Уязвимости мобильного интернета (GPRS)

План

 Введение
 Описание мобильной сети
 Протокол GTP
 Поиск оборудования мобильных операторов в сети Интернет
 Возможные атаки
Прогноз увеличения мобильного трафика
Схема сети оператора мобильной связи
Устройства и протоколы передачи данных
Устройства и протоколы передачи данных
Протокол GTP
UDP-порты:
3389-GTP’
2123-GTP control
2152-GTP user
Процедура установления соединения
 PDP Context Activation

Activate PDP Context Request

 PDP Context Activation

DNS Request: mncXXX.mсcXXX.internet

 PDP Context Activation

DNS Response: GGSN IP

 PDP Context Activation

Create PDP Context Request

 PDP Context Activation

Radius Authenticate Request

 PDP Context Activation

Radius Authenticate Response

 PDP Context Activation

DHCP Address Request

 PDP Context Activation

DHCP Address Assignment

 PDP Context Activation

Create PDP Context Response

 PDP Context Activation

Activate PDP Context Accept

 Казалось бы, это технологическая сеть,
и в нее не может попасть любой желающий.
Но...
Поиск оборудования операторов в сети Интернет
Поиск узлов, отвечающих на GTP-echo (UDP:2123)
Практически в любой точке мира
На порте 2123 встречается не только GTP
Но есть и те, кто соглашается установить соединение
На этих устройствах есть и другие сервисы
Что еще можно найти на сетевом периметре?
1. Перебор IMSI
 1. Перебор IMSI
Запрос:
-SendRouteingInformationforGPRSRequest
 1. Перебор IMSI
Ответ:
- MS_not_Reachable
- SGSN_IP
2. Раскрытие данных абонента по IMSI
 2. Раскрытие данных абонента по IMSI

Запрос:
- UpdatePDPContextRequest
 2. Раскрытие данных абонента по IMSI

Ответ:
- IMSI
- MSISDN (номер телефона)
- MCC, MNC, LAC, CI
(местоположение)
3. Отключение легитимных абонентов от сети Интернет
3. Отключение легитимных абонентов от сети Интернет

Сеть абонента

Интернет

PS-core

GRX

Злоумышленник
3. Отключение легитимных абонентов от сети Интернет

Сеть абонента

Интернет

PS-core

GRX

For i in range (1,1000000)

DeletePDPContext(TEID=i)

Злоумышленник
3. Отключение легитимных абонентов от сети Интернет

Сеть абонента

PS-core Интернет

GRX RequestAccepted(TEID=1)
Реальный SGSN RequestAccepted(TEID=2)
не знает о закрытии туннелей ….
RequestAccepted(TEID=MAX)

Злоумышленник
4. Блокировка подключения к сети Интернет
 4. Блокировка подключения к сети Интернет

Сеть абонента

PS-core Интернет

GRX

For i in range (1,10000000000)

CreatePDPContext(IMSI=‘mcc+mnc’+i)

Злоумышленник
4. Блокировка подключения к сети Интернет

Сеть абонента

PS-core Интернет

GRX RequestAccepted (TEID=1)

RequestAccepted (TEID=2)
…
RequestAccepted (TEID=MAX)
No resources Available
Злоумышленник
 4. Блокировка подключения к сети Интернет

Сеть абонента

PS-core Интернет

CreatePDPContext(IMSI=real)
Попытка подключения GRX

Злоумышленник
4. Блокировка подключения к сети Интернет

Сеть абонента

PS-core Интернет

No resources Available

GRX

Злоумышленник
 4. Блокировка подключения к сети Интернет

Сеть абонента

PS-core Интернет

Нет подключения :( GRX

Злоумышленник
5. Интернет за чужой счет
 5. Интернет за чужой счет

Сеть абонента

PS-core Интернет

IMSI=0123

GRX

Злоумышленник
 5. Интернет за чужой счет

Сеть абонента

PS-core Интернет

IMSI=0123

GRX
CreatePDPContext(IMSI=0123)

Злоумышленник
 5. Интернет за чужой счет

Сеть абонента

PS-core Интернет

IMSI=0123

GRX
Request Accepted

Злоумышленник
 5. Интернет за чужой счет

Сеть абонента

PS-core Интернет

IMSI=0123

GRX

Злоумышленник
 5. Интернет за чужой счет

Сеть абонента

PS-core Интернет

IMSI=0123

*100# GRX
Ваш баланс равен -5678 руб.

Злоумышленник
6. Перехват данных
6. Перехват данных

Сеть абонента

PS-core Интернет

GRX

Злоумышленник
 6. Перехват данных

Сеть абонента

PS-core Интернет

GRX
UpdatePDPContext UpdatePDPContext
«Я новый GGSN» «Я новый SGSN»

Злоумышленник
 6. Перехват данных

Сеть абонента

PS-core Интернет

GRX

Злоумышленник в любой
точке мира может
«подслушать» важные данные

Злоумышленник
7. DNS-туннелирование
7. DNS-туннелирование
8. Подмена DNS на GGSN
8. Подмена DNS на GGSN
Как защититься?
- Выполнять рекомендации по организации PS-Core
- Проводить периодический аудит системы
- Использовать специализированное ПО для аудита и
контроля соответствия стандартам
Ссылки
1. Cisco Global Mobile Data Traffic Forecast Update, 2013–2018. Cisco VNI Mobile, 2014
http://www.cisco.com/c/en/us/solutions/collateral/service-provider/ visual-networking-index-
vni/white_paper_c11-520862.pdf
2. Статистика уязвимостей корпоративный информационных систем в 2013 г. Positive
Technologies, 2014
http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_ 2014_rus.pdf
3. Уязвимости сетей мобильной связи на основе SS7. Positive Technologies, 2014
http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
4. Мобильные телефоны и тотальная слежка АНБ: как это работает. Positive
Technologies, 2014
http://habrahabr.ru/company/pt/blog/245113/
5. 4G ‘inherently less secure’ than 3G. The Telegraph, 2014
http://www.telegraph.co.uk/technology/internet-security/10951812/ 4G-inherently-less-secure-than-3G.html
6. Безопасность мобильного интернета изнутри и снаружи. Positive Technologies, 2013
http://habrahabr.ru/company/pt/blog/188574/
7. GRX and a Spy Agency
http://www.slideshare.net/StephenKho/on-her-majestys-secretservice-grx-and-a-spy-agency
8. 3GPP TS 29.060
http://www.3gpp.org/DynaReport/29060.htm
Конец рассказа
Спасибо за внимание

Павел Новиков
Специалист отдела безопасности телекоммуникационных систем
Positive Technologies
ponovikov@ptsecurity.com