КАК СТАТЬ АВТОРОМ Соцсети Хабра обновились Мегапосты: Инсайдер Microsoft Agile без шелухи Artefact для музеев

Все потоки Разработка Администрирование Дизайн Менеджмент Маркетинг Научпоп Войти Регистрация

133,79
Рейтинг

Positive Technologies
Компания

ptsecurity 9 февраля 2015 в 12:12

ИНФОРМАЦИЯ
Исследование: Перехват трафика мобильного
Интернета через GTP и GRX Дата основания

Локация
2002 год

Москва
Блог компании Positive Technologies, Информационная безопасность
Россия

Сайт ptsecurity.com

Численность 501–1 000 человек

Дата регистрации 28 марта 2011 г.

ССЫЛКИ

Positive Technologies
www.ptsecurity.ru

PHDays — международный форум по

информационной безопасности
phdays.ru

Исследовательский центр Positive

Research
blog.ptsecurity.ru

Портал по информационной
безопасности SecurityLab
www.securitylab.ru

Онлайн-cервис проверки безопасности

браузера и плагинов SurfPatrol
www.surfpatrol.ru
Большинство абонентов считают, что работа через сотовую сеть достаточно безопасна, ведь крупный
оператор связи наверняка позаботился о защите. Увы, на практике в мобильном Интернете есть Сервис для выявления уязвимостей
веб-приложений PT BlackBox Scanner
множество лазеек, дающих широкие возможности для злоумышленников.
bbs.ptsecurity.com

Исследователи Positive Technologies обнаружили уязвимости в инфраструктуре сетей мобильной связи, Positive Technologies на GitHub
которые позволяют перехватывать GPRS-трафик в открытом виде, подменять данные, блокировать github.com
доступ к Интернету, определять местоположение абонента. Под угрозой оказываются не только
мобильные телефоны, но и специализированные устройства, подключенные к 2G/3G/4G-сетям с PT ESC Threat Intelligence

помощью модемов: банкоматы и терминалы оплаты, системы удаленного управления транспортом и www.ptsecurity.com

промышленным оборудованием, средства телеметрии и мониторинга и т.д.

Операторы сотовой связи, как правило, шифруют трафик GPRS между мобильным терминалом FACEBOOK
(смартфоном, модемом) и узлом обслуживания абонентов (SGSN) алгоритмами GEA-1/2/3, что
осложняет перехват и расшифровку информации. Чтобы обойти это ограничение, злоумышленник
может проникнуть в опорную сеть оператора, где данные не защищены механизмами аутентификации. Positive Technolo…
2,6 тыс. нравится
Ахиллесовой пятой являются узлы маршрутизации (или шлюзовые узлы), которые называются GGSN. Их
легко обнаружить, в частности, с помощью поисковика Shodan. У проблемных узлов открыты GTP-
порты, что позволяет атакующему установить соединение, а затем инкапсулировать в созданный
Нравится Страница
туннель управляющие пакеты GTP. При правильном подборе параметров GGSN воспримет их как
пакеты от легитимных устройств сети оператора.
Станьте первым из друзей, кому это
понравилось.
Протокол GTP, описанный выше, никаким образом не должен быть «виден» со стороны Интернета. Но
на практике это не так: в Интернете имеется более 207 тысяч устройств по всему земному шару с
открытыми GTP-портами. Более полутысячи из них являются компонентами сотовой сети и отвечают на
запрос об установлении соединения.
ВКОНТАКТЕ

Positive Hack Days

3 393 подписчика

Подписаться на новости

ТВИТТЕР

Еще одна возможность для атак связана с тем, что GTP — далеко не единственный протокол управления ptsecurity 20 h

на найденных узлах. Также встречаются Telnet, FTP, SSH, Web и др. Используя уязвимости в этих Мы выпустили шестую версию системы
интерфейсах (например, стандартные пароли), нарушитель может подключиться к узлу оператора выявления инцидентов безопасности
MaxPatrol SIEM. Мы добавили в продукт
мобильной связи.
чек-лис… https://t.co/8fQRKm5z8S

Экспериментальный поиск по сайту Shodan выдает несколько уязвимых устройств, в том числе с
ptsecurity 4d
открытым Telnet и отключенным паролем. Достаточно подключиться к данному устройству и
Исправлена выявленная экспертами
произвести в нем необходимые настройки для того, чтобы оказаться внутри сети оператора в
@ptsecurity уязвимость в IBM Maximo
Центральноафриканской Республике.
Asset Management. Злоумышленники
могли использ…
https://t.co/vssQVQMv3p

ptsecurity 5d

Артем Гавриченков, Qrator Labs:

