Информационные технологииStfw.Ru 🔍

Атака на GPRS

GPRS - это новая услуга, которая позволяет с помощью обычного мобильника браузить инет с нехилой скоростью 171,2 Кбит/сек.
🕛 14.02.2008, 17:14
GPRS - это новая услуга, которая позволяет с помощью обычного мобильника браузить инет с нехилой скоростью 171,2 Кбит/сек. Правда, это только в теории. На практике скорость всего 30-40 Кбит/сек, но и этого вполне достаточно для того, чтобы зависать на сайтах с анекдотами и другой развлекухой. Кроме того, это единственный способ заюзать интернет при отсутствии телефона в твоей квартире. А уж для настоящих хакеров GPRS поистине предоставляет безграничные возможности. Представь: едет хакер с друганом на машине, друг за рулем, у хакера на коленях ноутбук, к которому прикручен мобильник (кстати, GPRS поддерживается не любым аппаратом). И они вместе ломают сеть какого-нибудь банка, а переведя энную сумму денег на подставные счета, уносятся с места преступления. Мечта... Ну да ладно, что-то я отвлекся. Расскажу о том, какие слабые места есть в этой технологии. Сразу замечу, что некоторые положения статьи применимы и к GSM, как прародительнице GPRS.

Краткий экскурс в теорию GPRS

Технология GPRS мало чем отличается от GSM и по большому счету является ее расширением. Обычный мобильник с поддержкой GPRS (например, Ericsson R600) подключается по радиоканалу к так называемой базовой станции, которая передает трафик на узел обслуживания абонентов (serving GPRS support node - SGSN), являющийся первым и одним из самых важных элементов GPRS-сети. Данный узел, который обычно строится на базе Unix (например, у Ericsson в SGSN используется Solaris), транслирует все IP-пакеты получаемые и принимаемые мобильником. Именно SGSN проверяет, разрешено ли абоненту пользоваться GPRS-услугами.

По идее, SGSN'ом можно было бы и ограничиться, но ведь мало кого интересует хождение по GPRS-бэкбону. Поэтому для выхода в открытые сети используется маршрутизатор, который называется gateway GPRS support node, а попросту GGSN. GGSN, как и SGSN обычно строится на базе Unix и отвечает не только за маршрутизацию трафика в интернет, но и за связь с GPRS-сетями других операторов (т.е. за роуминг). Существуют и другие элементы этой технологии, но о них мы поговорим чуть позже, рассматривая ошибки GPRS.

В чем прелесть этой технологии для хакера? А в том, что в ее основе лежит старый знакомый - IP, изученный вдоль и поперек и позволяющий творить чудеса с теми, кто недооценивает всю опасность этого протокола.

Для чего все это?

Зачем человеку шутить с Уголовным Кодексом и баловаться с GPRS? А целей может быть четыре:

* За чужой счет посидеть в интернете.

* Подслушать, что говорит подружка о тебе любимом.

* ЗаDoSить дружбана, который обозвал тебя ламером.

* Нагадить провайдеру, отключающему за скан.

Как ломается?

Что надо сделать, чтобы юзать инет, не платя за это свои грОши? Ну, конечно, выдать себя за абонента, оплатившего эту услугу. Но сказать проще, чем сделать. Есть два варианта:

* Влезть в сеть своего прова и изменить информацию о доступных тебе услугах. Однако сделать это не так просто, да и залететь можно очень быстро. Если вдруг такой подлог выяснится, то доказывать, что ты не Camel придется сотрудникам Управления "К".

* Иметь на руках аппарат, в недрах которого (читай в SIM'е) прописано, что взломщик может пользоваться GPRS. А смысл сказанного прост: хакер должен каким-то образом получить (и пусть это останется на его совести) аппарат абонента, оплатившего эту услугу, либо клонировать этот аппарат. Т.к. мобильный телефон куда меньше обычного компьютера, то и украсть его намного легче. В худшем случае вор получает аппарат за сотню баксов, который он может продать, повесить себе на шею и т.д. При хорошем же раскладе вор получает телефон с работающей SIM-картой и может пользоваться GPRS-услугами до момента блокирования телефона оператором связи, что может произойти довольно быстро. Очевидно, что вариант с клонированием лучше, т.к. в этом случае хакер может пользоваться услугами GPRS до тех пор, пока настоящий владелец не заметит, что с его счета списывается слишком много денег.

