ss7 что это такое
Уязвимость в протоколе SS7 уже несколько лет используют для перехвата SMS и обхода двухфакторной аутентификации
Схема атаки с перехватом SMS-сообщения. Иллюстрация: Positive Technologies
О критических уязвимостях в сигнальном протоколе SS7 известно уже несколько лет. Например, в 2014 году российские специалисты Positive Technologies Дмитрий Курбатов и Сергей Пузанков на одной из конференций по информационной безопасности наглядно показали, как происходят такие атаки. Злоумышленник может прослушать звонки, установить местоположение абонента и подделать его, провести DoS-атаку, перевести деньги со счёта, перехватывать SMS. Более подробно эти атаки описаны в исследовании «Уязвимости сетей мобильной связи на основе SS7» и в отчёте «Статистика основных угроз безопасности в сетях SS7 мобильной связи».
И вот сейчас появились первые свидетельства, что хакеры с 2014 года действительно используют эту технику для обхода двухфакторной авторизации и перевода денег со счетов клиентов банков. Своё расследование опубликовала немецкая газета Süddeutsche Zeitung.
Проблема в том, что сигнальную сеть SS7 разработали в 1975 году (для маршрутизации сообщений при роуминге) и в неё не были изначально заложены механизмы защиты от подобных атак. Подразумевалось, что эта система и так закрытая и защищена от подключения извне. На практике этой не так: к ней можно подключиться. Теоретически, к ней можно подключиться в каком-нибудь Конго или любой другой стране — и тогда вам будут доступны коммутаторы всех операторов в России, США, Европе и других странах. В том числе и перехват входящих SMS любого абонента осуществляется таким образом, как описали специалисты Positive Technologies. При этом атакующему не требуется сложное оборудование: достаточно компьютера под Linux с генератором пакетов SS7, какие можно найти в Интернете.
После проведения регистрации абонента на «фальшивом» адресе MSC/VLR все SMS-сообщения, предназначенные абоненту, будут приходить на узел атакующего.
Фактически, эту опцию раньше могли использовать только спецслужбы, ну а сейчас может использовать любой желающий, у которого есть компьютер под Linux. Газета Süddeutsche Zeitung пишет, что доступ к коммутатору SS7 кое-где можно купить за 1000 евро. С помощью взятки можно ещё добыть идентификатор global title (GT) мобильного оператора — это тоже возможно в некоторых бедных коррупционных странах, где чиновники иногда позволяют себе нарушать закон в целях личного обогащения.
Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали уязвимость SS7, чтобы получить одноразовый код подтверждения транзакции (mTAN), который банк присылает по SMS.
Расследование немецкой газеты не просто рассказывает о фактах кражи денег с банковских счетов, а указывает на фундаментальную уязвимость SMS как фактора аутентификации: «Я не удивлён, что хакеры забрали деньги, которые лежали у них под руками. Я только удивлён, что ворам в онлайн-банкинге понадобилось так много времени, чтобы присоединиться к агентам шпионажа и тоже использовать уязвимости сети SS7», — говорит Карстен Ноль (Karsten Nohl), ещё один известный специалист по безопасности мобильных сетей и SS7. На той же конференции 2014 года в России он читал доклад об атаках на мобильные сети, а также неоднократно выступал на эту тему на других конференциях. В том числе он рассказывал об уязвимостях SS7 на хакерской конференции Chaos Communication Congress в 2014 году и даже прослушал звонки по мобильному телефону конгрессмена Теда Лью (Ted W. Lieu) (с его согласия) в демонстрационных целях. Сейчас этот конгрессмен обратился к Конгрессу с призывом организовать слушания по поводу критических уязвимостей в глобальной сигнальной сети SS7.
Очень важно, чтобы многочисленные онлайновые сервисы, банки и другие организации немедленно прекратили использовать SMS для аутентификации, потому что этот канал уже официально признан небезопасным (рекомендации NIST). Например, Google использует более надёжное мобильное приложение Google Authenticator, но по-прежнему присылает коды по SMS для входа в аккаунт, что полностью подрывает систему безопасности, учитывая активно эксплуатируемые уязвимости в SS7.
