Bild: PexelsWir (und nicht nur wir) haben schon seit einiger Zeit über die Sicherheit von SS7-Signalisierungsnetzwerken gesprochen, es besteht jedoch immer noch große Skepsis: „Niemand kann auf SS7 zugreifen“, „selbst wenn jemand Zugriff auf SS7 erhält und illegitime Aktivitäten startet. es wird sofort im Quellbetreiber blockiert “und sogar„ GSMA beobachtet alle und gibt, wenn überhaupt, einen Hinweis darauf, wer dies tut. “
In der Praxis stellen wir jedoch in Sicherheitsüberwachungsprojekten fest, dass Angreifer jahrelang in den Tiefen eines Betreibers mit dem SS7-Netzwerk verbunden sein können. Darüber hinaus warten Angreifer nicht darauf, dass ihre Verbindung in einem Quelloperator erkannt und blockiert wird, sondern suchen (und finden) gleichzeitig Verbindungen in anderen Operatoren und können gleichzeitig an mehreren Orten gleichzeitig an denselben Zielen arbeiten.
Bis vor kurzem haben sowohl wir als auch andere Unternehmen, die mit Telekommunikationssicherheit befasst sind, die folgenden Eindringlingsmodelle in Signalnetzen (in der Reihenfolge der Wahrscheinlichkeit) berücksichtigt:
- Verstöße, die durch einen Insider eines Telekommunikationsbetreibers Zugang zu Signalisierungsnetzen erhalten haben;
- von staatlichen Stellen kontrollierte Verstöße;
- Eindringlinge, die durch Hacken eines Telekommunikationsbetreibers Zugang zu Signalisierungsnetzwerken erhalten haben.
Die Existenz von Eindringlingen, die tatsächlich das Netzwerk des Telekommunikationsbetreibers gehackt haben, ist normalerweise am unwahrscheinlichsten. Das Hacken des Mobilfunkbetreibers über das Funkzugangssubsystem mit weiterem Zugriff auf das Signalnetz wird als nahezu unmöglich angesehen. Jetzt können wir bereits sagen: Ein solcher Hack
wurde als nahezu unmöglich angesehen (einfach so in der Vergangenheitsform), denn auf der Informationssicherheitskonferenz Hack In The Box, die gerade in Dubai endete, zeigte eine Gruppe von Forschern
, dass ein Angreifer Zugang zum SS7-Netzwerk erhalten konnte. Hacken eines Mobilfunkbetreibers über seine eigene Funkschnittstelle.
Angriffsmuster
Wenn ein Teilnehmer eine Verbindung zum mobilen Internet herstellt, wird seine IP-Sitzung vom Gerät des Teilnehmers getunnelt, unabhängig davon, ob es sich um ein Smartphone, Tablet oder einen Computer handelt, der über ein Modem mit dem GGSN-Knoten (im Fall eines 2G / 3G-Netzwerks) oder dem PGW-Knoten (im Fall eines LTE-Netzwerks) verbunden ist ) Wenn ein Angreifer eine Batch-Sitzung einrichtet, kann er den Grenzknoten durchsuchen, um nach Schwachstellen zu suchen, diese zu finden und auszunutzen, die er tiefer in das IP-basierte Netzwerk des Betreibers eindringen kann.
Sobald sich der Angreifer im Umkreis des Mobilfunkbetreibers befindet, muss er Plattformen finden, die VAS-Dienste bereitstellen und mit Signalisierungsnetzwerken verbunden sind. In dem von den Forschern vorgestellten Beispiel war es die RBT-Plattform (Ring-Back Tone), die eine Melodie anstelle eines Pieptons spielt. Diese Plattform wurde über SS7-Signalisierungskanäle mit HLR- und MSC-Knoten verbunden.
