图片: 像素我们(不仅是我们)已经谈论SS7信令网络的安全性已有相当长的时间了,但是,仍然存在很多怀疑:“没有人可以访问SS7”,“即使有人可以访问SS7并开始非法活动,它会立即被源运营商“甚至”阻止,GSMA正在监视所有人,如果有的话,还会监视任何人。
但是,实际上,在安全监视项目中,我们看到攻击者可以在一个操作员的深度内连接到SS7网络已有多年。 此外,攻击者无需等待一个源运营商中的连接被检测到并被阻止,他们可以同时在其他运营商中搜索(并找到)连接,并且可以一次从多个位置同时对同一目标进行操作。
直到最近,我们和其他参与电信安全性的公司都考虑了信号网络中的以下入侵者模型(按概率顺序):
- 通过电信运营商内部人员访问信令网络的违规者;
- 由国家机构控制的违反者;
- 通过黑客入侵电信运营商而进入信令网络的入侵者。
通常最不可能出现真正入侵电信运营商网络的入侵者。 几乎不可能通过无线电接入子系统对移动运营商进行入侵,进而进一步接入信号网络。 现在我们已经可以说:这种黑客攻击几乎是不可能的(就像过去时一样),因为在刚刚结束于迪拜的Hack In The Box信息安全会议上,一群研究人员
表明 ,攻击者可以访问SS7网络,通过自己的无线电接口入侵移动运营商。
攻击方式
当订户连接到移动Internet时,其IP会话将从订户的设备(无论是通过调制解调器连接的智能手机,平板电脑还是计算机)通过隧道传输到GGSN节点(对于2G / 3G网络而言)或PGW节点(对于LTE网络) ) 当攻击者建立批处理会话时,他可以扫描边界节点以通过发现并利用其能够深入渗透到运营商基于IP的网络中来查找漏洞。
一旦进入了移动运营商的边界,攻击者就必须找到提供VAS服务并连接到信令网络的平台。 在研究人员展示的示例中,它是RBT(回铃音)平台,它播放的是旋律而不是提示音。 该平台通过SS7信令通道与HLR和MSC节点连接。
安装和操作RBT平台的网络工程师并未对其安全性给予应有的重视,显然是考虑到它位于运营商的范围内。 因此,研究人员能够相对快速地访问该系统并增加其对根级别的权限。
此外,由于具有RBT系统的管理员权限,研究人员安装了旨在生成信号流量的开源软件。 他们使用此软件扫描了内部信令网络,并接收了网络环境的地址-HLR和MSC / VLR。
现在,研究人员知道了网元的地址并具有完全控制连接到SS7信令网络的网元的能力,从而获得了用作测试受害者的手机的IMSI,然后获得了有关其位置的信息。 如果攻击者对信号网络具有类似的访问权限,则他们可以攻击任何移动运营商的任何用户。
有什么问题
为了开始自卫,人们需要了解究竟是什么使先前被认为无法实现的攻击成为可能。 答案很简单:问题出在多个漏洞上,这些漏洞主要是由硬件配置错误引起的。
技术进步(其成果是新服务)也带来了新的漏洞。 电信运营商提供的服务越多,工程师在设置设备方面的责任就越大。 包括从信息安全的角度来看,大量的技术要求使用更严肃的方法来使用它们。 但是,不幸的是,这并不是到处都可以理解的。
如何保护自己
在他们报告的总结中,研究人员向移动运营商提供了一些建议,以帮助他们避免如何避免来自真实入侵者的此类攻击。 首先,必须仔细配置内部骨干IP网络,进行流量隔离,将服务绑定到相应的网络接口,限制来自移动设备和Internet的网络元素的可用性,并且不使用默认密码。 换句话说,IP网络的所有网络元素都必须遵守安全标准和策略。 为此,Positive Technologies建议使用MaxPatrol 8解决方案,该解决方案将帮助您扫描内部网络的网络元素并在攻击者执行此操作之前先查找漏洞。
其次,您需要使用主动信令网络安全工具,例如SS7防火墙。 如果攻击者仍然设法通过无线电子系统或Internet来未经授权地访问信号网络,则此类解决方案将防止来自信号网络外部的攻击以及来自移动运营商网络的针对其他网络的攻击。
第三,必须使用一种系统来监视信号流量和入侵检测的安全性,以便及时检测到攻击尝试并能够快速阻止恶意节点。
顺便说一下,
PT电信攻击发现系统可以完美地管理最后两个任务。
我们对SS7网络安全性的研究:
由正向技术公司电信运营商安全专家Sergey Puzankov
发布