книги хакеры / Как_защитить_себя_в_цифровом_мире_

ISDN; т.е. номер телефона с кодом страны и города, который мы набираем при вызове) и 128-битный ключ Ki (Key Identification — индивидуальный ключ идентификации пользователя). На SIM-карту, которую абонент вставляет в свое мобильное устройство, при ее производстве записаны вышеуказанные данные, представляющие собой, по сути, уникальные неизменные логин и пароль абонента.

При регистрации в сети телефон сканирует ближайшие соты и формирует список из шести наиболее подходящих для передачи сигнала станций. Затем выбирает из них станцию с наиболее сильным сигналом, синхронизируется, расшифровывает идентификатор BTS и передает его BSC и MSC. Обращаясь к мобильному устройству, MSC производит запрос номера IMSI. Устройство отвечает своим IMSI (Ki не передается), по которому VLR данной сети определяет (в IMSI, помимо прочего, указан код страны и оператора) домашнюю сеть абонента устройства и запрашивает из HLR данные об абоненте. HLR передает в VLR всю необходимую информацию, а у себя регистрирует адрес VLR, чтобы знать, где находится данный абонент. MSC на основе данных VLR проводит авторизацию абонента: MSC отвечает случайно сгенерированным числом, с помощью которого и SIM-карта, и MSC независимо вычисляют (перемножая Ki и это случайное число) временный сеансовый ключ (Kc) и сверяют его. Если результаты совпали, SIM-карта определяется как подлинная, в целях безопасности абоненту присваивается TMSI (Temporary Mobile Subscriber Identity —

временный идентификатор мобильного абонента) и связь предоставляется. TMSI действителен только в зоне действия данной VLR и обновляется, если устройство перемещается в другой сегмент сети.

Более подробно о работе SIM-карт и сотовых сетей можно прочитать в следующих материалах: https://www.kaspersky.ru/blog/sim-card- history/10189/ и https://window.edu.ru/resource/294/65294/- files/Berlin_SSS_978-5-9963-0104-1/Glava1_cC0104-1.pdf

Так, в январе 2016 г. устройства перехвата сотовой связи были обнаружены по всему Лондону, в том числе вблизи зданий парламента. В ходе расследования выяснилось, что подобные устройства используются полицией Великобритании для слежки за тысячами телефонов и перехвата звонков, текстовых сообщений и электронных писем. Такие устройства часто применяются во время митингов и прочих мероприятий. Также выяснилось, что компания-поставщик

органам по всему миру, включая Россию, Африку и США [178]. Устройства, предназначенные для перехвата голоса и данных в

мобильных и спутниковых сетях, в том числе GSM (2G), UMTS (3G) и LTE (4G), одновременно могут следить за сотнями и даже тысячами телефонов. После включения перехватчик выводит данные о находящихся поблизости смартфонах, в том числе IMSI, IMEI и абонентские номера [179]. Перехватчик может работать в одном из двух режимов: в активном, выступая в роли базовой станции, либо в пассивном, мониторя канал и другие базовые станции. Атаки происходят различным образом, в зависимости от используемой технологии связи. Относительно слабо защищенный стандарт GSM легко взламывается, когда перехватчик запрашивает у устройства идентификаторы IMSI (International Mobile Subscriber Identifier —

фактически это уникальный номер SIM-карты) и IMEI (International Mobile Equipment Identifier — уникальный номер аппарата) [180].

После успешного подключения к телефону перехватчик способен следить за геопозицией устройства, отправлять на телефон сообщения (в том числе спам), отправлять сообщения оператора, перенастраивающие телефон (к примеру, путем установки новой точки APN для управления доступом к мобильному интернету, настройки HTTP-прокси-сервера или иного интерфейса для доступа злоумышленников к телефону); а также отключать шифрование и перехватывать голосовой трафик и сообщения [181]. Атака удается, так как в устаревающих GSM-сетях должно проходить авторизацию только мобильное устройство, а базовая станция не должна, что снижает уровень защиты.

Хотя весь эфир шифруется с помощью алгоритма A5, чтобы нельзя было подслушивать чужие разговоры (кроме случаев принудительного отключения [[28]] шифрования на время операций спецслужб), современные системы перехвата могут обходить защиту. Кроме того, в некоторых странах операторы вынуждены использовать «экспортный» вариант шифрования А5/2 с намеренно заниженной стойкостью (а не более защищенный вариант — А5/1). Протокол A5/2 специально сделан таким образом, чтобы спецслужбам, работающим вне Евросоюза и США, было проще его вскрыть [182]. Но даже «стойкий» протокол А5/1 еще в 2010 г. на компьютерах того времени вскрывался за несколько секунд методом перебора ключей с помощью радужных таблиц. При этом злоумышленник может работать в полностью пассивном режиме, ничего не передавая в эфир, и его практически невозможно обнаружить. Для взлома ему нужна была лишь специальная программа с радужными таблицами, мощный ноутбук и модифицированный телефон. После

телефонов, блокировать доставку данных либо изменять их.

