Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
12 switchMode 13 14 15 16 1 17 18 51 // Мобильные угрозы 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 резюме В итоге мы имеем полный цикл заражения устройств и компью- теров, в которые они подключаются. На зараженных устройствах мы можем определять геолокацию, перехватывать и отправлять СМС и USSD, читать HTTP- и HTTPS-трафик (в случае подмены SSL- сертификатов), проводить атаки на сим-карты через бинарные СМС и перехватывать 2G-трафик. Дальнейшее распространение возможно через сети оператора, через популярные веб-ресурсы или по методу вируса-червя — через уже зараженное оборудова- ние при подключении незараженного. Что посоветовать клиентам, которые постоянно работают с таки- ми устройствами?.. Самыми защищенными на сегодняшний день являются модемы Huawei (при условии, что установлена послед- няя версия прошивки). Это единственная компания, которая сама поставляет прошивки (операторам дается возможность только добавлять визуальные элементы и отключать те или иные функ- ции). Кроме того, компания Huawei, в отличие от многих других, регулярно исправляет уязвимости, которые обнаруживаются в ее ПО. Хотя 90 дней с момента извещения телеком-операторов прошли уже давным-давно, множество уязвимостей так и остались незакрытыми. Благодарю за помощь Алексея Осипова, Дмитрия Склярова, Кирилла Нестерова, Михаила Фирстова и команду SCADA Strangelove. результат эксплуатации xss как веб-сервер поднимается раньше установки 3G-соединения, эта возможность оказалась не слишком актуальна. И только некоторые модемы принудительно запрещают входящие соединения из сети оператора либо конкретно указывают адрес для listen 192.168.0.1:80. 7. Доступ к личному кабинету Рассматривался также вектор получения доступа к личному каби- нету оператора через отправку запроса по USSD и сброс пароля по СМС. (Этот вектор был показан на презентации «#root via SMS».) Для эксплуатации использовалась атака XSS, которую можно было реали- зовать с помощью отправки СМС. Однако это возможно и в тех моде- мах, где доступно чтение СМС с помощью RCE. Модем FW reverse, возможность модификации Подмена прошивки Remote RCE via web SMS intercept DNS intercept CellID (geo) Wi-Fi scan Отправка бинарных СМС Найдено модемов, шт. в неделю gemtek1 + + + N/A + + + – 1411 gemtek2 + + + N/A + + recompile – 1409 Quanta1 + + – N/A N/A + N/A – 946 huawei1 + Требуется доступ к узлу fixed + + + N/A Требуется переключение режима Shodan huawei2 + – + + + N/A huawei3 + – + + + N/A Quanta2 – – + + + – N/A Подключение к другой сети 1250 ZTe – – + + + – N/A Серьезная уязвимоСть в lTe-модемах huAWei Компания Huawei поблагодарила экспертов Positive Technologies Тимура Юнусова и Кирилла Нестерова, которые обнару- жили и помогли устранить опасную уязвимость в популярных 4G USB-модемах Huawei E3272s. Потенциальный злоумыш- ленник мог использовать этот недостаток безопасности для блокирования работы целевого устройства, отправив на него вредоносный запрос. Уязвимость позволяла осуществлять не только DOS-атаку, но и удаленное исполнение произволь- ного кода с помощью атак межсайтового скриптинга (XSS) или переполнения стека (Stack Overflow). Линейка LTE-модемов Huawei E3272 входит в число наиболее востребованных устройств данного класса, а уязвимая модификация модема (Huawei E3272s-153) продается под собственными брендами всеми ведущими российскими операторами сотовой связи. positive research 2016 52 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 hAckersim: РАЗБОР ПОЛЕТОВ Павел Новиков habrahabr.ru/company/pt/blog/269525/ Последнее время в сети появилось много статей о SIM-карте, наде- ленной невиданными и неслыханными возможностями, что вызва- ло сильный ажиотаж. Появилось множество скепсиса и споров, а затем различных теорий, порой потрясающих своей фантастично- стью. Попробуем приоткрыть завесу тайны с технической стороны. Естественно, тесты, которые мы провели, не были бы возможны без самой SIM-карты, которую нам любезно предоставил хабраюзер MagisterLudi. Для тех, кто не хочет читать