Comments 45
UFO just landed and posted this here
Простите, но не увидел.
Сразу скажу скептикам: схема эта не фантастична и, как можно видеть, вполне реализуема на практике.
А можно внедрить ещё одного посредника? Прослушивать прослушиваемого/прослушивающего.
> Прослушка украинских мобильников: как это сделано и как защититься
> В комментариях абстрагируйтесь, пожалуйста, от политических пристрастий.
Уберите из поста Украину и Россию. Ведь речь о телефонии? Пока пристрастия только в самом посте.
> В комментариях абстрагируйтесь, пожалуйста, от политических пристрастий.
Уберите из поста Украину и Россию. Ведь речь о телефонии? Пока пристрастия только в самом посте.
UFO just landed and posted this here
Решили все-таки развести срач? Думаю тут у всех есть что сказать…
UFO just landed and posted this here
Правда у всех своя, вы этого до сих пор не знаете? А здесь вы написали свою точку зрения, да еще и обобщили прилично. Вы сами прекрасно иллюстрируете свой собственный пост. И поверьте, если бы сюда захаживали американцы — так-же возбуждались из-за этого. А суть в том, что если принято правило — то надо его соблюдать, настоящие лицемерие — опубликовать провокационную тему и попросить не писать комментарии.
+1
Тем более, что заголовок чем конкретнее, тем интереснее.
Например, «Как приготовить обед» будет намного менее интересным заголовком, чем «Как сварить вкусный суп с клецками».
Тем более, что заголовок чем конкретнее, тем интереснее.
Например, «Как приготовить обед» будет намного менее интересным заголовком, чем «Как сварить вкусный суп с клецками».
А универсальный пароль к BIOS помните? Он есть и кто нужно о нём знает.
Очень хотелось бы больше технической информации.
Например:
что нужно, дабы провести атаку подобным вектором (оборудование например)?
Гео-привязанность атаки?
И вообще спецификация с рекомендациями это конечно есть гут, но как и написано в статье — воз и ныне там.
Когда потоврить атаку могут только спецслужбы — это одно. А вот если выпустить джина из бутылки, то может быть операторы мобильной связи и зачухаются, разработают более безопасную схему. либо усовершенствуют имеющуюся.
Например:
что нужно, дабы провести атаку подобным вектором (оборудование например)?
Гео-привязанность атаки?
И вообще спецификация с рекомендациями это конечно есть гут, но как и написано в статье — воз и ныне там.
Когда потоврить атаку могут только спецслужбы — это одно. А вот если выпустить джина из бутылки, то может быть операторы мобильной связи и зачухаются, разработают более безопасную схему. либо усовершенствуют имеющуюся.
Эта тема раскрыта в вводной части нашей презентации c phdays, можно посмотреть видео
Вообще подобные «атаки» вовсе и не атаки, а следствие раздолбайства или саботаж! Просто HLR/VLR настроен криво и позволяет делать ISD кому не поподя (а настройки там достаточно гибкие ;)
Как можно просто взять разрешить подмену GT (Global Title — можно считать аналогом IP адреса в ОКС7) SCP (Service Control Point)? Надо быть клиническим идиотом разрешая подобные операции для «внешних» GT (хотя я склоняюсь к саботажу и проискам спецслужб).
P.S. Про CAMEL забыли упомянуть (хотя может быть и INAP, но скорее все-таки CAMEL).
Как можно просто взять разрешить подмену GT (Global Title — можно считать аналогом IP адреса в ОКС7) SCP (Service Control Point)? Надо быть клиническим идиотом разрешая подобные операции для «внешних» GT (хотя я склоняюсь к саботажу и проискам спецслужб).
P.S. Про CAMEL забыли упомянуть (хотя может быть и INAP, но скорее все-таки CAMEL).
Даже в намного более «технологичном» (и современном) протоколе BGP легко можно анонсировать чужую AS и лишить связности целого оператора, а то и пол мира.
Подмена (спуфинг) делается элементарно если нет необходимости ждать ответа, прямая аналогия — UDP.
Защититься, естественно, можно, но на всём периметре сети должны быть установлены системы, проводящие «умную» фильтрацию приходящих пакетов, и, к примеру, позволяющие делать InsertSubscriberData только для абонентов в роуминге и только из той страны, в которую он уехал.
Подмена (спуфинг) делается элементарно если нет необходимости ждать ответа, прямая аналогия — UDP.