Осведомленность компаний об
информационной безопасности растет.
Все больше компаний…
https://t.co/dZett1KF0L

Читать @ptsecurity

БЛОГ НА ХАБРЕ

Детектирование техник обхода

песочниц и виртуализации на
примере PT Sandbox
783 0
При этом всякий, кто получил доступ к шлюзовому узлу любого оператора, автоматически получает
доступ к сети GRX, которая объединяет всех сотовых операторов и используется для предоставления
В поисках APT30: как мы заметили
доступа к Интернету абонентам в роуминге. Воспользовавшись единичной ошибкой в конфигурации на
новую активность группировки после
одном устройстве, злоумышленник получает возможность проводить различные атаки на абонентов
нескольких лет молчания
любого оператора в мире.
2,5k 0

Среди множества вариантов использования скомпрометированного пограничного узла следует

Изучаем кибергруппировку Cobalt:
отметить следующие: отключение абонентов от Интернета или блокировка их доступа к нему;
какие новые инструменты и атаки
подключение к Интернету под видом другого абонента и за чужой счёт; перехват трафика жертвы и используют хакеры
фишинг. Злоумышленник также может определить идентификатор абонента (IMSI) и следить за
1,3k 0
местоположением абонента по всему миру, пока он не сменит SIM-карту.

Нагрузочное тестирование как CI-

Опишем некоторые угрозы более подробно.
сервис для разработчиков
1,4k 0
Интернет за чужой счет
Волк в овечьей шкуре: как поймать
Цель: исчерпание счета абонента, использование подключения в противозаконных целях. хакера, который тщательно
маскируется под обычного
Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора. пользователя
3,9k 3
Атака заключается в отправке пакетов «Create PDP context request» с IMSI известного заранее абонента,
таким образом происходит подключение к сети с его учетными данным. Ничего не подозревающий Личный опыт: как выстроить
абонент получит огромные счета. карьерный рост в отделе DevOps
4,7k 2
Возможно подключение с IMSI несуществующего абонента, так как авторизация абонента происходит
на этапе подключения к SGSN, а к GGSN доходят уже «проверенные» соединения. Поскольку SGSN в Новые стандарты информационной
данном случае скомпрометирован, никакой проверки не проводилось. безопасности: усложним жизнь
злоумышленникам
2,8k 5

Исследование: на черном рынке

растет популярность торговли
доступами к корпоративным сетям
2,6k 2

Новогодние поздравления и COVID-19:

как хакеры используют новости
1k 0

Как системы анализа трафика

обнаруживают тактики хакеров по
MITRE ATT&CK, часть 5
896 0

Как системы анализа трафика

обнаруживают тактики хакеров по
MITRE ATT&CK, часть 4
1,8k 0

Как не подарить свою компанию

хакеру, пока она на удаленке. Советы
Результат: подключение к сети Интернет под видом легитимного абонента.
специалистам SOC

Перехват данных 3,2k 0

Как системы анализа трафика

Цель: подслушивание трафика жертвы, фишинг.
обнаруживают тактики хакеров по
MITRE ATT&CK, часть 3
Вектор атаки: злоумышленник действует через сеть GRX или из сети оператора.
1,4k 0

Злоумышленник может перехватить данные, передающиеся между абонентским устройством и сетью

Как системы анализа трафика
Интернет, путем отправки на обслуживающий SGSN и GGSN сообщения «Update PDP Context Request» с обнаруживают тактики хакеров по
подмененными адресами GSN. Данная атака представляет собой аналог атаки ARP Spoofing на уровне MITRE ATT&CK на примере PT Network
протокола GTP. Attack Discovery
1,6k 1

Пять уязвимостей, опасных для

удаленной работы
9,4k 9

Кастомизация песочниц: почему это

нужно вам прямо сейчас
1,5k 3

Продолжаем разбирать уязвимости

промышленных коммутаторов:
выполняем произвольный код без
пароля
5,2k 13

Как системы анализа трафика

обнаруживают тактики хакеров по
MITRE ATT&CK на примере PT Network
Attack Discovery
2,6k 2

Обзор: самые громкие инциденты

безопасности в 2019 году
3,7k 0

CVE-2019-18683: Эксплуатация
Результат: подслушивание или подмена трафика жертвы, раскрытие конфиденциальной информации. уязвимости в подсистеме V4L2 ядра
Linux
DNS-туннелирование 5,2k 6

Цель: получить нетарифицируемый доступ к Интернету со стороны мобильной станции абонента.

Вектор атаки: злоумышленник — абонент сотовой сети, действует через мобильный телефон.

