Ss7 протокол что это
Атака на протокол SS7: как перехватить чужие звонки и SMS
И вот неожиданно настали неспокойные деньки и для пользователей SMS верификации. Уже сейчас есть возможность за небольшую сумму денег при наличии среднего уровня мастерства получить все ваши SMS так, что вы об этом никогда не узнаете!
Случился такой разрыв шаблона благодаря уязвимости протокола SS7 в сетях операторов сотовой связи.
Что такое SS7?
Протокол SS7, также известный как Сигнализационная система № 7, относится к сети передачи данных и к ряду технических протоколов или правил, которые регулируют обмен данными по ним. Он был разработан в 1970-х годах для отслеживания и подключения вызовов в разных сетях операторов связи, но теперь он обычно используется для расчета биллинга сотовой связи и отправки текстовых сообщений в дополнение к маршрутизации мобильных и стационарных вызовов между операторами и региональными коммутационными центрами.
История уязвимости
Как не удивительно, но стало известно о наличии этой уязвимости еще в далекие времена. Еще всем известный Стив Джобс в своем гараже осуществил первые атаки, сделав, так называемую, бесплатную сотовую связь, используя уязвимости. С того времени часть недочетов была закрыта, но по прежнему SS7 подвержена удачным атакам.
В феврале 2014 года посол США в Украине потерпел неприятную утечку. Секретный разговор между ним и помощником госсекретаря США Викторией Нуланд был опубликован на YouTube, в котором Нуланд говорил пренебрежительно о Европейском союзе.
Разговор произошел по незашифрованным телефонам, и официальные лица США сообщили журналистам, что они подозревают, что звонок был перехвачен в Украине, но не сказали, как это было сделано. Некоторые эксперты считают, что это произошло с использованием уязвимостей в мобильной сети передачи данных, известной как SS7, которая является частью базовой инфраструктуры.
Только в декабре 2014 года телекоммуникационные компании начали рассматривать инструменты пресечения атак SS7. Именно тогда Карстен Нол из Берлинских исследовательских лабораторий по безопасности и независимый исследователь по имени Тобиас Энгель выступили с сообщениями о SS7 на Конгрессе связи Хаоса в Германии, спустя несколько месяцев после обнаружения украинского инцидента. Энгель продемонстрировал SS7-метод для отслеживания телефонов в 2008 году, но этот метод не был настолько «кричащим», как те, которые он и Нол описали в 2014 году. Последнее побудило регулирующие органы в Северной Европе потребовать, чтобы операторы начали применять меры по предотвращению атак SS7 к концу 2015 года.
Как осуществить атаку на SS7?
Злоумышленник подключается к сигнальной сети SS7 и отправляет служебную команду Send Routing Info для SM (SRI4SM) в сетевой канал, указывая номер телефона атакуемого абонента в качестве параметра. Домашняя абонентская сеть отправляет в ответ следующую техническую информацию: IMSI (International Mobile Subscriber Identity) и адрес MSC, по которому в настоящее время предоставляет услуги подписчику.
После этого злоумышленник изменяет адрес биллинговой системы в профиле подписчика на адрес своей собственной псевдобиллинговой системы (например, сообщает, что абонент прилетел на отдых и в роуминге зарегистрировался на новой биллинговой системе). Как известно, никакую проверку такая процедура не проходит. Далее атакующий вводит обновленный профиль в базу данных VLR через сообщение «Insert Subscriber Data» (ISD).
Когда атакуемый абонент совершает исходящий звонок, его коммутатор обращается к системе злоумышленника вместо фактической биллинговой системы. Система злоумышленника отправляет коммутатору команду, позволяющую перенаправить вызов третьей стороне, контролируемой злоумышленником.
В стороннем месте устанавливается конференц-связь с тремя подписчиками, две из них являются реальными (вызывающий абонент A и вызываемый B), а третий вводится злоумышленником незаконно и способен прослушивать и записывать разговор.
Соответствующим образом получаем и SMS атакуемого. Имея доступ к псевдобиллинговой системе, на которую уже зарегистрировался наш абонент, можно получить любую информацию, которая приходит или уходит с его телефона.
Как получить нелегальный доступ к SS7 сети?
Как мы увидели, имея доступ к SS7 сети, произвести атаку не составляется труда. Как же получить нелегальный доступ к сети?
