Positive Technologies прокомментировала взлом украинских операторов связи

Громкая история, связанная с прослушиванием абонентов украинских телекоммуникационных операторов, имеет вполне очевидные технические предпосылки. Получить доступ к чужим разговорам по мобильному гораздо легче, чем кажется.

Проблемы безопасности мобильных сетей неоднократно освещались в исследованиях Positive Technologies и в докладах на международном форуме Positive Hack Days. Одна из наиболее опасных уязвимостей связана с отсутствием защиты системы сигнализации SS7 (с помощью SS7 служебными сообщениями обмениваются все компоненты сотовых сетей оператора и его роуминговых партнеров).

Воспользовавшись тем, что оператор всегда вынужден выбирать между безопасностью и доступностью сервиса, атакующий способен проникать в сеть SS7 из чужой сети. Оператору непросто фильтровать сообщения SS7 из внешних сетей, поскольку это может повлиять на доступность услуг в роуминге и привести к финансовым потерям.

Как защититься

Подавляющее большинство атак в сетях SS7 начинаются с получения технических данных об абоненте — идентификатора IMSI, адресов коммутатора MSC и БД HLR. Злоумышленник может раздобыть эти данные, отправив запрос SRI4SM (send routing info for short message) и указав в качестве параметра телефонный номер атакуемого абонента.

«Одним из эффективных контратакующих методов является процедура SMS Home Routing, предложенная организацией 3GPP в 2007 году, — отмечают эксперты Positive Technologies Сергей Пузанков и Дмитрий Курбатов. — Иногда ее называют SMS Firewall или SMS-фильтр. Эта рекомендация была опубликована 7 лет назад, но, судя по нашему опыту, далеко не все операторы запустили это решение. Его принцип заключается в следующем. В сеть оператора внедряется дополнительный узел, обеспечивающий фильтрацию злонамеренных сообщений SRI4SM. Когда в сеть приходит сообщение SRI4SM из другой сети, оно перемаршрутизируется на новый фильтрующий узел. Этот узел отправляет нормальный ответ, выдавая в качестве адресов коммутатора MSC и БД HLR свой адрес, а в качестве IMSI абонента — фальшивые данные. Если сообщение SRI4SM было сгенерировано злоумышленником, то он в ответе не получит никакой полезной информации, и его атака будет сорвана еще на первом этапе. Если же сообщение SRI4SM было началом легальной транзакции для отправки SMS-сообщения, то сеть отправителя передаст это сообщение на фильтрующий узел, а он уже в свою очередь доставит сообщение адресату внутри домашней сети».

Специалисты Positive Technologies рекомендуют проводить мероприятия для защиты телекоммуникационных сетей по традиционному сценарию: тестирование на проникновение с выявлением проблемных мест, аудит безопасности с установкой рекомендуемых настроек, периодическая проверка настроек безопасности в соответствии с шаблоном. Этот минимальный объем работ поможет поднять защищенность сети до приемлемого уровня.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Перед новым методом снятия отпечатка не устоял даже браузер Tor

Эксперты FingerprintJS придумали новый способ снятия цифровых отпечатков, способный деанонимизировать пользователей различных браузеров. Специалисты заявили, что их метод сработает и против Tor, который по праву считается одним из главных интернет-обозревателей, заточенных под анонимность.

Новая техника получила имя «флудинг схемы» (scheme flooding), поскольку её принцип строится на использовании кастомных URL-схем. В частности, потенциальные атакующие могут вычислить конкретные приложения, установленные в системе пользователя.

«Уязвимость использует информацию об инсталлированных программах для формирования перманентного уникального идентификатора. Этот ID будет оставаться неизменным даже при использовании разных браузеров, режима "Инкогнито" или VPN», — пишут специалисты FingerprintJS. — «Другими словами, третьи лица могут с лёгкостью отслеживать пользователей в Сети».

Помимо этого, как подчеркнули эксперты, scheme flooding позволяет атакующим узнать больше о привычках пользователя, роде его деятельности и даже вычислить приблизительный возраст. Проверить установленное в системе приложение можно с помощью хендлера вроде skype:// (этот проверит факт наличия Skype).

Исследователи расписали алгоритм, который злоумышленники могут задействовать в атаках на пользователей:

  1. Составить список URL-схем в соответствии с теми приложениями, наличие которых нужно проверить.
  2. Добавить на веб-сайт скрипт, который будет проверять каждую программу из составленного на первом этапе списка.
  3. Использовать полученные результаты для формирования уникального идентификатора целевого пользователя.
  4. Дополнительно можно задействовать алгоритмы машинного обучения для вычисления рода деятельности и интересов посетителя сайта.

Специалисты смогли успешно воспроизвести свой способ создания идентификатора в браузерах Chrome 90 (Windows 10, macOS Big Sur), Firefox 88.0.1 (Ubuntu 20.04, Windows 10, macOS Big Sur), Safari 14.1 (macOS Big Sur), Tor Browser 10.0.16 (Ubuntu 20.04, Windows 10, macOS Big Sur), Brave 1.24.84 (Windows 10, macOS Big Sur), Yandex Browser 21.3.0 (Windows 10, macOS Big Sur), and Microsoft Edge 90 (Windows 10, macOS Big Sur).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru