Discussione Attacco SS7

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Ciao a tutti,
di recente sono venuto a conoscenza della disarmante "facilità" con la quale si possono intercettare SMS e telefonate di qualunque persona senza compromettere il dispositivo dell'end-user. Con questo mi riferisco nello specifico all'attacco del protocollo SS7.

Riassumendo brevemente il protocollo SS7, acronimo di Signaling System 7, viene utilizzato da anni per la gestione delle telefonate e degli SMS.
A quanto pare il protocollo non è molto sicuro essendo datato e senza autenticazione, dunque in linea di massima chiunque abbia accesso alla rete di macchine che lo implementa può intercettare messaggi e telefonate oltre a poter triangolare in maniera relativamente precisa la posizione.

In parte stupito ho voluto documentarmi meglio sulla cosa. Nello specifico ho voluto imparare ad effettuare questo attacco, giusto per amor di saperlo fare.
Cercando su internet si trova una discreta quantità di informazioni, per lo più teoriche (disegni di rete, architettura, etc..) che sono anche chiare ma non spiegano come avere accesso a questa rete.

In passato accedere alla rete tramite Internet non era possibile. Tuttavia da diverso tempo è stato implementato il protocollo SIGTRAN che permette ai dati della rete di viaggiare su IP e quindi su Internet.
Dopo aver letto un po di documenti sul funzionamento di una rete SS7, semplificando molto, ho capito che i nodi principali e intermedi sono questi MSC. Un MSC, un po' volgarmente, come un router indirizza i pacchetti della rete SS7. Vien da se che avendo accesso a questi MSC ed essendo la rete priva di autenticazione si può consultare tutti i dati che si vogliono. Questo è in parte vero, perchè un MSC di una compagnia telefonica X può chiedere tranquillamente ad un MSC di una compagnia telefonica Y tutte le informazioni che vuole. Pur essendo senza autenticazione non è però detto che gli MSC interrogati debbano risponderti. Questo perchè tra le compagnie telefoniche proprietarie degli MSC solitamente si stringono degli accordi. Non essendo un compagnia telefonica dunque, e fingendosi un MSC, gli altri MSC probabilmente (alcuni lo fanno comunque) non ci risponderanno. Premesso che non è complesso fingersi un MSC di un altra compagnia telefonica importante, c'è comunque qualche modo per recuperare informazioni alle quali non si dovrebbe avere accesso e questo tramite alcune query a cui viene data sempre risposta. Da li si riesce a fingersi un MSC e ad avere dunque accesso a tutte le altre informazioni, tra cui messaggi etc.

Ho provato l'attacco in ambiente simulato, il punto è che il mio dubbio è su un infrastruttura reale, che è differente.

A fronte di ciò, la mia domanda è: basterebbe prendere un range di IP assegnati alle compagnie telefoniche ed effettuare delle scansioni a tappeto cercando macchine che implementano il protocollo STCP per trovare uno di questi MSC o non ho capito/mi sono perso qualcosa?
Sentitevi pure liberi di integrare/correggere quello che ho scritto dato che è frutto di mezza giornata di letture.

Grazie
 
  • Mi piace
Reazioni: 0xbro

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Vista la partecipazione nulla, probabilmente per la specificità dell'argomento trattato, mi permetto di taggare @JunkCoder in quanto da un altro thread ho visto che probabilmente hai un certa conoscenza dell'argomento.
 

CrazyMonk

Utente Iron
24 Dicembre 2021
33
4
10
13
Ciao, non sono esperto dell'argomento, però ho dato anche io un' occhiata su Internet e mi sembra di aver capito le stesse cose. Teoricamente la strategia dovrebbe essere quella di usare le "query universali" che hai citato per carpire informazioni sui range ip assegnati agli ISP e, successivamente, effettuare uno spoofing del MAC address per fingersi un nodo della rete SS7. Fatto questo, si potrebbe accedere alle info private sui cellulari.
 

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Ciao, non sono esperto dell'argomento, però ho dato anche io un' occhiata su Internet e mi sembra di aver capito le stesse cose. Teoricamente la strategia dovrebbe essere quella di usare le "query universali" che hai citato per carpire informazioni sui range ip assegnati agli ISP e, successivamente, effettuare uno spoofing del MAC address per fingersi un nodo della rete SS7. Fatto questo, si potrebbe accedere alle info private sui cellulari.
Dunque l'intromissione nella rete non avviene a livello TCP/IP ma più in basso?
Ho trovato un utente su Quora che dice che questi sono i potenziali punti di accesso:
Peer relationship between operators
STP connectivity
SIGTRAN protocols
VAS systems e.g. SMSC, IN
Signaling Gateways, MGW
SS7 Service providers (GRX, IPX)
GTT translation
ISDN terminals
GSM phones
LIG (Legal Interception Gateway)
3G Femtocell
SIP encapsulation

Lo spoofing del MAC address credo si collochi al primo punto ovvero "Peer relationship between operators".
Io ero più interessato alla parte di protocollo SIGTRAN, però potrebbero voler dire la stessa cosa
Messaggio unito automaticamente:

Giusto per condivisione a questo punto pubblico il materiale che ho trovato, magari anche persone estranee all'argomento ma che hanno background tecnico riescono ad interpretare la stessa documentazione meglio di me.

LTE Man in the middle attack with Hacked Femtocell

Vedi: https://www.youtube.com/watch?v=EXNgKpCWbCM

IR21 https://www.gsma.com/newsroom/wp-content/uploads/2013/07/IR.21-v9.1.pdf
SS7 Locate. Track. Manipulate https://secureservercdn.net/50.62.9.../2016/07/31c3-ss7-locate-track-manipulate.pdf
SS7 Hacking Hands On https://fedotov.co/ss7-hack-tutorial-software-video/
Tobias Angel Video

Vedi: https://youtu.be/-wu_pO5Z7Pk

Locate Mobile Phone Using SS7 https://fahrplan.events.ccc.de/cong...achments/1262_25c3-locating-mobile-phones.pdf
Locate Mobile Phone Using SS7 ARTICLE https://fahrplan.events.ccc.de/congress/2008/Fahrplan/events/2997.en.html
Hacking nelle reti SS7

IP compagnie telefoniche: https://www.nirsoft.net/countryip/it.html

SendIMSI SigPloit video tutorial:

Vedi: https://www.youtube.com/watch?v=W5tEwoOqx4g


Slide Università: http://www.di-srv.unisa.it/~ads/corso-security/www/CORSO-9900/umts/gsmworld2.htm#IMSI
 
  • Mi piace
Reazioni: 0xbro

CrazyMonk

Utente Iron
24 Dicembre 2021
33
4
10
13
Lo spoofing del MAC address credo si collochi al primo punto ovvero "Peer relationship between operators".
Io ero più interessato alla parte di protocollo SIGTRAN, però potrebbero voler dire la stessa cosa
Non credo significhino la stessa cosa perché utilizzano protocolli diversi...SIGTRAN non è un protocollo, ma un insieme di protocolli e tra questi c'è il protocollo SCTP, ma non è presente il protocollo TCP o UDP. Più tardi do un' occhiata al materiale.
 

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Non credo significhino la stessa cosa perché utilizzano protocolli diversi...SIGTRAN non è un protocollo, ma un insieme di protocolli e tra questi c'è il protocollo SCTP, ma non è presente il protocollo TCP o UDP. Più tardi do un' occhiata al materiale.
Intanto grazie della risposta.
Quindi ho ragione quando dico che basterebbe cercare macchine che utilizzano servizi SCTP scansionando i range di IP assegnati agli operatori?
 