Доступ продают в даркнете, а при желании можно найти и бесплатно. Такая доступность обусловлена тем, что в мало развитых государствах получить статус оператора очень просто, соответственно и получить доступ к SS7 хабам. Так же присутствуют недобросовестные работники у операторов.
Что предпринимают провайдеры и интернет ресурсы с SMS верификацией?
В данный момент операторы медленно закрывают многочисленные дыры в SS7, несмотря на то, что некоторые даже не признают их наличие. Кто-то обвиняет в разжигании паники вокруг этой проблемы, кто-то воздерживается от комментариев, кто-то говорит обтекаемые фразы, типа: «Безопасность наших клиентов стоит у нас в приоритете». Тем не менее, на сегодняшний день этому вопросу не уделяется должного внимания со стороны операторов, а доступность эксплуатации этой уязвимости, как никогда велика.
Как защититься от перехвата СМС и прослушки звонков?
Есть и хорошие новости. Представители интернет услуг, которые на самом деле заботят о своих клиентах, уже либо имеют, либо спешно готовят альтернативы SMS верификации. Например, vk.com, можно включить двухфакторную авторизацию с помощью Google Authenticator.
Компания Apple готовит новый механизм двухфакторной авторизации для защиты Apple ID. Напомним, что завладев учетными данными Apple ID можно ни много ни мало заблокировать и полностью стереть все ваши Apple устройства удаленно. К сожалению, на данный момент пароль можно восстановить через SMS, которое в свою очередь, как вы узнали, можно перехватить.
Хотелось бы выделить важный совет, который редко можно найти на просторах интернета. Он очень простой, но действенный.
Учитывая, что псевдобиллинговые системы злоумышленников в большинстве случаев представляются иностранными операторами (сообщают, что вы в международном роуминге), то достаточно просто отключить на телефоне возможность международного роуминга. Это можно сделать у вашего оператора сотовой связи бесплатно. Если вам нет острой необходимости именно с этого телефона общаться в роуминге, то это решение сильно обезопасит вас от тех неприятностей, которые были описаны в этой статье.
Заключение
Как же складываются подобные ситуации? Протокол SS7 был создан много лет тому назад. Его безопасности просто не уделяли должного внимания на протяжении всего этого времени. В тоже время в данный момент лидеры многих развитых стран делают акцент на «кибер вооружение». Развитие кибершпионажа развивается огромными темпами. Крохи с этого стола «кибер инструментов» попадают в руки злоумышленников и тогда страдают обычные люди.
Нужно не забывать об этом и поддерживать инструменты массового использования на актуальном уровне безопасности.
Вы будете шокированы, но даже в таких критически важных местах, как авиация, до сих пор используется небезопасные способы общения между самолетами и наземными станциями. Любой хакер среднего уровня может фальсифицировать сигналы от диспетчера или борта самолета.
Данный механизм мы опишем в последующих статьях.
Следите за публикациями и будьте бдительны!
Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!
Signaling System #7 / Система сигнализации №7
Signaling System #7 / Система сигнализации №7 — это набор сетевых протоколов, обеспечивающих обмен служебными сообщениями между мобильными станциями (мобильными телефонами) и телефонными станциями, а также между самими телефонными станциями.
В настоящее время SS#7 используется, как стандарт сигнализации в телефонных сетях.
В данной статье будет описана структура и принцип действия SS#7.
Введение
Все телефонные звонки состоят из двух неотъемлемых компонентов. Первый и наиболее очевидный – это фактическое содержание – наши голоса, данные факса, модема и т.д. Второй компонент – это информация, которой обмениваются сетевые устройства для организации соединения и доставки данных предназначенному пункту назначения.
SS#7 – это стек протоколов, описывающий способы коммуникации между телефонными распределителями (switches) в открытых телефонных сетях. Используется телефонными компаниями для межстанционной сигнализации. В прошлом, внутри полосная (in-band) сигнализация использовала межстанционные магистрали. Данный способ сигнализации предусматривал один общий канал для использования обоих компонентов телефонных звонков. Данный метод не был эффективен и вскоре был заменён вне полосным.
Для правильного понимания Системы Сигнализации №7, в первую очередь необходимо понять основные недостатки предыдущих методов сигнализации, используемых в PSTN (Public Switched Telephone Network). До недавнего прошлого, все телефонные соединения осуществлялись множеством техник, основанных на внутри полосной общеканальной сигнализации.
Сеть, использующая внеполосную общеканальную сигнализацию, представляет собой совокупность двух сетей в одной:
SS#7 является основным межстанционным протоколом ISDN. Но с не меньшим успехом используется и за пределами ISDN.
Уровни протокола SS#7
Система сигнализации №7 является взаимозаменяемым набором сетевых элементов, используемых для обмена сообщениями для поддержки телекоммуникационных функций. Протокол SS#7 разработан с целью продвижения этих возможностей и обслуживания сети, на которой они предоставляются.
Рис. 1 Строение стека протоколов SS#7
Message Transfer Part
Подсистема передачи сообщений
На данном уровне выполняются функции электронно-оптического преобразования, обеспечение необходимой мощности сигнала передачи. MTP1 совместим с разными интерфейсами (E1, T1).
Выполняет следующие функции: кадровая синхронизация, проверка ошибок при передаче одного кадра, согласование скорости передачи, организация повторной передачи кадров, в которых обнаружены ошибки.
На этом уровне формируется 3 вида кадров.
MSU (Message Signaling Unit) — кадр передачи, который используется для передачи сигнальных сообщений (для организации, разрыва соединений и т.д.).
Рис. 2 Строение кадра MSU
Цифры — количество бит каждого поля. Назначение всех полей будет описано далее.
LSSU (Link Status Signal Unit) — кадр передачи, который несёт информацию о статусе сигнальных сообщений, о состоянии соединения сигнализации.
Рис. 3 Строение кадра LSSU
FISU (Fill In Signaling Unit) — данный тип кадра не несёт информации и называется «пустым». Применяется в случае однонаправленной передачи сигнальных сообщений принимающим узлом для сигнализации передающему узлу о наличии ошибок и организации повторной передачи.
Рис. 4 Строение кадра FISU
Уровень MTP2 формирует кадр передачи, дополняя к существующим полям (Info, SIO, SIF или SI) следующими полями — флаги F, контрольным полем FCS (Frame Check Sequence), индикатор длины LI (Lenght Indicator), указательный бит вперёд FIB (Forward Indicator Bit), указательный бит назад BIB (Backward Indicator Bit), номер последовательности вперёд FSN (Forward Sequnce Number), номер последовательности назад BSN (Backward Sequnce Number).
В поле BSN сообщения MSU в направлении от узла А к узлу В вписывается номер последнего кадра, полученного А от В. Если А получил от В ошибку, то А вписывает в поле BSN номер кадра с ошибкой и вставляет «1» в поле BIB. В, получив это сообщение, отправляет кадр повторно и вписывает «1» в поле FIB, что означает повторную передачу.
Поле FSN применяется для указания номера последовательности передающей стороной, а BSN применяется для указания номера последовательности последнего принятого кадра. Т.е., отправляя первый кадр MSU, узел А вписывает в поле FSN «0». Если узел В получил кадр успешно, формирует ответное сообщение и вписывает принятый в FSN номер «0» в своё поле FSN. А, получив ответ от В, считывает поле FSN, убеждается в том, что его первый кадр дошёл успешно, формирует второй кадр и вписывает «0» в BSN. Таким образом, при передаче второго кадра от А к В, узел В также получает и отчёт о том, что его ответ на первый кадр узел А получил без ошибок. И так далее.
Битом BIB можно заказать повторную передачу, если на приёме возникла ошибка. Вписывается «1», если была и «0», если всё прошло успешно.
Битом FIB передающая сторона информирует принимающую сторону о наличии повторной передачи.
Функции данного уровня совпадают с функциями сетевого уровня модели OSI. Выполняет адресацию в сети SS#7, маршрутизацию.
На MTP3 формируются поля SIO, SIF и SI.
Поле SIF (Signaling Information Field) применяется для указания ID кода сигнального узла, при этом, указывается код узла, который передаёт сообщение (OPC — Originating Point Code), как и код узла, которому назначено данное сообщение (DPC — Destination Point Code).
Поле CIC (Circuit Identity Code) применяется для указания временного интервала (time-slot’a), который применяется для передачи сигнальных сообщений и находится в одном из потоков E1, T1.
Поле SIO (Service Information Octet) применяется для идентификации типа услуги. NI (Network Indicator) — указатель сети, служит для указания типа сети (национальная или интернациональная сеть). Pri (Priority) — данное поле, обычно, является резервом, в отдельных случаях может применяться для указания приоритета. SI (Service Indicator) — указывает к какому типу услуг относится сигнальное сообщение, которое находится в информационном поле.
