Comments 66
Хорошая болячка.
Даже на минздрав не сослаться — сам втыкнул :)
С модемами ясно, но при чём здесь 4G… Честно говоря заблудился после чтения первых абзацев статьи.
Дело в том, что 3G-модемы, обычно, являются просто модемами, а 4G-модемы — это часто именно полноценные микро-компьютеры, как описано в статье. Сама по себе связь четвёртого поколения ни при чем.
Нужна большая вычислительная мощность для правильной отработки трафика, плюс между 3G и 4G функционал, ожидаемый от такого модема, сильно поменялся.
3G модемы тоже достаточно мощные устройства, о чем свидетельствуют исследования наших коллег: www.cnews.ru/news/top/index.shtml?2014/09/03/584805

Но в последнее время (для защиты от локальных атак, перепрошивок и для облегчения простоты использования) многие производители модемов начали использовать для управления “web dashboard”, что значительно увеличило поверхность атак. Ну и кроме того, исследование делось в 2014 году, когда 3G было уже покупать неинтересно :)
Вот с модемами какие-то сказочные сценарии, по-моему.
Начинается с того, что бы берем чужой модем в руки и его хачим. Ну, тут уж и на железном уровне можно многое сделать. С физическим-то доступом.
Совершенно не обязательно подменять базовую станцию. Как-раз во второй части исследования мы показываем как с помощью “специальных” SMS читать с файловой системы SIM-карты TIMSI и Kc, чего вполне достаточно для… Достаточно, в общем.
Для идентификации модема, для атаки через веб-браузер или атаки посредством SMS вам совершенно не обязательно держать модем в руках. Фраза «для нашего исследования мы взяли» означает лишь, что мы не взламывали чужие модемы на улице. Но сами атаки — вполне беспроводные.
Вопрос тут в другом: как вы получите доступ к модему на трое суток? Обычно же их вставляют на пару часов, максимум. Или имеется в виду, что мы таскаем за собой пару десяткков таких махин, как на фотографии, и, увидев нужный модем, включаемся и начинаем его хакать за пару часов?
Ну, насколько я понял про трое суток — речь про уязвимости самих симкарт, модем тут не при чём.

А на счёт взлома модема я тоже, честно говоря, не очень понял. Как обратиться к модему, который не вставлен физически в ваш компьютер из статьи не понятно (на скринах везде локальные ip). Я почему-то сомневаюсь, что по ip-адресу клиента можно будет обратиться из внешнего мира на веб-морду модема, поправьте, если ошибаюсь.

Просто из текста складывается впечатление: каким-то образом заполучаем чужой модем и взламываем его на своём компе, а потом отдаём его обратно и уже потом каким-то невероятным образом его взламываем удалённо.

И непонятно ещё, при чём тут банкоматы — там, как правило, до сих пор GPRS используется, а его попробуй ещё взломай. Не говоря уж о том, что там ещё пара слоёв шифрования, да и вообще вся система не тривиальна — перехват данных это ещё пол дела, если речь идёт о краже денег.
Локальный адрес не помеха. Через уязвимости класса CSRF и XSS. В 2011 демонстрировали подобную технику для Denwer в докладе root via xss

sgordey.blogspot.ru/2011/11/zeronights_27.html?m=1

Для взлома DES на три дня девайс тоже не нужен. В ответ на «плохую» SMS SIM пришлет подпись, по которой ключ подбирается offline.
Как вы собираетесь обращаться к модему, который воткнут в чужой компьютер на другом конце интернета?
Взлом GPRS неоднократно демонстрировался. Например на PHDays 2012 был доклад Сильвена Мюно «Использование злоумышленниками телефонов Calypso».

Слайды:
www.slideshare.net/phdays/abusing-calypso-phones

Видео:
live.digitaloctober.ru/embed/1207?language=ru&params%5bpw%5d=630&params%5bph%5d=355&params%5bepisodes_under%5d=1&params%5beh%5d=100#time1338441117

С банкоматами иногда бывает сложно, конечно. Но иногда — не всегда:
scadastrangelove.blogspot.ru/2014/10/different-type-of-scada.html?m=1
С банкоматами иногда бывает сложно, конечно. Но иногда — не всегда:

Звучит так словно у вас взлом банкоматов поставлен на поток.
что позволяет подобрать ключ DES за 3 дня

Все собираюсь спросить, ждал момента — а как происходит подбор на таких больших мощностях? Какие исходные данные и какое условие завершения? Если не трудно, то в нескольких словах поясните…
Данные (открытый текст), которые зашифрованы на ключе DES шифрования – описаны в спецификациях и известны. Результат шифрования SIM-карта отдает на специализированный SMS-запрос. Это исходные данные, которые загружаются на ПЛИС однократно перед запуском. Дальше на ПЛИС происходит шифрование открытого текста на всех возможных вариантах ключей (для DES – 2**56 вариантов) и сравнивается с результатом шифрования, полученным от SIM-карты. Если результат совпал, то данный ключ помещается в буфер ввода-вывода ПЛИС, к которому можно получить доступ с хоста по USB-интерфейсу.