КЕЙС В 2011 г. в Москве было взломано около 50 000 телефонов, при этом абонентам был причинен ущерб на сумму свыше 3 млн рублей. Злоумышленники, передвигаясь на автомобиле, использовали GSMанализатор, с помощью которого перехватывали IMSI и прочую служебную информацию. Мошенники отправляли от имени жертв сообщения на платный SMS-сервис, списывая небольшие суммы (в пределах 80 рублей), чтобы абонентам было сложнее обнаружить пропажу средств. Схема раскрылась из-за подозрительной активности мошенников: от абонентов, находящихся в зоне действия одной базовой станции, начинали массово приходить одинаковые SMS-сообщения

[183].

С развитием технологий и использованием более стойких мер защиты описанные уязвимости теряют актуальность, но появляются новые. Системы связи 3G (UMTS) и 4G [184] (LTE) используют более надежные алгоритмы шифрования и двустороннюю аутентификацию, но последнюю также можно обойти, используя режим совместимости с GSM, реализованный в большинстве сетей. Этот режим используется в резервной ситуации, если сеть 3G/4G по каким-то причинам недоступна (например, в не охваченных такими сетями в отдаленных районах). Если правильно настроить устройство перехвата, телефон будет показывать наличие обычного сотового соединения (3G или 4G) и при этом он вынужден вернуться к более слабому шифрованию 2G [185]. Принуждение к переходу на менее защищенную технологию доступа (GSM) осуществляется путем глушения сигналов в UMTS- и LTEдиапазонах.

В сетях LTE (4G), согласно докладу [186] специалистов из Университетов Пердью и Айовы, существует множество уязвимостей, делающих возможными не менее 19 видов атак [187]. Злоумышленники могут подключаться к сети 4G от имени другого абонента, отправлять и перехватывать сообщения, подделывать информацию о местонахождении устройств, а также отключать телефоны жертв от сети [188] и, модифицируя DNS-запросы, перенаправлять абонентов на вредоносные сайты [189]. Самый опасный вид атаки позволяет злоумышленникам «подключаться к ключевым сетям без необходимых учетных данных, выдавая свое устройство за сотовое устройство жертвы».

Примечание. Согласно отчету [190] компании MarketsandMarkets, в 2019 г. объем мирового рынка устройств для перехвата, используемых только в законных целях, вырос более чем в 5 раз и достиг 1,342 млрд долларов (в 2014 г. этот показатель составлял 251,5 млн долларов).

называемая VoLTE, которая широко применяется по всему миру (в некоторых регионах России ее используют операторы «большой четверки»). Специалисты французской компании P1 Security выявили [191] ряд проблем, позволяющих взломать сеть оператора сотовой связи и получить доступ к списку абонентов, создавать скрытые каналы передачи данных, совершать звонки с чужого номера телефона, получать доступ к голосовой почте и т.д. Кроме того, злоумышленники могут составить виртуальную карту сети целевого оператора сотовой связи, перехватив трафик VoLTE, и определять местоположение пользователей [192].

Примечание. Согласно отчету, подготовленному компанией Positive Technologies, один крупный оператор с абонентской базой несколько десятков миллионов человек ежесуточно подвергается более чем 4000 кибератак [193].

Хотя стандарт связи 5G более безопасен и содержит меньше уязвимостей, чем предыдущие, проблема защиты от поддельных базовых станций остается для него актуальной. С помощью относительно дешевого оборудования (стоимостью около 1100 евро) и ноутбука злоумышленник может эксплуатировать логическую (а значит, не зависящую от версии протокола) уязвимость в протоколе AKA (Authentication and Key Agreement), предназначенном для обеспечения безопасности передачи данных между мобильным устройством и базовой станцией. Недостатки в протоколе позволяют обойти механизм защиты и следить за пользователем (узнавать количество звонков и SMS-сообщений, следить за местоположением) не только в сетях 3G и 4G, но и 5G [194].

Сеть GRX

Согласно результатам исследования специалистов из компании Positive Technologies, в инфраструктурах сетей сотовой связи существуют уязвимости, позволяющие перехватывать GPRS-трафик. Речь идет об оборудовании операторов сотовой связи, допускающем несанкционированный доступ к открытым портам, в частности при передаче данных по протоколам GTP (GPRS Tunnelling Protocol), FTP, Telnet и HTTP. Найдя незащищенные порты с помощью специализированных приложений и сервисов наподобие Shodan и получив доступ к сети оператора, злоумышленник в числе прочего допускается к сети GRX (GPRS Roaming Exchange), объединяющей всех операторов сотовой связи и используемой для предоставления доступа к интернету абонентам в роуминге. Действуя из сети оператора или GRX,

абонентов; получать номера телефонов, названия моделей устройств и данные о местонахождении абонентов; отключать пользователей от интернета; пользоваться интернетом за чужой счет; перехватывать и подменять трафик абонентов [195].

Спецификация ОКС-7

К серьезным проблемам безопасности сотовой связи следует отнести и известные уязвимости набора сигнальных телефонных протоколов ОКС-7 (общий канал сигнализации) (в Европе — SS7 (Signaling System #7)). Этот стандарт используется для обмена служебной информацией между сетевыми устройствами, которая передается отдельно от абонентского трафика. Хакер, успешно воспользовавшийся этими уязвимостями, может прослушивать голосовые вызовы абонентов, читать SMS-сообщения, похищать деньги со счетов, обходить системы тарификации и влиять на функционирование сотовой сети.

В 2013 г. бывший сотрудник ЦРУ и АНБ США Эдвард Сноуден передал журналистам The Guardian и The Washington Post документы, подтверждающие, что спецслужбы США и Великобритании могут следить за любым человеком, и атаки на протокол ОКС-7 — один из способов слежки. С помощью ОКС-7 можно «определить местоположение абонента в любой точке мира, прослушивать разговоры в реальном времени или записывать зашифрованные звонки и текстовые сообщения для дальнейшей расшифровки» [196]. В частности, предполагается, что в период с 2012 по 2014 г. проводилась операция Dunhammer, в рамках которой сотрудники АНБ совместно с датскими спецслужбами использовали комплекс XKeyscore [197] для перехвата мобильного и интернет-трафика на устройствах европейских политиков (из Центральной и Северной Европы, включая канцлера Германии Ангелу Меркель), в том числе электронных и SMSсообщений, сообщений из мессенджеров, телефонных звонков [198]. Злоумышленник может получить несанкционированный доступ к сети ОКС-7, эксплуатируя описанные в предыдущем разделе уязвимости в оборудовании оператора сотовой связи. При подключении устройства к мобильному интернету формируется зашифрованный IP-туннель от абонентского устройства до узла GGSN (2G/3G-сети) или PGW (LTEсети). Подключившись к такому узлу, злоумышленник ищет в нем уязвимости и, если таковые обнаружены, проникает в опорную IP-сеть оператора. В этой сети злоумышленник ищет платформы, представляющие VAS-услуги (например, RBT (Ring-Back Tone), которая проигрывает мелодию вместо гудка) и подключенные к

хакер получает доступ к системе и повышает свои права до уровня root (администратора). Затем он устанавливает программное обеспечение, предназначенное для генерации сигнального трафика, с помощью которого сканирует внутреннюю сигнальную сеть и получает адреса сетевого окружения — HLR и MSC/VLR. Выяснив адреса сетевых элементов и управляя сетевым элементом, подключенным к сигнальной сети ОКС-7, злоумышленник может получить идентификаторы IMSI телефона любого абонента оператора сотовой связи [199].

Эксплуатируя уязвимости ОКС-7, хакер способен создать виртуальную SIM-карту и одновременно с настоящим владельцем пользоваться услугами связи, в том числе и получать доступ к SMSсообщениям жертвы. В связи с этим крупные европейские банки начали отказываться от отправки в SMS-сообщениях одноразовых кодов для авторизации клиентов в системах интернет-платежей. В частности, в 2019 г. об этом заявили шесть крупнейших немецких банков: Postbank, Raiffeisen, Volksbank, Deutsche Bank, Commerzbank и Consorsbank,

которые предпочли использовать иные способы аутентификации клиентов [200].

В 2014 г. сотрудники компании Positive Technologies проверили, легко ли найти оператора сотовой связи, готового подключить посторонних к ОКС-7. Исследователи представились начинающими контент-провайдерами дополнительных услуг, которым необходимо подключение к ОКС-7, чтобы «рассылать абонентам лучшие прогнозы погоды». Многие представители операторов сотовой связи из Южной Америки и Средней Азии согласились предоставить доступ официально, а другие предлагали подключение за 4000 долларов. По словам исследователей, имея знакомых в компании сотовой связи, получить доступ к ОКС-7 очень легко.

ОКС-7 используется в числе прочего в сетях 2G и 3G. Хотя в 4G применяется несколько иной протокол, Diameter, проблемы ОКС-7 попрежнему актуальны не только из-за вынужденной поддержки операторами сетей предыдущего поколения, но из-за того, что Diameter наследует [201] проблемы предшественника (при этом он имеет и новые уязвимости). Кроме того, абоненты сетей 4G используют сети предыдущих поколений, поскольку большинство операторов сотовой связи используют 4G только для предоставления доступа в интернет, а передача SMS-сообщений и голосовые вызовы осуществляются в режиме 3G [202].

Примечание. Согласно отчету компании Positive Technologies, злоумышленникам в 2017 г. при попытке взлома удавалось перехватить 9 из 10 SMS-сообщений. Прослушать или перенаправить на сторонние

случаев. Мошенничество угрожает клиентам 78% сотовых сетей [203]. Хакеры могут перенаправлять голосовые вызовы абонентов на платные или сторонние номера. К примеру, если абонент пытается позвонить в банк, то, перенаправив его на собственный номер, преступник, представляясь сотрудником банка, может узнать персональные данные, необходимые для аутентификации, — в частности, данные паспорта и кодовое слово. Или, наоборот, переадресовав входящий вызов, злоумышленник может выдать себя за абонента, например для подтверждения банковских операций.

Помимо хищения данных, злоумышленники могут инициировать DOSатаки как на оператора сотовой связи, так и на абонентов, вызывая сбои в обслуживании длительностью до нескольких часов.

Примечание. По данным компании Positive Technologies, в сети крупного оператора (свыше 40 млн абонентов) в сутки происходит в среднем 4827 атак с целью раскрыть данные об абоненте; 3087 атак для раскрытия IMSI и 3718 атак для определения местонахождения абонента.

КЕЙС В апреле 2016 г. немецкий специалист по информационной безопасности Карстен Нол в рамках эксперимента с помощью уязвимости в ОКС-7 взломал и прослушал разговоры американского конгрессмена Теда Лью, зная лишь номер его мобильного телефона. Он смог не только прослушать и записать все разговоры, но и проследить за перемещениями политика, несмотря на то, что в его смартфоне был выключен GPS-навигатор [204].

Уязвимость приложения S@T Browser

Устаревшее приложение S@T Browser и подсистема SIM Toolkit (STK) могут подвергаться атакам типа Simjacker, в процессе которых злоумышленники пересылают специальные SMS-сообщения перечисленному программному обеспечению, функционирующему на SIM-картах жертв. Для атаки злоумышленники используют смартфон или GSM-модем, отсылающий запросы со скрытыми инструкциями. Таким образом можно, например, заставить устройство жертвы передать данные о геопозиции абонента и IMEI. Так как атака направлена непосредственно на SIM-карты, то не имеет значения, какая операционная система установлена на смартфоне или телефоне пользователя. Могут быть атакованы устройства Apple, ZTE, Motorola, Samsung, Google, Huawei или даже IoT-устройства с SIM-картами. Так как запросы можно отправлять без ограничений, хакеры могут постоянно следить за местонахождением пользователей и, помимо

прослушивать разговоры рядом с устройством, отправлять сообщения, отключать SIM-карту, запускать команды AT-модема, открывать браузеры с фишинговыми и вредоносными ссылками и многое другое [205]. Следует отметить, что данная угроза к моменту выхода этой книги стала практически неактуальной, так как операторы сотовой связи прекращают использовать эти устаревшие технологии. Поэтому злоумышленники скорее воспользуются уязвимостями ОКС-7, а еще вероятнее — методами социальной инженерии [206].

Программные средства перехвата сотовой связи

Случаи, когда аппаратные устройства (за исключением корпоративных систем мониторинга) применялись против законопослушных рядовых граждан, скорее исключение, так как этот способ прослушки требует значительных вложений, ресурсов и использования специализированного оборудования. Спецслужбы физически не способны анализировать огромные потоки трафика, генерируемого абонентами, поэтому избирательно подслушивают только разговоры лиц, которых власти объявляют подозрительными.

Злоумышленникам же гораздо проще и дешевле использовать мошенническое программное обеспечение, вынуждая потенциальную жертву установить его на телефон. Чаще всего они рассылают фишинговые SMS-сообщения, в том числе от имени официальных компаний, со ссылками на программы-шпионы. В других случаях мошенники могут звонить от имени компании, подменяя номер вызывающего абонента, чтобы у жертвы не было подозрений, и вынуждать устанавливать вредоносное программное обеспечение [207]. Иногда и сами пользователи устанавливают шпионские приложения, в том числе из официальных магазинов для мобильных устройств, таких как Google Play и App Store. В подавляющем большинстве случаев шпионское программное обеспечение оказывается на устройствах под управлением ОС Android — прежде всего потому, что пользователи путем нехитрых манипуляций могут устанавливать приложения из APK-файлов, а также из-за угрозы попадания вредоносного программного обеспечения в Google Play. Компания Apple тщательнее проверяет приложения, попадающие в App Store, хотя и здесь бывают исключения [208], а в случае джейлбрейка девайса пользователь может загрузить вредоносное программного обеспечение из IPA-файла или стороннего магазина приложений, например Cydia.

Шпионские приложения позволяют прослушивать входящие и исходящие звонки, просматривать SMS-сообщения и электронную