На третьем уровне формируются сигнальные соединения между узлами.
SL (Signaling Link) — это соединения между двумя узлами, через которые происходит обмен сигнальными сообщениями. Как правило, число SL больше 2-х.
Два SL, связывающие два узла сигнализации, обычно входят в набор сигнальных линий SLS (Signaling Link Set). Набор SLS может содержать 2, 3 и более SL, в зависимости от ёмкости соединительной линии между АТС.
В сети SS#7 различают три типа сигнальных узлов:
SSP (Signaling Switching Point) — узел, выполняющий коммутацию узлов.
SСP (Signaling Control Point) — контролирует работу SSP, содержит базу данных, управляя тем самым доступом к услугам, которые предоставляет SSP.
STP (Signaling Transfer Point) — узел, выполняющийй функции маршрутизации сигнальных сообщений.
Telephony User Part (TUP)
Данный уровень содержит набор протоколов, предоставляющий возможность применения SS#7 в аналоговой сети стационарной телефонии, адаптированный к системе сигнализации с совмещённым каналом, применяющейся в аналоговой абонентской линии. В настоящее время не используется.
ISDN User Part (ISUP)
Набор протоколов, позволяющий применение SS#7 в сетях ISDN. Поддерживает принцип работы всех интерфейсов ISDN, определяет алгоритм формирования соединений.
Sifnaling Connection Control Part (SCCP)
Система управления соединением каналов сигнализации
Выполняет функции контроля за соединениями в сети SS#7. Позволяет организовать 4 вида передачи данных. Каждый вид характеризуется классом от 0 до 3.
Class 0
Формирование соединений без согласования между терминалами.
Class 1
Формирование соединения с учётом номера последовательности при передаче. Не ориентировано на соединение.
Class 2
Формирование соединения с предварительным согласованием, после происходит передача.
Class 3
Формирование соединения с предварительным согласованием, после которого происходит передача данных с контролем скорости передачи.
Transanction Capability Application Part (TCAP)
Прикладная часть средств транзакций
Обеспечивает функции обработки данных для работы оборудования с удалённым доступом. TCAP применяется для обеспечения роаминга между сетями. В этом случае используется услуга «глобального переводчика», которая переводит код сигнального узла (SIF) в формат телефонного номера.
TCAP состоит из нескольких подуровней.
Mobile Application Part (MAP)
Набор протоколов, позволяющий применять SS#7 в мобильной сети. В этом случае, данные протоколы поддерживают все интерфейсы мобильной сети, определяют принцип hand-over’a, принципы формирования соединений.
IS 45
Набор протоколов, использующийся для обеспечения роаминга между сетями одного и того же стандарта, так и между сетями разных стандартов (GSM и CDMA, например).
Страх и ужас SS7
В одной из недавних статей нашего блога: “Безопасные телефоны, градация прослушек, и методы защиты”, было обсуждение общих принципов атак на сотовые телефоны. Теперь поговорим одном из конкретных векторов, а именно — взломе на основе уязвимости в протоколе: SS7. Так ли страшен черт, как его малюют?
История SS7
Как это чаще всего бывает, уязвимость тянется еще с тех времен, когда никто не предполагал, что протоколом будут пользоваться настолько массово, а сделан он был для совсем других объемов телефонных емкостей и с подходом к шифрованию — “еще тех времен”. Подобные проблемы, когда используется “старое и проверенное временем” решение, авторы которого не задумывались о дальнейшем масштабировании, к сожалению, довольно распространены.
Табло показывает 3 января 1900 года, вместо 3 января 2000 года. Франция
Самый известный пример, наиболее истеричный и нелепый — «Проблема 2000», раздутая из того, что тип данных используемый для даты данных хранил только по два разряда, как во фразе, от которой Билл Гейтс уже устал открещиваться: «640 КБ должно хватить всем». Массовая паранойя превышала современную ковидную и продолжалась не один год, прочили падение всех банковских систем и самолетов, откат к каменному веку и прочие напасти. На деле же все прошло удивительно спокойно, никаких крупных сбоев не было даже в тех странах, которые этой проблемой не заморачивались. Зато было распилено несколько сотен олимпиардов иностранных денег, обогатив тьму “маректологов от айти”.