Т.к. передаваемых данных минимальное количество (по сути, только правильный результат), мы не ограничены быстродействием IO и не зависим от переключений контекста CPU/GPU.
Несерьезно… Таких сим-карт уже не так много на сетях, и с каждым днем все меньше и меньше… Проблема известна давно и ее давно решили. Потенциальный ущерб от остатков старых сим-карт посчитали меньшим, чем затраты на уговоры их владельцев сменить пластик…

www.cnews.ru/top/2013/07/22/naydena_uyazvimost_v_simkartah_pod_ugrozoy_milliony_mobilnikov_536222 — ну и вот публикация годовой давности. Плагиат? ;)

Вот если расскажете как COMP128v3 испортить, или Milenage…

Да и в целом, какой-то пиар на буквах 3Г и 4Г все начинают, а тем не менее есть люди, которые системно подходят и делают вот такие исследовательские проекты. И результаты отдают не в виде популистских статей, а в нормальных документах.
www.asmonia.de/index.php?page=20
> ну и вот публикация годовой давности

В нашем посте достаточно чётко сказано о том, что уязвимости SIM-карт уже находили и эксплуатировали. В частности, есть гипер-ссылка на доклад Карстена Ноля. А ещё в статье рассказано, чем именно наше исследование отличается от предыдущих и какие именно уязвимости найдены на этот раз.

Поэтому, когда вы пишете «Проблема известна давно и ее давно решили», вам стоило бы уточнить, какая из множества проблем «известна» и кто её «давно решил».

> И результаты отдают не в виде популистских статей, а в нормальных документах.

Дело в том, что формат Хабра — это именно блоговые посты, а не документы в PDF весом 3MB. Такие документы по нашим исследованиям тоже делаются, но публикуются в другом месте:
ptsecurity.ru/lab/analytics/

Там же будут опубликованы и подробные материалы данного исследования. А в этой публикации мы просто резюмируем его результаты — об этом, кстати, сказано во втором абзаце статьи. Внимательность не менее полезна при чтении, чем системный подход.
У вас ссылка на выступление 2014 года, проблема известна гораздо ранее, даже в рунете были публикации в 2013. Может у меня источники другие, но обо всем этом читал в отраслевых отчетах еще ранее… При том, что вектор атаки тот же самый, и просто постепенно происходит переоткрытие стандартных функций сетей и возможности их использования в «плохих» целях после получения доступа.

Несколько раздражает такое количество PR на популярных аббревиатурах и переоткрытие банальных рабочих моментов на конференциях.

Мы видимо расходимся в критериях статьи для технического блога… Бывает.
Уважаемый Карстен Нол присутствовал на нашем докладе в качестве слушателя (докладывал там про BadUSB) и подтвердил, что вектор для него новый. По его оценке это примерно 20% SIM-карт. Хотя операторы вводят постепенно фильтрацию служебных SMS, что улучшает ситуацию.

Вот, кстати, его комментарий в The Register, где тоже не сочли наш доклад «устаревшим»:
www.theregister.co.uk/2014/11/19/sms_pwnage_on_meellions_of_flawed_sim_cards_popular_4g_modems/

PS. По поводу популярных аббревиатур. Мы могли бы написать A5/3, вместо 4G, но не уверены, что это корректно ;)
на самом деле, % уязвимых симкарт очень сильно зависит от истории развития оператора и типа закупаемых им симкарт. В некоторых операторов % уязвимых карточек существенно больше.
Значит статья упрощена )
А нормальным отчетом не поделитесь?
Пока операторы устраняют проблемы, мы считаем некорректным публикацию всех деталей.
UFO landed and left these words here
Модем вполне в состоянии определить, к какой системе подключен, и «печатать» правильные символы. Так например устанавливаются нужные для конкретной ОС драйвера в штатном режиме.

Про «тепличные условия» — возможно. Но, на минуточку, мы не делаем кибероружие, а демонстрируем возможность атаки. Более того, в демонстрации модем «печатает» wmic с выводом информации о BIOS. Интересно, зачем?

PS. Да, пароль на BIOS полезен.
UFO landed and left these words here
Действительно, драйверы устанавливются средствами ОС, но есть нюансы. В качестве эксперимента возьмите срвременный модем, подключите его к Windows и к Linux. Объясните разницу :). Подробнее об этом рассказывал Дмитрий Скляров на PHDays IV.

Модем в ходе атаки не взаимодействует с BIOS напрямую, он использует «клавиатуру» и интерфейсы (API) ОС для определения версии BIOS, чего вполне достаточно. В видеодемонстрации для этого используется wmic.
UFO landed and left these words here
Но ведь в некоторых банкомётах стоит до сих пор OS/2.
Если предположить, что злоумышленник сможет получить контроль над модемом в этом банкомате, каков шанс, что
1. модем корректно определится как клавиатура
2. можно будет перезагрузить банкомат
3. можно будет загрузиться с флешки модема
?
Полуось мало уже где стоит, а там где стоит, железо с USB грузиться не умеет совсем, старое оно.
Про варианты с виндами другая песня:
1. Он попытается определиться, но если политики безомасности настроены правильно и всё допилено (а ATMовская XP Embedded допилена весьма серьезно) правильно (втч сделана мертвая привязка устройств к портам), то эта клава тупо не заработает — драйвера не будут поставлены.
2. Перезагрузить — удастся, только при этом банкомат предварительно отрапортует в банк, что ему ребут сделать сказали с локального терминала, от чего СБ банка слегка прифигеет.
3. Загрузиться с флешки, если платформа нормальная, не получится, во первых такая загрузка там просто запрещена, а во вторых — может иметь место ситуация с зашифрованным жестким диском и запретом обновления efi/bios, что не даст никакого проку от загрузки с модема.
Исследование проводилось только на 4G модемах? более старые 3G не исследовались?
Чем Ваше исследование по атаке симкарт с помощью бинарных SMS отличается от исследования Карлстена Нола, которое он представлял в 2013 году?
Правильно ли я понимаю, что если работающие на Android модемы подвержены описанным в статье атакам, то и все Android смартфоны так же подвержены данным атакам?
И даже сетевые принтеры иногда. Но у USB-модемов есть особенность – они работают как маршрутизатор/веб(и не только веб)-сервер, что существенно расширяет возможности злоумышленника.
Современный модем для беспроводной связи — это компьютер, на который установлена известная операционная система (обычно Android)

Android? Вы серьёзно?
Посмотрел презентацию доклада, заметил упоминания про linux, про android ничего не заметил…
linux != android если в что…
Про атаку по SMS хотелось бы уточнить один момент.

Вот у нас есть банкомат с заветным «свистком», возможно мы даже знаем, что в нем стоит уязвимая SIM, но, черт возьми, как мы узнаем на какой номер слать «злую» SMS?

Как я понимаю, не зная номера, атаку провести не получится.
в зависимости от технологии.
если 2G (GPRS/EDGE) — можно «заглушить» БС оператора более сильным сигналом своей подставной БС, модем зарегистрируется в «нашей личной» сети, тогда шлем ему binary SMS, потом profit
набор программируемых пользователем вентильных матриц (FPGA)

По-русски это будет «массив ПЛИС (программируемых логических интегральных схем)».
Есть разные варианты перевода этого термина на русский. Если мы заботимся о точности, а не о «традициях», то можно заметить, что ваш вариант не отражает понятие field-programmable. Это означает программируемая «в полевых условиях». Бывают и такие, которые конечному пользователю в поле не сдадутся, хотя формально они тоже — программируемые :)
Чёрт, никогда не задумывался о таком простом значении слова «field» в этой аббревиатуре. Рефлекторно думалось, что это отсылка к field effect transistors))
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
1. RCE через множественные уязвимости в web-интерфейсе (forced firmware upgrade, ip config via csrf, os commanding, etc) через CSRF, XXS в обработчике sms

2, 3, 4, остальное очевидно.
UFO landed and left these words here
1. В целом так, но по факту логически там тоже “Ethernet” через Remote NDIS, однако за счет возможности манипуляции типом USB устройства возникают нюансы.

3. Да, модем был “перепрошит", но сделано это было через уязвимость, т.е. удаленно. Патчить можно и в памяти (если временно) или перманентно. Для перманентного, да ребут нужен.

