Уверен, есть хорошие исследования и на русском, но среднее качество работ по теме во многом удручающее. Интересно, как обстоят дела в условном Psychological Review и ему подобных.
Не обязательно на сайте, это просто отдельный пример. Хакер может скинуть ссылку где угодно, например в личных сообщениях на хабре. Что то типа: "посмотри, какая интересная статья". Запрос пойдет на уязвимый сайт:
POST /change_pwd HTTP/1.1
....
new_pass=hacked
Если для действия требуется правильно сделанный CSRF-токен, то запрос будет выглядеть иначе:
Токен нужно будет как-то взять с сайта, например с кнопки в HTML. Это является чтением данных и не будет простым запросом, поэтому отправить запрос с CSRF-токеном от имени пользователя в одностороннем порядке невозможно.
Чтобы все таки реализовать атаку, придется сначала как-то получить токен, например от имени пользователя получить страницу HTML, где будет токен для данного действия, а потом отправить второй запрос с действием, включающем валидный токен.
Глобальная diameter сеть о которой идёт речь в посте предназначена для поддержки 4G роуминга. Это параллельная сеть, ss7 и diameter не связаны. Доступ в неё осуществляется через отдельные точки включения.
модель телефона? или IMSI записана все-таки в базе?
В gsm сетях передаётся imei, по нему можно определить модель телефона.
А для DOS не малова то будет абонентов?
Речь идёт о DOS самого абонента, то есть ситуации когда абонент имея на руках телефон с сим картой не может ни позвонить, ни выйти в интернет, ни отправить смс.
Самое интересное как выяснить какой gt у нужного VLR
Мне казалось что светить своей базой HLR в общую сеть ss7 бессмысленно для оператора, только расширять поверхность атаки
HLR должен взаимодействовать с узлами ss7 сети, в том числе узлами других операторов, для того чтобы поддерживать все необходимые операции по данному интерфейсу. Он и сам рассылает в сеть разные апдейты (например при обновлении профиля абонента, изменении статуса услуг), и принимает сообщения из сети (например абонент устанавливает с аппарата безусловную переадресацию). Суть защиты как раз и сводится к ограничению этого взаимодействия только легитимными операциями. Но в некоторых случаях (например тот же update location) это нетривиальная задача.
А не уж то не используют никакого черного списка с этими операторами для жесткой фильтрации запросов?
Естественно отфильтровать можно и операторы этим занимаются. Как правило, оператор обнаружив какой то фродовый трафик с неизвестных gt, включает их в black list, после чего весь трафик с этих gt будет заблокирован. Но пока gt не выявлен, трафик с него поступает в сеть оператора и тут уже нужен более продвинутый анализ, позволяющий проверить внутреннюю структуру сообщений и принять решение о пропуске или блокировке этого сообщения. Как раз этот анализ мы и обходили в ходе тестирования. А злоумышленники после блокировки их gt ищут новые и выполняют атаки с них. Так что один раз заблокировать и забыть не получится.
HLR доступен из сети ss7. К нему можно обратиться напрямую по его GT (адресу), если вы знаете адрес. Это нормальная ситуация.
В начале теста мы не знали адреса HLR и могли обратиться к нему только через номер абонента. В данном случае маршрутизация по номеру абонента предусматривала определённую защиту на стороне оператора, но для конкретного GT HLR в защите нашлась брешь и мы получили нужный ответ от hlr.
Что касается Update Location, то это стандартная операция map-протокола. Через неё происходит взаимодействие hlr абонента и vlr в котором он регистрируется.
Мы регистрируем абонента в фейковой сети и таким образом перенаправляем входящий трафик абонента, например, SMS в свою сеть. Теперь они приходят к нам, а не на легальный vlr.
В это время аппарат абонента видит легальную сеть, но он не взаимодействует с ней постоянно, поэтому регистрация в фейковой сети не "слетает". Любая активность абонента в легальной сети (исходящий вызов, исходящая смс и тд), после фейкового update location, приводит к возврату абонента в легальную сеть и удалению его профиля из фейковой.
На регистрацию в фейковой сети нужно несколько секунд и ещё несколько минут на получение SMS (если это является конечной целью). Поэтому угон профилей (Телеграмм, Инстаграм и тд.) при помощи этой атаки обычно выполняют ночью когда активность абонента минимальна.
А на счет подробностей, с одной стороны — большинство, если не все атаки на сигнальные сети подробно документированы. На том же хабре о них уже много писали — не хотелось повторяться. А с другой стороны раскрытие ряда деталей могло повредить заказчику, а его безопасность для нас приоритет. Операторов не так уж много, так что приходится соблюдать особую осторожность.
Одно дело когда вы покупаете устройство, где эта возможность декларирована производителем, и совсем другое дело, когда это устройство, официально предназначенное для работы с одним единственным сервисом.
Именитые производители ТВ более внимательно относятся к защите от выполнения недоверенного кода. Поэтому атаки в лоб с полной сменой прошивки скорее всего не пройдут. Тем не менее загрузчик нулевого уровня это тоже софт, в котором возможны ошибки. Например, такие уязвимости были обнаружены в ранних версиях загрузчика Amlogic, где эксплуатируя переполнение буфера было возможно пропустить процедуру проверки ЭЦП.
Зависит от программного интерфейса работы с сетью, который используется приложением. Для большинства приложений, которые используют HTTP протокол для взаимодействия с инфраструктурой, системный прокси будет обязательным к использованию.