Защититься, естественно, можно, но на всём периметре сети должны быть установлены системы, проводящие «умную» фильтрацию приходящих пакетов, и, к примеру, позволяющие делать InsertSubscriberData только для абонентов в роуминге и только из той страны, в которую он уехал.
Вы путаете теплое и мягкое. Сравнивать BGP c SS7 просто некорректно (в SS7 большое количество подсистем).
Про периметр сети :) Достаточно на SRI_FOR_SM отвечать не адресом реального VLR а адресом антиспам системы (что все операторы сейчас и делают ;)
Про периметр сети :) Достаточно на SRI_FOR_SM отвечать не адресом реального VLR а адресом антиспам системы (что все операторы сейчас и делают ;)
Про «тёплое с мягким» и не спорю, это действительно практически несравнимые вещи. Просто интернет многие считают более современным и технологичным по сравнению с телефонией.
Но и в ядре маршрутизации интернета мы имеем дыры размером с паровоз.
Ну да, вот только это ничего не даст из-за крайне ограниченного числа VLR'ов у оператора (и доступности их списка).
Никто не мешает атакующему «стукнуться» не в единственный VLR, а во все VLR'ы региона-прописки абонента и с вероятностью эдак в 90-95% добиться цели (оставшиеся 5-10% на случай нахождения абонента в роуминге).
Единственное что приходит в голову — на периметре скрывать реальный IMSI абонента, тогда бОльшая часть атак станет невозможна.
Но и в ядре маршрутизации интернета мы имеем дыры размером с паровоз.
Про периметр сети :) Достаточно на SRI_FOR_SM отвечать не адресом реального VLR а адресом антиспам системы (что все операторы сейчас и делают ;)
Ну да, вот только это ничего не даст из-за крайне ограниченного числа VLR'ов у оператора (и доступности их списка).
Никто не мешает атакующему «стукнуться» не в единственный VLR, а во все VLR'ы региона-прописки абонента и с вероятностью эдак в 90-95% добиться цели (оставшиеся 5-10% на случай нахождения абонента в роуминге).
Единственное что приходит в голову — на периметре скрывать реальный IMSI абонента, тогда бОльшая часть атак станет невозможна.
Зря вы так про телефонию :)
Не примет VLR пакеты на перезапись информации неведомо от кого. У него же есть «список доверенных» GT («старшие товарищи» подсказывают, что обновление данных в VLR может прислать только HLR).
Не примет VLR пакеты на перезапись информации неведомо от кого. У него же есть «список доверенных» GT («старшие товарищи» подсказывают, что обновление данных в VLR может прислать только HLR).
Ещё как примет, если получит пакет от «правильного» GT. А уж сгенерировать пакет от нужного GT не проблема, единственное ограничение — не получится принять ответ. Но ведь это не всегда и нужно.
p.s. Да, знаю, MAP позволяет вместо END'а прислать CONTINUE. И не отрабатывать транзакцию если в ответ от отправителя не прилетит END.
Но не уверен, что HLR'ы поддерживают такой механизм проверки.
p.s. Да, знаю, MAP позволяет вместо END'а прислать CONTINUE. И не отрабатывать транзакцию если в ответ от отправителя не прилетит END.
Но не уверен, что HLR'ы поддерживают такой механизм проверки.
А как он его примет то? Извне послать — думаю невозможно т.к. STP из «внешнего интерфейса» пакетов со «своих» GT думаю не ожидает принять и тупо такие сообщения отбросит. Только изнутри если, но это уже не уязвимость протокола, а саботаж :)
Кстати да, забыл сказать — в современных операторах все уже давно используют STP и там подобные вопросы, насколько мне известно, решены уже достаточно давно (a la SS7 firewall функионал).
Про END. Насколько помню он не в MAPe, а в TCAP (MAP выше уровнем будет)
Кстати да, забыл сказать — в современных операторах все уже давно используют STP и там подобные вопросы, насколько мне известно, решены уже достаточно давно (a la SS7 firewall функионал).
Про END. Насколько помню он не в MAPe, а в TCAP (MAP выше уровнем будет)
А как он его примет то? Извне послать — думаю невозможно т.к. STP из «внешнего интерфейса» пакетов со «своих» GT думаю не ожидает принять и тупо такие сообщения отбросит.
Даже если речь про GT «из собственной сети», то есть 2 причины, по которой пакет вполне может попасть в сеть извне:
1. Не факт, что STP сети поддерживает возможность такой защиты и не факт что она настроена.