CrazyMonk

Utente Iron
24 Dicembre 2021
33
4
10
13
Intanto grazie della risposta.
Quindi ho ragione quando dico che basterebbe cercare macchine che utilizzano servizi SCTP scansionando i range di IP assegnati agli operatori?
L'idea di cercare macchine che utilizzino il protocollo SCTP mi sembra buona, perché credo che siano quelle ad essere i nodi MSC. L'unico problema è che il range di IP è veramente grande, inoltre sei sicuro che sia possibile trovare tra quegli indirizzi ip i nodi MSC? Quei blocchi ip trovati (su nirsoft) sono quelli distribuiti ai normali utenti che usufruiscono dei servizi degli ISP credo...
 

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
sei sicuro che sia possibile trovare tra quegli indirizzi ip i nodi MSC? Quei blocchi ip trovati (su nirsoft) sono quelli distribuiti ai normali utenti che usufruiscono dei servizi degli ISP credo...
Questo è quello che sto cercando di capire pubblicamente. Non sono certo del fatto che gli MSC siano direttamente esposti in rete. Per la lista IP penso che molti siano ad uso domestico ma molti altri no. Ad ogni modo mi basterebbe già iniziare a risolvermi la prima domanda.
 

CrazyMonk

Utente Iron
24 Dicembre 2021
33
4
10
13
Questo è quello che sto cercando di capire pubblicamente. Non sono certo del fatto che gli MSC siano direttamente esposti in rete. Per la lista IP penso che molti siano ad uso domestico ma molti altri no. Ad ogni modo mi basterebbe già iniziare a risolvermi la prima domanda.
Ho letto molto rapidamente la guida pdf che hai mandato: sembrerebbe che i nodi MSC siano esposti in rete e siano accessibili attraverso una richiesta di tipo ATI al database HLR (che contiene anche tutte le info sulle chiamate, messaggi e posizione di un cellulare). Questa richiesta viene spesso bloccata a livello di rete locale, quindi è opportuno interrogare direttamente il server MSC/VLR (che oltre a veicolare il traffico dati, riceve una copia di tutti i dati presenti nell' HLR), che si può fare solo dopo aver ottenuto dal server HLR il cosiddetto IMSI e global title (un identificativo che sostituisce il numero di telefono). Raccolte queste due informazioni è possibile reperire l'identificativo della femtocella corrispondente ad un numero di telefono. In base al servizio che si vuole ottenere ci sarà una procedura diversa da seguire. Per esempio, se vogliamo conoscere la posizione del cellulare dobbiamo interrogare direttamente il server VLR per aggirare l'autenticazione GLMC che si interpone tra il client e il server: avremo però la necessità di camuffare l'id della richiesta con un id simile a quello della rete locale del server a cui facciamo la richiesta.
 

Symon_RS

Utente Electrum
8 Agosto 2016
645
14
176
181
Dunque ricollegandoci al materiale postato sopra si può utilizzare il modulo SendIMSI di SigPloit puntando all'IP dell'MSC, ovvero la macchina teoricamente individuata perchè implementa un servizio SCP per fare IMSI Spoofing. Corretto?
 
  • Mi piace
Reazioni: CrazyMonk

JunkCoder

Moderatore
5 Giugno 2020
798
16
641
339
Vista la partecipazione nulla, probabilmente per la specificità dell'argomento trattato, mi permetto di taggare @JunkCoder in quanto da un altro thread ho visto che probabilmente hai un certa conoscenza dell'argomento.

Mi sono rapidamente informato come hai fatto tu, non ho mai dedicato del tempo alla pratica di questa attività. Probabilmente abbiamo letto le stesse identiche informazioni perché non ho niente da aggiungere a parte che esistono dei servizi a pagamento che sono già dentro la rete e hanno un MSC trusted ed "affittano" questo accesso, ma ci saranno anche dei modi free, solo che appunto non ci ho mai messo mano.
 
  • Grazie
Reazioni: Symon_RS