Прослушка мобильников: как это сделано и как защититься

[Сталкер 7 031]

Мы уже писали о том, какие угрозы существуют в мире мобильной связи, и сегодня хотим еще раз рассказать об одном из векторов атак, направленных на мобильных абонентов.

Если коротко, схема такая. Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента. 



Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновленный профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой системы. 



Затем, когда атакуемый абонент совершает исходящий вызов, его коммутатор обращается вместо реальной биллинговой системы к системе атакующего, которая дает коммутатору директиву перенаправить вызов на третью сторону, опять же подконтрольную злоумышленнику.



На этой третьей стороне собирается конференц-вызов из трех абонентов, два из которых являются реальными (вызывающий А и вызываемый В), а третий внедрен злоумышленником несанкционированно и имеет возможность слушать и записывать разговор.



Сразу скажу скептикам: схема эта не фантастична и, как можно видеть, вполне реализуема на практике. При разработке системы сигнализации SS7 в ней не было заложено механизмов защиты от подобных атак. Подразумевалось, что сама по себе сеть SS7 довольно закрытая, и «чужой» попасть туда не может. Однако времена меняются, и мы с вами становимся свидетелями злонамеренного использования технологий телефонии. К сожалению, нельзя просто так взять и включить фильтрацию сообщений SS7 из внешних сетей, поскольку это повлияет на работоспособность услуг в роуминге. А ни один оператор не хочет лишать себя доходов.



В работе оператора, предоставляющего услуги большому числу абонентов, всегда есть тонкая грань между информационной безопасностью и доступностью услуг. Особенно остро это касается операторов мобильной связи: набор услуг огромен, у всех операторов он разный, а хочется качественно обслуживать не только своих, но и чужих абонентов в своей сети, и чтобы свои абоненты не были ограничены в возможностях во время путешествий за границу.

Что делать

Не плохо было бы закрыть так называемые «уязвимости» в стеке протоколов SS7, но любой специалист вам скажет, что это нереально. Классический случай «это не баг, это фича».

Вместо того, чтобы философствовать на тему архитектуры сетей мобильной связи, нужно действовать. Например, сделать следующее:

1. Провести тестирование на проникновение в SS7-сети.
2. Одновременно организовать мониторинг сообщений сигнализации на периметре сети оператора всеми доступными средствами.
3. Проанализировать полученную информацию и принять меры для минимизации рисков.

Тесты на проникновение

Немного о пользе тестов на проникновение. В сети оператора связи их роль не только в идентификации уязвимостей, но и в решении эксплуатационных задач. Например, чтобы понять, на что может повлиять включение той или иной функции безопасности, нужно проводить множество тестов с учетом особенностей каждой сети. При проведении наших тестов сигнализации SS7 мы учитываем 10 основных типов атак на сеть и мобильных абонентов.

1. Проверка на раскрытие конфиденциальных технических параметров: IMSI абонента; адрес коммутатора MSC, где абонент зарегистрирован; адрес БД HLR, где хранится профиль абонента. Зная эти параметры, злоумышленник будет иметь возможность проводить более сложные атаки.
2. Проверка на раскрытие данных соты, обслуживающей абонента. Зная идентификатор соты, злоумышленник может определить местонахождение абонента. В условиях городского покрытия местонахождение абонента может определяться с точностью до десятков метров.
3. Проверка на возможность нарушения доступности абонента для входящих вызовов (DoS на абонента). В случае успешной атаки абонент-жертва перестает получать входящие вызовы и СМС. При этом мобильный аппарат жертвы показывает наличие сети. Такое состояние абонента-жертвы продержится до тех пор, пока абонент не совершит исходящий вызов, не переместится в зону действия другого коммутатора или не перезагрузит телефон.
4. Проверка на раскрытие частной СМС-переписки. Данная атака является следствием атаки номер 3. В случае успешной атаки входящие СМС начинают приходить на оборудование злоумышленника, прочитать их не составит труда. Чтобы СМС не была доставлена получателю впоследствии, в СМС-центр отправляется уведомление о получении.
5. Проверка манипуляции USSD-командами. В случае успешной атаки злоумышленник получает возможность отправлять USSD-команды от имени абонента. Возможный ущерб будет определяться набором сервисов, которые предоставляет оператор по USSD (к примеру, тем, есть ли возможность с помощью USSD-команд переводить средства между счетами абонентов).
6. Проверка возможности подмены профиля абонента в VLR. В случае успешной атаки злоумышленник получает возможность задействовать свое оборудование в качестве интеллектуальной платформы для расширения возможностей голосовых вызовов и манипуляций с тарификацией.
7. Проверка на возможность перенаправления исходящих вызовов. Является продолжением атаки 6. В случае успешной атаки злоумышленник получает возможность перенаправлять исходящие голосовые вызовы абонента-жертвы. Кроме того, атака позволяет злоумышленнику устроить конференц-вызов, несанкционированно «вклинившись» в разговор.
8. Проверка на возможность перенаправления входящих вызовов. В случае успешной атаки злоумышленник получает возможность перенаправлять входящие голосовые вызовы, предназначенные абоненту-жертве. Кроме того, звонки по направлениям с высокими тарифами могут либо не тарифицироваться, либо плата за вызов будет начисляться абоненту-жертве.
9. Проверка устойчивости коммутатора к DoS-атаке. В случае успешной атаки коммутатор перестает обрабатывать входящие вызовы на абонентов, находящихся в зоне его действия.
10. Проверка возможности прямых манипуляций с биллингом. В случае успешной атаки злоумышленник получает возможность опустошения персонального счета, таким образом лишая абонента возможности осуществлять вызовы.

