2. SS7 - Technology from the 1970s
SS7 network
developed in the 1970s – 1990s
Mobile communication
developed in the 2000s
Mobile internet
Social networks
Messengers
Online banking
Internet of Things
What we use today and
what technology lies
at the heart of it
3. SS7 Vulnerabilities
More than 50 different SS7 attacks:
• IMSI disclosure
• Location Discovery
• Subscriber DoS
• SMS interception and spoofing
• Calls interception
• Reading chats of Telegram,
WhatsApp
4. How to Get Into Telecom Networks
Legal with license
Semi legal without Find a guy Hack a border device
14. How to Intercept SMS
• A virus on a smartphone – and what if a certain
subscriber is a target? How to infect him
particularly?
• Reissue SIM? It works only once.
• Radio signal interception (GSM A5/1)? You need to
be nearby.
• Via SS7 network
15. Interception of incoming SMS messages
Messages:
SRI4SM – SendRoutingInfoforSM Procedure
UL – UpdateLocation Procedure
20. New Diameter – old threats
SS7 Diameter
Interception
Tracking
DoS on subscriber
DoS on network equipment
Fraud
21. LTE nodes
• HSS – Home Subscriber
Server
• MME - Mobility
Management Entity
• S6a interface defined in
3GPP specification:
TS29.272
Scheme. EPC nodes and interfaces / Joe Deu-Ngoc / CC BY-SA 4.0
22. Intelligence gathering
IMSI Disclosure
1. Vulnerabilities in the SS71
2. IMSI-catcher
3. WiFi-based IMSI-catcher2
4. Web-based Number Lookup Services
5. Vulnerabilities in the Diameter
1 - SIGNALING SYSTEM 7 (SS7) SECURITY REPORT (https://www.ptsecurity.com/upload/corporate/ww-en/analytics/SS7-Vulnerabilities-eng.pdf)
2 - WiFi-Based IMSI Catcher (https://www.blackhat.com/docs/eu-16/materials/eu-16-OHanlon-WiFi-IMSI-Catcher.pdf)
23. Disrupting subscriber service
Messages:
ULR - Update-Location-Request (S6a)
ULA - Update-Location-Answer (S6a)
CLR - Cancel-Location-Request
CLA - Cancel-Location-Answer
Attacker sends ULR message to
HSS with IMSI of subscriber whom
should be disconnected
Мобильные сети имеют давнюю историю.
Все 2G и 3G сети для установления звонка и работы сервисов используют (т.н. signaling) протоколы SS7 (Или по-русски ОКС-7).
В результате в основе многих сервисов, которыми мы привыкли пользоваться каждый день лежат технологии родом из 70х.
В 70х мало задумывались о безопасности, т.к. предполагалось что этот протокол будет использоваться только в закрытых сетях мобильных операторов и злоумышленнику туда проникнуть будет невозможно. Однако, как мы увидим далее, с течением времени это изменилось и сейчас отсутствие защитных механизмов превратилось в настоящую проблему.
Примеры уязвимостей на слайде. И они применяются в реальных атакахВ 2015-2016 годах компания Positive Technologies провела десятки аудитов мобильных операторов, которые показали, что в 50% случаев сеть уязвима к прослушиванию звонка, с 58% вероятностью можно определить местоположение абонента, и с вероятностью 89% процентов возможно перехватить СМС.
Возможно кто-то думает, что сигнальные сети защищены операторами и попасть туда невозможно, но это не так.
В сети можно обнаружить, что спрос на такие услуги есть. в данном случае на определение местоположения абонента, т.е. слежку.
В сети можно обнаружить, что спрос на такие услуги есть. в данном случае на определение местоположения абонента, т.е. слежку.
Есть и предложение.
Часть узлов операторской сети по определению должна быть соединена с интернетом.
И действительно, поиск по соответствующим портам в Shodan позволяет найти эти узлы.
Часть из которых явно уязвимы.
Они могут служить как база для дальнейшей атаки на сеть оператора
Нашими специалистами была подтверждена и показана атака, позволяющая перехватывать WhatsApp и Telegram чаты.
И даже украсть facebook account
Для того чтобы достичь этого используется перехват СМС. Как мы можем добиться перехвата смс?
Напоминаю про недавнюю атаку
Напоминаю про недавнюю атаку
Напоминаю про недавнюю атаку
In this case, the attackers exploited a two-factor authentication system of transaction authentication numbers used by German banks. Online banking customers need to get a code sent to their phone before funds are transferred between accounts.
The hackers first spammed out malware to victims' computers, which collected the bank account balance, login details and passwords for their accounts, along with their mobile number. Then they purchased access to a rogue telecommunications provider and set up a redirect for the victim's mobile phone number to a handset controlled by the attackers.
Next, usually in the middle of the night when the mark was asleep, the attackers logged into their online bank accounts and transferred money out. When the transaction numbers were sent they were routed to the criminals, who then finalized the transaction.
In this case, the attackers exploited a two-factor authentication system of transaction authentication numbers used by German banks. Online banking customers need to get a code sent to their phone before funds are transferred between accounts.
The hackers first spammed out malware to victims' computers, which collected the bank account balance, login details and passwords for their accounts, along with their mobile number. Then they purchased access to a rogue telecommunications provider and set up a redirect for the victim's mobile phone number to a handset controlled by the attackers.
Next, usually in the middle of the night when the mark was asleep, the attackers logged into their online bank accounts and transferred money out. When the transaction numbers were sent they were routed to the criminals, who then finalized the transaction.
Diameter взял на себя большую часть процедур, выполняемых ранее с помощью SS7 сообщений. И уже сейчас понятно, что на качественном уровне изменений не произошло.
There are finite number of active call phone clients, and these are quickly being exhausted, however, if you consider the IoT use cases, for telecoms, this bring in infinite number of possible use cases and business. Regardless of the endpoint being either a human client or an IOT endpoint, the security considerations for signalling attacks would more or less remain the same.