Хотя телекоммуникационную отрасль принято относить к ИТ-направлению, в ней использует множество самостоятельных технологий, которые сложно обозначить как ИТ в чистом виде. Такая неоднозначность вызывает разные подходы к оценке рисков. Например, Ernst & Young, оценивая риски телекома, год за годом указывает на неэффективную стратегию цифрового роста и диверсификации и на другие угрозы, характерные для всех интенсивно развивающихся отраслей бизнеса. В отчёте Trend Micro Islands of Telecom: Risks in IT всё внимание сосредоточено на технических рисках телекома, некоторые из которых мы разберём в этом посте.
Из довольно обширного перечня технологий, используемых в телекоммуникационной отрасли, мы в первую очередь рассматривали мобильные коммуникации и сопутствующие технологии. Именно в этой области, на наш взгляд, имеется наибольшее количество рисков. Причина в том, что мобильные технологии проникли практически везде: используя сервисы сотовой связи, мы общаемся голосом и по видео, отправляем и получаем SMS, управляем умными устройствами и объектами критической инфраструктуры. Даже автомобили уже массово подключаются к интернету с использованием мобильных сервисов.
Очевидно, что такой уровень охвата не мог остаться без внимания со стороны различных категорий злоумышленников. Изучая их действия, мы выявили такие риски, как:
перехват голосового трафика,
перехват SMS,
атаки на VIP-персон (Whaling — «китобойный промысел»),
атаки на критическую инфраструктуру,
мошенничество с подменой номера,
телефонный DoS (TDoS),
атаки на подключённые устройства, в том числе автомобили,
мошенничество с биллингом и платными сервисами.
Далее обсудим некоторые из этих рисков более подробно, а начнём с самого неприятного — перехвата голосового трафика.
Перехват разговоров
Голосовые звонки являются наиболее привычным и понятным видом связи. По сравнению со стационарными телефонными звонками, звонки через мобильных операторов часто считаются более безопасными. И хотя некоторое количество людей по разным причинам уверены, что их разговоры прослушиваются, и не позволяют себе ничего лишнего, большинство абонентов считает телефонный разговор достаточно надёжным вариантом. Однако это утверждение справедливо только в том случае, если ресурсы злоумышленников ограничены.
Начиная с бюджета в несколько сотен долларов США, злоумышленник может взломать фемто- или нано-соту, которую телекоммуникационная компания устанавливает в барах, офисах и торговых центрах, где необходимо усилить сигнал, и перехватить звонки и данные.
Увеличив затраты, злоумышленник может купить «военный ящик», чтобы заставить телефоны жертв перейти с LTE на менее безопасный протокол GSM, а затем перехватить голосовой вызов и данные с помощью несанкционированной базовой станции. Атаки с использованием несанкционированных базовых станций могут также использоваться в местах со слабым или отсутствующим сигналом, таких как парковки, подземные сооружения и сельская местность.
А с бюджетом в несколько тысяч долларов США, из-за отсутствия надлежащей конфигурации безопасности на стороне телекоммуникаций, злоумышленник может оплатить доступ к SS7 и перехватывать звонки из удалённых географических точек.
Учитывая уровень предполагаемого доверия, атаки на перехват голосовых вызовов или прослушивание часто направлены на высокоценные цели, такие как руководители высшего звена, ключевые политические фигуры, адвокаты, журналисты и активисты. Атаки такого типа получают доступ к ценной информации, которая может быть использована, например, для влияния на исход переговоров и торговли.
Примером может служить известный скандал, причиной которого послужила незаконная прослушка телефонных разговоров канцлера Германии Ангелы Меркель, которую американские спецслужбы проводили с 2002 года.
Другие примеры:
частное сыскное агентство в Италии подкупило знакомых в государственных учреждениях, чтобы прослушивать избранных пользователей Telecom Italia; это был далеко не единственный такой случай в стране;
спецслужбы Великобритании и США удалённо взломали телефонную сеть Уганды, чтобы перехватить голосовые звонки высокопоставленных лиц этой страны.
Атаки на перехват голосовых вызовов чаще всего используются против руководителей высшего звена, политиков, юристов, трейдеров и активистов. Этот класс атак обходит средства защиты, получая доступ к ценному контенту — разговорам. Обладание этой информацией даёт серьёзное конкурентное преимущество и может быть использовано для влияния на исход переговоров, в биржевой торговле или даже в целях вымогательства. Прослушка скрытна и часто не может быть обнаружена на стороне ИТ-инфраструктуры.
Перехват SMS
Несмотря на массовый переход абонентов сотовых сетей на коммуникации через мессенджеры, SMS по-прежнему востребованы. Одним из наиболее популярных применений SMS является передача кодов подтверждения в качестве второго фактора аутентификации или для подтверждения банковских операций.
Аутентификация на основе SMS в настоящее время является обычным устройством в арсенале ИТ- и веб-разработчиков. В дополнение к приложениям для аутентификации, работающим на мобильных телефонах, SMS считается надёжным запасным вариантом и хорошим способом получения одноразовых паролей для входа в систему или обработки транзакций. Однако SMS передаются в сотовой сети в открытом виде, что делает их уязвимым для перехвата и атаки на понижение уровня протокола.
Атака на понижение уровня включает в себя использование радиопомех или поддельных пакетов радиосигнала, чтобы заставить мобильный телефон перейти из сети нового поколения, например, LTE, в более старую и менее безопасную, например, GSM.
Телекоммуникационная сеть обычно защищена. Однако эта защищённость зависит от того, как телекоммуникационная компания защищает коммуникации между доменами безопасности. В большинстве случаев опорная сеть телекоммуникационной компании представляет собой один домен. Это означает, что данные внутри опорной сети защищены только снаружи, а внутри весь трафик считается доверенным. Таким образом, любой инсайдер или хакер в телекоммуникационной сети может перехватить SMS в открытом виде. OTP и коды аутентификации также могут быть украдены с использованием этой техники.
Более распространённым риском является протокол GSM/2G, который давно устарел, но всё ещё широко используется во всем мире. В регионах, где SMS передаются по GSM, они легко могут быть перехвачены.
Ещё одной проблемой является использование SMS в качестве резервного канала управления удалёнными промышленными объектами. Промышленные маршрутизаторы и устройства нередко принимают команды через SMS. При этом, поскольку в отдалённых районах часто имеется только GSM-покрытие, злоумышленники могут перехватывать команды, отправляемые ОТ-устройствам в SMS. Более того, злоумышленники могут подделать номера, с которых отправляются SMS-команды, чтобы обойти «список доверенных абонентов», или даже использовать неавторизованную базовую станцию для отправки SMS-команд. Из-за отсутствия взаимной аутентификации в GSM, неавторизованная базовая станция с очень сильным сигналом может подключить к себе все сотовые устройства вокруг, не доказав, что она является легитимной.
Мошенничество с биллингом
SIM-карта по сути своей является не только идентификатором, к которому привязан номер абонента, но и своего рода банковской картой, поскольку к ней привязан счёт абонента в биллинговой системе сотового оператора. Сотовые операторы предоставляют пользователю услуги, стоимость которых списывается со счёта, привязанного к SIM-карте. Такой SIM-биллинг является основой глобальной бизнес-модели, в рамках которой работает вся индустрия мобильной связи.
Поскольку SIM-карты похожи на банковские карты, мошенничество с которыми чрезвычайно развито, индустрия мошенничества с биллингом SIM-карт также является вполне зрелой. Большинство видов мошенничества с кредитными картами имеют соответствующий аналог с использованием SIM.
Кража банковской карты и её использование для покупок работает на SIM-картах также, как и выдача себя за другого человека для получения нескольких кредитных карт, чтобы использовать их для покупок в Интернете. Использование банковской карты, чтобы подтвердить подлинность доступа или зайти на сайт — всё это отлично работает и с SIM-картами.
Важным отличием SIM-карт от кредитных является то, что кредитные карты обычно имеют лимит, а SIM-карты часто его не имеют. К тому же операции по кредитным картам проверяются банком на предмет потенциального мошенничества с помощью антифрод-систем, в то время для SIM-карты ничего подобного пока не реализовано.
Кредитные карты используются в качестве своего рода «мягкого» метода идентификации личности владельца, в то время как подтверждение личности по номеру, привязанному к SIM-карте, используются для «жёсткой» аутентификации, создавая серьёзные риски.
Биллинг SIM-карты подвержен многим видам мошенничества, включая межоператорское мошенничество:
международное мошенничество с разделением доходов, также известное как IRSF, в ходе которого преступник вступает в сговор с «серым» оператором для фальсификации биллинга,
short stopping или игра в «человека посередине» между двумя операторами биллинга,
tromboning — скрытие одного вида сети за другой или отправка внутренних мобильных звонков по международным маршрутам.
Выводы и рекомендации
Мы упомянули лишь небольшую часть рисков телекома. Больше подробностей приведено в свежем исследовании Trend Micro. Помимо собственно рисков, в исследовании приводятся рекомендации, которые могут быть полезны всем участникам телекоммуникационного взаимодействия.
Приведём рекомендации по рассмотренным в посте рискам.
— Для противодействия перехвату разговоров
Операторам связи необходимы дополнительные средства безопасности для обеспечения межсетевого доверия. Для этого на стороне провайдера могут быть развёрнуты специальные типы телекоммуникационных брандмауэров. Технические средства обнаружения могут быть реализованы при сотрудничестве телекоммуникационных компаний и правоохранительных органов.
Пользователям рекомендуется использовать голосовые приложения, поддерживающие шифрование «точка-точка». Если обстоятельства позволяют, лучше отключить возможность использования GSM на телефонах.
Если же «обычные» голосовые звонки неизбежны, рекомендуется включить функцию Voice over LTE (VoLTE) и убедиться, что включён IPsec, в противном случае звонок будет таким же уязвимым, как и телефонный звонок GSM/2G.
Если же нет возможности выполнить ни одну из вышеперечисленных рекомендаций, в зонах со слабым сигналом лучше переключить устройство в режим полёта из соображений безопасности.
— Для противодействия перехвату SMS
ИТ-специалистам не следует использовать SMS для аутентификации. Существует множество заменителей: мобильные приложения-аутентификаторы, физический генератор OTP, push-уведомления с мобильного телефона.
Европейская директива о платёжных услугах (PSD2) также требует наличия как минимум двух факторов среди перечисленных средств МФА, где SMS является лишь «элементом обладания» и должен сочетаться с другими факторами.
Некоторые управляемые по SMS устройства поддерживают функцию «доверенный абонент» и блокируют SMS от тех, кто не внесённых в список. Несмотря на то, что идентификатор вызывающего абонента можно подделать, включение этой функции в определённой степени защищает устройства. Если же SMS никогда не используется в промышленной системе управления, следует попросить оператора связи отключить эту функцию в публичном и частном имени точки доступа (APN).
— Для противодействия мошенничеству с биллингом
Одним из способов обнаружения мошеннических атак на биллинг в долгосрочной перспективе является интеграция сетевых журналов с финансовой информацией. Например, если пополнение счёта обычно производится на определённую сумму из определённого места, все остальные транзакции могут генерировать сигнал тревоги.
Ещё один способ противодействия SIM-мошенникам — «проверка скорости» или «невозможные путешествия». Доступ из двух мест за короткий период времени, когда эти места находятся на расстоянии тысяч километров друг от друга, является явным признаком мошенничества. Это также называется «невозможным путешествием», поскольку доступ может быть, например, с разницей в 10 минут, но на расстоянии 1000 км друг от друга, что означает скорость 100 км в минуту между каждым доступом. Ни один реальный абонент так не может, поэтому можно с уверенностью предположить, что имело место злоупотребление.
Система отслеживания мошенничества (Fraud Monitoring System, FMS) обнаруживает закономерности в событиях, которые традиционно считаются мошенническими действиями. Если FMS имеет достаточный объём накопленной статистики, многие мошеннические действия будут обнаружены просто путём сопоставления с шаблонами злоупотреблений, которые уже использовались ранее.
