Stay.Lin
Начинающий
- Регистрация
- Сообщения
- 15
- Реакции
- 0
Считаю, что эта статья будет полезна при Security Testing, так как поможет получить представление о некоторых командах этого стека и возможных векторах атак.
BSC – Base Station Subsystem – контроллеры базовых станций
MSC – Mobile-services Switching Centre – коммутатор мобильных сетей связи
VLR – Visitor Location Register – гостевой регистр местоположения
HLR – Home location Register – домашний регистр местоположения
GMSC – Gateway Mobile-services Switching Centre – шлюзовой коммутатор мобильной сети
STP – Signal Transfer Point – сигнальный коммутатор
SGSN – Serving GPRS Support Node – узел обслуживания абонентов пакетной сети передачи данных;
GGSN – Gateway GPRS Support Node – шлюзовой узел поддержки GPRS
GMLC – Gateway Mobile Location Centre – шлюзовой мобильный центр
GSMSCF - GSM Service Control Function – узел управления услугами GSM
SMS – C – Short Message Service Center – SMS – центр
IMSI – International Mobile Subscriber ID – международный идентификатор мобильного абонента
MSSDN – телефонный номер
MSRN – роуминговый номер мобильной станции
Может показаться, что сеть оператора мобильной связи является закрытой или трудно доступной для обычного преступника, но это не так. В 1980-х годах сети операторов связи были недоступны обычным людям из-за дороговизны оборудования. Когда разрабатывался внутренний стек протоколов коммуникаций между операторами связи - SS7, разработчики отталкивались от мысли, что все операторы являются доверенными источниками сообщений и о безопасности не задумывались.
Сейчас оборудование стало намного дешевле, при этом увеличились мощности. Операторов связи становиться больше, и их спектр услуг вырос. В частности, появилась IP телефония и доступ в интернет с мобильных устройств. Это привело к тому, что пограничное оборудование, между конечным пользователем и сетью оператора связи, стало «видно» в сети интернет, так как имеет свой IP адрес. Все это дает потенциальную возможность взлома пограничных устройств и проникновение в сеть оператора связи.
Видно, что внутренняя сеть операторов уязвима к проникновению. Злоумышленник может взломать сеть Южно – Африканского оператора мобильной связи и атаковать абонентов из Европы, посылая на первый взгляд легитимные запросы SS7.
Стек протоколов SS7 в представлении модели OSI
Уровни называются MTP1 (Message Transfer Part), MTP 2 и MTP 3. Уровень 4 содержит несколько различных пользовательских уровней, например:
Протокол MAP, если сравнивать с обычными сетевыми протоколами, можно сравнить с HTTP, а аппаратуру с сайтами, которые на основе пользовательских данных принимают те или иные действия, а все протоколы нижнего уровня служат в качестве транспорта.
На анализ был взят список потенциально уязвимых функций MAP со спецификации протокола «3GPP TS 29.002 V3.20.0»
Пример работы FailureReport
Параметры сообщения
Код 25. Структура сообщения FailureReport:
FailureReport. Атака "Нарушение доступности абонента"
Отказ в обслуживании сервиса пакетных передач. При знании злоумышленником большинства IMSI абонентов, подключенных к одному GGSN, можно совершить массовую рассылку сообщений FailureReport. Получая данные сообщения, HLR будет считать их недоступными. Данное поведение GGSN не сможет остаться незамеченным системами мониторинга работоспособности сети. Автоматика отключит данный узел и пустит трафик через другой. Продолжая совершать посылку сообщения от имени других узлов GGSN, злоумышленник сможет совершить DOS на весь сервис пакетных передач, что ухудшит данный сервис для абонентов сети.
Пример работы SendParameters при регистрации абонента
Пример работы SendParameters при перемещении абонента
Параметры сообщения
Имеет следующую структуру:
Раскрытие профиля абонента. Зная IMSI абонента, злоумышленник может передать битовый массив RequestInfo в аргументах на запрос профиля абонента. Данный профиль раскроет атакующему условия обслуживания абонента. Данные помогут оценить абонента на предмет возможной выгоды, какие атаки можно будет провести, а какие не получится или не выгодны. Профиль может быть отредактирован и использоваться для проведения других атак.
SendParameters. Атаки "Раскрытие IMSI" и "Раскрытие профиля абонента"
Раскрытие ключей шифрования. SendParameters применяется и для передачи ключей шифрования между MSC. Данные ключи применяются для шифрования радиосигнала между устройством абонента и GSM вышкой. Зная ключи, злоумышленник может прослушивать разговоры абонента.
SendParameters. Атака "Раскрытие ключей шифрования"
Нарушение доступности абонента и Перенаправление входящего вызова. SendParameters применяется при смене абонентом коммутатора, которое сообщает HLR, что абонент сменил базовую станцию и сейчас находится в зоне обслуживания нового MSC/VLR. Тем самым можно сделать абонента недоступным или перенаправить входящий вызов или смс на другой номер.
Пример работы UnstructuredSS-Notify
Параметры сообщения
Код 61. Имеет только входные параметры и следующую структуру:
UnstructuredSS-Notify. Демонстрация применения сообщения для различных мошеннических схем
Когда клиент намерен сменить пароль на услугу USSD, то он инициализирует отправку сообщения RegisterPassword. В качестве параметров абонент передает код операции USSD. На что HLR отправляет клиенту сообщение GetPassword с информацией об операции. После чего пользователь вводит старый пароль и отправляет его HLR. Далее HLR генерирует новый пароль и отправляет его в ответ на сообщение RegisterPassword.
Пример работы RegisterPassword
Параметры сообщения
Код 17. Структура сообщения:
Первый: он три раза вводит неправильный пароль, чем инициирует в HLR блокировку услуги для данного абонента.
Второй: если злоумышленник знает правильный пароль от услуги абонента. После подтверждения пароля HLR сгенерирует новый пароль от услуги и пришлет его злоумышленнику. Этим он получит полный контроль над USSD услугой и сможет использовать по своему усмотрению, а абонент не сможет быстро пресечь его деятельность.
Дисклеймер
СокращенияСразу скажу, что я не специалист по сетям SS7 и телекома, не имею большого опыта в Security Testing, поэтому могу ошибаться в интерпретации команд и их использовании. Это только мои выводы после анализа документации протокола.
Вся информация взята из документации и открытых источников. Автор статьи только предоставляет информацию и не несет ответственности за ее использование.
BSC – Base Station Subsystem – контроллеры базовых станций
MSC – Mobile-services Switching Centre – коммутатор мобильных сетей связи
VLR – Visitor Location Register – гостевой регистр местоположения
HLR – Home location Register – домашний регистр местоположения
GMSC – Gateway Mobile-services Switching Centre – шлюзовой коммутатор мобильной сети
STP – Signal Transfer Point – сигнальный коммутатор
SGSN – Serving GPRS Support Node – узел обслуживания абонентов пакетной сети передачи данных;
GGSN – Gateway GPRS Support Node – шлюзовой узел поддержки GPRS
GMLC – Gateway Mobile Location Centre – шлюзовой мобильный центр
GSMSCF - GSM Service Control Function – узел управления услугами GSM
SMS – C – Short Message Service Center – SMS – центр
IMSI – International Mobile Subscriber ID – международный идентификатор мобильного абонента
MSSDN – телефонный номер
MSRN – роуминговый номер мобильной станции
Введение
Стек протоколов SS7 или Signaling System No. 7 (сигнальная система №7) — набор сигнальных телефонных протоколов, используемых для настройки, управления и обмена данными в сетях операторов связи. В Европе систему обычно называют SS7, в России она известна как ОКС-7, а в Северной Америке называют CCS7. Стек протоколов SS7 разрабатывался фирмой AT&T, начиная с 1975 года, и был определен как стандарт Международным союзом электросвязи в 1981 году в виде рекомендаций серии Q.7xx. SS7.Может показаться, что сеть оператора мобильной связи является закрытой или трудно доступной для обычного преступника, но это не так. В 1980-х годах сети операторов связи были недоступны обычным людям из-за дороговизны оборудования. Когда разрабатывался внутренний стек протоколов коммуникаций между операторами связи - SS7, разработчики отталкивались от мысли, что все операторы являются доверенными источниками сообщений и о безопасности не задумывались.
Сейчас оборудование стало намного дешевле, при этом увеличились мощности. Операторов связи становиться больше, и их спектр услуг вырос. В частности, появилась IP телефония и доступ в интернет с мобильных устройств. Это привело к тому, что пограничное оборудование, между конечным пользователем и сетью оператора связи, стало «видно» в сети интернет, так как имеет свой IP адрес. Все это дает потенциальную возможность взлома пограничных устройств и проникновение в сеть оператора связи.
Видно, что внутренняя сеть операторов уязвима к проникновению. Злоумышленник может взломать сеть Южно – Африканского оператора мобильной связи и атаковать абонентов из Европы, посылая на первый взгляд легитимные запросы SS7.
Описание стека протокола SS7
Стек протоколов SS7 отталкивается от модели OSI и имеет только четыре уровня. Уровни совпадают с уровнями OSI 1 (физический), 2 (канальный) и 3 (сетевой). Уровень 4 SS7 соответствует уровню 7 OSI.Стек протоколов SS7 в представлении модели OSI
Уровни называются MTP1 (Message Transfer Part), MTP 2 и MTP 3. Уровень 4 содержит несколько различных пользовательских уровней, например:
- MTP (Message Transfer Part) - описывает транспортные протоколы, включая сетевые интерфейсы, обмен данными, обработка сообщений и маршрутизации их на верхний уровень;
- SCCP (Signaling Connection and Control Part) — подуровень из других протоколов 4 уровня, и вместе с MTP 3 может быть назван Network Service Part (NSP). NSP обеспечивает адресацию и маршрутизацию сообщений и сервис управления для других частей 4 уровня;
- TUP (Telephone User Part ) — система сигнализации точка-точка для обслуживания вызовов (в России не применялась);
- ISUP (ISDN User Part) — ключевой протокол, предоставляющий канально-ориентированный протокол для установки подключения и завершения соединения при звонке. Выполняет все функции TUP и множество дополнительных;
- TCAP (Transaction Capabilities Application Part) - используется для создания запросов к базе данных. Так же используется при расширенной функциональности сети или как связующий протокол с интеллектуальными сетями (INAP), мобильными службами (MAP).
Анализ команд протокола
Так как стек протоколов SS7 очень обширен и в некоторых случаях требует специфических знаний в сфере телекоммуникации, было принято решение, что рассмотрение безопасности сетей операторов мобильной связи будет только на уровне приложения, согласно модели OSI, а именно протокола MAP. Это связано с тем, что на уровне данного протокола аппаратура принимает все высокоинтеллектуальные решения, а именно решение о коммутации звонков, пересылке SMS - сообщений, выполнение особых функций и посылке дальнейших сигнальных сообщений.Протокол MAP, если сравнивать с обычными сетевыми протоколами, можно сравнить с HTTP, а аппаратуру с сайтами, которые на основе пользовательских данных принимают те или иные действия, а все протоколы нижнего уровня служат в качестве транспорта.
На анализ был взят список потенциально уязвимых функций MAP со спецификации протокола «3GPP TS 29.002 V3.20.0»
- FailureReport;
- SendParameters;
- UnstructuredSS-Notify;
- RegisterPassword;
- RemoteUserFree;
- NoteSubscriberDataModified;
- SubscriberLocationReport;
- ReportSMDeliveryStatus;
- ResumeCallHandling.
- Описание;
- Источник сообщения;
- Получатель сообщения;
- Структура сообщения;
- Входящие аргументы;
- Аргументы ответа на сообщение ;
- Возможные атаки.
FailureReport
Описание
Сообщение предназначено для отправки отчета об ошибке между HLR и GGSN. Данное сообщение отправляется с GGSN, когда запрашиваемый HLR абонент не доступен или при обработке запроса произошла ошибка. В свою очередь, GGSN не коммутирует соединение и делает абонента временно недоступным для передачи и приема трафика. В качестве источника сообщения выступают GGSN или SGSN. Получателем становится HLR.Пример работы FailureReport
Параметры сообщения
Код 25. Структура сообщения FailureReport:
- ARGUMENT
- failureReportArg FailureReportArg;
- RESULT
- failureReportRes FailureReportRes -- optional;
- ERRORS
- SystemFailure;
- DataMissing;
- UnexpectedDataValue;
- UnknownSubscriber.