Атакуем SS7: анализ защищенности сотовых операторов в 2015 году
Перехват разговоров по мобильным телефонам принято считать сложной задачей. Однако не только спецслужбы владеют этим искусством: атаковать абонентов может и хакер среднего уровня, если он знаком со строением сигнальных сетей. Старые добрые уязвимости SS7 позволяют подслушивать телефонные разговоры, определять местоположение абонентов, перехватывать SMS, отключать телефон от сети.
В 2015 году специалисты Positive Technologies осуществили 16 проектов по анализу защищенности сетей SS7 ведущих мобильных операторов регионов EMEA и APAC. Результаты восьми наиболее информативных проектов попали в нашу статистику. В этой статье мы рассмотрим уровень защищенности абонентов сотовых сетей, а также всех промышленных и IoT-устройств, от банкоматов до GSM-систем контроля давления на газопроводе, которые также являются абонентами сотовых сетей. В отчете описаны основные обнаруженные проблемы и пути их решения.
Преамбула: привет из 70-x
Разработанная сорок лет назад система SS7 (ОКС-7) имеет определенные недостатки в плане защищенности (например, отсутствуют шифрование и проверка подлинности служебных сообщений). Долгое время это не представляло опасности ни для абонентов, ни для оператора: сеть SS7 была замкнутой системой, в которую подключались только операторы фиксированной связи. Однако время идет, сеть эволюционировала для поддержки нужд мобильной связи и предоставления дополнительных услуг. В начале 2000-х была предложена спецификация SIGTRAN, позволившая передавать служебную информацию SS7 по IP-сетям. Сигнальная сеть перестала быть изолированной.
Конечно, напрямую попасть в сигнальную сеть не получится, потребуется SS7-шлюз. Но обеспечить к нему доступ не так сложно. Можно получить операторскую лицензии в стране, где на это смотрят сквозь пальцы, или приобрести доступ на черном рынке у действующего оператора. Существуют способы попасть в сеть через взломанное операторское оборудование, GGSN или фемтосоту. Если среди участников хакерской группы есть технический специалист компании-оператора, то он может выполнять ряд атак с помощью набора легитимных команд или подключить к SS7 свое оборудование.
Атаки через SS7 могут выполняться из любого места на планете, что делает этот метод одним из самых перспективных для нарушителя. Злоумышленнику не надо физически находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно. Высокая квалификация также не требуется: в сети доступно множество готовых приложений для работы с SS7. При этом операторы не могут блокировать команды от отдельных узлов, поскольку это оказывает негативное влияние на весь сервис и нарушает принципы функционирования роуминга.
Впервые уязвимости SS7 были публично продемонстрированы в 2008 году: немецкий исследователь Тобиас Энгель показал технику слежки за абонентами мобильных сетей. В 2014 году эксперты Positive Technologies выступили с презентацией «Как подслушать человека на другом конце земного шара» и представили подробный отчет «Уязвимости сетей мобильной связи на основе SS7». В 2015 году специалисты SR Labs в эфире австралийской программы «60 минут», будучи в Германии, перехватывали SMS-переписку австралийского сенатора Ника Ксенофонта и британского журналиста, а потом наблюдали за передвижениями сенатора в командировке в Токио.
Общие результаты
Из соображений конфиденциальности мы не раскрываем названия компаний, которые участвовали в нашем исследовании. Отметим лишь, что половина исследованных сетей SS7 принадлежат крупнейшим мобильным операторам с числом абонентов более 40 млн.
Объем абонентской базы операторов
Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).
Входящие SMS-сообщения можно было перехватить в сетях всех участников исследования. Девять из десяти атак (89%) достигли цели, и это очень плохой результат. Судите сами: SMS-сообщения часто используются в системах двухфакторной аутентификации и для восстановления паролей от различных интернет-сервисов. Перехват сообщений выполнялся методом UpdateLocation. Злоумышленник регистрирует абонента-жертву в фальшивой сети, после чего все входящие сообщения SMS приходят на указанный им адрес.