Как защититься

Наши исследования показали, что подавляющее большинство атак в сетях SS7 начинаются с получения технических данных об абоненте (идентификатор IMSI, адреса коммутатора MSC и БД HLR). Эти параметры получаются из ответа на то самое сообщение SRI4SM, которое упомянуто в начале статьи.

Одним из решений безопасности является процедура SMS Home Routing, предложенная организацией 3GPP в 2007 году. Иногда ее называют SMS Firewall или SMS-фильтр. 

В сеть оператора внедряется дополнительный узел, обеспечивающий фильтрацию злонамеренных сообщений SRI4SM. Принцип его работы заключается в следующем. Когда в сеть оператора приходит сообщение SRI4SM из другой сети, оно перемаршрутизируется на новый фильтрующий узел. Этот узел отправляет нормальный ответ, выдавая в качестве адресов коммутатора MSC и БД HLR свой адрес, а в качестве IMSI абонента — фальшивые данные. Если сообщение SRI4SM было сгенерировано злоумышленником, то он в ответе не получит никакой полезной информации, и его атака захлебнется еще на первом этапе. Если же сообщение SRI4SM было началом легальной транзакции для отправки СМС-сообщения, то сеть отправителя передаст это СМС-сообщение на фильтрующий узел, а он уже, в свою очередь, доставит сообщение адресату внутри своей домашней сети.

Прошло 7 лет с момента выпуска этой рекомендации, но, как мы видим, до сих пор далеко не все операторы запустили такое решение. И к слову, сообщение SRI4SM это не единственный способ получить IMSI абонента. 

Вместо заключения

Сеть оператора мобильной связи, как и любая другая, является потенциально уязвимой. В силу специфичности сетей мобильной связи атаки в них могут носить более изощренный характер, чем атаки в сети Интернет. Мы рекомендуем проводить мероприятия для защиты таких сетей по традиционному сценарию: пентест с выявлением проблемных мест, аудит безопасности с установкой рекомендуемых настроек, периодическая проверка настроек безопасности в соответствии с шаблоном. Это минимальный объем работ, который поможет поднять уровень защищенности сети чуть выше плинтуса, но в качестве первого шага этого достаточно. Абонентам будет спать спокойнее.

http://habrahabr.ru/company/pt/blog/226977/

[PI-SC 1 446]

Как сделать - вопрос еще выполнимый = кому надо, тот прочтет. А вот как защититься - это в наше время мифическое чувство конфиденциальности.

[Астра 4 468]

Опять про голубей :smile2:

[PI-SC 1 446]

Опять про голубей :smile2:

:icon_lol: Точно! Или про страусов, по владивостокскому примеру от Вадима :bignose: 

[Астра 4 468]

 

Опять про голубей :smile2:

:icon_lol: Точно! Или про страусов, по владивостокскому примеру от Вадима :bignose:

Ага, у них там голуби не голуби, Жигули не Жигули)))

[PI-SC 1 446]

Ага, у них там голуби не голуби, Жигули не Жигули)))

 

Опять про голубей :smile2:

:icon_lol: Точно! Или про страусов, по владивостокскому примеру от Вадима :bignose:

Ага, у них там голуби не голуби, Жигули не Жигули)))

 

:icon_lol: 

[Портной Вадим Владивосток 3 454]

У нас Тойоты и страусы...

