Nu vraag ik mij af gezien een veronderstelde vergelijking dat e-mail nooit verloren gaat: (Het bounced of wordt bezorgd) waarom komt de SMS van de ene afzender wel aan en van een enkele afzender niet? Ik bedoel: als alle mogelijke oorzaken niet de oorzaak zijn blijft over dat een nog onbekende mogelijkheid wél de oorzaak is.

Voorop gesteld: Ik lig hier niet wakker van. Er zijn sowieso geen ongewenste/onbekende mutaties m.b.t. mijn creditaccount gebeurd. Bovendien heb ik stoïcijns deze creditcard opgezegd omdat ik mijn krediet niet meer kan controleren door inloggen op mijn persoonlijke webpagina bij de kredietverlener.

Toch vraag ik mij af en meer voor de algemene interesse: Wat is hier aan de hand?

mvg.
Reacties (8)
01-12-2019, 10:53 door Tintin and Milou - Bijgewerkt: 01-12-2019, 10:54
Het kan vaker voorkomen.

Paypal verificatie SMS komt niet binnen
https://gathering.tweakers.net/forum/list_messages/1860991

Meestal ergens een blokkade, onbetrouwbare SMS leverancier, of gewoon ergens miscommunicatie.

Nu vraag ik mij af gezien een veronderstelde vergelijking dat e-mail nooit verloren gaat: (Het bounced of wordt bezorgd) waarom komt de SMS van de ene afzender wel aan en van een enkele afzender niet? Ik bedoel: als alle mogelijke oorzaken niet de oorzaak zijn blijft over dat een nog onbekende mogelijkheid wél de oorzaak is.
Spam filter, misconfiguratie kan ook gewoon email laten verdwijnen. Zonder dat de verzender het weet.
01-12-2019, 11:02 door Anoniem
Ik heb geen idee van de details maar mijn ervaring is dat een SMS ook best een tijdje in het netwerk kan blijven rondzingen totdat de terminal (telefoon) beschikbaar komt (aangezet wordt en zich aanmeldt). Een getal van 72 uur staat me bij. En als mijn nokia 6210 (uit 2000) een SMS teveel krijgt dan zegt'ie "inbox vol" en dan moet je even je inbox opschonen voor je het bericht krijgt. Geen idee wat daar de time-outs zijn.

Om dit precies uit te zoeken heb je denk ik een telecom-nerd nodig met toegang op de SMS-centrale, om te kijken wat er precies aan de hand is. Het enige wat ik zo kan bedenken is "herstart je telefoon", en dat is nou niet echt diepgaand probleemoplossen.

Op het security-vlak is dit een hele slechte beurt van de credietkaartmaatschappijhelpdeskmedewerker, want "dan maar een ander nummer proberen" is een uitnodiging aan een eventuele jouw impersonerende beller om dan z'n eigen telefoonnummer op te geven en zo dus toegang te krijgen tot jouw credietkaart.
01-12-2019, 11:11 door Anoniem
Naast bounce en bezorging heb je ook nog null route of blackhole route waarbij nog ontvanger nog verstuurder te horen krijgt wat de status is van het bericht.

Omtrent sms die niet bezorgd wordt meestal is een van de sms modems verantwoordelijk voor de doorversturing dan op dat moment overbelast. Mijn Mail provider maakt ook gebruik van SMS voor pincode versturing en soms werkt deze ook niet na minuutje wachten nog een keer proberen komt dan of de nieuwe of de oude en de nieuwe binnen.

Als je nog toegang had tot het CC account dan had je nog kunnen proberen een compleet andere tijd te kiezen voor versturing van de SMS aanvraag. Komt het bericht vaker aan dan de andere tijdzone dan heb je mogelijk dus te maken met een overbelast netwerk. Dan weet je echter nog steeds niet of dat bij de CC provider is of bij een tussen station natuurlijk. Maar zonder direct toegang tot de gehele infrastructuur zal je daar nooit achterkomen.
01-12-2019, 11:57 door Anoniem
Wat is hier aan de hand?

Gewoon een simpele storing. dit ondervindt ik zelf ook vaak zowel met tancodes of authenticatiecodes per SMS.
Soms lukt het 24 uur niet,soms krijg je opeens een uur later hele batch SMSjes ...en soms ontvang je niks.
Heeft niks met Fraude door derden te maken. tenzij je buurman een freak is die zn leven heeft toegewijdt om dit soort activiteiten te ontplooien.
03-12-2019, 13:39 door Anoniem
Even vergeleken met e-mail: als de smtp server crasht die net jouw mailtje in zijn que heeft staan dan gaat ook een e-mail verloren.
03-12-2019, 17:20 door Anoniem
Door Anoniem: Even vergeleken met e-mail: als de smtp server crasht die net jouw mailtje in zijn queue heeft staan dan gaat ook een e-mail verloren.
Dat hoort niet, daar heb je precies een wachtrij voor. Je zet de email erin zodat'ie op disk staat, dan wordt'ie afgehandeld en pas als je MTA een "ok, ik heb de email ontvangen en geef 'm door"-antwoord krijgt gaat'ie er weer uit. Dus nee, een server crash hoort geen emails kwijt te kunnen maken.

Let ook even op het verschil tussen "queue" en "cue".
03-12-2019, 22:41 door Bitwiper
Door Anoniem: Even vergeleken met e-mail: als de smtp server crasht die net jouw mailtje in zijn que heeft staan dan gaat ook een e-mail verloren.

Zoals Anoniem van 17:20 aangeeft: dat hoort niet. Sterker, alle e-mailserversoftware die ik ken houdt zich aan de RFC's. Uit https://tools.ietf.org/html/rfc5321#section-6.1, m.b.t. tot die serversoftware:
It MUST NOT lose the message for frivolous reasons, such as because the host later crashes or because of a predictable resource shortage.

Helaas komt het wel voor dat non-spam e-mail zoekraakt, echter zelden door crashes e.d. maar vooral door false-positives bij spamdetectie, met name in de situatie dat e-mails eerst worden aangenomen (zonder foutcode) en even later wordt "ontdekt" dat er iets niet pluis is met de mail zelf en/of bijlage(n). Als jouw "front-end" mailserver mail (na evt. blacklistcheck, maar vóór virusscan of uitgebreide content-spam-analyse) de mail eerst accepteert en een andere (of dezelfde) server die mail vervolgens "terugstuurt", ben je zelf geen haar beter dan spammers omdat in de meeste spams het afzenderadres vervalst is (en een onschuldige vervolgens NDR-spam kan ontvangen). Om die reden gebeurt dat terugsturen vaak niet, waardoor legitieme mail daadwerkelijk zoek kan raken.

Toch kun je niet alle technische problemen uitsluiten. De mailserver zou van RAID storage gebruik kunnen maken waarvan een stel harddisks tegelijkertijd defect raken (zoals recentelijk met de 32768 bedrijfsurenbug in HPE harddisks). Ook kan er sprake zijn van bugs in de software of fouten bij migratie naar nieuwe hardware/software.

En zoiets kan ook met SMS gebeuren: in de USA werden recentelijk nooit ontvangen SMS berichten, verzonden op valentijnsdag, alsnog afgeleverd (zie https://nos.nl/artikel/2309523-amerikanen-opgeschrikt-door-sms-jes-uit-verleden.html). Dus wie weet krijgt de TS het SMSje alsnog (in flessenposttempo).

Maar je kunt ook niet voor 100% uitsluiten dat een crimineel het telefoonnummer van de TS (kortstondig) heeft weten door te schakelen naar zijn eigen nummer, of dat, middels toegang tot de telecomapparatuur onderweg, het bericht is gekaapt. Als ik de nieuwsberichten over onderzoek uitgevoerd door met name Karsten Nohl mag geloven, is dat veel eenvoudiger dan menigeen denkt en niet beperkt tot theoretische laboratoriumomstandigheden, maar daadwerkelijk uitgevoerd door criminelen (en niet in een ontwikkelingsland met aftandse apparatuur, zie https://www.security.nl/posting/596670/Criminelen+onderscheppen+sms-codes+Britse+Metro+Bank).

Niet voor niets verschijnen er steeds weer negatieve adviezen over het gebruik van SMS voor 2FA, maar onze overheid slaat zelfs het advies van haar eigen NCSC in de wind (dat NCSC overnam van NIST): zie https://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2019/juni/01/factsheet-gebruik-tweefactorauthenticatie/20181022%2BFactsheet-Gebruik-tweefactorauthenticatie.pdf. En in https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2019/juni/12/cybersecuritybeeld-nederland-2019/CSBN2019.pdf van juni 2019 lees ik:
Qua bredere trend lijken aanvallen gericht op het onderscheppen van sms-berichten nog relatief zeldzaam, maar er is wel sprake van een toename.
Oogkleppen op en net doen of er niets aan de hand is. En als iemand zegt dat zijn identiteit op deze manier is gestolen, kent staatssecretaris Snel nog wel een paar ambtenaren die je zonder blikken of blozen voor leugenaar uitmaken...
04-12-2019, 10:22 door Anoniem
Door Bitwiper:
Qua bredere trend lijken aanvallen gericht op het onderscheppen van sms-berichten nog relatief zeldzaam, maar er is wel sprake van een toename.
Oogkleppen op en net doen of er niets aan de hand is. En als iemand zegt dat zijn identiteit op deze manier is gestolen, kent staatssecretaris Snel nog wel een paar ambtenaren die je zonder blikken of blozen voor leugenaar uitmaken...
Het is nog altijd beter dan geen 2FA.
Je moet nog steeds een UserID / Wachtwoord hebben.

Is het de meest veilige methode, zeker niet. Maar het is nog wel steeds een veilige methode, maar het kan altijd nog steeds veiliger.
Of het voldoet zal afhangen van je requirements.

Voor gebruikers ervaring, gemak en kennis, is SMS een hele goede oplossing.

Wel je de meest veilige methode, dan is SMS niet de beste keuze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.