Доля успешных атак с целью получения чувствительной информации
Несанкционированный запрос баланса также был возможен почти повсеместно (92% атак). Для этой атаки используется сообщение ProcessUnstructuredSS-Request, в теле которого передается соответствующая USSD-команда.
Голосовые вызовы оказались защищены немного лучше: увенчались успехом только половина атак с целью прослушивания входящих и исходящих звонков. Но и это огромный риск для абонентов. Для перехвата входящих вызовов использовалась техника подмены роумингового номера. Прослушивание же исходящих вызовов осуществлялось методом InsertSubscriberData. Затем в том и другом случае выполнялось перенаправление трафика на другой коммутатор.
Методы определения местоположения абонента (доли успешных атак)
Определить физическое местоположение абонента получилось во всех сетях, кроме одной. Основные методы — SendRoutingInfo и ProvideSubscriberInfo, причем последний давал результат при каждой второй атаке (53%).
Наиболее ценная информация об абоненте — IMSI. Этот идентификатор нужен для большинства атак. Легче всего оказалось получить его методом SendRoutingInfo.
Методы кражи информации об абоненте (доли успешных атак)
Другой метод определения IMSI — SendRoutingInfoForSM — оказался эффективен в 70% случаев. Данное сообщение используется при входящем SMS-сообщении для запроса маршрутной информации и локализации абонента-получателя. Узнать идентификатор абонента можно было и с помощью команды SendIMSI, но с меньшей вероятностью (25%).
Мошенничество
В каждой из систем были выявлены недостатки, позволяющие реализовывать какие-либо мошеннические действия со стороны внешнего нарушителя. Примерами таких действий могут служить перенаправление вызовов, перевод денежных средств со счета абонента, изменение профиля абонента.
Мошенничество: доли успешных атак
Большинство атак с целью перенаправления входящих вызовов оказались успешны (94%). Это подтверждает наличие в сетях SS7 существенных проблем, связанных с архитектурой протоколов и систем.
Исходящий вызов удалось перенаправить лишь в 45% случаев. Для перенаправления применялся метод InsertSubscriberData.
Атаки с целью перенаправления входящих вызовов осуществлялись с использованием двух техник — подмены роумингового номера и манипуляции с переадресацией. Подмена роумингового номера осуществляется в момент входящего вызова на атакуемого абонента, который должен быть предварительно зарегистрирован в фальшивой сети. В ответ на запрос роумингового номера атакующий отправляет номер для перенаправления вызова. Плата за установленное соединение ляжет на оператора.
Манипуляция с переадресацией — несанкционированная установка безусловной переадресации. Все входящие вызовы для абонента будут перенаправляться на указанный номер. Платить за вызовы придется абоненту.
Методы перенаправления входящего вызова (доли успешных атак)
Изменение профиля абонента было возможно в каждой второй атаке, осуществленной методом InsertSubscriberData (54%). Атакующий имеет возможность изменить профиль абонента таким образом, что исходящие вызовы будут осуществляться в обход системы тарификации. Эта атака может использоваться в схемах мошенничества с генерацией трафика на платные номера и дорогие направления за счет оператора.
DoS-атака на абонента
Чтобы сделать абонентское оборудование (телефон, модем, GSM-сигнализацию или датчик) недоступным для входящих транзакций, злоумышленник может осуществлять целенаправленные атаки на абонентов мобильной сети. Большинство исследованных нами сетей SS7 уязвимы для DoS-атак (успешны были 80%).
Во всех случаях применялся метод UpdateLocation; для атаки нужно знать идентификатор IMSI абонента. В сеть оператора отправляется сообщение UpdateLocation, информируя HLR, что абонент произвел регистрацию (в поддельной сети). После этого входящие вызовы на абонента маршрутизируются на адрес, указанный при атаке.
