Компания
1 016,14
рейтинг
24 сентября 2014 в 15:15

Разработка → Атаки на SS7: вчера для спецслужб, сегодня для всех

image

В конце августа газета Washington Post обнародовала буклет американской компании Verint, которая предлагает своим клиентам сервис Skylock по выслеживанию абонентов мобильных сетей в разных странах мира – без ведома самих абонентов и операторов. Хотя предложения локационных сервисов давно можно найти в Интернете, но случай Verint, пожалуй, один из первых, когда такие услуги предлагаются вполне официально и на глобальном уровне.

Как такое возможно? В качестве реакции на истории о мобильной слежке чаще всего выдвигается версия о сложных технологиях, которые могут использоваться лишь спецслужбами. На практике всё проще. Телекоммуникационная сеть состоит из множества подсистем различного технологического уровня, и уровень безопасности всей сети зачастую определяется уровнем самого слабого звена.

В частности, процесс установления голосовых вызовов до сих пор основан на технологии SS7, которая уходит корнями в 70-е годы прошлого века. В начале 2000-х годов была разработана спецификация SIGTRAN, позволяющая передавать сообщения SS7 по IP-сетям. При этом были унаследованы все недостатки безопасности верхних уровней протоколов SS7. В результате злоумышленники имеют возможность бесконтрольно посылать, перехватывать и изменять сообщения протоколов SS7, осуществляя различные атаки на мобильные сети и их абонентов.

Один из первых публичных докладов об уязвимостях SS7 прозвучал в 2008 году на хакерской конференции Chaos Computer Club, где немецкий исследователь Тобиас Энгель показал технику слежки за абонентами мобильных сетей. Однако в профессиональной среде эти уязвимости были известны раньше – с 2001 года. Уже тогда об этих возможностях знали и правительства некоторых стран. Так, в книге Томаса Портера и Майкла Гафа «Как обойти защиту VoIP» (How to Cheat at VoIP Security) приводится цитата из отчета одного из американских ведомств, где говорится, что «администрация Президента США серьезно обеспокоена высоким уровнем угрозы атак на основе SS7».

Новый всплеск общественной озабоченности случился в 2013 году, когда бывший сотрудник ЦРУ Эдвард Сноуден раскрыл миру историю о тотальной слежке Агентства Национальной Безопасности США за гражданами. Среди разоблачений Сноудена снова всплыли уязвимости SS7 как одна из техник, использованных АНБ. После этого стало известно и о существовании частных компаний, которые предлагают подобные услуги на глобальном уровне, как уже упомянутый SkyLock:

image

Как отмечает Washington Post, компания Verint не использует слежку против американских и израильских граждан, «однако ряд других аналогичных сервисов, работающих в Швейцарии и на Украине, не подчиняются подобным ограничениям».

Приведенная цитата — одно из возможных объяснений целой волны скандалов, связанных с публикаций записей телефонных переговоров на Украине. В июне 2014 года Национальная комиссия регулирования связи и информатики Украины сообщила о случаях прослушки абонентов «МТС-Украина» через сервер, предположительно принадлежащий российской «дочке» оператора Tele2:

image

По мнению экспертов Positive Technologies, использованный в этом случае алгоритм прослушки является комбинацией атак, которые были рассмотрены на конференции по практической безопасности PHDays IV, а также в отдельных публикациях нашего блога. Сейчас все эти атаки собраны и более подробно описаны в новом исследовании «Уязвимости сетей мобильной связи на основе SS7». Ознакомиться с полным текстом исследования можно здесь: www.ptsecurity.ru/lab/analytics

Материалы, представленные в данном отчете, собраны в 2013 и 2014 годах в ходе консалтинговых работ по анализу защищенности крупных мобильных операторов. В процессе этого исследования эксперты Positive Technologies смогли реализовать такие атаки, как раскрытие местоположения абонента, нарушение доступности абонента, перехват SMS-сообщений, подделка USSD-запросов и перевод средств с их помощью, перенаправление голосовых вызовов, подслушивание разговоров, нарушение доступности мобильного коммутатора.

При этом было продемонстрировано, что даже телеком-операторы, входящие в десятку мировых лидеров, не защищены от подобных атак. А злоумышленнику для проведения этих атак сегодня не требуется сложное оборудование: в исследовании использовался узел на базе обычного компьютера под управлением ОС семейства Linux, с установленным SDK для формирования пакетов SS7 — эти программы доступны для свободного скачивания в Интернете.

Варианты решения проблемы предлагаются в заключительной главе исследования. Кроме того, если у вас возникли вопросы по данному исследованию, вы можете задать их авторам отчёта на вебинаре, который пройдёт 2 октября в 14:00 на сайте компании.