Увы, с обсуждаемым протоколом все совсем не так весело и безобидно. Наиболее распространенное его название звучит как “SS7”, а расшифровывается эта аббревиатура: “Signaling System №7”. “Сигнальная система” требуется для передачи служебных сообщений в телефонной сети. Первоначально они были предельно простые: сигнал об установлении соединения между абонентами; о том что линия занята; для передачи цифрового номера абонента и тому подобных данных, простых и незамысловатых, которые исчерпали себя, когда телефонная сеть стала стремительно расширяться, а ее устройство — еще более стремительно усложняться. С середины 70-х и до начала 80-х телефонные компании неспешно занимались разработкой усовершенствованной системы команд, седьмой по счету, которая и получила имя SS7.
ТBlueBox Стивена Возняка
Новая система отлично себя зарекомендовала, существенно выросла скорость передачи данных, до мизерных с современной точки зрения — 64 кбит/с, но существенно более высоких, чем считанные килобиты в прошлой версии. И она стала безопаснее, потому что управляющие сигналы были выделены в отдельный канал, недоступный обычному пользователю. Притчей во языцех стала история о том, как Джобс и Возняк хакали телефонную сеть с помощью свистка из коробки с хлопьями и устройством Blue Box. Это была атака на предыдущую версию протокола под названием SS6, до смешного примитивная, но эффективная. Седьмая версия исключала взлом с помощью таких простых способов.
Первой внедрила эту систему американская компания AT&T, через несколько лет подтянулась Европа с Великобританией и к концу 80-х SS7 вытеснила весь зоопарк предыдущих поколений. Кроме очевидных преимуществ, повсеместное принятие этого протокола — обеспечило унификацию и совместимость телефонных сетей по всему миру, многие привычные услуги, такие как: АОН, удержание вызова, черные списки, переадресация, и даже СМС — стали возможны как раз благодаря новой версии.
Общие детали
Проблема пришла — откуда не ждали. Поскольку никто из создателей протокола не предполагал, что сигнальная линия будет использоваться для передачи чего-то кроме служебных сигналов, так как ее канал был отделен от голосовых и недоступен пользователям, то разработчики решили не расходовать понапрасну вычислительные ресурсы и передачу данных не шифровали. Вообще никак! В наше время о таком и подумать страшно. Повсеместное внедрение SSL на сайтах, активная популяризация шифрования всего и вся, VPN и мессенджеры с end-to-end шифрованием — современному пользователю доступна самая изощренная криптография, без всякого труда, проще даже чем PGP. Сайт работающий по протоколу http сегодня вызывает подозрение и недоумение, суды всего мира бьются над доступом к переписке пользователей в мессенджерах. А в середине 70-х никто и не предполагал, каких невиданных масштабов достигнет сеть Интернет.
Но, интернет начал свое победное шествие по планете и в начале 2000-х был разработан протокол SIGTRAN, который поддерживал все функции SS7, но еще мог выполнять адресацию по протоколу IP и передавать данные через SCTP, одному из транспортных протоколов типа TCP и UDP (старожилы с возрастом примерно как у SS7), но имеющий свои преимущества, такие как многопоточность, защиту от DDoS и некоторые другие. Все это позволило получить доступ в служебный канал SS7, который раньше был недоступен.
Благодаря тому, что шифрования в этом канале изначально не было, а оборудование, для ускорения и упрощения работы, проектировалось таким образом, что источник управляющего пакета не проверялся, потому что это очень серьезно замедлило бы работу всей сети — то злоумышленник получал полный контроль над ним, без особого труда, потому что его команды было не отличить от операторских. Достаточно было только иметь компьютер с необходимым набором софта и доступом в интернет. Особо неприятно то, что хакеру абсолютно не требуется находиться близко к взламываемому абоненту, он может атаковать из любой точки земного шара. Ситуация осложняется еще и тем, что работа с протоколом SS7, у подавляющего большинства провайдеров — зашита “в железе”, а поменять аппаратную прошивку далеко не так просто, как накатить обновления обычной программы. Ко всему прочему — это весьма дорого и требует большего количества времени, потому организаторы связи не торопятся менять свое оборудование и переводить его на другие протоколы.
Что же можно сделать с помощью атаки на через этот протокол?
Если коротко — то почти все что угодно, потому что злоумышленник организует классический перехват по принципу MitM. Можно читать чужие СМС, подделывать USSD-запросы, определять местонахождение абонента и даже слушать его телефонные разговоры или отключить ему телефонную связь. Причем, взлом СМС сейчас стал намного опаснее, чем прямая прослушка, потому что перехваченные сообщения позволяют получить доступ к интернет-банкингу, украсть пароли для авторизации в соцсетях и мессенджерах, даже к “непробиваемому” Telegram. Двухфакторная авторизация не спасает, потому что хакеру будут доступны все коды передаваемые в сообщениях.
Некоторые подробности
Как же осуществляются такие атаки? Разберем, в общих чертах, их механизм, но без углубления в дебри понятные только инженерам с соответствующим образованием.
Вопреки распространенному мнению — телефонный номер (MSISDN: Mobile Subscriber Integrated Services Digital Number) уже давно не основной отличительный признак абонента, сейчас им является идентификатор СИМ-карты установленной в его телефоне: IMSI (International Mobile Subscriber Identity). Но, для того чтобы осуществить атаку через SS7, достаточно знать только номер абонента.
Получив доступ к оборудованию провайдера, которое принимает команды по протоколу SS7 — хакер, с помощью специального софта на своем компьютере, организует поддельную телефонную сеть, через которую отсылает СМС на номер жертвы. Оборудование провайдера строит маршрут до аппарата абонента, сопоставляя MSISDN с его IMSI, через базу данных HLR (Home Location Register), а потом послушно предоставляет взломщику не только идентификатор СИМ-карты жертвы, но и адрес коммутатора, который обслуживает его в данный момент (MSC/VLR: Mobile Switching Center / Visitor Location Register). После этого на коммутатор, отправляется запрос об идентификаторе базовой станции работающей с симкой жертвы. В интернете есть множество онлайн-сервисов, которые позволяют по идентификатору соты выдать ее координаты, а значит и примерное местоположение абонента, до нескольких десятков или сотен метров — по принципу всем известного A-GPS.
Геопозиция является приятным, но не самым важным бонусом для атакующего, его следующая цель — перехват СМС. Для этого он отправляет в базу HLR — IMSI жертвы и связывает его со своим коммутатором MSC/VLR. Теперь все сообщения будут идти к злоумышленнику, а чтобы атакуемый ничего не заметил, делается еще одно переопределение на реальный коммутатор обслуживающий телефон цели и тогда сообщение будет получено “как обычно”.
Last but not least шаг — прослушивание телефонных переговоров. Взломщик, с помощью служебных команд SS7, подменяет в биллинге адрес абонента на свой, перехватывает запрос на оплату разговора и соединяется с тем человеком, которому звонила жертва. А после этого устраивает тройную конференц-связь. Поскольку современная аппаратура уже не такая медлительная, как старые шаговые АТС, то никаких таинственных щелчков и при этом пауз не появляется, все делается за микросекунды и совершенно незаметно.
И наконец — старый добрый отказ в обслуживании. Атакующий просто переводит вызовы на произвольные номера и жертва не может ни с кем связаться.
Известные примеры
Кажущаяся простота вызывает закономерный вопрос — а сколько же подобных атак было произведено и как давно хакеры пользуются этой уязвимостью? Оказывается, не так уж и много.
Самые известные атаки, как и ожидалось — были продемонстрированы на хакерских конгрессах, в том числе и на обсуждаемом в прошлой статье “Chaos Computer Club”. Хотя специалисты давно знали о проблемах этого протокола, одно из первых публичных обсуждений состоялось на CCC в 2008 году, немецкий эксперт по безопасности Тобиас Энгель, рассказал о способах слежки за абонентами сотовых сетей на основе этих уязвимостей, для которого достаточно знать только мобильный номер человека.
Тобиас Энгель выступает на CCC
Очередной всплеск интереса к SS7 произошел после откровений Сноудена в 2013 году, который рассказал о проекте SkyLock, в котором американские спецслужбы эксплуатировали описываемые уязвимости для слежки за людьми.
Уже известный читателями Карстен Нол, в 2016 году поставил публичный эксперимент в эфире телепрограммы 60 Minutes телеканала CBS. Через уязвимость в SS7 он взломал телефон специально приглашенного для этого американского конгрессмена Теда Лье. Последнего это настолько впечатлило, что он официально потребовал провести расследование этой проблемы.
Карстен Нол и Тед Лье
Особенно стараются популяризировать эту уязвимость фирмы продающие софт для обеспечения безопасности, почти в каждой статье на эту тему, перечисляются те или иные программные продукты призванные спасти мир от этой напасти.
