Дослідження: Перехоплення трафіку мобільного Інтернету через GTP і GRX

image

Більшість абонентів вважають, що робота через стільникову мережу досить безпечна, адже великий оператор зв'язку напевно подбав про захист. На жаль, на практиці в мобільному Інтернеті є безліч лазівок, які дають широкі можливості для зловмисників.

Дослідники Positive Technologies виявили уразливості в інфраструктурі мереж мобільного зв'язку, які дозволяють перехоплювати GPRS-трафік у відкритому вигляді, підміняти дані, блокувати доступ до Інтернету, визначати місцеположення абонента. Під загрозою опиняються не лише мобільні телефони, але і спеціалізовані пристрої, підключені до 2G/3G/4G-мереж за допомогою модемів: банкомати і термінали оплати, системи віддаленого керування транспортом і промисловим обладнанням, засоби моніторингу та телеметрії і т. д.

Оператори стільникового зв'язку, як правило, шифрують GPRS трафік між мобільним терміналом (смартфоном, модемом) і вузлом обслуговування абонентів (SGSN) алгоритмами GEA-1/2/3, що ускладнює перехоплення та розшифровку інформації. Щоб обійти це обмеження, зловмисник може проникнути в опорну мережу оператора, де дані захищені механізмами аутентифікації. Ахіллесовою п'ятою є вузли маршрутизації (або шлюзові вузли), які називаються GGSN. Їх легко виявити, зокрема, з допомогою пошуковика Shodan. У проблемних вузлів відкриті GTP-порти, що дозволяє атакуючому встановити з'єднання, а потім инкапсулировать в створений тунель керуючі пакети GTP. При правильному підборі параметрів GGSN сприйме їх як пакети від легітимних пристроїв мережі оператора.

Протокол GTP, описаний вище, ніяким чином не повинен бути «видно» з боку Інтернету. Але на практиці це не так: в Інтернеті є понад 207 тисяч пристроїв по всьому земній кулі з відкритими GTP-портами. Понад півтисячі з них є компонентами мережі та відповідають на запит про встановлення з'єднання.

image

Ще одна можливість для атак пов'язана з тим, що GTP — далеко не єдиний протокол управління на знайдених вузлах. Також зустрічаються Telnet, FTP, SSH, Web та ін. Використовуючи уразливості в цих інтерфейсах (наприклад, стандартні паролі), порушник може підключитися до сайту оператора мобільного зв'язку.

Експериментальний пошук по сайту Shodan видає кілька вразливих пристроїв, у тому числі з відкритим Telnet і відключеним паролем. Досить підключитися до даного пристрою і зробити в ньому необхідні налаштування для того, щоб опинитися всередині мережі оператора в Центральноафриканській Республіці.

image
При цьому кожен, хто отримав доступ до шлюзового сайту будь-якого оператора, автоматично отримує доступ до мережі GRX, яка об'єднує всіх стільникових операторів і використовується для надання доступу до Інтернету в роумінгу абонентам. Скориставшись одиничної помилкою в конфігурації на одному пристрої, зловмисник отримує можливість проводити різні атаки на абонентів будь-якого оператора в світі.

Серед безлічі варіантів використання скомпрометованого прикордонного вузла слід зазначити наступні: відключення абонентів від Інтернету або блокування доступу до нього; підключення до Інтернету під виглядом іншого абонента і за чужий рахунок; перехоплення трафіку жертви і фішинг. Зловмисник також може визначити ідентифікатор абонента (IMSI) і стежити за місцем розташування абонента по всьому світу, поки він не змінить SIM-карту.

image

Деякі подібні атаки були б неможливі при правильному налаштуванні обладнання. Але результати дослідження Positive Technologies говорять про те, що некоректна настройка — аж ніяк не рідкість у світі телекомунікаційних компаній. Найчастіше виробники пристроїв залишають включеними деякі сервіси, які повинні бути відключені на даному обладнанні, що дає порушників додаткові можливості. У зв'язку з великою кількістю вузлів подібний контроль рекомендується автоматизувати з використанням спеціалізованих засобів, таких як MaxPatrol.

image

Необхідні для захисту від таких атак заходи безпеки включають правильну настройку устаткування, використання міжмережевих екранів на кордонах мережі GRX та Інтернету, використання рекомендацій 3GPP TS 33.210 для налаштування безпеки всередині мережі PS-Core, моніторинг захищеності периметра, а також вироблення безпечних стандартів конфігурації обладнання та періодичний контроль відповідності цим стандартам.

Ряд фахівців покладають надії на нові стандарти зв'язку, які включають і нові технології безпеки. Однак, незважаючи на появу таких стандартів (3G, 4G), зовсім відмовитися від мереж старого покоління (2G) не вдасться. Причиною цього є особливості реалізації мобільних мереж, зокрема те, що у базових станцій 2G краще покриття, а також те, що на їх інфраструктурі працюють і мережі 3G. В стандарті LTE використовується протокол GTP, а тому необхідні заходи щодо захисту будуть актуальними в майбутньому.

Результати даного дослідження було отримано експертами компанії Positive Technologies в 2013 і 2014 роках в ході консалтингових робіт з аналізу захищеності декількох великих мобільних операторів.

З детальним звітом «Уразливості мобільного Інтернету (GPRS)» можна ознайомитися на нашому сайті: www.ptsecurity.ru/download/GPRS%20security.pdf

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.