Вебинар бесплатный, но нужно предварительно зарегистрироваться:
www.ptsecurity.ru/lab/webinars
Автор: @ptsecurity
Positive Technologies
рейтинг 1 016,14

Комментарии (19)

  • +1
    Правильно ли я понимаю, что имея стык с окс7 можно творить многое?
    • 0
      правильно и кажется блоге билайна показывали на практике, что можно делать
  • +1
    Спасибо. Теперь я понял как обходят MFA с SMS кодами.
  • –3
    Что касается РФ, так тут даже не нужно специальных познаний в данной области.
    У большой тройки есть фирменные салоны, в которых у сотрудников присутствует доступ к общей базе операторов.
    За 1000-2000руб. можно получить пароль к личному кабинету любого абонента(ну это естественно если вы обладаете «лучезарной улыбкой»).
    А в ЛК и детализация и трекинг у некоторых операторов, да послушать и почитать смс не получится, но и того что есть «за глаза» хватает.

    • 0
      Есть ли способы автоматизации и маштабируемости эксплуатации данной уязвимости?
      • +4
        К любому сотруднику тройки есть индивидуальный подход, хотя есть и стандартные интерфейсы для утюга и паяльника. Масштабируется, соответственно, объемом закупок нагревательных элементов.
    • 0
      Ну не знаю, пару лет назад имел к большой тройке отношение, ни про какую общую базу не слышал. База была своего оператора и только своего региона. Пароль к ЛК посмотреть было нельзя, только сбросить. А вот кодовое слово да, можно посмотреть.
      • 0
        Имелось ввиду общая база оператора, а не всей тройки. Сейчас можно посмотреть и пароль и смс уведомление о входе отключить можно.
    • +1
      «За 1000-2000руб. можно получить пароль к личному кабинету любого абонента(ну это естественно если вы обладаете «лучезарной улыбкой»).»

      А можно поподробнее, Вы пробовали так делать?
      • +1
        Думаю такой вопрос не корректен)
        Поподробнее могу рассказать про Московский регион. В местных, подмосковных офисах большой тройки работают не одноклассники так ребята с соседнего двора, решить с ними вопрос доступа — пару бутылочек пива выпить или в суши бар сводить(девчонок). И вот вам доступ к данным по всей МО и Москве включительно(у некоторых сразу по Центральному региону). Причем все организовывается через смс, без лишнего привлечения внимания, отсылаете номер — получаете код.
        • +1
          Я был в легком шоке, когда узнал уровень всемогущества этих сотрудников салонов. Думал, там кодовое слово или паспортные данные оператор должен ввести, чтобы что-то сделать с номером. А вот фиг.
          • +1
            Операторы разгрузили себя передав часть рутинной работы салонам. А вот СБ в этих сетях салонов мягко сказать «не какие».
            Вот и беспредельничают сотрудники.
            На моей памяти один сотрудник целых 3и месяца пополнял счета мобильных за пол цены. В итоге уволился и даже удержания ЗП не было.
            С его слов «у них общий баланс на все салоны и выяснить кто сколько положил на какие счета не реально было))) „
            • 0
              Ха, ещё 10 лет назад данные по моему номеру получили какие-то гопы и меня шантажировали, 90% что это было сделано через сотрудников в салоне. В МТС меня открытым текстом послали в ментовку, их СБ было пофигу на коррупцию их сотрудников и утечку данных. Причём я был весьма настойчив и теребил их и устно, и письменно, и всяко.
              • 0
                Скорее всего не их сотрудников, а неких ИП или ООО кто заключил с МТС договор (я так понимаю операторы так все делают) и открыл свой салон с менеджерами и консультантами.
      • +5
        А можно поподробнее, Вы пробовали так делать?
        Мы утерянную симкарту недавно заменили на новую просто назвав паспортные данные… паспорта с собой не было. Бесплатно. И без улыбки.
        Так что…
        • 0
          Вся фигня в том что кому-то левому они запросто отдают данные и грешат восстановлением симок, через которые потом уводят деньги со сбера/киви, а вот ситуация буквально 10 минут назад. Навернулась у матери симка, оформлена на меня, я в другом городе.
          У полосатиков есть механизм восстановления сим-карты для держателей, но ответить на вопросы оператора мать не сможет, да и перезвонить ей сейчас некуда.
          Логично было бы мне обратиться в офис с заявлением «я, владелец, прошу выдать такому-то человеку мою сим, вот мои усы лапы и хвост», но нифига, только лично в руки. Зато торгуют в каждом переходе и чёрный рынок никто не думает прикрывать.
  • 0
    Я даже почти знаю, как отслеживать местоположение имея доступ в ss7, но знания мои не сильно широки и я не очень понимаю, как можно lac и cellid получить для абонента любого оператора.
    Ещё кстати в открытом доступе есть возможность определять регион или страну, где находится абонент — с помощью «hlr запросов» всего за 20 копеек за запрос.
    Так же можно подделывать исходящие смс и звонки, только вот чтоб принять входящий звонок чужой, хз чо нужно сделать.
    • 0
      почитал статейку, стало понятно.
  • 0
    решето

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка