Взлом сотовых сетей — не просто, а очень просто (13 фото)

      Комментарии к записи Взлом сотовых сетей — не просто, а очень просто (13 фото) отключены

Взлом сотовых сетей — не просто, а очень просто (13 фото)

Возможно ли по номеру телефона определить, где находится человек? Возможно! А заодно возможно его ограбить и подслушать его беседы.

И если доверять экспертам Positive Technologies, это не так уж сложно. Некое время назад в сети была популярна «разводка» в виде «программы для пробивки мобильного номера». Где-то ее предлагали безвозмездно скачать, где-то реализовывали за деньги, где-то она была «реализована» в виде онлайн-сервиса. Результат был в любом случае один: зараженный трояном компьютер либо утечка средств с мобильного счета через платную подписку либо другие подобные довольно честные методы.

Наученные неприятным комментариями и опытом сотовых операторов пользователи фактически уверовали в то, что создание таковой программы нереально физически. Однако взломать сотовую сеть и выяснить расположение абонента, прочесть его SMS, подслушать беседы а также похитить со счета деньги посредством USSD-запроса не просто, а весьма легко. Компания Positive Technologies выпустила отчет о безопасности сетей сотовой связи; совершённое ею изучение наглядно демонстрирует, что подобные «фокусы» дешёвы кроме того начинающему хакеру.

Обычное предложение одолжений на одном из форумов

Никаких «шпионских штучек» (не смотря на то, что, согласно данным Сноудена, как раз этими методами пользовалось АНБ для слежки за людьми в мире) для этого не потребуется. Тем более, что сами разведслужбы в них и не нуждаются: все сети и без того подключены к СОРМ, исходя из этого все переписка и ваши разговоры, а при проведении розыскных мероприятий – и расположение в полной мере дешёвы соответствующим органам и без взломов. А вот то, что доступ к вашей персональной информации может взять практически любой школьник – не самая хорошая новость.

Спрос на услуги имеется, цена дешёвая фактически каждому

Основная уязвимость находится в протоколах сигнализации ОКС-7 (в западной литературе именуется SS7), созданных во второй половине семидесятых годов прошлого века и принятых в 1981-м. Тогда это был прорыв в плане безопасности, по причине того, что для сигнализации (другими словами для передачи служебных команд на протяжении установления телефонного соединения) начал использоваться отдельный канал, физически недоступный абоненту.

До этого все команды в виде тоновых сигналов передавались прямо в линию и, к примеру, на базе недокументированных функций ветхих протоколов удалось реализовать АОН на аналоговых АТС: телефонный аппарат отправлял запрос номера и приобретал от станции ответ. Изначально это было придумано для междугородных АТС, дабы по окончании комплекта восьмерки на муниципальный АТС возможно было осознать, кому выставлять счет за беседу. Но применение для сигнализации того же канала, что и для беседы, разрешило определять номера кому угодно, а особенно продвинутым – и вовсе говорить по межгороду за чужой счет методом спуфинга запросов номера.

«Но сигнальный канал же недоступен для абонента!» — сообщите вы. Но дело в том, что в начале 2000-х годов была создана спецификация SIGTRAN, разрешающая передавать команды ОКС-7 по IP-сетям.

И оказалось так, что незащищенные протоколы (так как их разработчики исходили из того, что до сигнального канала никто физически не доберется, исходя из этого сочли нецелесообразным все усложнять) появились в общедоступных IP-сетях, и сейчас достаточно лишь компьютера с подключением к Интернету и нехитрого ПО: авторы отчета применяли Linux-совокупность с установленным SDK для создания пакетов SS7. Вся мысль взлома строится на том, что совокупность не контролирует источник пакета (еще раз: по логике разработчиков, он физически не имеет возможности показаться извне), исходя из этого обрабатывает команды преступника совершенно верно равно как и легитимные, разрешая полноценно «вклиниться» и реализовать атаку типа man-in-the-middle. Фильтровать эти пакеты нереально, по причине того, что запрещено точно установить их легитимность.

Схема подключения для атаки через ОКС-7

Но, мало огорчим кулхацкеров, уже собравшихся похулиганить, не поднимаясь с дивана: с целью проведения атак не хватает установить необходимое ПО, эмулирующее оборудование оператора. Необходимо еще и подключение в качестве оператора, которое, но, легко приобрести на тёмном рынке: в ряде государств, где операторскую лицензию выдают кому попало, подобный «бизнес» процветает, а для успешной атаки не имеет значения, из какой страны ваш «оператор»: заплатил за доступ к шлюзу – и атакуй абонента в любой точке мира.

Блокировка пакетов ОКС-7 из-за предела в этом случае не спасет, по причине того, что приведет к международной работы связи и невозможности роуминга. Помимо этого, получить доступ к сети оператора возможно, к примеру, и методом взлома фемтосоты. И наконец, возможно по большому счету быть гуманитарием и просто заказать услугу.

К примеру, ее под брендом SkyLock предлагает компания Verint.

В рамках сервиса SkyLock возможно приобрести подключение напрямую к оператору через IP-SEC

Перед тем как перейти к описанию самих атак, напомним о том, как устроены сети сотовой связи. У вас имеется номер. К примеру, +79992128506.

Это MSISDN (Mobile Subscriber Integrated Services Digital Number). Он не хранится в SIM-карте, как многие думают. В SIM-карте хранится второй идентификатор – IMSI (International Mobile Subscriber Identity), что передается в сеть лишь на протяжении регистрации абонента.

Это 15-значное число вида 250115556667778, в котором 250 – код страны, 11 – код оператора, а остальные 10 цифр – внутренний неповторимый номер данной SIM-карты (MSIN, Mobile Subscriber Identification Number). Как раз IMSI употребляется для идентификации абонента в сотовой сети, другими словами для совершения каких-либо операций с номером.

Информация о соответствии IMSI и MSISDN (другими словами у какого именно абонента какая SIM-карта) хранится в базе данных, именуемой HLR (Home Location Register), причем таких баз возможно пара – как раз исходя из этого, к примеру, при попытке поменять SIM-карту на новую в салоне оператора может не появляться SIM-карт как раз для вашего номера, поскольку IMSI имеющихся SIM-карт смогут быть уже занесены в другую HLR. Наряду с этим для каждого из сегментов сети (коммутаторов) употребляется подобная база данных VLR (Visitor Location Register) — ее отличие содержится в том, что данные в ней сохраняются временно, копируясь из HLR при появлении абонента как раз в данной части сети.

В светло синий кроме этого сохраняются информацию о текущем расположении абонента (дабы знать, через какую базисную станцию ему направлять сообщение и входящий звонок), настройки переадресации и тому подобное. Всеми этими данными пользуется для собственной работы коммутатор, он же MSC (Mobile Switching Center).

В сервисе SkyLock расположение любого абонента указывается на карте: интерфейс понятен любому, целый взлом делает программа

Итак, как же происходит взлом? Изначально у преступника имеется лишь номер телефона (MSISDN). Дабы что-то с ним сделать, необходимо взять IMSI.

Это возможно сделать методом формирования запроса на доставку SMS-сообщения из отечественной внешней «сети», эмулируемой на компьютере. В этом случае домашняя сеть информирует в ответ на запрос адрес MSC/на данный момент, которыми сейчас обслуживается клиент: эти сведенья нужны чтобы определить, дома клиент либо в роуминге, и в случае если в роуминге, то в какой сети, дабы в этом случае направлять SMS уже конкретно в том направлении (с голосовым вызовом так не окажется, по причине того, что он постоянно проходит через MSC домашней сети — и тот уже определяет, как маршрутизировать вызов дальше).

Наряду с этим происходит и передача IMSI, потому, что он кроме этого нужен для маршрутизации. По окончании данной нехитрой процедуры мы имеем IMSI для управления параметрами «учетной записи» абонента, адрес HLR, в котором эти параметры сохраняются, а на сладкое – в какой стране жертва на данный момент находится.

Схема атаки для получения IMSI

Сейчас возможно взять запрос правильного расположения абонента: атакующий, зная текущий MSC/VLR, отправляет в том направлении запрос о том, какой базисной станцией обслуживается клиент с таким-то IMSI. В ответ приходит неповторимый идентификатор БС, по которому через открытые базы разрешённых можно узнать, где она находится, и с точностью до пары сотен метров отыскать абонента — так же, как определяют расположение смартфоны с отключённым GPS.

Схема атаки для определения расположения абонента

Из-за чего бы сейчас не похулиганить? Давайте сообщим в HLR о том, что клиент прошёл регистрацию в роуминговой сети: передадим IMSI и адрес нового MSC/VLR. Сейчас никто не сможет жертве ни позвонить, ни послать SMS: домашняя сеть переадресует запросы в никуда, наряду с этим клиент будет так же, как и прежде зарегистрирован в сети и ничего не заподозрит.

Схема атаки для блокировки доступности жертвы

Кстати, а для чего отправлять звонки и SMS в никуда? Не пропадать же добру! Давайте укажем собственный MSC/VLR — и целый трафик будет направлен нам! К примеру, так возможно собрать одноразовые SMS-пароли для двухфакторной авторизации в разных сервисах, а это формирует практически что неограниченные возможности для кражи денежных учётных записей и средств. А возможно всю SMS-переписку, причем жертва кроме того не заподозрит, что за ней следят.

Дело в том, что SMS требует от MSC/VLR подтверждения его доставки, и в случае если его не отправлять (у нас же фальшивая сеть, а эмуляция, возможно взять сообщение, но заявить, что не получали), а вместо этого перерегистрировать абонента на «настоящий» MSC, то через пара мин. будет предпринята еще одна попытка доставки сообщения и оно поступит адресату. Другими словами одно да и то же SMS будет послано два раза: сперва вам, позже ему.

Схема атаки для перехвата SMS-сообщений, направленных жертве

Как мы знаем, USSD-запросы постоянно работают и в роуминге, разрешая контролировать баланс, подключать тарифные опции и разные услуги. Сымитировав USSD-запрос от VLR к HLR (тут нужен MSISDN, адрес HLR и фактически сам запрос в виде комбинации цифр, решёток и звёздочек), возможно, к примеру, инициировать перевод средств с одного счета на другой. У некоторых операторов для подтверждения данной операции употребляется SMS-авторизация, но SMS перехватывать мы с вами только что обучились.

Схема атаки с отправкой USSD-запросов от имени жертвы

Поменяв параметры учетной записи абонента в VLR, в частности адрес биллинговой совокупности, преступник может перехватить запрос на тарификацию исходящего вызова — в нем будет виден номер абонента, которому пробует позвонить жертва. Сейчас этого абонента также возможно сделать жертвой: тот же метод, что и для перехвата SMS, разрешит переадресовать вызов на номер преступника, а уже он инициирует конференц-связь с настоящим абонентом, негромко подслушивая разговор.

Входящие вызовы, соответственно, прослушать возможно тем же методом, но без необходимости эмулировать биллинговую совокупность. Все эти процедуры проходят за пара секунд, и никто из собеседников не заподозрит, что между ними имеется кто-то третий. Помимо этого, возможно перенаправить трафик не для прослушивания, а в какой-нибудь дорогой сервис наподобие «секса по телефону» и тому аналогичных: это возможно хорошо монетизировать, поскольку плата за соединение будет списываться со звонящих.

Схема атаки с прослушкой бесед абонента

Наконец, посредством ОКС-7 возможно устроить настоящую DoS-атаку на коммутатор, которая приведет к неосуществимости принимать входящие вызовы у всех абонентов, находящихся в зоне его обслуживания. Для этого необходимо знать, что при регистрации в VLR выделяется временный роуминговый номер, что нужен, дабы MSC знал, куда как раз направлять вызов. К общеупотребительному понятию роуминга (международного либо локального) роуминговый номер имеет очень отдаленное отношение.

Он выделяется и в домашней сети: не обращая внимания на то, что MSC и VLR, в большинстве случаев, объединены, по стандарту GSM это два свободных логических элемента сети, и между ними все равно происходит обмен сигнальными сообщениями. Так вот, в случае если массово отправлять запросы на выделение роуминговых номеров, то их пул закончится, и «настоящим» абонентам никто не сможет дозвониться из-за перегрузки коммутатора.

Схема DoS-атаки на коммутатор

Что же делать? До тех пор пока можем поведать только о том, «как страшно жить»: решения для защиты по большей части сводятся к мониторингу атак для обнаружения странной активности по вышеописанным сценариям — это разрешает выборочно блокировать определенные запросы.

В это же время операторы стараются скрывать наличие уязвимостей: на их бизнес возможности взлома фактически не воздействуют, а абонентам возможно дать совет все-таки не вести по телефону тайных переговоров и не надеяться на SMS для авторизации. Помимо этого, для аналогичных целей лучше купить отдельную SIM-карту, номере которой не будет знать никто из вашего круга общения.

Интересные записи:

Как из ANDROID сделать хакерский инструмент


Еще немного статей: