Содержание. __ от редакции. Биография сетевого периметра в картинках

positive research 2016 40 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38
40
42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
d0:db:8a:cb:74:c8:37:e4:9e:71:fc:7a:eb:d6:40:81 162800
US: 54.9035226422
JP: 45.0382223913 34:47:0f:e9:1a:c2:eb:56:eb:cc:58:59:3a:02:80:b6 151027
DE: 69.7611572028
US: 27.9946735249
ES: 1.41647682396
df:17:d6:57:7a:37:00:7a:87:5e:4e:ed:2f:a3:d5:dd 108057
CN: 99.7404030473
http://chartsbin.com/view/32227 81:96:a6:8c:3a:75:f3:be:84:5e:cc:99:a7:ab:3e:d9 101156
TW: 100.0 8b:75:88:08:41:78:11:5b:49:68:11:42:64:12:6d:49 75760
PL: 100.0
http://chartsbin.com/view/32225 57:94:42:63:a1:91:0b:58:a6:33:cb:db:fe:b5:83:38 39167
IN: 38.2145131455
AU: 9.01840676835
US: 8.73335961428
TR: 6.34381538648
AE: 4.14531340025
ZA: 3.3538526852
SA: 3.15977802711
MX: 3.0384813658
GB: 2.80498529278
FR: 2.56542438669
IR: 2.5199381387
IT: 2.3440579798
TH: 2.32889589714
DE: 2.31676623101
BR: 2.19243715317
MY: 1.98623282894
NG: 1.47678685144
KE: 1.46465718531
TW: 1.14625344937
http://chartsbin.com/view/32196
За 2016 год
e7:86:c7:22:b3:08:af:c7:11:fb:a5:ff:9a:ae:38:e4 343048
US: 99.9988339824 34:47:0f:e9:1a:c2:eb:56:eb:cc:58:59:3a:02:80:b6 138495
DE: 54.827972129
US: 42.5546048594
GB: 1.33795443879
ES: 1.27946857287
dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0 109869
ES: 88.2241578607
TW: 4.07485277922
US: 3.3376111551
DK: 1.1104133104
VC: 1.0594435191 32:f9:38:a2:39:d0:c5:f5:ba:bd:b7:75:2b:00:f6:ab 46451
CN: 49.5188478181
TW: 44.5932272717
DO: 1.59738218768
US: 1.22494671805 62:5e:b9:fd:3a:70:eb:37:99:e9:12:e3:d9:3f:4e:6c 41578
US: 84.3907835875
SG: 9.02881331473
NL: 6.58521333397
Можно заметить, что есть отпечатки, которые встречаются только в одной стране или почти только в одной (90%).
Например:
81:96:a6:8c:3a:75:f3:be:84:5e:cc:99:a7:ab:3e:d9 TW: 100.0%
8b:75:88:08:41:78:11:5b:49:68:11:42:64:12:6d:49 PL: 100.0%
df:17:d6:57:7a:37:00:7a:87:5e:4e:ed:2f:a3:d5:dd CN: 99.7404030473%
59:af:97:23:de:61:51:5a:43:16:c3:6c:47:5c:11:ee US: 99.9953928728%
c2:52:47:0f:8b:82:b9:3c:74:ee:64:b5:35:f4:c5:c3 MY: 99.7626425793%
Возьмем, например, Польшу:
8b:75:88:08:41:78:11:5b:49:68:11:42:64:12:6d:49 PL: 100.0%
Статистика по баннерам, в которых присутствует отпечаток:
[('SSH-2.0-OpenSSH_5.9p1 Debian-8netart1\r\n', 37188), ('SSH-2.0-
OpenSSH_6.2p2 Ubuntu-7netart1\r\n', 10390), ('SSH-2.0-OpenSSH_ 6.6.1p1
Ubuntu-15netart2\nKey type: ssh-rsa\nKey: AAAAB3NzaC1yc2EAAAADAQ
ABAAABAQCnt2+LOdS1Gy/47UXMfHDYQERQQR5M4/CYsfT7IE3FYQ/m\nwJO6rLK
LcUo+q4U+0iIH6uBSXG5HNa4569rg2eWH5lUiJHEL1pPIA9wKKZ+MpMoE9nkr1xa
XxVK5\nqO1gUfaYCo+VYre2CJDe3HIJlUht3PITdxmQTwnL/tJHHBkR8xrgEpjF+
9FjFKwdE7ZCNObqvhK0\nPio/318DyUiRK/JaIqggL0K9KzoGytq7uKSkECFMYCDT
qPmdDerCEiT+C5Lxy6ZOdp4yTyxjOM7E\nsr0C/ePzPvT8rCLayz3GzBnEwZ4QKl
OxbZHl/48LxtWlY/vROkiLTuU3kcpFqvo0Uc/3\nFingerprint: 8b:75:88:08:
41:78:11:5b:49:68:11:42:64:12:6d:49', 3421), ('SSH-2.0-OpenSSH_6.6.1p1
Ubuntu-15netart2\nKey type: ssh-rsa\nKey: AAAAB3NzaC1yc2EAAAADAQ
ABAAABAQCnt2+L', 3421), ('SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-15netart2\
r\n', 2)]
Судя по торговой марке NetArt, это, скорее всего, nazwa.pl — поль- ский хостинг.
