Што е SS7 и како напаѓачите ги злоупотребуваат неговите пропусти

Во последните неколку години се забележени напади кои користат пропусти во телекомуникациските протоколи, за следење на Американци, откри претставник на американската Агенција за сајбер безбедност и безбедност на инфраструктурата (CISA). Една од причините поради која оваа објава е интересна нe e веста дека SS7 е небезбеден, туку што бројот на документирани злоупотреби е мал. Поради ова ретко се зборува за опасностите од пропустот.

Кевин Бригс, претставник на CISA неодамна одговараше на прашања на Федералната агенција за комуникација. Во одговорите откри дека пропусти во SS7 и Diameter се злоупотребуваат за следење. Тој сподели неколку примери од март 2022 година, и тврди дека бројот на луѓе кои се следат е многу поголем. Бројот на луѓе кои се цел на ова следење не е откриен. Сепак, Бригс предупреди дека напаѓачите имаат и начин да ги скријат своите траги.

Пропустот е овозможен од интерниот мрежен протокол SS7. Ова не е првпат да се злоупотребуваат пропусти во SS7. Во некои од нападите досега се следени корисници. Во други, напаѓачите успевале да се здобијат со пристап до пораките, па дури и до повиците на жртвите. Првичните спецификации и стандардизација на протоколот се завршени и објавени во 1980 година.

Интерен мрежен протокол звучи на нешто што се користи при воспоставување на повици. Сепак, неговата примена е значително поголема и има повеќе критични функции. Дел од нив се воспоставување и прекин на повик; рутирање – пронаоѓање на најдобра патека за воспоставување на повик; SMS; детални информации за наплата и надомест за користење на мрежа, роаминг, и многу други функционалности.

Најголем недостаток на протоколот е што не се прави авторизација за SS7. Поради ова, барања од напаѓачи што имаат пристап до мрежата се третираат подеднакво како барањата од операторите. Една од причините за недостатокот на безбедност е што во периодот кога технологијата била развивана, авторизацијата и безбедноста не биле разгледувани. Во времето во кое е развиван SS7 имало мал број на оператори кои имале меѓусебна доверба.

Пред неколку години се претпоставуваше дека нема напаѓачи во мрежата. Но, сега можете да купите пристап за нешто помалку од 1000 евра. Ова го овозможи бизнисот за „сивите провајдери“ чии активности тешко се контролираат, вели Хендрик Шмит од безбедносната компанија ERNW за Sued Deutche.

Photo by Georg Schierling on Unsplash

Што е SS7

Накратко SS7 е протокол кој телеком операторите го користат за меѓусебна комуникација. Неговото креирање започнало на средината на седумдесеттите во време кога имало мал број на оператори и кога не се размислувало за опасности кои би можеле да доаѓаат од самата мрежа. Оттогаш бројот на оператори е значително пораснат, а пристап до SS7 имаат и малите провајдери. Пристапот е глобален што значи дека SS7 напад од мал телеком оператор од било каде, може да украде SMS MFA код од било кое друго место, или пристап до SS7 од оператор во Русија има пристап до корисници во САД или Украина, но и обратно.

Тоа што се случува е дека во комуникацијата помеѓу напаѓачот и провајдерите на жртвите, напаѓачот праќа порака „овој број само што пристапи на еден од моите предаватели, јас ќе го преземам сообраќајот“. Со ова напаѓачот си обезбедува пристап до сообраќајот на жртвата.

Целата постапка е значително покомплексна, и потребно е значително техничко познавање за нападите.

Како се злоупотребуваат SS7 пропустите

Основна работа која на напаѓачот му е потребна за нападите е пристап до SS7 мрежата. Без ова нападите никако не може да се реализираат. Здобивањето со пристап до оваа мрежа е повеќе убедување отколку хакирање. Постојат легитимни бизниси на кои им е потребен пристап до мрежата, на пример: агрегатори на SMS пораки; сервиси кои нудат локациски услуги како мапи, навигациски сервиси, следење на локација; оператори на мобилни мрежи и многу други. Поради ова операторите овозможуваат изнајмување на пристап до мрежите.

Ако станува збор за државни агенции за разузнавање или шпионирање, пристапот е поинаков. Воопшто не се изнајмува пристап, туку креираат сопствени компании и оператори кои се дел од мрежата, велат 404 Media во својот поткаст. Дополнително пристап до SS7 мрежата не овозможува пристап единствено до локалната мрежа, туку нападите со некои ограничување се овозможени глобално.

Најлесна и најчеста злоупотреба на SS7 пропустите се следење на жртвите преку телекомуникациските антени и пресретнување на SMS пораки.

Обиди за масовно следење лесно се откриваат во телеком операторите кои лесно може да забележат голем број SS7 барања. Сепак следење и напади на помала таргетирана група е значително потешко да се открие. Можеби ова е и причината што има мал број на потврдени и документирани напади.

Цели на напади се и финансиски институции

Еден од нападите кои ги размрда безбедносните експерти е нападот на Metro Bank. Иако безбедносните пропусти беа познати и пред ова, нападот откри дека не само држави и агенции за разузнавање, туку до SS7 пристап имаат и криминалците. Нападот е откриен во јануари 2019 година, а напаѓачите го искористиле пропустот да ја заобиколат двојната автентикација на Metro Bank и да ги испразнат сметките на неколку жртви, јави Motherboard.

By Philafrenzy – Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=46750814

Пред ова во 2017 година хакерите успеале да испразнат сметки на неколку клиенти од неименувани банки. Како и во случајот со британската Metro Bank и во овој случај е злоупотребен пропустот во SS7 да се заобиколи двојната автентикација.

 Metro Bank е првата банка или финансиска институција која јавно објави дека е жртва на SS7 напад, но многу институции не зборуваат за овие напади. Во 2019 година овие напади биле реткост, но денес опасностите се поголеми. За среќа оттогаш е зголемена и безбедноста, но опасноста не е сосем отстранета.

Како да се заштитите денес

Поради пропустите во SS7 дел од мерките кои ги преземаме за поголема безбедност имаат помала вредност. Добар пример за ова е двојна авторизација преку SMS. Со оглед на тоа дека напаѓачот би можел да дојде до пораките најдобро е SMS да не се користи за двојна авторизација, наместо ова значително побезбедни се другите методи за авторизација.

За жал како краен корисник нема премногу работи кои може да ги преземете освен да престанете да користите мобилен телефон. Ова секако за најголем дел од луѓето е тешко остварливо. Освен ова, за поголема безбедност може да користите VoIP наместо стандардните повици и да ги замените SMS пораките. За ова може да користите било која од популарните апликации Signal, Telegram, или некоја друга  советуваат безбедносните експерти од Silentel.

Клучно за надминување на овој проблем и за негово решавање е да се надмине во операторите. Потребно е да се додаде функционалност за мониторирање на активностите во SS7 мрежата, и мора да се имплементира одбрана која ќе ја идентификува опасноста и ќе реагира пред да се направи штета, сметаат експерите.

Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!

basic

членство

42 ден./мес

зачлени се

1337

членство

125 ден./мес

зачлени се
* плаќањето е на годишно ниво

Доколку веќе имаш премиум членство, најави се тука.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments

ит кариера

МАКЕДОНИЈА осигурување АД Скопје Виена Иншуренс Груп

Оглас за вработување на ORACLE DBA

види ги сите огласи на kariera.it.mk