Как и в случае с овечкой Долли, которая умерла, не прожив и половины среднего срока жизни овцы, клонирование телефона - дело непростое и потенциально опасное. Я надеюсь, ты это понимаешь. Приводить технические детали процесса нет смысла, тем более что седьмой номер Спец Хакера за прошлый год был полностью посвящен вопросам фрикинга и защиты самих мобильников. Хочу только отметить, что многие операторы связи, понадеявшись на защиту реализованных в телефоне алгоритмов, не особо контролируют клоны телефонов, чем и дают пищу для размышлений и пространство для испытаний. Более интересны особенности защиты самой GPRS-технологии. К ним и перейдем. Но сразу хочу отметить, что технология эта новая и малообкатанная. Дыр в ней нашли пока не так много, да и те, что нашли, как правило, связаны с недосмотром админа, который что-то упустил и оставил лазейку для умных людей.

Гы-гы? Ломаем!

С точки зрения обычного интернетовского юзверя, первое, что он видит на пути к мобильнику, это GPRS-маршрутизатор (т.е. GGSN), транслирующий все входящие пакеты в GTP-трафик, а все исходящие в обычный IP. Здесь и кроется первая дыра. GGSN - это обычное IP-устройство, подверженное классическим DoS-атакам. Причем на GGSN возможны как распространенные DoS-атаки Land, SYN Flood и т.п., так и малоизвестные дыры. Например, посылка TCP-пакета с типом опции 0xFF внутри заголовка IP приводит к перезагрузке некоторых GGSN. Хотя упадет устройство или нет зависит от качества реализации стека производителем. Например, в Shasta 5000 BSN от Nortel уже встроена защита от атак SYN Flood и Land.

Проблема нумбер 2. Многие GGSN выполнены на базе широко известных ОС, например, HP UX, Solaris или IPSO от Nokia. Дыры в этих ОС тоже известны. Так что остается только проверить с помощью сканера наличие уязвимостей. В случае удачи хакер получает полный доступ к GGSN и, следовательно, ко всей GPRS-сети.

Кстати, SGSN еще более уязвимы, т.к., согласно отчету @stake, на сегодняшний день вообще не существует никаких средств их защиты. Если GGSN, как и нормальный маршрутизатор, можно настроить (задать списки контроля доступа) или навесить на него внешний фаервол (например, CheckPoint Firewall-1 GX), то с SGSN ситуация существенно хуже. Что касается дыр, то в качестве одной из них могу назвать SNMP, с помощью которого можно управлять этим устройством. То же самое относится и к GGSN. В частности, уязвимости в Contivity CES/GGSN (версии 2.04.03 и 3.01.01) от Nortel позволяют реализовать различные атаки на него, начиная от DoS и заканчивая привилегированным доступом (http://www.cert.org/advisories/CA-2002-03.html).

Следующая проблема касается GTP, который работает поверх UDP или TCP (только в версии выше первой) и по умолчанию не шифрует трафик. А, следовательно, получив доступ к GGSN или SGSN, хакер может читать все сообщения. Никаких механизмов безопасности в GTP не предусмотрено, и все производители рекомендуют использовать IPSec, что, разумеется, делают далеко не все. Собственно, как считают многие специалисты, только некоторые компании, предоставляющие услуги GPRS, применяют положения своей политики безопасности к GPRS-устройствам, остальные считают их защищенными и недоступными для злоумышленников.

Как и любая крупная структура, GPRS-сеть должна иметь эффективные механизмы управления, и они действительно есть. Помимо уже упомянутого SNMP, в сети GPRS можно встретить Telnet, DHCP, DNS, TFTP, RIP и даже HTTP. А что позволяют делать эти протоколы с узлом, на котором они запущены, я думаю, говорить не стоит.