Статистика для отпечатка dc:14:de:8e:d7:c1:15:43:23:82:25:8 1:d2:59:e8:c0 показана в исходной статье (
blog.shodan.io/dupli-
cate-ssh-keys-everywhere
). Это предустановленный ключ SSH-сервера
Dropbear v0.46. Очень старый уязвимый SSH-сервер. Количество устройств с этим ключом до сих пор очень велико.
Статистика по России за 2015 год
e2:40:24:40:b8:87:4e:41:1f:d4:68:69:67:b2:22:5d 50107
{
'Dropbear sshd_0.46'
: 50107}
-------------------------------------
OJSC Rostelecom 49794
OJSC Rostelecom, Vladimir branch 160

41
// ВЕБ-БЕзопасность
03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39
41
43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
OJSC RTComm.RU 46
OJSC Bashinformsvyaz 32
CJSC ER-Telecom Holding 11 1c:1e:29:43:d2:0c:c1:75:40:05:30:03:d4:02:d7:9b 26286
{
'Dropbear sshd_0.52'
: 26286}
-------------------------------------
OJSC Rostelecom 19596
OJSC Bashinformsvyaz 1025
MTS OJSC 1024
CJSC Teleset-Service 645
VimpelCom 340 2d:7b:35:e5:33:66:d5:ee:0d:58:19:cb:ae:e7:90:ea 24036
{
'Dropbear sshd_0.53.1'
: 23413,
'Dropbear sshd_0.28'
: 623}
-------------------------------------
National Cable Networks 14860
OJSC Rostelecom 8179
VimpelCom 214
Net By Net Holding LLC 101
CJSC ER-Telecom Holding 94
f5:50:8d:ca:f7:5a:07:41:08:81:65:2e:b3:a4:d6:48 14065
{
'Dropbear sshd_2011.54'
: 14065}
-------------------------------------
Net By Net Holding LLC 13923
OJSC Central telegraph 73
Optilink Ltd 29
Web Plus ZAO 23
Iskratelecom CJSC 10
выводы
Как видим, с 2015 года ситуация кардинально не поменялась.
Повторяющиеся отпечатки встречались раньше и встречаются сейчас. Какие-то из них стали встречаться реже, какие-то чаще.
Обновилось ПО — и некоторые ключи пропали, а некоторые появились.
Так чем опасны «дубли»? Допустим, злоумышленник скомпромети- ровал ключ, и теперь он знает соответствующий данному открыто- му ключу закрытый ключ. Вендорам оборудования и хостерам этот ключ уже известен, так как они причастны к его выпуску. В этом случае можно провести MitM-атаку, например ARP Spoofing или
DNS Spoofing. Злоумышленник подменяет исходный сервер своим и ждет соединения, при этом жертва не получает сообщения о не- доверенном сервере. Таким образом злоумышленник в состоянии узнать пароль жертвы.
Потенциальные жертвы подобной атаки — все пользователи преду- становленного ПО. Например, готовых сборок, таких как Bitnami и
TurnKey. Казалось бы, достаточно просто сменить пароль... но не все так просто. Не все меняют предустановленные пароли, что же гово- рить о выпуске новых ключей?
Как мы видим, от подобных действий могут пострадать сотни тысяч пользователей по всему миру. Но в случае авторизации по ключам этого не произойдет.
Будьте внимательны, вовремя обновляйте ПО.
pT ApplicATion inspecTor поможет иСпытательной лаБоратории фСтэк находить уязвимоСти в Сзи
Испытательная лаборатория Института инженерной физики, аккредитованная в системах сертификации ФСТЭК, ФСБ и
Минобороны РФ, объявила о внедрении системы анализа исходного кода PT Application Inspector в свою инфраструктуру для тестирования средств защиты информации и подтверждения их соответствия установленным требованиям. Согласно последним нормативам ФСТЭК, при сертификации защитного ПО испытательным лабораториям необходимо не только контролировать отсутствие недекларированных возможностей (НДВ), но и осуществлять поиск уязвимостей — недостат- ков защиты, вызванных ошибками проектирования и разработки. ФСТЭК рекомендует лабораториям проводить анализ уязвимостей даже на низких уровнях контроля (НДВ 4), а в сертификации ПО по второму уровню НДВ данная процедура является обязательной. При этом на всех уровнях контроля НДВ регулятор предписывает применение в том числе сиг- натурного анализа кода. Однако большинство анализаторов кода проводят анализ самым простым методом поиска по шаблону, а это дает астрономическое количество ложных срабатываний. В системе PT Application Inspector применяется комбинация методов DAST, SAST и IAST, что позволяет радикально уменьшить количество ложных срабатываний и разгля- деть опасные уязвимости. Другой особенностью PT AI является автоматическая генерация эксплойтов — скриптов для подтверждения обнаруженных ошибок безопасности.

positive research 2016 42 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40
42
44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
оБнаружение dgA-доменов
Александр Колокольцев
habrahabr.ru/company/pt/blog/282349/
В этой статье мы расскажем о методе выявления доменных имен, сгенерированных с использованием Domain Generation Algorithm.
Например, moqbwfijgtxi.info, nraepfprcpnu.com, ocfhoajbsyek.net, pmpgppocssgv.biz, qwujokiljcwl.ru, bucjbprkflrlgr.org, cqmkugwwgccuit.
info, pohyqxdedbrqiu.com, dfhpoiahthsjgv.net, qdcekagoqgifpq.biz.
