Pull to refresh

Comments 45

В догонку, хотел бы напомнить вот эту статью:
habrahabr.ru/post/200914/
Там «всего-лишь» возможность подампить GPRS/EDGE, но зато доступно всем:)
Простите, но не увидел.
Сразу скажу скептикам: схема эта не фантастична и, как можно видеть, вполне реализуема на практике.
А можно внедрить ещё одного посредника? Прослушивать прослушиваемого/прослушивающего.
> Прослушка украинских мобильников: как это сделано и как защититься
> В комментариях абстрагируйтесь, пожалуйста, от политических пристрастий.
Уберите из поста Украину и Россию. Ведь речь о телефонии? Пока пристрастия только в самом посте.
Меня вот, например, раздражает когда в любой статье вспоминается американский большой брат. Странно, только что никто это не критикует. Биткоин? Ну как же не пообсуждать ФРС США? Кандроиза Райс пошла работать в отдел по связям Дропбокс? Это вообще не про айти, но на хабре целая статья и под ней куча комментариев про ужасы американских правительств. Элон Маск с к кем-то судится из-за ракет? Ах, это он злоумышлят против России!
И вдруг такая принципаильность, когда речь идет про Россию и Украину. Может хватит уже этого лицемерия?
Решили все-таки развести срач? Думаю тут у всех есть что сказать…
Я просто написал правду. То, что «аполитичным свободолюбцам», которые обожают пбсуждать Обаму, Райс, взлом какого-то израильского правительственного сайта Анонимусами, каждую очередную блокировку роскомнадзора, это режет глаза это их проблема. Я это давно заетил. Стоит автору в одной строке упомянуть Украину сразу появляются возумущенные голоса. Точно така же статья про США или внутрироссийские дела и все бъют себя в грудь: «да это не политика, да это мы за свободу!»
Правда у всех своя, вы этого до сих пор не знаете? А здесь вы написали свою точку зрения, да еще и обобщили прилично. Вы сами прекрасно иллюстрируете свой собственный пост. И поверьте, если бы сюда захаживали американцы — так-же возбуждались из-за этого. А суть в том, что если принято правило — то надо его соблюдать, настоящие лицемерие — опубликовать провокационную тему и попросить не писать комментарии.
+1

Тем более, что заголовок чем конкретнее, тем интереснее.
Например, «Как приготовить обед» будет намного менее интересным заголовком, чем «Как сварить вкусный суп с клецками».
А универсальный пароль к BIOS помните? Он есть и кто нужно о нём знает.
До сих пор в подкорке засел один самый пригодившийся: ZJAAADC
У меня ни один не сработал из огромного списка найденных в интернете. В детстве я был страшно огорчен.
Сочувствую. :) Я помню в местном компьютерном клубе переводил время, заходя в BIOS через инженерный AWARD_SW. Видимо на большинстве компов были одинаковые матери с AWARD BIOS. :) Делалось это когда оставалось 5 минут от оплаченного, время переводилось на час назад.
Очень хотелось бы больше технической информации.
Например:
что нужно, дабы провести атаку подобным вектором (оборудование например)?
Гео-привязанность атаки?

И вообще спецификация с рекомендациями это конечно есть гут, но как и написано в статье — воз и ныне там.
Когда потоврить атаку могут только спецслужбы — это одно. А вот если выпустить джина из бутылки, то может быть операторы мобильной связи и зачухаются, разработают более безопасную схему. либо усовершенствуют имеющуюся.
Эта тема раскрыта в вводной части нашей презентации c phdays, можно посмотреть видео
Вообще подобные «атаки» вовсе и не атаки, а следствие раздолбайства или саботаж! Просто HLR/VLR настроен криво и позволяет делать ISD кому не поподя (а настройки там достаточно гибкие ;)
Как можно просто взять разрешить подмену GT (Global Title — можно считать аналогом IP адреса в ОКС7) SCP (Service Control Point)? Надо быть клиническим идиотом разрешая подобные операции для «внешних» GT (хотя я склоняюсь к саботажу и проискам спецслужб).

P.S. Про CAMEL забыли упомянуть (хотя может быть и INAP, но скорее все-таки CAMEL).
Даже в намного более «технологичном» (и современном) протоколе BGP легко можно анонсировать чужую AS и лишить связности целого оператора, а то и пол мира.
Подмена (спуфинг) делается элементарно если нет необходимости ждать ответа, прямая аналогия — UDP.

Защититься, естественно, можно, но на всём периметре сети должны быть установлены системы, проводящие «умную» фильтрацию приходящих пакетов, и, к примеру, позволяющие делать InsertSubscriberData только для абонентов в роуминге и только из той страны, в которую он уехал.
Вы путаете теплое и мягкое. Сравнивать BGP c SS7 просто некорректно (в SS7 большое количество подсистем).
Про периметр сети :) Достаточно на SRI_FOR_SM отвечать не адресом реального VLR а адресом антиспам системы (что все операторы сейчас и делают ;)
Про «тёплое с мягким» и не спорю, это действительно практически несравнимые вещи. Просто интернет многие считают более современным и технологичным по сравнению с телефонией.
Но и в ядре маршрутизации интернета мы имеем дыры размером с паровоз.