Уверен, есть хорошие исследования и на русском, но среднее качество работ по теме во многом удручающее. Интересно, как обстоят дела в условном Psychological Review и ему подобных.
Не обязательно на сайте, это просто отдельный пример. Хакер может скинуть ссылку где угодно, например в личных сообщениях на хабре. Что то типа: "посмотри, какая интересная статья". Запрос пойдет на уязвимый сайт:
POST /change_pwd HTTP/1.1....new_pass=hackedЕсли для действия требуется правильно сделанный CSRF-токен, то запрос будет выглядеть иначе:
POST /change_pwd HTTP/1.1....new_pass=hacked&csrf_token=BjkhwiewojinfdewjbldsjhooТокен нужно будет как-то взять с сайта, например с кнопки в HTML. Это является чтением данных и не будет простым запросом, поэтому отправить запрос с CSRF-токеном от имени пользователя в одностороннем порядке невозможно.
Чтобы все таки реализовать атаку, придется сначала как-то получить токен, например от имени пользователя получить страницу HTML, где будет токен для данного действия, а потом отправить второй запрос с действием, включающем валидный токен.
Глобальная diameter сеть о которой идёт речь в посте предназначена для поддержки 4G роуминга. Это параллельная сеть, ss7 и diameter не связаны. Доступ в неё осуществляется через отдельные точки включения.
В gsm сетях передаётся imei, по нему можно определить модель телефона.
Речь идёт о DOS самого абонента, то есть ситуации когда абонент имея на руках телефон с сим картой не может ни позвонить, ни выйти в интернет, ни отправить смс.
Да, это одна из самых интересных задач)
HLR должен взаимодействовать с узлами ss7 сети, в том числе узлами других операторов, для того чтобы поддерживать все необходимые операции по данному интерфейсу. Он и сам рассылает в сеть разные апдейты (например при обновлении профиля абонента, изменении статуса услуг), и принимает сообщения из сети (например абонент устанавливает с аппарата безусловную переадресацию). Суть защиты как раз и сводится к ограничению этого взаимодействия только легитимными операциями. Но в некоторых случаях (например тот же update location) это нетривиальная задача.
Естественно отфильтровать можно и операторы этим занимаются. Как правило, оператор обнаружив какой то фродовый трафик с неизвестных gt, включает их в black list, после чего весь трафик с этих gt будет заблокирован. Но пока gt не выявлен, трафик с него поступает в сеть оператора и тут уже нужен более продвинутый анализ, позволяющий проверить внутреннюю структуру сообщений и принять решение о пропуске или блокировке этого сообщения. Как раз этот анализ мы и обходили в ходе тестирования. А злоумышленники после блокировки их gt ищут новые и выполняют атаки с них. Так что один раз заблокировать и забыть не получится.
HLR доступен из сети ss7. К нему можно обратиться напрямую по его GT (адресу), если вы знаете адрес. Это нормальная ситуация.
В начале теста мы не знали адреса HLR и могли обратиться к нему только через номер абонента. В данном случае маршрутизация по номеру абонента предусматривала определённую защиту на стороне оператора, но для конкретного GT HLR в защите нашлась брешь и мы получили нужный ответ от hlr.
Что касается Update Location, то это стандартная операция map-протокола. Через неё происходит взаимодействие hlr абонента и vlr в котором он регистрируется.
Мы регистрируем абонента в фейковой сети и таким образом перенаправляем входящий трафик абонента, например, SMS в свою сеть. Теперь они приходят к нам, а не на легальный vlr.
В это время аппарат абонента видит легальную сеть, но он не взаимодействует с ней постоянно, поэтому регистрация в фейковой сети не "слетает". Любая активность абонента в легальной сети (исходящий вызов, исходящая смс и тд), после фейкового update location, приводит к возврату абонента в легальную сеть и удалению его профиля из фейковой.
На регистрацию в фейковой сети нужно несколько секунд и ещё несколько минут на получение SMS (если это является конечной целью). Поэтому угон профилей (Телеграмм, Инстаграм и тд.) при помощи этой атаки обычно выполняют ночью когда активность абонента минимальна.
А на счет подробностей, с одной стороны — большинство, если не все атаки на сигнальные сети подробно документированы. На том же хабре о них уже много писали — не хотелось повторяться. А с другой стороны раскрытие ряда деталей могло повредить заказчику, а его безопасность для нас приоритет. Операторов не так уж много, так что приходится соблюдать особую осторожность.
Это что же, выходит и фотографии в посте не настоящие?
Одно дело когда вы покупаете устройство, где эта возможность декларирована производителем, и совсем другое дело, когда это устройство, официально предназначенное для работы с одним единственным сервисом.
Конечно, я могу говорить не обо всем, что мы проверяли, но колонок среди этих устройств пока не было.
Именитые производители ТВ более внимательно относятся к защите от выполнения недоверенного кода. Поэтому атаки в лоб с полной сменой прошивки скорее всего не пройдут. Тем не менее загрузчик нулевого уровня это тоже софт, в котором возможны ошибки. Например, такие уязвимости были обнаружены в ранних версиях загрузчика Amlogic, где эксплуатируя переполнение буфера было возможно пропустить процедуру проверки ЭЦП.
Зависит от программного интерфейса работы с сетью, который используется приложением. Для большинства приложений, которые используют HTTP протокол для взаимодействия с инфраструктурой, системный прокси будет обязательным к использованию.