Подобные доменные имена часто даются сайтам, связанным с неза- конной деятельностью.
Один из сценариев использования DGA можно наблюдать в слу- чае заражения компьютерной системы вредоносной программой.
Вредоносное ПО на скомпрометированной машине будет пытать- ся подключиться к системам под управлением злоумышленни- ка, чтобы получать команды или отправить обратно собранную информацию.
Злоумышленники используют DGA для вычисления последователь- ности доменных имен, к которым будут пытаться подключиться зара- женные машины. Это делается, чтобы предотвратить потерю контро- ля над взломанной инфраструктурой в тех случаях, когда домены или
IP-адреса злоумышленника, прописанные прямо в коде, блокируются системами безопасности.
Решить проблему определения зловредного DGA-домена с помо- щью черного списка не получится, здесь требуется иной подход. Об одном из таких подходов и пойдет речь.
Основная идея состоит в том, что последовательности символов, используемые в легитимных доменных именах, отличаются от после- довательностей символов доменных имен, полученных с помощью
DGA, т. к. легитимный домен часто является человекочитаемым и не- сет смысловую нагрузку.
Для решения задачи было использовано машинное обучение и
N-грамм-анализ. В качестве обучающей выборки был взят топ-мил- лион от alexa (белые домены) и 700 тысяч от bambenekconsulting.com
(зловредные домены).
опиСание метода
Для начала все множество доменов разбивается на обучающую и те- стовую выборку. На основе обучающей выборки доменов строится множество N-грамм с учетом их уникальности. В качестве N-граммы берется подстрока доменного имени фиксированной длины.
Рассмотрим на примере DGA-домена Cryptolocker vzdzrsensinaix.
com. Из него получится 11 N-грамм длиной 4 символа.
Множество уникальных N-грамм, построенное на основе обучаю- щей выборки, разбивается на три части: множество невредоносных
N-грамм (встречаются только в легитимных доменах), множество вредоносных N-грамм (встречаются только в зловредных доменах) и множество нейтральных N-грамм (встречаются в доменах обоих типов). Каждой уникальной N-грамме ставится в соответствие чис- ловой коэффициент:
+
1 — легитимные,
+
−1 — зловредные,
+
число из {−1.0..1.0} — нейтральные.
Под обученной моделью мы будем понимать множество пар
{( q, Ng(q))}, где Ng(q) = p, p — числовой коэффициент N-граммы q, q принадле- жит Q, Q — множество всех N-грамм в обучающей выборке.
разБиение выБорки
Для данной задачи мы разработали специфический метод разбиения выборки. Основная его идея состоит в том, что в качестве обучающей выборки из множества зловредных и белых доменов составляется множество, содержащее в себе максимум информации о всех имею- щихся доменах. По сути это означает, что для любого домена из тесто- вой выборки в модели существует как минимум k N-грамм, принадле- жащих этому домену, где k — наперед заданное натуральное число.
В данном случае для обучения мы, в сущности, берем в качестве мо- дели ядро нашей выборки. Это позволяет на этапе обучения избе- жать ситуаций, когда у очередного домена из тестовой выборки нет ни одного совпадения с моделью и, соответственно, нельзя принять решение о его принадлежности к тому или иному классу.
Такой способ разбиения выборки позволил улучшить точность клас- сификации доменов — по сравнению, например, со случайным раз- биением. Результаты тестирования обоих методов будут представле- ны ниже.
рис. 1. разбиение домена на n-граммы рис. 2. каждое доменное имя содержит непустое пересечение с обучающей выборкой. минимальное количество пересечений для каждого домена задается в параметрах алгоритма разбиения
Легитимные домены
Зловредные домены
Обучающая выборка vzdz
vzdzrsensinaix.com
zdzr dzrs zrse rsen sens ensi nsin sina inai naix

43
// ВЕБ-БЕзопасность
03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41
43
45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
Для определения вредоносности анализируемого домена алгоритм вычисляет рекурсивную функцию:
I(i) = I(i-1) * α + Ng(q i
),
где q i
— i-я N-грамма домена,
Ng(q i
) — коэффициент рассматриваемой N-граммы,
α — смягчающий коэффициент,
I(0) = 0.
Для допустимых значений рекурсивной функции определена грани- ца T. Как только результат вычисления очередной итерации рекур- сивной функции становится меньше этой границы, соответствующий домен объявляется зловредным.
Проиллюстрируем работу анализатора на примере зловредного
(pushdo bot) домена.
jrgxmwgwjz.com (α = 0,9; T = −1,5)
Из графика на рисунке 4 следует, что оптимальным пороговым зна- чение является −1,5, так как достигается баланс между false positive и false negative (обе ошибки порядка 1%).
Эксперименты показали, что предложенный нами метод обладает до- статочно высокой точностью классификации, которая дополнитель- но возрастает при применении разработанного метода разбиения.
таблица 1. пример работы анализатора таблица 2. размеры исследуемых выборок
Номер
N-граммы
N-грамма
Коэффициент
N-граммы из модели
Значение рекурсивной
функции
1
jrgx
−1
−1 2
rgxm
0
−0,9 3
gxmw
0
−0,81 4
xmwg
0
−0,73 5
mwgw
0,06
−0,6 6
wgwj
−0,92
−1,45 7
gwjz
−0,68
−1,99
−1,99 < T следовательно домен является зловредным. Пороговое зна- чение T определено эмпирическим путем на основе проведенных исследований (см. рис. 4).