Про периметр сети :) Достаточно на SRI_FOR_SM отвечать не адресом реального VLR а адресом антиспам системы (что все операторы сейчас и делают ;)

Ну да, вот только это ничего не даст из-за крайне ограниченного числа VLR'ов у оператора (и доступности их списка).
Никто не мешает атакующему «стукнуться» не в единственный VLR, а во все VLR'ы региона-прописки абонента и с вероятностью эдак в 90-95% добиться цели (оставшиеся 5-10% на случай нахождения абонента в роуминге).

Единственное что приходит в голову — на периметре скрывать реальный IMSI абонента, тогда бОльшая часть атак станет невозможна.
Зря вы так про телефонию :)
Не примет VLR пакеты на перезапись информации неведомо от кого. У него же есть «список доверенных» GT («старшие товарищи» подсказывают, что обновление данных в VLR может прислать только HLR).
Ещё как примет, если получит пакет от «правильного» GT. А уж сгенерировать пакет от нужного GT не проблема, единственное ограничение — не получится принять ответ. Но ведь это не всегда и нужно.

p.s. Да, знаю, MAP позволяет вместо END'а прислать CONTINUE. И не отрабатывать транзакцию если в ответ от отправителя не прилетит END.
Но не уверен, что HLR'ы поддерживают такой механизм проверки.
А как он его примет то? Извне послать — думаю невозможно т.к. STP из «внешнего интерфейса» пакетов со «своих» GT думаю не ожидает принять и тупо такие сообщения отбросит. Только изнутри если, но это уже не уязвимость протокола, а саботаж :)
Кстати да, забыл сказать — в современных операторах все уже давно используют STP и там подобные вопросы, насколько мне известно, решены уже достаточно давно (a la SS7 firewall функионал).

Про END. Насколько помню он не в MAPe, а в TCAP (MAP выше уровнем будет)
А как он его примет то? Извне послать — думаю невозможно т.к. STP из «внешнего интерфейса» пакетов со «своих» GT думаю не ожидает принять и тупо такие сообщения отбросит.

Даже если речь про GT «из собственной сети», то есть 2 причины, по которой пакет вполне может попасть в сеть извне:
1. Не факт, что STP сети поддерживает возможность такой защиты и не факт что она настроена.
2. Транзитный оператор (к примеру, ростелеком) может использоваться в качестве резервного межрегионального линка. И прилёт через него пакетов с GT собственной сети — вполне нормальное (хоть и редкое) явление.
В результате, подстановку GT сможет сделать любой оператор, подключившийся к тому же транзитнику (конечно, нужно чтобы и сам транзитный оператор не выполнял фильтрации пакетов с кривым GT).

Про END. Насколько помню он не в MAPe, а в TCAP (MAP выше уровнем будет)

Ой, да. Постоянно об этом забываю.
Просто зная IMSI уже можно сделать массу интересного, а уж если есть VLR GT… ситуацию может спасти Fake IMSI, возвращаемый на SRI_FSM запрос.
Самое неприятное, что IMSI можно узнать не только через сеть,… но и через приложение, установленное на смартфоне. Т.е. ещё один вектор атаки появляется.

И к слову, сообщение SRI4SM это не единственный способ получить IMSI абонента

А вот это интересно :)
Расскажите, какие ещё варианты существуют?
Можно просто SRI послать, без SM ;) Так сказать «голосовой»

Был уверен, что там только MSRN прилетает.
Спасибо, почитаю.
Если честно, то в вашем списке оказалось раза в 3 больше вариантов, чем я мог предположить :)
Но основной смысл моего комментария — знать VLR GT далеко не обязательно, но этот GT может существенно облегчить жизнь атакующему.
Ну собственно вопрос к автору ptsecurity, сильно ли влияет данный вид атаки на скорость соединения абонентов?
Или да же так: Вот нынче в Славянске/Николаевке (за другие города не знаю) частый глюк — Звонишь, гудка нет в принципе, потом если ждать то абонент поднимает трубку и дальнейший разговор без проблем.
Я в мобильных сетях дуб полный, за исключением конечно радиопередающей аппаратуры :)
Мой друг родом из Славянска. Дважды, когда по телефону связывался с родными, происходил примерно следующий диалог:

— Привет, ну что там у вас?
— Нас сегодня обстреливали.
— Кто стрелял?
Обрыв связи. И так два раза уже было.