- imsi - IMSI – идентификатор абонента;
- ggsn-Number - ISDN-AddressString - это Global Title. Адрес GGSN в сети оператора;
- ggsn-Address - GSN-Address (OPTIONAL) - это IP-адрес. Данный адрес используется во внутренней сети маршрутизации GGSN/ SGSN;
- extensionContainer – ExtensionContainer (OPTIONAL) – это неопределенная в документации последовательность, которая свободно может использоваться производителями оборудования для передачи служебной информации.
- ggsn-Address - GSN-Address (OPTIONAL);
- extensionContainer – ExtensionContainer (OPTIONAL).
Атаки
Нарушение доступности абонента. Злоумышленник, зная IMSI абонента, может передать сообщение FailureReport на HLR, тем самым сделав абонента временно недоступным для передачи данных.FailureReport. Атака "Нарушение доступности абонента"
Отказ в обслуживании сервиса пакетных передач. При знании злоумышленником большинства IMSI абонентов, подключенных к одному GGSN, можно совершить массовую рассылку сообщений FailureReport. Получая данные сообщения, HLR будет считать их недоступными. Данное поведение GGSN не сможет остаться незамеченным системами мониторинга работоспособности сети. Автоматика отключит данный узел и пустит трафик через другой. Продолжая совершать посылку сообщения от имени других узлов GGSN, злоумышленник сможет совершить DOS на весь сервис пакетных передач, что ухудшит данный сервис для абонентов сети.
SendParameters
Описание
Многофункциональное сообщение. Сохранилось с первой версии протокола MAP, сейчас не используется, но оборудование его поддерживает. Используется для:- Получения IMSI абонента по MSSDN;
- Аутентификации, а именно для получения ключей шифрования радиосигнала;
- Регистрации абонента в сети под новым коммутатором;
- Получения профиля абонента.
Пример работы SendParameters при регистрации абонента
Пример работы SendParameters при перемещении абонента
Параметры сообщения
Имеет следующую структуру:
- ARGUMENT
- sendParametersArg SendParametersArg;
- RESULT
- sendParametersRes SendParametersRes;
- ERRORS
- SystemFailure;
- DataMissing;
- UnexpectedDataValue;
- UnknownSubscriber.
- dentifierString - String – идентификатор абонента, может быть как imsi, так и mssdn;
- requesInfo – RequestInfo – битовый массив, обозначающий запрашиваемую информацию.
- imsi - IMSI – идентификатор абонента;
- authenticationSET - AuthenticationSET (OPTIONAL) – это так называемый GSM - триплет: RAND (случайное число), Ki (параметр для аутентификации), Key;
- subscriberData - SubscriberData (OPTIONAL) – профиль абонента;
- Ki – String (OPTIONAL) – ключ шифрования.
Атаки
Раскрытие IMSI. Благодаря данной функции, злоумышленник имеет еще один способ раскрыть IMSI абонента по MSSDN. Опасность данной атаки в том, что она является плацдармом для всех остальных, более серьезных, атак.Раскрытие профиля абонента. Зная IMSI абонента, злоумышленник может передать битовый массив RequestInfo в аргументах на запрос профиля абонента. Данный профиль раскроет атакующему условия обслуживания абонента. Данные помогут оценить абонента на предмет возможной выгоды, какие атаки можно будет провести, а какие не получится или не выгодны. Профиль может быть отредактирован и использоваться для проведения других атак.
SendParameters. Атаки "Раскрытие IMSI" и "Раскрытие профиля абонента"
Раскрытие ключей шифрования. SendParameters применяется и для передачи ключей шифрования между MSC. Данные ключи применяются для шифрования радиосигнала между устройством абонента и GSM вышкой. Зная ключи, злоумышленник может прослушивать разговоры абонента.
SendParameters. Атака "Раскрытие ключей шифрования"
Нарушение доступности абонента и Перенаправление входящего вызова. SendParameters применяется при смене абонентом коммутатора, которое сообщает HLR, что абонент сменил базовую станцию и сейчас находится в зоне обслуживания нового MSC/VLR. Тем самым можно сделать абонента недоступным или перенаправить входящий вызов или смс на другой номер.