Теперь рассмотрим подробнее коэффициенты нейтральных N-грамм.
Для получения этих коэффициентов используется эволюционный алгоритм (эволюционные алгоритмы — это семейство алгоритмов, предназначенных для решения задач оптимизации, основанных на принципах природной эволюции), в котором в качестве особи попу- ляции берется вектор коэффициентов нейтральных N-грамм.
Задачей данной реализации эволюционного алгоритма является вычисление оптимальных числовых значений для нейтральных
N-грамм. Решением, полученным в результате работы эволюцион- ного алгоритма, является вектор значений коэффициентов ней- тральных N-грамм, обеспечивающий наибольшую точность работы классификатора. Точность классификатора оценивается значением неубывающей целевой функции, выбранной в результате экспери- ментального тестирования:
Fitness = P/TP + N/TN + FP/P + FN/N
Чем ближе значение Fitness к 2, тем выше точность классификации.
Количество
зловредных доменов
Количество
легитимных доменов
Обучающая выборка
60 000 70 000
Тестовая выборка
640 000 830 000
рис. 3. Схема работы классификатора рис. 4. выбор оптимального порогового значения рис. 5. Сравнение разбиений выборки результаты
Для оценки эффективности нашего предложения была проведена серия экспериментов на выборке доменов. Все множество доменов было разделено на две части: обучающую и тестовую выборку.
Модель
Анализатор
Обучение
Выборка доменных имен
Множество доменов
Обученная модель
Домен false positive false negative
-1,3
-1,4
-1,5
-1,6
-1,8
-1,2
-1,7 0
2 4
6 8
10
per cen t det ec tion r at e
threshold
Разработанный метод разбиения
Случайное разбиение
0,2 0,4 0,6 0,8 1,0 0
0,2 0,4 0,6 0,8 1,0
true positiv e r at e
false positive rate

positive research 2016 44 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42
44
46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
атакуем ss7:
АНАЛИЗ ЗАщИщЕННОСТИ
СОТОВыХ ОПЕРАТОРОВ В 2015 гОДУ
Перехват разговоров по мобильным телефонам принято считать сложной задачей. Однако не только спецслужбы владеют этим искус- ством: атаковать абонентов может и хакер среднего уровня, если он знаком со строением сигнальных сетей. Старые добрые уязвимости
SS7 позволяют подслушивать телефонные разговоры, определять местоположение абонентов, перехватывать SMS, отключать телефон от сети.
В 2015 году специалисты Positive Technologies осуществили 16 про- ектов по анализу защищенности сетей SS7 ведущих мобильных операторов регионов EMEA и APAC. Результаты восьми наиболее информативных проектов попали в нашу статистику. В этой статье мы рассмотрим уровень защищенности абонентов сотовых сетей, а также всех промышленных и IoT-устройств, от банкоматов до GSM- систем контроля давления на газопроводе, которые также являются абонентами сотовых сетей. В отчете описаны основные обнаружен- ные проблемы и пути их решения.
Из соображений конфиденциальности мы не раскрываем названия компаний. Половина исследованных нами сетей SS7 принадлежат крупнейшим мобильным операторам с числом абонентов более 40 млн.
привет из 70-x
Разработанная сорок лет назад система SS7 (ОКС-7) имеет опреде- ленные недостатки в плане защищенности (например, отсутству- ют шифрование и проверка подлинности служебных сообщений).
Долгое время это не представляло опасности ни для абонентов, ни для оператора: сеть SS7 была замкнутой системой, в которую под- ключались только операторы фиксированной связи. Однако время идет, сеть эволюционировала для поддержки нужд мобильной связи и предоставления дополнительных услуг. В начале 2000-х была пред- ложена спецификация SIGTRAN, позволившая передавать служеб- ную информацию SS7 по IP-сетям. Сигнальная сеть перестала быть изолированной.
Конечно, напрямую попасть в сигнальную сеть не получится, потре- буется SS7-шлюз. Но обеспечить к нему доступ не так сложно. Можно получить операторскую лицензии в стране, где на это смотрят сквозь пальцы, или приобрести доступ на черном рынке у действующего оператора. Существуют способы попасть в сеть через взломанное операторское оборудование, GGSN или фемтосоту. Если среди участ- ников хакерской группы есть технический специалист компании-о- ператора, то он может выполнять ряд атак с помощью набора леги- тимных команд или подключить к SS7 свое оборудование.
Атаки через SS7 могут выполняться из любого места на планете, что делает этот метод одним из самых перспективных для нарушителя.
Злоумышленнику не надо физически находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно. Высокая квалификация также не требует- ся: в сети доступно множество готовых приложений для работы с SS7.
При этом операторы не могут блокировать команды от отдельных узлов, поскольку это оказывает негативное влияние на весь сервис и нарушает принципы функционирования роуминга.