Netzwerktechniker, die die RBT-Plattform installiert und betrieben haben, haben ihre Sicherheit nicht gebührend berücksichtigt, da sie sich offenbar im Umkreis des Betreibers befand. Daher konnten die Forscher relativ schnell auf das System zugreifen und ihre Rechte auf Root-Ebene erhöhen.
Mit Administratorrechten für das RBT-System installierten die Forscher Open-Source-Software zur Erzeugung von Signalverkehr. Mit dieser Software scannten sie das interne Signalisierungsnetzwerk und erhielten die Adressen der Netzwerkumgebung - HLR und MSC / VLR.
Nachdem die Forscher nun die Adressen der Netzwerkelemente kannten und das mit dem SS7-Signalisierungsnetzwerk verbundene Netzwerkelement vollständig steuern konnten, erhielten sie die IMSIs ihrer Telefone, die als Testopfer verwendet wurden, und anschließend Informationen über ihren Standort. Wenn Angreifer einen ähnlichen Zugang zum Signalnetzwerk hätten, könnten sie jeden Teilnehmer eines Mobilfunkbetreibers angreifen.
Was ist das Problem
Um sich zu verteidigen, muss man verstehen, was genau das Problem ist, das einen Angriff ermöglicht hat, der zuvor als nicht realisierbar galt. Die Antwort ist einfach: Das Problem liegt in mehreren Schwachstellen, die hauptsächlich durch Fehler in der Hardwarekonfiguration verursacht werden.
Der technologische Fortschritt, dessen Früchte neue Dienste sind, bringt auch neue Schwachstellen mit sich. Je mehr Dienste ein Telekommunikationsbetreiber bereitstellt, desto größer ist die Verantwortung der Ingenieure bei der Einrichtung der Geräte. Eine große Anzahl von Technologien erfordert einen ernsthafteren Ansatz für ihre Verwendung, auch unter dem Gesichtspunkt der Informationssicherheit. Dies wird aber leider nicht überall verstanden.
Wie Sie sich schützen können
Zum Abschluss ihres Berichts gaben die Forscher Mobilfunkbetreibern eine Reihe von Empfehlungen, wie solche Hacks von echten Eindringlingen vermieden werden können. Erstens ist es notwendig, das interne Backbone-IP-Netzwerk sorgfältig zu konfigurieren, eine Verkehrstrennung durchzuführen, Dienste an die entsprechenden Netzwerkschnittstellen zu binden, die Verfügbarkeit von Netzwerkelementen von Mobilgeräten und aus dem Internet zu begrenzen und keine Standardkennwörter zu verwenden. Mit anderen Worten, alle Netzwerkelemente eines IP-Netzwerks müssen Sicherheitsstandards und -richtlinien entsprechen. Zu diesem Zweck empfiehlt Positive Technologies die Verwendung der MaxPatrol 8-Lösung, mit der Sie die Netzwerkelemente des internen Netzwerks scannen und Schwachstellen finden können, bevor der Angreifer dies tut.
Zweitens müssen Sie Sicherheitstools für aktive Signalisierungsnetzwerke verwenden, z. B. die SS7-Firewall. Eine Lösung dieser Klasse verhindert Angriffe von außerhalb des Signalnetzwerks sowie Angriffe des Mobilfunknetzes auf andere Netze - wenn es dem Angreifer weiterhin gelungen ist, über ein Funksubsystem oder das Internet unbefugten Zugriff auf das Signalnetzwerk zu erhalten.
Und drittens muss unbedingt ein System zur Überwachung der Sicherheit des Signalverkehrs und der Erkennung von Eindringlingen verwendet werden, um Angriffsversuche rechtzeitig zu erkennen und einen böswilligen Knoten schnell blockieren zu können.
Das
PT Telecom Attack Discovery- System verwaltet übrigens die letzten beiden Aufgaben perfekt.
Unsere Forschung zur SS7-Netzwerksicherheit:
Gepostet
von Sergey Puzankov, Sicherheitsexperte für Telekommunikationsbetreiber, Positive Technologies