Причины проблем
Большинство атак на сети SS7 были возможны из-за отсутствия проверки реального местоположения абонента. На втором и третьем местах в списке причин — невозможность проверки принадлежности абонента сети и отсутствие фильтрации неиспользуемых сигнальных сообщений. На четвертой позиции — ошибки конфигурации SMS Home Routing.
Среднее число успешных атак в одной сети SS7 (в зависимости от недостатка)
Что можно сделать
Большинство недостатков, позволяющих определить местоположение абонента и украсть данные, могут быть устранены изменением конфигурации сетевого оборудования. Необходимо как минимум установить запрет на обработку сообщений AnyTimeInterrogation и SendIMSI на HLR.
Архитектурные проблемы протоколов и систем решаются путем блокирования нежелательных сообщений. В первую очередь следует обратить внимание на SendRoutingInfoForSM, SendIMSI, SendRoutungInfoForLCS, SendRoutingInfo. Фильтрация поможет избежать рисков, связанных с отказом в обслуживании, перехватом SMS-сообщений, перенаправлением вызовов, прослушиванием звонков, изменением профиля абонента.
Однако не все указанные сообщения сети SS7 могут оказаться опасными. Необходимо реализовать фильтрацию таким образом, чтобы отсекались только нежелательные сообщения, используемые в атаках. Для этого рекомендуется внедрять дополнительные средства защиты, например, системы обнаружения вторжений. Подобные системы не влияют на трафик сети, но позволяют выявить действия нарушителя и определить необходимые настройки фильтрации сообщений.
Авторы: Дмитрий Курбатов, Сергей Пузанков, Отдел безопасности телекоммуникационных систем Positive Technologies
Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно
О безопасности сигнальных сетей SS7 мы (и не только мы) говорим достаточно давно, однако до сих пор есть много скептицизма: «никто не может получить доступ к SS7», «если даже кто-то получит доступ к SS7 и начнет вести нелегитимную активность, его сразу заблокируют в операторе-источнике» и даже «GSMA за всеми следит и, если что, даст по башке тому, кто этим занимается».
Однако на практике в проектах по мониторингу безопасности мы видим, что злоумышленники могут иметь подключение к сети SS7 в недрах одного оператора годами. Более того, злоумышленники не дожидаются, когда их подключение обнаружат и заблокируют в одном операторе-источнике, они параллельно ищут (и находят) подключения в других операторах, и могут работать параллельно по одним целям сразу из нескольких мест.
До последнего времени и мы, и другие компании, занимающиеся телеком-безопасностью, рассматривали следующие модели нарушителя в сигнальных сетях (в порядке вероятности):
Схема атаки
Когда абонент подключается к мобильному интернету, его IP-сессия туннелируется от абонентского устройства, будь то смартфон, планшет или компьютер, подключенный через модем, до узла GGSN (в случае 2G/3G-сети) или до узла PGW (в случае LTE-сети). Когда пакетную сессию устанавливает злоумышленник, он может провести сканирование пограничного узла с целью поиска уязвимостей, найдя и проэксплуатировав которые он способен проникнуть глубже в опорную IP-сеть оператора.
Попав внутрь периметра мобильного оператора, злоумышленник должен отыскать платформы, которые представляют VAS-услуги и подключены к сигнальным сетям. В примере, представленном исследователями, это была платформа RBT (Ring-Back Tone), которая проигрывает мелодию вместо гудка. Данная платформа имела соединение по сигнальным каналам SS7 с узлами HLR и MSC.
Сетевые инженеры, устанавливавшие и эксплуатировавшие платформу RBT, не уделили должного внимания ее безопасности, считая, видимо, что она находится во внутреннем периметре оператора. Поэтому исследователям удалось относительно быстро получить доступ к системе и повысить свои права до уровня root.
Далее, имея права администратора на системе RBT, исследователи установили опенсорсное программное обеспечение, предназначенное для генерации сигнального трафика. С помощью этого ПО они просканировали внутреннюю сигнальную сеть и получили адреса сетевого окружения — HLR и MSC/VLR.
Теперь, зная адреса сетевых элементов и имея возможность полностью управлять сетевым элементом, подключенным к сигнальной сети SS7, исследователи получили идентификаторы IMSI своих телефонов, которые использовались в качестве тестовых жертв, и далее — информацию об их местоположении. Если бы злоумышленники аналогичным образом получили доступ к сигнальной сети, они могли бы атаковать любого абонента любого оператора мобильной связи.
В чем проблема
Для того чтобы начать защищаться, нужно понять, в чем именно состоит проблема, которая сделала возможной атаку, ранее считавшуюся нереализуемой. Ответ прост: проблема в множественных уязвимостях, причиной которых являются главным образом ошибки в конфигурации оборудования.
Технический прогресс, плодами которого являются новые услуги, приносит также и новые уязвимости. Чем больше сервисов предоставляет оператор связи, тем больше ответственность инженеров при настройке оборудования. Большое количество технологий требует более серьезного подхода к их использованию, в том числе с точки зрения информационной безопасности. Но, к сожалению, понимают это не везде.
Как защититься
В заключение своего доклада исследователи дали операторам мобильной связи ряд рекомендаций, как избежать подобных взломов со стороны реальных нарушителей. Во-первых, необходимо тщательно настраивать внутреннюю опорную IP-сеть, проводить сегрегацию трафика, привязывать сервисы к соответствующим сетевым интерфейсам, ограничивать доступность сетевых элементов со стороны мобильных устройств и из интернета, не использовать пароли по умолчанию. Другими словами, все сетевые элементы IP-сети должны соответствовать стандартам и политикам безопасности. Для этого Positive Technologies рекомендует использовать решение MaxPatrol 8, которое поможет просканировать сетевые элементы внутренней сети и найти уязвимости раньше, чем это сделает злоумышленник.
Во-вторых, нужно использовать активные средства защиты сигнальных сетей, такие как SS7 firewall. Решение такого класса позволит не допустить атак по сигнальной сети извне, а также атак из сети мобильного оператора в отношении других сетей — если злоумышленнику все же удалось получить несанкционированный доступ к сигнальной сети через радиоподсистему или интернет.
И в-третьих — в обязательном порядке использовать систему мониторинга безопасности сигнального трафика и обнаружения вторжений, чтобы вовремя выявлять попытки атак и иметь возможность оперативно заблокировать вредоносный узел.
Кстати говоря, с последними двумя задачами отлично справляется система обнаружения и реагирования на вторжения PT Telecom Attack Discovery.
Взлом мобильной связи через SS7: перехват SMS, слежка и прочее
Содержание статьи
Сегодня, наверное, нет человека, который не пользуется мобильной связью. И мобильная связь уже не ограничивается телефонными звонками, SMS и интернетом. Зачастую к телефонному номеру привязаны банковская карта, электронная почта, аккаунты в соцсетях и на сайтах госуслуг, а также личный кабинет абонента на сайте оператора. Когда говорят о безопасности мобильной связи, обычно упоминают защищенность радиотракта и крайне редко вспоминают о сети сигнализации SS7. До последнего времени защищенность сигнальных каналов сводилась к физической безопасности.
На самом деле попасть в сигнальную сеть в технологиях традиционной телефонии было практически невозможно. Но прогресс не стоит на месте, и с начала XXI века на смену традиционной стала постепенно приходить IP-телефония. На любой персональный компьютер теперь можно установить несколько бесплатных программ, и затем знание протоколов SS7 и умение программировать, умноженные на потраченное время, превращают этот компьютер в мощный инструмент преступника — была бы фантазия.
Немножко теории
Но прежде чем дать фантазии разгуляться, сделаем небольшое отступление и углубимся в технологию мобильной связи. В телефонных сетях, в том числе и мобильных, четко разделяются абонентский (голос или данные) и служебный трафик (например, для установления соединения). По сути, служебный трафик — это и есть та самая система сигнализации № 7, включающая в себя определенный набор протоколов, правил и сообщений.
Адресация узлов в мобильной связи при взаимодействии между операторами происходит не по IP-адресам, а по адресам Global Title, формат которых напоминает телефонные номера. Адреса Global Title в обязательном порядке должны входить в диапазон телефонных номеров, закрепленный за оператором связи, а если на национальном уровне диапазоны разбиваются по регионам, то и адреса Global Title узлов сети должны соответствовать региональным диапазонам.
Мы не станем здесь описывать весь стек протоколов SS7. Достаточно сказать, что для взаимодействия узлов ядра мобильного оператора используется протокол MAP — Mobile Application Part. Протокол MAP нацелен на реализацию функций, присущих именно сетям мобильной связи, таких как аутентификация и регистрация мобильного аппарата в сети, локализация абонента для совершения входящего вызова, поддержка безразрывного речевого канала связи при передвижении абонента. Каждой операции соответствуют определенные сообщения протокола MAP со своим набором параметров. Далее упоминаются различные сообщения, и по умолчанию все они будут принадлежать протоколу MAP.
Мы привыкли использовать для мобильных коммуникаций обычные телефонные номера. В технических терминах мобильной связи эти номера называются MSISDN — Mobile Subscriber Integrated Services Digital Network Number. Этот номер присваивается абоненту при заключении договора с мобильным оператором. Но в недрах сети связи абоненты адресуются по другому идентификатору — IMSI (International Mobile Subscriber Identity), который привязывается к конкретной SIM-карте. Подавляющее большинство операций требуют адресации абонента именно по IMSI, следовательно, для проведения большинства атак, направленных на конкретного абонента, злоумышленнику в первую очередь нужно узнать этот идентификатор.
Нужно также отметить, что в протоколах SS7 не заложены возможности для обеспечения таких функций, как аутентификация узлов, фильтрация сообщений по спискам доступа, динамическая маршрутизация новых узлов сети. Все это позволяет потенциальному злоумышленнику достигать поставленных целей.
Варианты атак
Прелюдия
Итак, мы предполагаем, что злоумышленник получил доступ к сети SS7 и желает провести на тебя, читатель, ряд атак. Полагаем, что злоумышленник знает телефонный номер абонента-жертвы. Как было сказано раньше, злоумышленнику первым делом нужно получить идентификатор IMSI, соответствующий телефонному номеру жертвы. Для лучшего понимания процесса предлагаю сейчас отвлечься от самой атаки и посмотреть сперва, как работает один из простейших сервисов в мобильной связи — Short Message Service, «эсэмэски».
Как ходят SMS-сообщения
В первую очередь нужно отметить, что SMS-сообщения в мобильных сетях «ходят» по каналам сигнализации, совершенно не затрагивая каналы голосового и пакетного трафика. Для любой транзакции между двумя абонентами есть источник и получатель. Абонент, отправляя SMS-сообщение, указывает телефонный номер получателя и вводит текст. Однако в служебных полях сообщения содержится адрес SMS-центра: этот узел отвечает за маршрутизацию SMS-сообщений (и его адрес указан в каждом телефоне в настройках SMS-сообщений). Схема прохождения SMS-сообщения приведена на рис. 1.
Рис. 1. Схема прохождения SMS-сообщения
Xakep #198. Случайностей не бывает
Получение IMSI и прочих прелестей
Итак, с помощью сообщения SendRoutingInfoForSM SMS-центр получает IMSI абонента и адрес обслуживающего коммутатора по телефонному номеру. Если принять, что в схеме прохождения SMS-сообщения Алекс и Борис являются абонентами разных сетей, то мы обнаружим, что сообщение SendRoutingInfoForSM ходит между сетями (рис. 2).
Рис. 2. Прохождение SMS-сообщения между сетями
Определение местоположения абонента
А теперь перейдем к настоящим атакам. Первое, что приходит на ум, — определить, где находится абонент. Наверняка в недрах мобильной сети должна быть информация о текущем положении абонента. И на самом деле она там есть, правда точность ее не всегда одинакова. Чтобы прояснить этот вопрос, придется опять погрузиться в технологию связи.
Структура сотовых сетей
Каждый видел антенны базовых станций сотовой связи: в городах ими усеяны практически все высотные здания. За пределами городской застройки антенны базовых станций чаще всего устанавливают на специальных мачтовых сооружениях. Базовые станции обеспечивают радиопокрытие сети, которое в идеале, конечно, должно быть без белых пятен. Базовые станции подключаются к контроллерам — BSC (Base Station Controller) в стандарте GSM и RNC (Radio Network Controller) в стандарте UMTS. Контроллеры подключаются к коммутатору MSC.
На базовой станции, как правило, устанавливают несколько антенн, каждая из которых покрывает свой сектор, или соту. Каждая сота имеет идентификатор CID — Cell ID. Соты объединяются в группы, называемые Location Area, и определяются идентификатором LAC — Location Area Code. Часто в Location Area входят все сектора, базовые станции которых подключены к одному контроллеру.
Идентификатор соты, обслуживающей абонента в каждый момент времени, хранится в базе данных контроллера. Но контроллеры — и BSC, и RNC — подключаются напрямую к коммутатору и не имеют подключений к внешним сетям. Вытянуть оттуда информацию практически невозможно.
Каждый MSC тоже имеет свою базу — VLR (Visited Location Register), где хранится информация обо всех абонентах, попавших в зону действия этого коммутатора. Там даже есть данные LAC и CID для абонентов, но значение CID обновляется только в тот момент, когда абонент переходит через границы Location Area или совершает какое-либо другое активное действие. Хотя с точки зрения сети изменение информации о новом LAC — это такая же активность, как и телефонный звонок.
Коммутатор, в отличие от контроллеров, имеет соединение с внешними сетями, и злоумышленник с доступом к SS7 может получить из его базы данных информацию о местоположении абонентов.
Трехходовка
Теперь, когда мы знаем, как строятся сети мобильной связи, нам легко будет разобраться в технике атаки. Первый ход абсолютно повторяет действия для получения IMSI абонента и адреса обслуживающего его коммутатора. Повторим: это делается с помощью сообщения SendRoutingInfoForSM (злоумышленник эмулирует работу SMS-центра).
На этом этапе можно было бы сразу отправить запрос в базу данных коммутатора, но в таком случае мы рискуем получить не самую точную информацию, поскольку не можем быть уверены, совершал ли телефон известного абонента какие-либо активные действия в той соте, где он сейчас находится. Чтобы знать наверняка, нам нужно заставить телефон абонента произвести подобные действия, но сделать это нужно так, чтобы абонент ничего не заметил.
Стандарт для SMS-сообщений подразумевает возможность сформировать сообщение таким образом, что оно будет невидимым для абонента, так называемое Silent SMS. Телефон принимает сообщение, но не сигнализирует о его получении и не отображает его в списке принятых SMS.
Сообщение ProvideSubscriberInfo возвращает полный набор идентификаторов обслуживающей соты: MCC — Mobile Country Code, MNC — Mobile Network Code, LAC, CID. В интернете много сервисов, позволяющих по этим четырем параметрам определить географические координаты базовой станции и даже примерную зону покрытия соты. На рис. 3 показан результат определения моего местоположения в момент написания этой статьи. Точкой отмечена базовая станция, а здание, где я сижу, действительно находится в пределах указанного круга.
Рис. 3. Определение местоположения автора статьи
Нарушение доступности абонента (DoS)
Следующая атака — DoS абонента. Для понимания техники атаки снова погрузимся в принципы работы сетей мобильной связи.
Регистрация абонента в роуминге
Рассмотрим сигнальный обмен и основные процессы, происходящие в сетях мобильной связи, когда абонент уезжает в другую страну и регистрируется в сети роуминг-партнера оператора (схема на рис. 4).
После завершения этих действий абонент Алекс может совершать и принимать звонки в сети «Заграница». При входящем вызове в HLR будет приходить запрос о местоположении абонента, и он будет направлять вызовы на MSC Z сети «Заграница».