UnstructuredSS-Notify
Описание
Сообщение уведомление, которое отправляет HLR в MSC/VLR в ответ на сообщение unstructuredSS-Request. Оно входит в группу сообщений отвечающих за организацию работы USSD. Рассмотрим функции того же блока, чтобы понимать на что именно посылается уведомление:- unstructuredSS-Request - инициатором транзакции выступает объект сети и отправляет сообщение к клиенту. Код 60;
- processUnstructuredSS-Request - инициатором транзакции выступает клиент и отправляет данное сообщение к объекту сети. Код 59.
Пример работы UnstructuredSS-Notify
Параметры сообщения
Код 61. Имеет только входные параметры и следующую структуру:
- ARGUMENT
- ussd-Arg USSD-Arg;
- RESULT
- ERRORS
- SystemFailure;
- DataMissing;
- UnexpectedDataValue;
- AbsentSubscriber;
- IllegalSubscriber;
- IllegalEquipment;
- UnknownAlphabet;
- USSD-Busy.
- ussd-DataCodingScheme - USSD-DataCodingScheme – данный параметр содержит информацию об алфавите языка, используемого в неструктурированной информации, которая передается в операции передаче данных для неструктурированных дополнительных услуг;
- ussd-String - USSD-String - параметр содержит строку неструктурированной информации в операции по передаче данных неструктурированных дополнительных услуг. Строка посылается мобильным пользователем или сетью;
- alertingPattern – AlertingPattern (OPTIONAL) - Этот параметр является идентификатором того, что может быть использовано мобильной станцией для предупреждения пользователя в определенной ситуации. Например, в случае окончания трафика коммутируемых вызовов или USSD;
- msisdn - ISDN-AddressString (OPTIONAL) – номер абонента.
Атаки
Мошенничество. Сообщение отправляет HLR злоумышленника на MSC/VLR, как результат выполнения USSD запроса. MSC/VLR передает полученное сообщение абоненту. Сообщение может применяться для различных мошеннических схем. В этом случае, злоумышленник будет выступать от лица оператора связи, которого будет невозможно отличить от реального сообщения. Это придаст намного больше шансов на успех в мошенничестве.UnstructuredSS-Notify. Демонстрация применения сообщения для различных мошеннических схем
RegisterPassword
Описание
Данное сообщение исходит от клиента при намерении изменить пароль для дополнительных услуг (USSD). Источником сообщения выступает VLR по инициативе клиента, а получателем является HLR.Когда клиент намерен сменить пароль на услугу USSD, то он инициализирует отправку сообщения RegisterPassword. В качестве параметров абонент передает код операции USSD. На что HLR отправляет клиенту сообщение GetPassword с информацией об операции. После чего пользователь вводит старый пароль и отправляет его HLR. Далее HLR генерирует новый пароль и отправляет его в ответ на сообщение RegisterPassword.
Пример работы RegisterPassword
Параметры сообщения
Код 17. Структура сообщения:
- ARGUMENT
- ss-Code SS-Code;
- RESULT
- newPassword Password;
- ERRORS
- SystemFailure;
- DataMissing;
- UnexpectedDataValue;
- CallBarred;
- SS-SubscriptionViolation;
- PW-RegistrationFailure;
- NegativePW-Check;
- NumberOfPW-AttemptsViolation;
- LINKED
- GetPassword.
Атаки
Блокировка USSD услуг абонента и Захват USSD услуг абонента. В своем одиночном проявлении, данное сообщение не представляет угрозы для оператора или абонента. Если сообщение применить в комбинации с атакой Перенаправление входящего вызова, то можно добиться блокировки USSD услуги для пользователя. Когда злоумышленник совершает атаку Перенаправление входящего вызова, то он подменяет легитимный VLR, куда подключен абонент, на подконтрольный ему. Далее он, как абонент своего VLR, инициирует смену пароля на USSD услугу. Подконтрольные VLR отправляет HLR сообщение RegisterPassword. Получив сообщение, HLR просит злоумышленника в ответе на сообщение GetPassword ввести текущий пароль услуги. Далее злоумышленник может поступить двумя способами.Первый: он три раза вводит неправильный пароль, чем инициирует в HLR блокировку услуги для данного абонента.
Второй: если злоумышленник знает правильный пароль от услуги абонента. После подтверждения пароля HLR сгенерирует новый пароль от услуги и пришлет его злоумышленнику. Этим он получит полный контроль над USSD услугой и сможет использовать по своему усмотрению, а абонент не сможет быстро пресечь его деятельность.