подробности, — резюмирую: прину- дительного шифрования нет, защиты от комплексов перехвата нет, подключения к второй по уровню сигнала БС нет, подмена номера есть, подмена голоса есть, биллинг есть, сокрытия IMSI нет, сокрытия местоположения нет. Начнем по порядку. чья она? ICCID SIM-карты (напечатанный на ней) говорит нам следующее: Country CSP ICCID Prefix IMSI Prefix Notes Italy WorldSIM (Service Provider Name stored on card is 'Global Roaming' 89234 22201 Although technically an Italian SIM, WorldSIM has been sold on British Airways flights and is targeted at UK customers. The card claims to include "Multi IMSI Technology" and offer both a UK and a US mobile number Вставляем SIM-карту в телефон, и первое, что мы видим, — что мы находимся в роуминге, подключены к MTS, и третья строка, на кото- рую невозможно не обратить внимание: AY Security — она сразу же говорит, чья это SIM на самом деле. Интересно, что в современном телефоне отображается совсем дру- гая информация (остается загадкой, что значит «GT»): На сайте aysecurity.co.uk заявлены следующие «уникальные» возмож - ности: + подмена номера звонящего, + принудительное шифрование, + защита от комплексов перехвата, + подмена голоса, + оптимизация расходов, + скрытие реального IMSI, + скрытие реального местоположения, + виртуальный номер. Первый и четвертый пункт уже активно обсуждались на Хабре, поэ- тому мы не будем их затрагивать, а попробуем разобраться в осталь- ных, гораздо менее однозначных. принудительное Шифрование Сайт производителя гласит: «Данная функция запрещает вашей SIM- карте снижать уровень криптования и заставляет игнорировать команды, поступающие от операторов или комплексов перехвата на отключение алгоритма формирования ключей шифрования (А8), хранящегося в модуле SIM. Таким образом, все ваши разговоры шиф- руются по алгоритму А5.1». На самом деле изначально вся передача ведется без использования шифрования, а включение шифрования осуществляется по команде от оператора Ciphering Mode Command. Вот пример из реальной сети (используется HackerSIM): 53 // Мобильные угрозы 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Однако это точно так же работает на всех других SIM, поскольку шифрование обычно используется во всех российских сетях. Для проверки «запрета» работы без шифрования подключим к OpenBTS и попробуем позвонить. Сначала действительно складывается впечатление, что SIM-карта как-то прознала, что шифрования нет, и заблокировала звонок. (Но на деле все не так, об этом чуть ниже, а еще обратите внимание на окно «Calling…» внизу экрана.) Однако если попытаться позвонить несколько раз подряд (в нашем случае три раза), то вызов проходит. Входящие звонки проходят без проблем и разговор тоже без про- блем происходит. Стоит заметить: производитель утверждает, что именно для голоса действует запрет на отсутствие шифрования, в поддельной сети без шифрования без проблем передаются как входящие, так и исходя- щие SMS. защита от комплекСов перехвата «Данная функция дает абоненту возможность становиться неви- димым для подвижных комплексов перехвата. Принцип действия комплекса перехвата основан на подмене собой реальной базовой станции, таким образом, становясь, по факту, приоритетной для всех телефонов в радиусе ее действия. Телефон с нашим программным комплексом игнорирует базы с наивысшим уровнем сигнала». Вообще говоря, телефон выбирает не по уровню сигнала, а по пара- метру C2, который зависит от текущего уровня сигнала, от минималь- но допустимого сигнала для этой БС и от приоритета БС. Поэтому сама мысль, что это спасает от поддельной БС, — заблуждение. К примеру, OpenBTS, развернутая на SDR, имеет мощность порядка 100 мВт, что меньше, чем может сам телефон (до 1 Вт), и значительно меньше, чем стандартная базовая станция. Таким образом, перехват достигается не высоким уровнем мощности, а высоким приоритетом. И то, что телефон использует менее мощную БС, значит лишь то, что приоритет у нее выше. Для измерения мощности, параметров C1 и C2 мы использовали при- ложение Greenhead. Ну и немного скриншотов — список соседских и обслуживающих каналов (BCCH — arfcn, SC — serving cell, N1 — neigbour cell 1 и т. д.). 