Проведение атаки
Что остается сделать злоумышленнику, чтобы отправить абонента в DoS для входящих вызовов? Просто послать в домашнюю сеть абонента сообщение UpdateLocation от имени MSC. Схема сигнального обмена показана на рис. 5.
Перехват SMS
Следствие предыдущей атаки
Мы уже привели всю теоретическую базу, необходимую для понимания методики перехвата SMS-сообщений. Фактически перехват SMS является следствием предыдущей атаки, если в качестве поддельного MSC злоумышленник укажет адрес своего оборудования. Рассмотрим на примере, как происходит перехват SMS-сообщений (рис. 6). Считаем, что злоумышленник получил все нужные идентификаторы абонента Бориса и провел на него успешную DoS-атаку, указав в качестве фальшивого MSC адрес своего узла.
Возможности для злоумышленника
Давай предположим, какую выгоду может получить злоумышленник, перехватывая входящие абоненту SMS. Думается, что эта атака неэффективна в целях вторжения в частную переписку: сейчас люди общаются в основном в приложениях-мессенджерах. Гораздо интереснее получить одноразовый пароль из банка для осуществления платежа. Преступным группировкам, которые специализируются на взломах счетов банковских карт, зачастую для вывода средств не хватает именно одноразовых паролей.
Еще один из сценариев атак, при котором может использоваться перехват SMS, — восстановление паролей для различных интернет-сервисов: для электронной почты, социальных сетей, порталов госуслуг. Во всех этих сервисах может содержаться конфиденциальная информация, и ценность ее тем выше, чем более громким именем обладает жертва.
Практически у всех мобильных операторов пароль для доступа в личный кабинет абонента запрашивается по SMS. Получив доступ в личный кабинет, злоумышленник может управлять услугами, переводить средства между счетами, в некоторых случаях — просматривать историю SMS-сообщений.
Подводя итоги
В завершение хотелось бы сказать пару слов о том, как операторы сотовой связи смотрят на безопасность SS7. Во-первых, они полагают (и небезосновательно), что невозможно получить абсолютно нелегальный доступ к сети SS7. Во-вторых, между всеми операторами есть соглашения на пропуск трафика, и даже если вдруг со стороны какого-то оператора будут замечены злонамеренные действия, то не составит труда провести блокировку по адресу источника. В-третьих, не так много известно случаев злоупотребления средствами SS7.
Все три утверждения совершенно справедливы. Однако для каждого из них есть свое но.
Первое но. Получить подключение к SS7 возможно, например, под прикрытием провайдера VAS-услуг. Скорее всего, это не получится сделать в России, однако есть страны с более лояльным законодательством в сфере телекоммуникаций (или с сильной коррупцией). Кроме того, не следует забывать, что в роли злоумышленника могут выступать и государственные спецслужбы — для своей страны, естественно, на стороне добра.
Второе но. Прежде чем пресечь зловредные действия, их надо заметить. Крайне малое число операторов проводит постоянный мониторинг сетей SS7 на предмет вторжений и атак. И даже если атака через сеть SS7 будет замечена и пресечена, никто не сможет сказать, когда она началась и как долго длилась.
Третье но. Широкий резонанс и огласку в СМИ получили несколько случаев злоупотреблений, связанных с SS7. Об одном из них сообщил Эдвард Сноуден, затем информация была опубликована в Washington Post. Речь идет о сервисе SkyLock, который позволяет вести слежку за мобильными абонентами, в том числе через сети SS7.
Как долго работал этот сервис? Сколько абонентов были «под колпаком» за время его работы? Как долго этот сервис еще проработал бы, не будь сообщения Сноудена? Вряд ли мы когда-нибудь получим ответы на эти вопросы.
Еще один нашумевший случай — прослушка мобильных абонентов Украины с территории России. Да-да, такое тоже реально благодаря возможностям SS7! С начала атак до их обнаружения и локализации прошло несколько месяцев. Атаки были пресечены административно-техническими методами, однако за то время, пока утечки информации оставались незамеченными, был нанесен значительный урон оператору и государству.