Давно известная атака, уходящая корнями во времена dial-up, потерявшая смысл при появлении
дешевого и быстрого выделенного Интернета. Однако в мобильных сетях находит применение,
например, в роуминге, когда цены за мобильный Интернет неоправданно высоки, а скорость передачи
данных не так важна (например, для проверки почты).

Суть атаки в том, что некоторые операторы не тарифицируют DNS-трафик, обычно для того, чтобы
переадресовать абонента на страницу оператора для пополнения счета. Этим можно воспользоваться
— путем отправления специализированных запросов на DNS-сервер; также для этого необходим
специализированный узел в интернете, через который будет осуществляться доступ.

Результат: получение нетарифицируемого доступа к сети Интернет за счет оператора сотовой связи.

Подмена DNS на GGSN

Цель: подслушивание трафика жертвы, фишинг.

Вектор атаки: злоумышленник действует через Интернет.

В случае получения доступа к GGSN (что, как мы уже заметили, вполне возможно) можно подменить
адрес DNS на свой, перенаправить весь абонентский трафик через свой узел и таким образом
осуществить «подслушивание» всего мобильного трафика.

Результат: подслушивание или подмена трафика всех абонентов, сбор конфиденциальных данных,
фишинг

Как защититься

Некоторые подобные атаки были бы невозможны при правильной настройке оборудования. Но

результаты исследования Positive Technologies говорят о том, что некорректная настройка — отнюдь не
редкость в мире телекоммуникационных компаний. Зачастую и производители устройств оставляют
включенными некоторые сервисы, которые должны быть отключены на данном оборудовании, что
дает нарушителям дополнительные возможности. В связи с большим количество узлов подобный
контроль рекомендуется автоматизировать с использованием специализированных средств, таких как
MaxPatrol.

В целом, необходимые для защиты от таких атак меры безопасности включают правильную настройку
оборудования, использование межсетевых экранов на границах сети GRX и Интернета, использование
рекомендаций 3GPP TS 33.210 для настройки безопасности внутри сети PS-Core, мониторинг
защищенности периметра, а также выработку безопасных стандартов конфигурации оборудования и
периодический контроль соответствия этим стандартам.

Ряд специалистов возлагают надежды на новые стандарты связи, которые включают и новые
технологии безопасности. Однако, несмотря на появление таких стандартов (3G, 4G), совсем отказаться
от сетей старого поколения (2G) не удастся. Причиной этого являются особенности реализации
мобильных сетей, в частности то, что у базовых станций 2G лучше покрытие, а также то, что на их
инфраструктуре работают и сети 3G. В стандарте LTE все так же используется протокол GTP, а поэтому
необходимые меры по защите будут актуальными в обозримом будущем.

Результаты данного исследования было получены экспертами компании Positive Technologies в 2013 и
2014 годах в ходе консалтинговых работ по анализу защищенности нескольких крупных мобильных
операторов. Полный текст отчета «Уязвимости мобильного Интернета (GPRS)» можно скачать на
нашем сайте: www.ptsecurity.ru/download/GPRS%20security.pdf

P.S. 19 февраля в 14.00 один из авторов исследования, Павел Новиков, сможет подробнее рассказать об
этих проблемах в ходе бесплатного вебинара. Регистрация на вебинар начнется 12 февраля по адресу:
www.ptsecurity.ru/lab/webinars/#40018.

Теги: GTP, GRX, GPRS

Хабы: Блог компании Positive Technologies, Информационная безопасность

+25 178 49,2k 12 Поделиться

@ ptsecurity
Пользователь

Positive Technologies
Компания

ПОХОЖИЕ ПУБЛИКАЦИИ

19 июня 2017 в 19:47

SigPloit: опубликован фреймворк для тестирования телеком-уязвимостей в протоколах SS7, GTP,

Diameter и SIP
+13 8,9k 64 8

1 августа 2013 в 10:43

Безопасность мобильного интернета изнутри и снаружи

+39 29,5k 171 16

ВАКАНСИИ КОМПАНИИ POSITIVE TECHNOLOGIES

Социальный инженер в отдел тестирования на проникновение

Positive Technologies • Можно удаленно

Больше вакансий компании

Комментарии 12

mayorovp 9 февраля 2015 в 13:14 0

При этом всякий, кто получил доступ к шлюзовому узлу любого оператора, автоматически получает
доступ к сети GRX, которая объединяет всех сотовых операторов и используется для предоставления
доступа к Интернету абонентам в роуминге. Воспользовавшись единичной ошибкой в конфигурации на
одном устройстве, злоумышленник получает возможность проводить различные атаки на абонентов
любого оператора в мире.