1. HackerSIM на самой мощной и самой приоритетной БС 2. HackerSIM на не самой мощной, но самой приоритетной БС positive research 2016 54 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 3. Включаем «комплекс перехвата», и... HackerSIM спокойно к нему подключается, хотя, если быть точным, то это телефон подклю- чается, так как выбором сот SIM-карта не управляет, и HackerSIM не исключение: 4. Захватив телефон, поддельная сеть больше не сообщает о со- седях, поэтому выбора у телефона нет, кроме как находиться в фейковой сети столько, сколько пожелает злоумышленник, либо пока не выйдет из зоны ее действия: оптимизация раСходов Этот пункт звучит весьма оригинально, с учетом стоимости как самой SIM-карты, так и ее обслуживания. Скрытие реального IMSI. Скрытие реального местоположения. Отсутствие биллинга. Виртуальный номер Заявляется об отсутствии биллинга, и именно поэтому якобы невоз- можно отследить данного абонента. Однако если нет биллинга, кто выдает вот эту информацию? Отслеживание местоположения осуществляется через сеть SS7 с помощью атак, хорошо описанных в исследовании «Уязвимости се- тей мобильной связи на основе SS7» Дмитрия Курбатова и Сергея Пузанкова. Для этого достаточно знать IMSI абонента. Обычно его уз- нают через номер телефона; нам неизвестен номер телефона нашей HackerSIM, и по инструкции с сайта он нам почему-то не показыва- ется (тут должен быть еще DID, по которому можно нам позвонить). Мы не можем проверить «виртуальность» данного номера, потому что мы его не знаем. Но IMSI можно узнать из радиоэфира, например при подключении телефона к сети. Телефон отправляет Location Update Request, сеть запрашивает IMSI (Identity Request), телефон говорит свой IMSI (Identity Response), по- сле чего вырабатываются сеансовые ключи (Authentication Request и Authentication Response), и только затем поступает команда на шифрование. Другими словами, IMSI можно перехватить в радиосе- ти, даже не взламывая шифрования, но иначе быть и не может: так работает сотовая сеть. Остался еще один нерешенный момент, упомянутый на Хабре. При регистрации телефона в роуминговой сети делается запрос в до- машнюю сеть, но затем все звонки должны проходить через гостевую сеть. Так каким же образом все исходящие звонки проходят через PBX? 55 // Мобильные угрозы 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Ответ оригинален, но достаточно прост. Когда мы пытались звонить через Motorola C118, звонок сбрасывался, и никто в ответ не перезва- нивал. То же самое — при использовании утилиты mobile из пакета osmocom-bb. Кстати, SMS сбрасываются с еще более интересной причиной: Но вернемся к вопросу о том, почему в старой Motorola исходящий вызов не работает, а в современном телефоне он сбрасывается, а за- тем перезванивает PBX. Дамп радиоэфира раскрывает тайну: При исходящем звонке вместо сообщения установления вызова (Setup) телефон отправляет USSD с номером вызываемого абонен- та, который долгое время гуляет по миру, добираясь до домашних Нидерландов, потом приходит USSD-ответ с незамысловатой фразой Calling start, а затем уже идет входящий звонок с привычной последо- вательностью Setup, Call Confirmed, Assigned Command. Таким образом, для SIM-карты запрещены любые исходящие актив- ности, кроме USSD, и запрещены они домашней сетью. А сам вызов перехватывается приложением на SIM-карте и подменяется на USSD с вызываемым номером, это уходит в домашнюю сеть, в это время приложение завершает вызов, выводит сообщение «Calling...» на экран и ждет ответа на USSD; так же она проверяет использование «шифрования» в сети. Если USSD неуспешно или не приходит ответ Calling start, она просто блокирует вызов (то, что мы видели в под- дельной сети). Однако, видимо, производительность SIM-карты не позволяет перехватить все вызовы, и завалив ее вызовами, они начи- нают уходить напрямую. Мы пытались повторить такое в реальной сети, чтобы произвести звонок в обход PBX, но там все звонки «отбиваются» сетью, посколь- ку, как уже сказано