4. Да, обработчик SMS уязвим не у всех, лишь у нескольких. Есть еще курьезные SQLi при обработки SMS, но они бестолковые.
а какое распределение по уязвимости именно через SMS (у какого количества моделей Х из протестированных У, уязвимость именно в обработчике SMS)?
Честно, с самого начала не понятно как попасть на модем.
Зачем лесть в гугл для идентификации железки, ведь мы не знаем что за модем?
Как вообще, если даже вот передо мной воткнут модем в ноут я могу в него с другого ноута попасть??
Этот вопрос многие задают потому, что при слове «атака» представляют себе только целенаправленную, снайперскую атаку Именно На Этот Модем. Такое тоже бывает, да. Но давайте для начала представим вариант попроще. Как работает спам, представляете себе? Спамер не знает, как попасть почтой именно в ваш ноутбук. Но он может туда попасть, если разошлёт спам по большой базе, в которой оказался и ваш адрес.

То же самое с симками и модемами.Только там будут не почтовые адреса, а телефонные номера или IP-адреса. Ну или вы сами зайдёте на «нехороший» сайт, где стоит скрипт, который «простукивает» всех посетителей данного сайта — включая и вас.

Спасибо за ответ.
Это понятно.Но механизма как прозвонить эту самую базу я, к сожалению, в статье не увидел.Какие для этого нужны инструменты?
я, правда, не из ptsecurity, но по отвечу.

— Имеем базу номеров, знаем «текст» (на самом деле бинарную последовательность, но это не столь важно) SMS.
— Отправляем его на каждый из номеров базы (перед этим можем прозвонить номера некоторым, например, самописным софтом, дабы увидеть, кто из номеров сейчас обслуживается (находится «в сети»), либо hlr-реквестами это узнаем (для удешевления процесса (смски дороже бесплатных звонков)).
— собираем на своем номере ответные SMS от симкарт (в случае атак на симтулкит) либо от модемов
— забиваем «потенциально уязвимые» номера в отдельную базу/тестовый файл

А если еще знать диапазоны корпоративных номеров, диапазоны номеров, которые продавались с модемами… тогда все еще интереснее.

инструменты: модем (отправка смс), либо доступ к смс провайдеру, либо доступ к SS7 (для некоторых так дешевле смски отправлять), компьютер/ноутбук.
что имеется ввиду под
либо доступ к смс провайдеру, либо доступ к SS7

здесь так же необходим модем??
нужен какой-то телефонный номер, который принимает «ответы» от «жертв», которым посылаем бинарные СМС.
Соотвественно, рассмотрим два сценария:

1. Мы используем обычный USB 2G/3G/4G модем с вставленной в него симкартой для отправки бинарных сообщений потенциальным «жертвам» и принятия от них ответов в виде бинарных смс, отчетов о доставке, просто смс (в зависимости от типа атаки)
2. Мы используем обычный USB 2G/3G/4G модем с вставленной в него симкартой для получения ответов от «жертв», а бинарные сообщения для атаки шлем либо через смс провайдера, либо через «собственный» смсцентр с подключением через ОКС-7 при этом выдавая себя за номер, карточка которого вставлена в модеме
Не знаю как везде, но в некоторых регионах, в том числе и в моём, ОпСоСы по сетям 4G не позволяют отправлять СМС и делать USSD запросы, так что если 4G-модем работает только в 4G сети, то СМС принимать и отправлять нельзя.
«Для подбора ключей в нашем исследовании использовался набор программируемых пользователем вентильных матриц (FPGA), которые вошли в моду пару лет назад для майнинга цифровой валюты Bitcoin, а после падения популярности этого развлечения сильно подешевели.»

Вы удивитесь, но это развлечение по-прежнему популярно, просто теперь никто не использует для этого FPGA — давно разработаны и производятся специализированные ASIC.
Для Bitcoin – используют, и в этом нет никаких сомнений. Но ASIC, исходя из своего названия (Application-specific integrated circuit), могут быть использованы только для определенной задачи.

И история нашей жизни состоит в том, что устройства, специализирующиеся на определенной задаче, – выигрывают у устройств общего назначения (если так можно сказать об FPGA). Поэтому все те Ztex, Icarus, BFL майнеры, к сожалению, остались не у дел, из-за развития новых технологий. Или вы хотели сказать о чем-то ином?
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

1 January 2002

Location

Россия

Employees

501–1,000 employees

Registered

28 March 2011

Habr blog