Тигры и акулы...

Вэлком, ёпта !!! )))))))))))))))))

[Астра 4 468]

Круто там у Вас! А у нас Жигулевские горы, жигулевское пиво и Жигули машины.... А еще самые красивые девушки)

[Гость STARIK]

Прости мой старческий склероз, Виталий, а что это за машина - "Жигули"??? :)))

[Портной Вадим Владивосток 3 454]

Прости мой старческий склероз, Виталий, а что это за машина - "Жигули"??? :)))

Это не машина, это такая разновидность геморроя...

[Гость STARIK]

За который еще надо и деньги платить...:)))

[Астра 4 468]

Прости мой старческий склероз, Виталий, а что это за машина - "Жигули"??? :)))

"Шестерка" наверное)))) ты лучше у Вадика спроси он знает, ну а я где то слышал)))

[Астра 4 468]

Прости мой старческий склероз, Виталий, а что это за машина - "Жигули"??? :)))

"Шестерка" наверное)))) ты лучше у Вадика спроси он знает, ну а я где то слышал)))

Вспомнил! " выбегают жигуленки словно капельки, словно капельки Волги реки...." ))))) песня такая есть!

[Портной Вадим Владивосток 3 454]

Охренеть... Геморрою даже песни посвящают... )))

Куда катится этот мир...

Как скучно я живу...

[Астра 4 468]

Охренеть... Геморрою даже песни посвящают... )))

Куда катится этот мир...

Как скучно я живу...

Бессовестный ты гражданин РФ! Патриотизма в тебе нет! Ты наверное еще участвовал в проекте, когда на дальнем востоке хотели ПДД изменить , чтобы правосторонее движение было? Ельцин отказал помню))))

[Портной Вадим Владивосток 3 454]

Не было такого проекта...

Придурки у нас в администрации города выделенку сделали для автобусов с правой стороны, а с левой машины остальные пустили... Дорогу блоками перегородили... Получилось как в Японии... Город неделю охреневал с такого поворота дела, потом прокуратура енто дело прикрыла, типа идет нарушение ПДД...

Хотя было удобно...)))

А насчет патриотизма...

Виталя, есть офигительное выражение - "Не путайте патриотизм с идиотизмом !" )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

[Астра 4 468]

Не было такого проекта...

Придурки у нас в администрации города выделенку сделали для автобусов с правой стороны, а с левой машины остальные пустили... Дорогу блоками перегородили... Получилось как в Японии... Город неделю охреневал с такого поворота дела, потом прокуратура енто дело прикрыла, типа идет нарушение ПДД...

Хотя было удобно...)))

А насчет патриотизма...

Виталя, есть офигительное выражение - "Не путайте патриотизм с идиотизмом !" )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

Точно помню трактовку,что процент авто с правым рулем на дальнем востоке превышает...  бла бла бла,поэтому давайте изменим ПДД

[Астра 4 468]

Может конечно и хорошие машины,но правый руль при левосторонем движении точно идиотизм!!!

[Портной Вадим Владивосток 3 454]

Виталя, у нас правостороннее движение...)))

Кстати, абсолютно никаких неудобств нет...

[Астра 4 468]

Ну да ))) когда у всех руль справа))) я понимаю привыкаешь ко всему, но на фиг это надо? Я катался пару раз, жесть! Сначала запаниковал , когда по привычке повернул голову на право чтобы посмотреть в зеркало заднего вида..........

Потом пытался сделать обгон, тоже не простой маневр, если плотный поток! Про ночную езду лучше не говорить , опика по другому настроена, ну и я не левша...

[Портной Вадим Владивосток 3 454]

Виталя, всё это лирика... И оптика нормально светит, и обгон совершается нормально (по крайней мере, статистика ДТП во время обгона у нас не выше, чем в других регионах), зеркало вообще  фигня (что это ? ))), а ночью самый драйв - машин нет, едь как хочешь...

А лучше - приезжай, покатаю...  С ветерком...))) по ночному городу...

http://catalog.drom.ru/toyota/corolla_fielder/36637/