Впервые уязвимости SS7 были публично продемонстрированы в
2008 году: немецкий исследователь Тобиас Энгель показал технику слежки за абонентами мобильных сетей. В 2014 году эксперты Positive
Technologies выступили с презентацией «Как подслушать человека на другом конце земного шара» и представили подробный отчет
«Уязвимости сетей мобильной связи на основе SS7». В 2015 году специалисты SR Labs в эфире австралийской программы «60 минут», будучи в германии, перехватывали SMS-переписку австралийского сенатора Ника Ксенофонта и британского журналиста, а потом на- блюдали за передвижениями сенатора в командировке в Токио.
оБщие результаты
Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализо- ваны атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими дей- ствиями (67%). объем абонентской базы операторов
25%
12,5%
25%
до 10 млн
10−20 млн
20−40 млн
40−70 млн более 70 млн
12,5%
25%
Дмитрий Курбатов,
Сергей Пузанков

45
// Мобильные угрозы
03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43
45
47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
Большинство атак с целью перенаправления входящих вызовов ока- зались успешны (94%). Это подтверждает наличие в сетях SS7 суще- ственных проблем, связанных с архитектурой протоколов и систем.
Исходящий вызов удалось перенаправить лишь в 45% случаев. Для перенаправления применялся метод InsertSubscriberData.
Атаки с целью перенаправления входящих вызовов осуществлялись с использованием двух техник — подмены роумингового номера и манипуляции с переадресацией. Подмена роумингового номера осуществляется в момент входящего вызова на атакуемого абонента, который должен быть предварительно зарегистрирован в фальши- вой сети. В ответ на запрос роумингового номера атакующий отправ- ляет номер для перенаправления вызова. Плата за установленное соединение ляжет на оператора.
Манипуляция с переадресацией — несанкционированная установ- ка безусловной переадресации. Все входящие вызовы для абонента будут перенаправляться на указанный номер. Платить за вызовы при- дется абоненту.
Утечка данных
|
77%
Сбой в работе
|
80%
Мошенничество
|
67%
0%
20%
40%
60%
80%
100%
Прослушивание звонка
|
50%
Определение местоположения абонента
|
58%
Перехват входящей SMS
|
89%
Кража информации об абоненте
|
90%
Получение баланса абонента
|
92%
0%
20%
40%
60%
80%
100%
Слежка, проСлуШивание звонков и перехват sms
Входящие SMS-сообщения можно было перехватить в сетях всех участников исследования. Девять из десяти атак (89%) достигли цели, и это очень плохой результат. Судите сами: SMS-сообщения ча- сто используются в системах двухфакторной аутентификации и для восстановления паролей от различных интернет-сервисов. Перехват сообщений выполнялся методом UpdateLocation. Злоумышленник регистрирует абонента-жертву в фальшивой сети, после чего все входящие сообщения SMS приходят на указанный им адрес.
Несанкционированный запрос баланса также был возможен почти повсеместно (92% атак). Для этой атаки используется сообщение
ProcessUnstructuredSS-Request, в теле которого передается соответ- ствующая USSD-команда.
голосовые вызовы оказались защищены немного лучше: увенча- лись успехом только половина атак с целью прослушивания входя- щих и исходящих звонков. Но и это огромный риск для абонентов.
Для перехвата входящих вызовов использовалась техника подме- ны роумингового номера. Прослушивание же исходящих вызо- вов осуществлялось методом InsertSubscriberData. Затем в том и другом случае выполнялось перенаправление трафика на другой коммутатор.
0%
|
AnyTimeInterrogation
SendRoutingInfo
|
25%
ProvideSubscriberInfo
|
53%
0%
20%
40%
60%
80%
100%
Определить физическое местоположение абонента получилось во всех сетях, кроме одной. Основные методы — SendRoutingInfo и ProvideSubscriberInfo, причем последний давал результат при ка- ждой второй атаке (53%).
Наиболее ценная информация об абоненте — IMSI. Этот идентифика- тор нужен для большинства атак. Легче всего оказалось получить его методом SendRoutingInfo.
Другой метод определения IMSI — SendRoutingInfoForSM — оказался эффективен в 70% случаев. Данное сообщение используется при вхо- дящем SMS-сообщении для запроса маршрутной информации и лока- лизации абонента-получателя. Узнать идентификатор абонента можно было и с помощью команды SendIMSI, но с меньшей вероятностью (25%).
моШенничеСтво
В каждой из систем были выявлены недостатки, позволяющие реали- зовывать какие-либо мошеннические действия со стороны внешнего нарушителя. Примерами таких действий могут служить перенаправ- ление вызовов, перевод денежных средств со счета абонента, изме- нение профиля абонента.
доля успешных атак на сети ss7
доли успешных атак методы определения местоположения абонента (доли успешных атак)
доля успешных атак с целью получения чувствительной информации
SendIMSI
|
25%
SendRoutingInfoForSM
|
70%
SendRoutingInfo
|
76%
0%
20%
40%
60%
80%
100%
0%
|
SendRoutingInfoForLCS
методы кражи информации об абоненте (доли успешных атак)
Изменение профиля абонента
|
54%
Перенаправление исходящего вызова
|
45%
Перевод денег посредством USSD
|
64%
Перенаправление входящего вызова
|
94%
0%
20%
40%
60%
80%
100%

positive research 2016 46 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44
46
48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
Среднее число успешных атак в одной сети ss7 (в зависимости от недостатка)
методы перенаправления входящего вызова (доли успешных атак)
3,0
|
Отсутствие фильтрации неиспользуемых сигн. сообщений
1,8
|
Недостатки конфигурации SMS Home Routing
3,4
|
Невозможность проверки принадлежности абонента сети
Отсутствие проверки реального местоположения абонента
|
9,1
0 2
4 6
8 10
Изменение профиля абонента было возможно в каждой второй ата- ке, осуществленной методом InsertSubscriberData (54%). Атакующий имеет возможность изменить профиль абонента таким образом, что исходящие вызовы будут осуществляться в обход системы тарифи- кации. Эта атака может использоваться в схемах мошенничества с генерацией трафика на платные номера и дорогие направления за счет оператора.