Может, совпадение, но мне в это верится с трудом. Ведь даже во времена событий на Грушевского СБУ массово рассылала на все телефоны в радиусе 200 м от эпицентра событий СМС в духе «Вы зарегистрированы, как участник массовых беспорядков».
Так что в Славянске могут действовать и местные системы контроля связи, которые могли развернуть например российские спецы. Своего рода localhost, который осуществить проще, быстрее и надежнее, чем делать это на глобальном уровне.
Не натыкался на подобное, разрывы конечно бывают но не просматривается взаимосвязь между ними.
В Славянске сейчас в принципе связи можно сказать нет, присутствует номинально но работает чисто случайно.
В Николаевке со связью проблем например нет, МТС и Лайф работают без проблем.
В мобильной сети наибольшая составляющая времени соединения приходится на сигнальный обмен на радио тракте: поиск абонента (paging), согласование технических характеристик мобильного аппарата и сети, включение шифрования, аутентификация…

Дополнительный сигнальный обмен, описанный в атаке, добавит ко времени соединения несколько десятых секунд, что вряд ли будет заметно.

По вопросу установления соединения в Славянске никаких комментариев дать не получится, это вопрос к техническим специалистам украинских операторов мобильной связи.
Ну это то понятно, интересовало именно «добавит ко времени соединения несколько десятых секунд».
Так что все глюки в данный момент можно смело списывать на загруженность сетей.
Я просто оставлю ЭТО здесь. вдруг кому пригодится, для расширения кругозора. И главное — никому никуда не надо внедряться, всё делается провайдером
Простите, но не могли бы Вы поправить заголовок заметки?

А то у Вас получается «убийство инопланетян на Земле: как это сделано и как защититься», а внутри «говорят, инопланетян убивают жители земли. При наличии атомной бомбы можно убить кого угодно, даже инопланетянина. Теперь отвлечемся от недоказанности существования зеленых человечков и поговорим, что можно с бомбой сделать. А ничего — она же существует, и взрывается, если бросить ее»

У Вас:

1) откровенно желтый (в статье никак не доказанный и не развернутый тезис про именно «украинские» мобильники)
2) рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
3) вывод, что все плохо, потому что протоколы такие и ничего не поделать.

Испугать — получилось. Напечатали бы облегченную версию в Комсомолке — вообще бы паника началась :), но, простите, и вы безопасники, и здесь Хабр — нужны же какие-то деятельные выводы?

Это как с BGP либо другим протоколом динамической маршрутизации в сетях IP — да, можно сделать много гадостей, но а) соседние провайдеры должны это позволить, б) сделанное долгим не будет.

И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки, о чем в статье компании-безопасника можно было бы и написать.
> в статье никак не доказанный и не развернутый тезис про именно «украинские» мобильники.
Комментарием выше есть ссылка, оттуда идёт ссылка на официальное расследование инцидента. В качестве доказательств события вполне достаточно.

> рассказ про методы, которые непроффи кажутся всемогущими, а знающим, суда по комментам, выглядят кривостью настройки
Во-первых, кривость настройки в любых сетях зачастую ведёт к утечке данных. И это нужно пресекать. Во-вторых, возможности настроек безопасности в оборудовании мобильной связи сильно разнится от вендора к вендору. Возможно, что в данной ситуации просто не было возможности закрыться от такой атаки.

> И конечно, даже завернутый в прослушку трафик наверняка можно как-то закрыть от прослушки
К сожалению, голосовой трафик, передаваемый по телефонным сетям общего пользования, идёт в открытом виде. Поставить средства шифрования можно только на абонентском оборудовании. Но оно должно быть установлено у обоих абонентов, вовлечённых в разговор.
Может я чего-то не понимаю, но во-первых, какая ссылка в комментариях ведет «на официальное расследование инцидента», а во-вторых, если ссылка в коментах, то заголовок таки «желтый», так как в самом тексте никаких упоминаний о прослушке именно украинских мобильников нет.
Так, ссылку нашел (http://users.livejournal.com/_adept_/127629.html), только где там упоминается, что все было организованно через SS7?
А кто-то сам пробовал? )
Мы пробовали как-то подменять маршрут вызова со стороны IN, заработало это далеко не сразу, и надо было делать соответствующие настройки, да и то в рамках одной сети. А уж извне лезть.

Почитал оригинальный отчет комиссии, увы, там многих деталей нет.

Очередное нагнетание, при том через месяц после инцидента, и cnews проснулся и тут… Пропаганда какая-то…
Я думаю самый надежный способ защититься от подобных проблем — использовать сети ОПСОСов только для транспорта данных. Благо современные voip решения — в изобилии. Тот-же FB Messenger умеет совершать звонки, не говоря уже о Skype
Защита от прослушки, Skype ?!
Да вы что, вы еще предложите SIP от мегафона как защиту от прослушки.
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
2002
Location
Россия
Website
www.ptsecurity.com
Employees
501–1,000 employees
Registered

Habr blog