2. Транзитный оператор (к примеру, ростелеком) может использоваться в качестве резервного межрегионального линка. И прилёт через него пакетов с GT собственной сети — вполне нормальное (хоть и редкое) явление.
В результате, подстановку GT сможет сделать любой оператор, подключившийся к тому же транзитнику (конечно, нужно чтобы и сам транзитный оператор не выполнял фильтрации пакетов с кривым GT).
Про END. Насколько помню он не в MAPe, а в TCAP (MAP выше уровнем будет)
Ой, да. Постоянно об этом забываю.
Просто зная IMSI уже можно сделать массу интересного, а уж если есть VLR GT… ситуацию может спасти Fake IMSI, возвращаемый на SRI_FSM запрос.
Самое неприятное, что IMSI можно узнать не только через сеть,… но и через приложение, установленное на смартфоне. Т.е. ещё один вектор атаки появляется.
А вот это интересно :)
Расскажите, какие ещё варианты существуют?
Самое неприятное, что IMSI можно узнать не только через сеть,… но и через приложение, установленное на смартфоне. Т.е. ещё один вектор атаки появляется.
И к слову, сообщение SRI4SM это не единственный способ получить IMSI абонента
А вот это интересно :)
Расскажите, какие ещё варианты существуют?
Ну собственно вопрос к автору ptsecurity, сильно ли влияет данный вид атаки на скорость соединения абонентов?
Или да же так: Вот нынче в Славянске/Николаевке (за другие города не знаю) частый глюк — Звонишь, гудка нет в принципе, потом если ждать то абонент поднимает трубку и дальнейший разговор без проблем.
Я в мобильных сетях дуб полный, за исключением конечно радиопередающей аппаратуры :)
Или да же так: Вот нынче в Славянске/Николаевке (за другие города не знаю) частый глюк — Звонишь, гудка нет в принципе, потом если ждать то абонент поднимает трубку и дальнейший разговор без проблем.
Я в мобильных сетях дуб полный, за исключением конечно радиопередающей аппаратуры :)
Мой друг родом из Славянска. Дважды, когда по телефону связывался с родными, происходил примерно следующий диалог:
— Привет, ну что там у вас?
— Нас сегодня обстреливали.
— Кто стрелял?
Обрыв связи. И так два раза уже было.
Может, совпадение, но мне в это верится с трудом. Ведь даже во времена событий на Грушевского СБУ массово рассылала на все телефоны в радиусе 200 м от эпицентра событий СМС в духе «Вы зарегистрированы, как участник массовых беспорядков».
Так что в Славянске могут действовать и местные системы контроля связи, которые могли развернуть например российские спецы. Своего рода localhost, который осуществить проще, быстрее и надежнее, чем делать это на глобальном уровне.
— Привет, ну что там у вас?
— Нас сегодня обстреливали.
— Кто стрелял?
Обрыв связи. И так два раза уже было.
Может, совпадение, но мне в это верится с трудом. Ведь даже во времена событий на Грушевского СБУ массово рассылала на все телефоны в радиусе 200 м от эпицентра событий СМС в духе «Вы зарегистрированы, как участник массовых беспорядков».
Так что в Славянске могут действовать и местные системы контроля связи, которые могли развернуть например российские спецы. Своего рода localhost, который осуществить проще, быстрее и надежнее, чем делать это на глобальном уровне.
В мобильной сети наибольшая составляющая времени соединения приходится на сигнальный обмен на радио тракте: поиск абонента (paging), согласование технических характеристик мобильного аппарата и сети, включение шифрования, аутентификация…
Дополнительный сигнальный обмен, описанный в атаке, добавит ко времени соединения несколько десятых секунд, что вряд ли будет заметно.
По вопросу установления соединения в Славянске никаких комментариев дать не получится, это вопрос к техническим специалистам украинских операторов мобильной связи.
Дополнительный сигнальный обмен, описанный в атаке, добавит ко времени соединения несколько десятых секунд, что вряд ли будет заметно.
По вопросу установления соединения в Славянске никаких комментариев дать не получится, это вопрос к техническим специалистам украинских операторов мобильной связи.
Я просто оставлю ЭТО здесь. вдруг кому пригодится, для расширения кругозора. И главное — никому никуда не надо внедряться, всё делается провайдером
Простите, но не могли бы Вы поправить заголовок заметки?
А то у Вас получается «убийство инопланетян на Земле: как это сделано и как защититься», а внутри «говорят, инопланетян убивают жители земли. При наличии атомной бомбы можно убить кого угодно, даже инопланетянина. Теперь отвлечемся от недоказанности существования зеленых человечков и поговорим, что можно с бомбой сделать. А ничего — она же существует, и взрывается, если бросить ее»
У Вас:
1) откровенно желтый (в статье никак не доказанный и не развернутый тезис про именно «украинские» мобильники)
2) рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
3) вывод, что все плохо, потому что протоколы такие и ничего не поделать.
Испугать — получилось. Напечатали бы облегченную версию в Комсомолке — вообще бы паника началась :), но, простите, и вы безопасники, и здесь Хабр — нужны же какие-то деятельные выводы?
Это как с BGP либо другим протоколом динамической маршрутизации в сетях IP — да, можно сделать много гадостей, но а) соседние провайдеры должны это позволить, б) сделанное долгим не будет.
И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки, о чем в статье компании-безопасника можно было бы и написать.
А то у Вас получается «убийство инопланетян на Земле: как это сделано и как защититься», а внутри «говорят, инопланетян убивают жители земли. При наличии атомной бомбы можно убить кого угодно, даже инопланетянина. Теперь отвлечемся от недоказанности существования зеленых человечков и поговорим, что можно с бомбой сделать. А ничего — она же существует, и взрывается, если бросить ее»
У Вас:
1) откровенно желтый (в статье никак не доказанный и не развернутый тезис про именно «украинские» мобильники)
2) рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
3) вывод, что все плохо, потому что протоколы такие и ничего не поделать.
Испугать — получилось. Напечатали бы облегченную версию в Комсомолке — вообще бы паника началась :), но, простите, и вы безопасники, и здесь Хабр — нужны же какие-то деятельные выводы?
Это как с BGP либо другим протоколом динамической маршрутизации в сетях IP — да, можно сделать много гадостей, но а) соседние провайдеры должны это позволить, б) сделанное долгим не будет.
И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки, о чем в статье компании-безопасника можно было бы и написать.
> в статье никак не доказанный и не развернутый тезис про именно «украинские» мобильники.
Комментарием выше есть ссылка, оттуда идёт ссылка на официальное расследование инцидента. В качестве доказательств события вполне достаточно.
> рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
Во-первых, кривость настройки в любых сетях зачастую ведёт к утечке данных. И это нужно пресекать. Во-вторых, возможности настроек безопасности в оборудовании мобильной связи сильно разнится от вендора к вендору. Возможно, что в данной ситуации просто не было возможности закрыться от такой атаки.
> И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки
К сожалению, голосовой трафик, передаваемый по телефонным сетям общего пользования, идёт в открытом виде. Поставить средства шифрования можно только на абонентском оборудовании. Но оно должно быть установлено у обоих абонентов, вовлечённых в разговор.
Комментарием выше есть ссылка, оттуда идёт ссылка на официальное расследование инцидента. В качестве доказательств события вполне достаточно.
> рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
Во-первых, кривость настройки в любых сетях зачастую ведёт к утечке данных. И это нужно пресекать. Во-вторых, возможности настроек безопасности в оборудовании мобильной связи сильно разнится от вендора к вендору. Возможно, что в данной ситуации просто не было возможности закрыться от такой атаки.
> И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки
К сожалению, голосовой трафик, передаваемый по телефонным сетям общего пользования, идёт в открытом виде. Поставить средства шифрования можно только на абонентском оборудовании. Но оно должно быть установлено у обоих абонентов, вовлечённых в разговор.
А кто-то сам пробовал? )
Мы пробовали как-то подменять маршрут вызова со стороны IN, заработало это далеко не сразу, и надо было делать соответствующие настройки, да и то в рамках одной сети. А уж извне лезть.
Почитал оригинальный отчет комиссии, увы, там многих деталей нет.
Очередное нагнетание, при том через месяц после инцидента, и cnews проснулся и тут… Пропаганда какая-то…
Мы пробовали как-то подменять маршрут вызова со стороны IN, заработало это далеко не сразу, и надо было делать соответствующие настройки, да и то в рамках одной сети. А уж извне лезть.
Почитал оригинальный отчет комиссии, увы, там многих деталей нет.
Очередное нагнетание, при том через месяц после инцидента, и cnews проснулся и тут… Пропаганда какая-то…
Я думаю самый надежный способ защититься от подобных проблем — использовать сети ОПСОСов только для транспорта данных. Благо современные voip решения — в изобилии. Тот-же FB Messenger умеет совершать звонки, не говоря уже о Skype
Sign up to leave a comment.
Прослушка украинских мобильников: как это сделано и как защититься