Означает ли это, что любой сотовый оператор может «атаковать» любого другого?

ptsecurity 9 февраля 2015 в 13:22 0

Да, операторские сети объединяются через сеть GRX, которая предназначена для предоставления доступа
пользователей в интернет в роуминге.
Данная сеть является относительно доверенной, поэтому операторы могут производить атаки друг на
друга через нее.

bougakov 9 февраля 2015 в 14:57 0

у фразы не хватает продолжения "… что в 100% случаев приведёт к мгновенному разрыву
роумингового соглашения и огласке через GSMA."

Абы кто заключить роуминговое соглашение не может — для этого у атакующего должна быть своя
сеть (стоящая нехилых денег) и пара-другая миллионов абонентов «для прикрытия». Городить это всё
ради подключения к интернету за счёт другого абонента? Это даже не из пушки по воробьям, это —
муху прихлопывать баллистической ракетой.

Ресурсы такого калибра есть только у государств. Но им подвластно просто обязать оператора
поставить чёрный ящик на SGSN и не утруждать себя ловлей тонких мест в протоколах связи.

mayorovp 9 февраля 2015 в 15:11 0

Тонкость в том, что государство может поставить «черный ящик» у своего оператора, а слушать —
чужих. Действительно ли это будет обнаружено достаточно быстро?

ptsecurity 9 февраля 2015 в 15:20 0

И есть свидетельства, что попытки были неоднократно. Об этом, в частности, тут упоминается:
www.slideshare.net/StephenKho/on-her-majestys-secret-service-grx-and-a-spy-agency.

ptsecurity 9 февраля 2015 в 15:17 +1

Конечно, речь не идет о создании «плохого оператора связи» для атак на мирных операторов:).
Речь о том, что при компрометации одного единого GGSN-шлюза любого оператора связи, этот
шлюз может быть использован злоумышленником для атак на всех остальных операторов через
один самых незащищенных интерфейсов взаимодействия — Gp-интерфейс — в сторону GRX. И
разумеется, при этом проблемы будут как у атакуемого, так и несчастного «атакующего» оператора,
чьей сетью просто воспользовались.

Ghool 11 февраля 2015 в 00:35 0

буду читать перед тем, как писать.

Меня опередили более толковые товарищи *)

Mach1ne 9 февраля 2015 в 16:06 –2

Простите, открыт ли у Вас набор в Питерский офис по вакансиям пентеста?

ptsecurity 9 февраля 2015 в 16:37 –1

И не только в Питере, и не только на пентестера: sgordey.blogspot.ru/2015/01/blog-post_29.html?m=1

Mach1ne 9 февраля 2015 в 16:54 –2

Ответил в личку, будьте добры :)

Vindicar 10 февраля 2015 в 09:45 0

Что-то не пойму, какое отношение к атаке на GRX имеет пункт про DNS-туннелирование. Исходя из описания,
этот прием вообще не требует какого-либо взлома — либо DNS сервер оператора отвечает независимо от
статуса абонента, либо нет.

Или это приведено как вступление к подмене DNS внутри сети оператора? Так там тоже взаимосвязь не
очень-то…

ptsecurity 10 февраля 2015 в 12:20 0

Вы правы. DNS-туннелирование — это не атака на GRX. Это вариант воспользоваться нетарифицируемым

DNS трафиком для доступа к дорогому Интернету, например, в роуминге.

Наше исследование, часть которого здесь цитируется, посвящено уязвимостям мобильного Интернета в
целом. Атаки через GRX занимают в этом исследовании существенное место, поэтому они и попали в
заголовок данной новости. Но в исследовании есть и другие примеры уязвимостей и атак. DNS-
туннелирование – один из таких примеров.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

САМОЕ ЧИТАЕМОЕ

Сутки Неделя Месяц

Не хочу Visual Studio Code: 7 open source альтернатив

+20 22,6k 69 107

Ликбез про электронные трудовые книжки

+22 14,6k 62 58

Путин одобрил меру о бессрочном снижении налога на прибыль для IT-компаний с 20% до 3%
+40 14,3k 11 97

Самое важное с конференции Apple WWDC'20

+57 26,8k 33 80

Agile для банка: кейс о том, как выстроить ИТ-подразделение

Мегапост

Ваш аккаунт Разделы Информация Услуги

Войти Публикации Устройство сайта Реклама

Регистрация Новости Для авторов Тарифы

Хабы Для компаний Контент

Компании Документы Семинары

Пользователи Соглашение Мегапроекты

Песочница Конфиденциальность

Если нашли опечатку в посте, выделите ее и нажмите Ctrl+Enter, чтобы сообщить автору.

© 2006 – 2020 «TM» Настройка языка О сайте Служба поддержки Мобильная версия