Кстати, перехватить трафик можно не только между GGSN и SGSN, но и между мобильником и SGSN. И это несмотря на наличие шифрования между ними. А все потому, что в реализации алгоритмов A3 и A8, объединенных общим именем COMP128, существует ряд дыр, которые были найдены ушлыми хакерами. Правда эти дыры были обнаружены в SIM-карте, но учитывая, что SGSN использует те же алгоритмы, получить доступ к передаваемым данным не составит труда.

Те, кто читал мою статью об атаках на IP-телефонию (12-й Хакер за 2002 год), могут проследить, что атаки на обе технологии практически совпадают - разнятся только детали реализации. Поэтому можно попытаться спрогнозировать - какой еще атаке подвержены компоненты GPRS-сети. Правильно! Абсолютное большинство устройств поставляется с предустановленными настройками, и для их изменения используется пароль администратора, заданный по умолчанию и практически никогда не изменяемый. Например, в Nortel'овском оборудовании есть такая учетная запись field, пароль для которой - service.

Если бы хакер был сотрудником какого-нибудь Мегафона, Билайна или МТС, у него появилось бы чуть больше возможностей по хаканью GPRS. В частности, можно взломать биллинговую систему, ведущую тарификацию звонков и услуг. А можно покопаться в базах HLR (Home Location Register) и VLR (Visitor Location Register), хранящих информацию о каждом человеке, оплатившем услуги оператора GPRS, и о каждой мобильной станции, находящейся в данный момент в зоне действия SGSN. HLR, например, хранит информацию о дополнительных услугах, параметрах аутентификации, IP-адресе и т.д. Обмен данной информацией происходит между HLR и SGSN. В VLR хранится та же информация об абоненте, что и в HLR, но только до тех пор, пока абонент не покинет географическую зону, обслуживаемую этим реестром перемещений. Но так как среди 75000 подписчиков ][ вряд ли есть найдется много сотрудников указанных операторов связи, то рассматривать эту тему более подробно мы не будем.

Заключение

К сожалению, статья не изобилует примерами реальных атак и дыр, и на то есть 2 причины. Во-первых, GPRS - технология еще малораспространенная, а местами даже и незрелая, и поэтому присущих именно ей дыр найдено не так много. А те, что уже известны, в основном касаются протокола IP вообще. Во-вторых, как подчеркивают многие спецы по безопасности, на сегодняшний день основная проблема с защищенностью GPRS связана с мобильным телефоном, а точнее с SIM-картой. Т.е. получив в свое распоряжение SIM-карту абонента, подписанного на услуги GPRS, хакер может пользоваться ими до посинения.

Я надеюсь, что со временем эта технология займет свое достойное место на российском рынке телекоммуникационных услуг, и появится больше возможностей пощупать ее дыры. А пока пользуйтесь бесплатным GPRS, предоставляемым МТС :).

IMEI код

В украденном аппарате можно изменить идентификационный код мобильника IMEI и, вставив другую SIM-карту, использовать его по прямому назначению. Учитывая, что многие операторы связи никак не контролируют эти номера, то возможно появление в сети нескольких мобильников с одинаковыми IMEI. Согласно отчету консалтинговой компании @stake ("GPRS Wireless Security: Not Ready For Prime Time"), опубликованному в июне 2002 года, на рынке отсутствует оборудование, поддерживающее реестр идентификационных данных оборудования (Equipment Identity Register), который содержит информацию, позволяющую блокировать вызовы от украденных, мошеннических или иных неавторизованных устройств. Это значит, что оператор не сможет отключить украденную или клонированную трубку.

Узнать IMEI элементарно - достаточно набрать на телефоне комбинацию *#06#. В реестре EIR помимо так называемых "белого" и "серого" списков хранится и "черный" список, содержащий идентификаторы всех запрещенных аппаратов. Как заявили сотрудники МТС: "Сейчас между операторами проводятся переговоры о создании единого "черного списка" краденых телефонов". Из чего можно сделать вывод, что пока такой список не создан, а учитывая конкуренцию и российскую неразбериху, можно предположить, что в ближайшее время создание такого списка фрикерам не грозит.

Информационная безопасность   Теги: Gprs

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