Image: PexelsNous (et pas seulement nous) parlons de la sécurité des réseaux de signalisation SS7 depuis longtemps, cependant, il y a encore beaucoup de scepticisme: "personne ne peut accéder à SS7", "même si quelqu'un a accès à SS7 et commence une activité illégitime, il sera immédiatement bloqué dans l'opérateur source »et même« la GSMA surveille tout le monde et, le cas échéant, donnera une tête à celui qui fait cela. »
Cependant, dans la pratique, dans les projets de surveillance de la sécurité, nous voyons que les attaquants peuvent être connectés au réseau SS7 dans les profondeurs d'un opérateur pendant des années. De plus, les attaquants n'attendent pas que leur connexion soit détectée et bloquée dans un opérateur source, ils recherchent (et trouvent) simultanément des connexions dans d'autres opérateurs, et peuvent travailler simultanément sur les mêmes cibles depuis plusieurs endroits à la fois.
Jusqu'à récemment, nous et d'autres sociétés impliquées dans la sécurité des télécommunications considérions les modèles d'intrusion suivants dans les réseaux de signaux (par ordre de probabilité):
- les contrevenants qui ont eu accès aux réseaux de signalisation par l'intermédiaire d'un initié d'un opérateur de télécommunications;
- les contrevenants contrôlés par les organes de l'État;
- les intrus qui ont eu accès aux réseaux de signalisation en piratant un opérateur de télécommunications.
L'existence d'intrus qui ont réellement piraté le réseau de l'opérateur de télécommunications est généralement la moins probable. Le piratage de l'opérateur mobile via le sous-système d'accès radio avec un accès supplémentaire au réseau de signaux est considéré comme presque impossible. Maintenant, nous pouvons déjà dire: un tel piratage
était considéré comme presque impossible (comme ça, au passé), car lors de la conférence sur la sécurité de l'information Hack In The Box, qui vient de se terminer à Dubaï, un groupe de chercheurs a
montré qu'un attaquant pouvait accéder au réseau SS7, pirater un opérateur mobile via sa propre interface radio.
Modèle d'attaque
Lorsqu'un abonné se connecte à Internet mobile, sa session IP est tunnelée depuis l'appareil de l'abonné, qu'il s'agisse d'un smartphone, d'une tablette ou d'un ordinateur connecté par modem, au nœud GGSN (dans le cas d'un réseau 2G / 3G) ou au nœud PGW (dans le cas d'un réseau LTE ) Lorsqu'un attaquant établit une session par lots, il peut analyser le nœud frontière afin de rechercher des vulnérabilités en trouvant et en exploitant ce qu'il est capable de pénétrer plus profondément dans le réseau IP de l'opérateur.
Une fois à l'intérieur du périmètre de l'opérateur mobile, l'attaquant doit trouver des plates-formes qui fournissent des services VAS et sont connectées à des réseaux de signalisation. Dans l'exemple présenté par les chercheurs, c'est la plateforme RBT (Ring-Back Tone) qui joue une mélodie au lieu d'un bip. Cette plate-forme était connectée via des canaux de signalisation SS7 avec des nœuds HLR et MSC.
Les ingénieurs du réseau qui ont installé et exploité la plate-forme RBT n'ont pas prêté toute l'attention voulue à sa sécurité, considérant apparemment qu'elle était située à l'intérieur du périmètre de l'opérateur. Par conséquent, les chercheurs ont pu accéder relativement rapidement au système et augmenter leurs droits au niveau racine.
De plus, ayant des droits d'administrateur sur le système RBT, les chercheurs ont installé un logiciel open source conçu pour générer du trafic de signal. À l'aide de ce logiciel, ils ont scanné le réseau de signalisation interne et reçu les adresses de l'environnement réseau - HLR et MSC / VLR.
Maintenant, connaissant les adresses des éléments du réseau et ayant la capacité de contrôler complètement l'élément du réseau connecté au réseau de signalisation SS7, les chercheurs ont obtenu les IMSI de leurs téléphones, qui ont été utilisés comme victimes de test, puis des informations sur leur emplacement. Si les attaquants avaient un accès similaire au réseau de signaux, ils pourraient attaquer n'importe quel abonné de n'importe quel opérateur mobile.
Quel est le problème
Pour commencer à se défendre, il faut comprendre quel est exactement le problème qui a rendu possible une attaque qui était auparavant considérée comme irréalisable. La réponse est simple: le problème est dans plusieurs vulnérabilités, qui sont principalement causées par des erreurs dans la configuration matérielle.
Le progrès technologique, dont les fruits sont de nouveaux services, apporte également de nouvelles vulnérabilités. Plus un opérateur de télécommunications fournit de services, plus la responsabilité des ingénieurs dans la configuration des équipements est grande. Un grand nombre de technologies nécessitent une approche plus sérieuse de leur utilisation, y compris du point de vue de la sécurité de l'information. Mais, malheureusement, cela n'est pas compris partout.
Comment se protéger
En conclusion de leur rapport, les chercheurs ont donné aux opérateurs mobiles un certain nombre de recommandations sur la façon d'éviter de tels hacks de vrais intrus. Premièrement, il est nécessaire de configurer soigneusement le réseau IP de réseau fédérateur interne, de procéder à la séparation du trafic, de lier les services aux interfaces réseau correspondantes, de limiter la disponibilité des éléments de réseau à partir des appareils mobiles et d'Internet et de ne pas utiliser de mots de passe par défaut. En d'autres termes, tous les éléments de réseau d'un réseau IP doivent être conformes aux normes et politiques de sécurité. Pour cela, Positive Technologies recommande d'utiliser la solution MaxPatrol 8, qui vous aidera à analyser les éléments du réseau du réseau interne et à trouver les vulnérabilités avant que l'attaquant ne le fasse.
Deuxièmement, vous devez utiliser des outils de sécurité de réseau de signalisation actifs, tels que le pare-feu SS7. Une solution de cette classe empêchera les attaques de l'extérieur du réseau de signaux, ainsi que les attaques du réseau de l'opérateur mobile contre d'autres réseaux - si l'attaquant réussit toujours à obtenir un accès non autorisé au réseau de signaux via un sous-système radio ou Internet.
Et troisièmement, il est impératif d'utiliser un système de surveillance de la sécurité du trafic du signal et de détection des intrusions afin de détecter en temps opportun les tentatives d'attaque et de pouvoir bloquer rapidement un nœud malveillant.
Soit dit en passant, le système
PT Telecom Attack Discovery gère parfaitement les deux dernières tâches.
Nos recherches sur la sécurité des réseaux SS7:
Publié par Sergey Puzankov, expert en sécurité des opérateurs télécoms, Positive Technologies