Уязвимости мобильного интернета (GPRS)
План
Введение
Описание мобильной сети
Протокол GTP
Поиск оборудования мобильных операторов в сети Интернет
Возможные атаки
Прогноз увеличения мобильного трафика
Схема сети оператора мобильной связи
Устройства и протоколы передачи данных
Устройства и протоколы передачи данных
UDP-порты:3389-GTP’2123-GTP control2152-GTP user
Протокол GTP
Процедура установления соединения
PDP Context Activation
Activate PDP Context Request
PDP Context Activation
DNS Request: mncXXX.mсcXXX.internet
PDP Context Activation
DNS Response: GGSN IP
PDP Context Activation
Create PDP Context Request
PDP Context Activation
Radius Authenticate Request
PDP Context Activation
Radius Authenticate Response
PDP Context Activation
DHCP Address Request
PDP Context Activation
DHCP Address Assignment
PDP Context Activation
Create PDP Context Response
PDP Context Activation
Activate PDP Context Accept
Казалось бы, это технологическая сеть, и в нее не может попасть любой желающий.
Но...
Поиск оборудования операторов в сети Интернет
Поиск узлов, отвечающих на GTP-echo (UDP:2123)
Практически в любой точке мира
На порте 2123 встречается не только GTP
Но есть и те, кто соглашается установить соединение
На этих устройствах есть и другие сервисы
Что еще можно найти на сетевом периметре?
1. Перебор IMSI
1. Перебор IMSI
Запрос:-SendRouteingInformationforGPRSRequest
1. Перебор IMSI
Ответ:- MS_not_Reachable - SGSN_IP
2. Раскрытие данных абонента по IMSI
2. Раскрытие данных абонента по IMSI
Запрос:- UpdatePDPContextRequest
2. Раскрытие данных абонента по IMSI
Ответ:- IMSI- MSISDN (номер телефона)- MCC, MNC, LAC, CI
(местоположение)
3. Отключение легитимных абонентов от сети Интернет
3. Отключение легитимных абонентов от сети Интернет
PS-core
Интернет
GRX
Злоумышленник
Сеть абонента
3. Отключение легитимных абонентов от сети Интернет
Интернет
Злоумышленник
Сеть абонента
For i in range (1,1000000)DeletePDPContext(TEID=i)
PS-core
GRX
3. Отключение легитимных абонентов от сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
RequestAccepted(TEID=1)RequestAccepted(TEID=2)….RequestAccepted(TEID=MAX)
Реальный SGSN не знает о закрытии туннелей
GRX
4. Блокировка подключения к сети Интернет
4. Блокировка подключения к сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
For i in range (1,10000000000)CreatePDPContext(IMSI=‘mcc+mnc’+i)
GRX
4. Блокировка подключения к сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
RequestAccepted (TEID=1)RequestAccepted (TEID=2)…RequestAccepted (TEID=MAX)No resources Available
GRX
4. Блокировка подключения к сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
CreatePDPContext(IMSI=real)
Попытка подключения GRX
4. Блокировка подключения к сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
No resources Available
GRX
4. Блокировка подключения к сети Интернет
PS-core Интернет
Злоумышленник
Сеть абонента
Нет подключения :( GRX
5. Интернет за чужой счет
5. Интернет за чужой счет
PS-core Интернет
Злоумышленник
Сеть абонента
IMSI=0123
GRX
5. Интернет за чужой счет
PS-core Интернет
Злоумышленник
Сеть абонента
GRXCreatePDPContext(IMSI=0123)
IMSI=0123
5. Интернет за чужой счет
PS-core Интернет
Злоумышленник
Сеть абонента
GRXRequest Accepted
IMSI=0123
5. Интернет за чужой счет
PS-core Интернет
Злоумышленник
Сеть абонента
GRX
IMSI=0123
5. Интернет за чужой счет
PS-core Интернет
Злоумышленник
Сеть абонента
IMSI=0123
GRX*100#Ваш баланс равен -5678 руб.
6. Перехват данных
6. Перехват данных
PS-core Интернет
GRX
Злоумышленник
Сеть абонента
6. Перехват данных
PS-core Интернет
GRX
UpdatePDPContext«Я новый GGSN»
UpdatePDPContext«Я новый SGSN»
Злоумышленник
Сеть абонента
6. Перехват данных
PS-core Интернет
GRX
Злоумышленник
Сеть абонента
Злоумышленник в любой точке мира может «подслушать» важные данные
7. DNS-туннелирование
7. DNS-туннелирование
8. Подмена DNS на GGSN
8. Подмена DNS на GGSN
Как защититься?
- Выполнять рекомендации по организации PS-Core- Проводить периодический аудит системы
- Использовать специализированное ПО для аудита и контроля соответствия стандартам
1. Cisco Global Mobile Data Traffic Forecast Update, 2013–2018. Cisco VNI Mobile, 2014 http://www.cisco.com/c/en/us/solutions/collateral/service-provider/ visual-networking-index-vni/white_paper_c11-520862.pdf
2. Статистика уязвимостей корпоративный информационных систем в 2013 г. Positive Technologies, 2014 http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_ 2014_rus.pdf
3. Уязвимости сетей мобильной связи на основе SS7. Positive Technologies, 2014 http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
4. Мобильные телефоны и тотальная слежка АНБ: как это работает. Positive Technologies, 2014 http://habrahabr.ru/company/pt/blog/245113/
5. 4G ‘inherently less secure’ than 3G. The Telegraph, 2014 http://www.telegraph.co.uk/technology/internet-security/10951812/ 4G-inherently-less-secure-than-3G.html
6. Безопасность мобильного интернета изнутри и снаружи. Positive Technologies, 2013 http://habrahabr.ru/company/pt/blog/188574/
7. GRX and a Spy Agency http://www.slideshare.net/StephenKho/on-her-majestys-secretservice-grx-and-a-spy-agency
8. 3GPP TS 29.060 http://www.3gpp.org/DynaReport/29060.htm
Ссылки
Конец рассказаСпасибо за внимание
Павел НовиковСпециалист отдела безопасности телекоммуникационных систем
Positive Technologies