Так ли всё плохо на самом деле?
Читатель, впечатленный всей этой информацией, может решить, что взломать телефон через SS7 так просто, что любой скрипт-кидди может перехватить переписку своей одноклассницы.
На самом деле все намного сложнее и напоминает паранойю периодически возникающую после очередной фотографии курьера в метро, который держит в руках мобильный терминал для оплаты по банковским картам. Сразу начинается истерика “ААА! Он будет снимать деньги у всех к метро, пользуясь бесконтактной оплатой и не выходят за лимит не требующий пин-кода. ”. На деле же, эта атака хоть и возможна, но никогда не будет осуществлена. Потому что, во-первых, деньги с карт пойдут не курьеру — а владельцу магазина, данные которого проверяются безопасниками банка до седьмого колена. Во-вторых, всякие лицензии и сборы на подключение эквайринга стоят много больше чем получится по быстрому украсть таким образом. В-третьих, никакие подобные транзакции не проводятся мгновенно, а деньги сначала замораживаются на счетах и долг ждут окончательного подтверждения законности транзакции, и будут откачены обратно, как только раскроется мошенничество. Но население азартно паникует, не смотря ни на что.
Примерно также выглядят и страшилки на тему SS7, потому что перед злоумышленником стоит несколько серьезных проблем.
Во-первых, надо иметь узкоспециализированный софт для работы с этим протоколом, который пока в свободном доступе не был замечен. Многочисленные “продажи” таких программ в Даркнете — были фейковыми, для выманивания денег из школоты, с завлекалочками типа “Хочешь узнать, что пишет в Телеге твоя подружка?”.
Во-вторых, надо найти узкоспециализированного профессионала, который согласится участвовать в подобном мероприятии.
В-третьих, требуется получить доступ к оборудованию провайдера, что тоже не так легко. Надо или взломать его удаленно, или подкупить сотрудника компании, или найти оператора, который, официально, за вознаграждение, подключит хакеров к своей сети SS7. По слухам, африканские компании предоставляют такие услуги за несколько тысяч долларов, но это только слухи.
Тем более, даже если удастся договориться с провайдером, который даст вам доступ в свою SS7 сеть и выделит GT (Global Title, заголовок для маршрутизации сигнальных сообщений), надо чтобы он официально зарегистрировал злоумышленника как свой новый NE (Network Element) и обновил эту информацию у своих роуминг-партнеров, которые должны будут внести его в White List. Если же просто взломать серверы оператора, то максимум что получится сделать — организовать локальную DDoS атаку, без перехвата информации.
Все это выглядит намного сложнее, чем в горячих статьях уровня “Все пропало!”. Более того, как только станет известна информация, что кто-то подобным образом перехватил код авторизации, то его GT будет моментально забанен всеми операторами, а с “африканским помощником” могут разорвать сотрудничество. Потому, не каждый провайдер согласится рискнуть своей репутацией предоставив хакерам доступ в свою сеть для такого мошенничества, по крайней мере — не за тысячи долларов.
По сути, этот способ взлома доступен только спецслужбам, или может быть проделан в лабораторных условиях, по предварительной договоренности с жертвой и, может быть даже, с мобильными операторами. Более того, хоть сотовые компании и не спешат обновлять оборудование, они все равно стараются защитить свои сети и пользователей. Например, в ответ на хакерский запрос, могут выдавать не реальный IMSI абонента, а с несколькими измененными цифрами или временный, взятый из специального пула идентификаторов, созданного с целью защиты от подобного перехвата. Потому что операторы обычно заворачивают такие обращения на себя и сами занимаются доставкой СМС, не выдавая критичные данные на сторону. И это только один из способов противодействия.
Ко всему прочему, разработчики двухфакторной идентификации тоже не стоят на месте и все чаще используют не СМС, а передают код через собственную программу-аутентификатор.
Разрабатываются и используются новые алгоритмы, например TOTP, в котором пароль генерируется на основе текущего времени. Более того, при ДФА не только сервер проверяет СИМ-карту абонента, но и наоборот тоже.
Надеюсь, что эта информация немного успокоит вас на счет реальной опасности подобной атаки, а вы будете стараться пользоваться сервисами двухфакторной авторизации, не использующие СМС для подтверждения критичных действий, тем более что NIST (National Institute of Standards and Technology) настоятельно не рекомендует это делать, именно из-за проблем в SS7.