dos-атака на аБонента
Чтобы сделать абонентское оборудование (телефон, модем, GSM- сигнализацию или датчик) недоступным для входящих транзакций, злоумышленник может осуществлять целенаправленные атаки на абонентов мобильной сети. Большинство исследованных нами сетей
SS7 уязвимы для DoS-атак (успешны были 80%).
Манипуляция с переадресацией
|
92%
Подмена роумингового номера
|
69%
0%
20%
40%
60%
80%
100%
Во всех случаях применялся метод UpdateLocation; для атаки нуж- но знать идентификатор IMSI абонента. В сеть оператора отправ- ляется сообщение UpdateLocation, информируя HLR, что абонент произвел регистрацию (в поддельной сети). После этого входя- щие вызовы на абонента маршрутизируются на адрес, указанный при атаке причины проБлем
Большинство атак на сети SS7 были возможны из-за отсутствия про- верки реального местоположения абонента. На втором и третьем местах в списке причин — невозможность проверки принадлеж- ности абонента сети и отсутствие фильтрации неиспользуемых сиг- нальных сообщений. На четвертой позиции — ошибки конфигура- ции SMS Home Routing.
что можно Сделать
Большинство недостатков, позволяющих определить местоположе- ние абонента и украсть данные, могут быть устранены изменением конфигурации сетевого оборудования. Необходимо как минимум установить запрет на обработку сообщений AnyTimeInterrogation и
SendIMSI на HLR.
Архитектурные проблемы протоколов и систем решаются пу- тем блокирования нежелательных сообщений. В первую очередь следует обратить внимание на SendRoutingInfoForSM, SendIMSI,
SendRoutungInfoForLCS, SendRoutingInfo. Фильтрация поможет избе- жать рисков, связанных с отказом в обслуживании, перехватом SMS- сообщений, перенаправлением вызовов, прослушиванием звонков, изменением профиля абонента.
Однако не все указанные сообщения сети SS7 могут оказаться опас- ными. Необходимо реализовать фильтрацию таким образом, чтобы отсекались только нежелательные сообщения, используемые в ата- ках. Для этого рекомендуется внедрять дополнительные средства защиты, например системы обнаружения вторжений. Подобные системы не влияют на трафик сети, но позволяют выявить действия нарушителя и определить необходимые настройки фильтрации сообщений.

47
// Мобильные угрозы
03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45
47
49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
опаСные уязвимоСти
В ПОПУЛяРНыХ 3G- И 4G-МОДЕМАХ
Тимур Юнусов
habrahabr.ru/company/pt/blog/272175/
Данный отчет является логическим продолжением исследова- ния «#root via SMS», завершенного в 2014 году командой SCADA
Strangelove. Исследование затрагивало уязвимости модемов лишь частично, в рамках более широкого описания уязвимостей оборудо- вания телеком-операторов. В настоящем документе представлено описание всех найденных и использованных уязвимостей в 8 попу- лярных моделях 3G- и 4G-модемов, доступных в России и по всему миру. Найденные уязвимости позволяют проводить удаленное вы- полнение кода в веб-сценариях (RCE), произвольную модификацию прошивки, межсайтовую подделку запросов (CSRF) и межсайтовое выполнение сценариев (XSS).
В работе также описан наиболее полный набор векторов атак на кли- ентов телекома, использующих данные модемы: это могут быть иден- тификация устройств, внедрение кода, заражение пользовательского компьютера, к которому подключен модем, подделка SIM-карты и пе- рехват данных, определение местоположения абонента и доступ к его личному кабинету на портале оператора, а также целевые атаки (APT).
Было рассмотрено 8 модемов следующих производителей: Huawei
(2 разных модема и 1 роутер), Gemtek (1 модем и 1 роутер), Quanta
(2 модема), ZTE (1 модем).
Очевидно, что не все модемы поставлялись с уязвимыми прошив- ками: часть ошибок были допущены при кастомизации прошивки сотовым оператором. Хотя такие подписи наводят на некоторые мысли:
Модем
Найдено уязвимых , шт.
Gemtek1 1411
Quanta2, ZTE
1250
Gemtek2 1409
Quanta1 946
Huawei
—
Данные собирались пассивно с портала SecurityLab.ru с 29.01.2015 по 05.02.2015 (1 неделя). В статистике не представлены сведения о модемах Huawei, но их всегда можно найти в shodan.io, например вот так:
Далее для удобства все сетевое оборудование — и модемы, и роуте- ры — будем называть модемами.

positive research 2016 48 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46
48
50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102
найденные уязвимоСти
Во всех рассмотренных моделях присутствовали те или иные опас- ные уязвимости, которые приводили к полной компрометации си- стемы. Практически все их можно было эксплуатировать удаленно
(см. сводную таблицу в конце статьи). Описание найденных уязвимо- стей, ранжированных по степени опасности:
1. Удаленное выполнение кода в веб-сценариях,
5 устройств (RCE)
Все рассмотренные веб-серверы на модемах работают на базе про- стых CGI-скриптов, которые практически нигде не проходили долж- ную фильтрацию (кроме модемов Huawei, и то спустя несколько об- новлений после оглашения уязвимостей).
И конечно же все модемы работают с файловой системой: им необ- ходимо отправлять AT-команды, читать и писать СМС, настраивать правила на фаерволе и т. п.
Кроме того, практически нигде не использовалась защита от атак класса CSRF, что позволяло выполнять код удаленно с помощью ме- тодов социальной инженерии и удаленной отправки запросов через зловредный сайт. Для некоторых модемов возможно проведение атак XSS.
Сочетание этих трех факторов дает неутешительный результат: более
60% модемов уязвимы к удаленному выполнению кода. Причем об- новленную прошивку без этих уязвимостей можно получить только в модемах Huawei (есть публичное описание уязвимости): остальные уязвимости пока считаются 0-days.
2. Произвольная модификация прошивки,
6 устройств (Integrity attacks)
Только три модема имели криптографическую защиту прошивок от модификации. Два модема работали по одинаковому алгоритму с по- мощью асимметрично зашифрованной по протоколу RSA хеш-суммы
SHA1, третий модем шифровал содержимое прошивки с помощью потокового шифра RC4.
На все реализации криптоалгоритмов удалось совершить атаки, приводящие к нарушению целостности и конфиденциальности: в первом случае мы можем модифицировать прошивку, внедряя в нее произвольный код, во втором случае из-за слабостей реализации ал- горитма удалось извлечь ключ и определить алгоритм шифрования, что также приводит к возможности произвольно изменять содержи- мое прошивки.
Другие три модема не имели защиты от модификации прошивок, однако для обновления прошивки необходим локальный доступ к интерфейсам COM.
В оставшихся двух модемах предусматривалась возможность об- новления только через сеть оператора c помощью технологии FOTA
(Firmware Over-The-Air)
3. Межсайтовая подделка запросов,
5 устройств (CSRF)
Атаки CSRF можно использовать для разных задач, но в первую оче- редь — для удаленной загрузки модифицированной прошивки и внедрения произвольного кода. Эффективной защитой от этой атаки является использование уникальных токенов для каждого запроса.
4. Межсайтовое выполнение сценариев,
4 устройства (XSS)
Поверхность применения данных атак также достаточно широка — от инфицирования узла до перехвата чужих СМС, однако в нашем исследовании основное их применение — это также загрузка моди- фицированных прошивок в обход проверок antiCSRF и Same-Origin
Policy.
векторы атак
1. Идентификация
Для проведения успешной атаки на модем необходимо его сперва идентифицировать. Конечно же, можно отправлять все возможные запросы для эксплуатации уязвимостей RCE или пытаться загрузить все возможные версии прошивок по всем возможным адресам, од- нако это представляется неэффективным и может быть заметно для атакуемого пользователя. Кроме того, в реальных, нелабораторных условиях, которые рассматриваются в этом исследовании, достаточ- но важным является время заражения — от момента обнаружения пользователя до момента внедрения кода, изменения настроек модема.
Именно поэтому на первоначальном этапе необходимо правильно определить атакуемое устройство. Для этого используется простой набор адресов изображений, наличие которых говорит о той или иной версии модема. Таким образом нам удалось определить все рассматриваемые модемы со 100%-ной точностью. Пример кода: pastebin.com/PMp95af0.
2. Внедрение кода
Данный этап уже подробно описан в предыдущем разделе, в пун- ктах 1 и 2. Внедрить код можно либо через уязвимость выполнения произвольного кода в веб-сценариях, либо через обновление на за- раженную прошивку. Первым способом мы смогли проникнуть на 5 модемов.
Опишем подробно векторы для реализации второго способа.
В двух модемах использовался одинаковый алгоритм обеспечения целостности прошивки: шифрование алгоритмом RSA хеш-суммы
SHA1 в режиме цифровой подписи осуществлялось с помощью би- блиотеки OpenSSL. Проверка проводилась некорректно: загрузив прошивку, являющуюся по сути архивом, веб-сервер извлекал из нее два основных файла — файл, указывающий на размер проверяемых данных, и файл с хеш-суммой этих данных. Далее, взяв с файловой си- стемы публичный ключ, сценарий проверки обращался к функциям библиотеки OpenSSL для высчитывания новой подписи, и в случае совпадения прошивка устанавливалась. Алгоритм сжатия прошивки обладал особенностью: к существующему архиву возможно было до- бавить дополнительные файлы с теми же именами, при этом никак не изменились бы начальные байты архива, а при распаковке прошивки произошла замена более поздним файлом более раннего. Благодаря этому можно очень просто изменить содержимое прошивки, никак не изменив целостность проверяемых данных.
В третьем модеме прошивки были зашифрованы по алгоритму RC4 c константной гаммой. Так как в интернете было доступно три разных версии этой прошивки, можно получить несколько байт plain-text — в тех местах, где в одном из файлов незашифрованной прошивки располагаются байты 0x00.

49
// Мобильные угрозы
03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47
49
51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103
Дальнейшее извлечение ISO-образа виртуального CD-ROM позво- ляло извлечь бинарный файл с алгоритмом шифрования образов прошивки и адрес, по которому располагался ключ шифрования.
Дальнейший XOR двух частей прошивок давал возможность полу- чить plain-text именно по адресу ключа шифрования и успешно его извлечь.
В дальнейшем для удаленной загрузки можно использовать атаку
CSRF и функции HTML5 для передачи multipart/form-data либо ата- ку XSS, если приложение защищено от CSRF (для модема Huawei).
От CSRF были защищены только три модема Huawei, и именно в них можно было эксплуатировать XSS для обхода этой защиты. Во всех остальных случаях загрузку можно было осуществить с помощью
HTML5-кода, размещенного на специальной странице.
В модемах Gemtek использовался алгоритм обновления прошивки через специальную утилиту, устанавливаемую на компьютер. В этом случае прошивки загружались через интернет-соединение на хосте по протоколу HTTP. Но дальше использовался механизм контроля целостности загруженной прошивки с помощью контрольных сумм, также загружаемых с сервера. Проверить корректность работы дан- ного сценария не удалось. Однако надеяться, что тот же производи- тель, который некорректно проверяет целостность при загрузке на модемы, хорошо защищает целостность прошивок — не стоит.
3. Перехват данных
Теперь у нас есть возможность выполнять на модеме произвольный код. Далее необходимо сделать три вещи: определить местоположе- ние модема (позже будет ясно, зачем), получить возможность пере- хватывать СМС и HTTP/HTTPS-трафик.
Самый простой способ определить местоположение — узнать иден- тификатор базовой станции (CellID). Тогда, зная MCC и MNC опера- тора, можно достаточно точно определить положение атакуемого с помощью публичных баз данных вроде opencellid.org. Другой спо- соб — использовать встроенную в модем Wi-Fi-карту, чтобы, скани- руя близлежащие сети, также определить местоположение жертвы
(либо более точно определить зону его возможного нахождения — ведь одна базовая станция может работать на достаточно большом радиусе покрытия). CellID нам удалось «достать» в 6 модемах, Wi-Fi был доступен в двух модемах. Для одного из модемов пришлось пе- рекомпилировать и загружать новые драйверы для сетевой карты: текущие позволяли ему работать только в режиме Ad hoc, а в этом режиме невозможно сканировать близлежащие точки доступа.
Рассматриваемые модемы были двух типов — поддерживающие работу с СМС и не поддерживающие. В первых обнаружить воз- можность чтения СМС через AT-команды нам также не удалось.
Во втором возможно чтение с использованием межсайтового выполнения сценариев. СМС обычно хранятся на файловой системе, поэтому несложно получить к ним доступ, а также отправлять СМС и
USSD-запросы.
Перехват трафика — более интересная вещь. Его можно реализовать несколькими путями: через изменение настроек DNS-сервера на мо- деме, а также через изменение шлюза на модеме на Wi-Fi-интерфейс и подключение к заранее включенной точке доступа (для этого нам и нужно знать местоположение жертвы). Первый путь, конечно, проще: поменять настройки это дело 10 секунд, они, как правило, тоже нахо- дятся на файловой системе; везде, кроме одного модема, это удалось.
Второй вариант рассматривался чисто теоретически: задача была изменить режим сетевой карты с Ad hoc на активную, подключится к посторонней точке доступа, а также поменять маршрутизацию на модеме.
Перехватывать мы можем не только HTTP-трафик. Простым внедре- нием и выполнением VBS-кода в HTML-страницу можно добавить свой сертификат в доверенные корневые центры сертификации и успешно проводить MitM на SSL:

4. Подделка SIM-карты и перехват 2G-трафика
Подробно о способах атаки на приложения на SIM-карте рассказыва- ется в работах Карстена Ноля (Karsten Nohl), а также в исследовании
«#root via SMS». Нам по-прежнему необходимо отправлять бинарные
СМС на сим-карты, поскольку научить модем посылать команды по протоколу APDU на приложения на SIM-карте так и не удалось.
Однако не все так печально: благодаря внедрению произвольного кода на модем возможно расширить скоуп-атак с помощью бинар- ных СМС. Во-первых, теперь бинарные СМС можно попробовать отправить «самому себе» — с атакуемой сим-карты на нее же через
AT-интерфейс. Для этого необходимо переключить модем в диагно- стический режим и работать с COM-портом. Сделать это можно в фоновом режиме: для атакуемого до сих пор будет доступен веб-ин- терфейс и процесс переключения режима практически незаметен.
Далее необходима коммуникация с COM-портом. Это можно сделать внедрив VBS-код на страницу модема и выполнив этот код с правами пользователя, применив социальную инженерию.

positive research 2016 50 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48
50
52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 1
POST /CGI HTTP/1.1 2
Host: 192.168.1.1 3
Accept: */*
4
Accept-Lenguage: en
5
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0;
Windows NT 6.1; Win64; x64; Trident/5.0)
6
Connection: close
7
Content-Length: 218 8
9
="
1.0
" encoding
="
UTF-8
" ?>
10
="
1.0
">
11