выше, для HackerSIM запрещены все исходящие активности. Самые внимательные могли заметить на предыдущем скриншоте за- прос Identity Request перед USSD-ответом. Это сообщение использу- ется сетью для получения от телефона IMSI либо IMEI. Напомним, что IMEI — вообще необязательный идентификатор в со- товой сети и может не запрашиваться никогда. Так что кто-то собира- ет их и не случайно. Нет никакой анонимности при использовании HackerSIM: они знают — кто, куда, когда и где. Теперь, зная секрет исходящих вызовов, мы можем звонить и со ста- рой Motorola, и с утилиты mobile пакета osmocom-bb. positive research 2016 56 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 mulTi imsi/ki Для пары смены IMSI/Ki необходимо использовать меню SIM-карты: Callback on/off — включает (выключает) приложение SIM-карты, подменяющие исходящие звонки на USSD. Menu — там ничего нет, кроме Exit. Reset sim profile — сбрасывает TMSI и Kc (сеансовый ключ). About — Select Location — выбор IMSI/Ki. Global — IMSI 22201xxxxxxxxxx, принадлежащий итальянскому опе- ратору TIM. Global+ — IMSI 20404xxxxxxxxxx, принадлежащий голландскому оператору Vodafone Libertel. USA — IMSI 310630xxxxxxxxx, не принадлежит конкретному операто- ру, используется в различных Global SIM. Prime — IMSI 23418xxxxxxxxxx, принадлежащий британскому Cloud9/wire9 Tel. Все IMSI, кроме Global+, в России не регистрируются по одной из этих двух причин: В режиме Global+ тоже не все гладко. Список предпочтительных сетей (там, где точно будет работать): Запрещенных сетей нет, но при попытке зарегистрироваться в «Билайне» и «TELE2» прилетает отказ из домашней сети, «МегаФон» работает, «МТС» — предпочтителен (в SIM-карте) Вот что происходит при попытке подключиться в «Билайн»: List of preferred PLMNs: MCC |MNC 234 |15 (Guernsey, Vodafone) 262 |02 (Germany, Vodafone) 208 |10 (France, SFR) 222 |10 (Italy, Vodafone) 214 |01 (Spain, Vodafone) 505 |03 (Australia, Vodafone) 228 |01 (Switzerland, Swisscom) 206 |01 (Belgium, Proximus) 404 |20 (India, Vodafone IN) 404 |11 (India, Vodafone IN) 404 |27 (India, Vodafone IN) 404 |05 (India, Vodafone IN) 404 |46 (India, 46) 272 |01 (Ireland, Vodafone) 202 |05 (Greece, Vodafone) 232 |01 (Austria, A1) List of preferred PLMNs: MCC |MNC 655 |01 (South Africa, Vodacom) 286 |02 (Turkey, Vodafone) 238 |01 (Denmark, TDC) 268 |01 (Portugal, Vodafone) 260 |01 (Poland, Plus) 230 |03 (Czech Republic, Vodafone) 250 |01 (Russian Federation, MTS) 216 |70 (Hungary, Vodafone) 226 |01 (Romania, Vodafone) 244 |05 (Finland, Elisa) 602 |02 (Egypt, Vodafone) 219 |10 (Croatia, VIPnet) 620 |02 (Ghana, Ghana Telecom Mobile / Vodafone) 255 |01 (Ukraine, MTS) Так что, если эта SIM и работает в любой стране мира, то точно не работает в любой сети мира. Выводы: используемая схема исходящих вызовов может услож- нить поиск инициатора звонка, но только при условии, что PBX на- ходится за границей и никак не контактирует со спецслужбами, а операторы связи не знают и не хотят знать о существовании таких специфичных SIM-карт. При желании же отследить активность всех, кто пользуется такими SIM-картами, несложно: разница лишь в том, что искать нужно будет немного другую информацию, чем обычно. Никаких фантастических и «хакерских» свойств сама SIM-карта не имеет. 57 // Мобильные угрозы 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 раСШифровка оБновлений ПОПУЛяРНОгО СОТОВОгО МОДЕМА Дмитрий Скляров habrahabr.ru/company/pt/blog/276949/ Иногда хочется заглянуть в код прошивки какого-нибудь устройства. Но кроме самой прошивки, которая зашифрована, ничего нет. И как реверсеру с этим жить? В статье рассмотрена реальная ситуация, ког- да при помощи базовых знаний в computer science и логики удалось решить почти бесперспективную задачу. Название производителя модема убрано, и некоторые имена файлов специально изменены, так как хочется заострить внимание на самой задаче — и на интересном подходе к ее решению. Кстати, в последних моделях модемов этого производителя такой метод уже не работает. Но не исключено, что он может быть использован и в других случаях. |