Mobil iletişim ağlarının güvenliği geçilen her nesil (Generation) ile daha güvenli bir seviyeye taşınmıştır. 3G ile sahte baz istasyonu kurmak ve kimlik doğrulamayı engellemek için aşılması güç yeni güvenlik önlemleri gelmiştir. Özellikle LTE’de sahte baz istasyonu kurmak ve uygulamak çok zor hale gelmiştir.

Buraya kadar güvenliği üst düzeyde tutmak servis sağlayıcının yapılandırdığı konfigürasyonun başarısı ile doğrudan ilişkilidir. Her durumda insan unsurundan kaynakalanan güvenlik zafiyetleri olabilmektedir. Bu Türkiye’deki operatörler için de geçerlidir. Yalnızca operatörün gerçekleştireceği mobil şebeke güvenlik yapılandırma zafiyetleri söz konusu değildir. Baseband donanım üreticilerinin chipset’lerinde dahi güvenlik zafiyetleri olabilmektedir.

Bu zafiyetler saldırganın, abonenin telefonun izlemesine olanak veren sahte baz istasyonu işletmesine ve istenilen ağın abone cihazı tarafından reddedilmesine olanak veren saldırılara dönüşebilir.

GSM’in 3G tasarımında lokasyon (cihazın bulunduğu cografi kordinat) gizliği ön plana çıkmıştır. Abone cihazı mobil ağa bağlandığında kendisine IMSI (International Mobile Subscriber Identity) yerine TMSI (Temporary Mobile Subscriber Identity ) adı verilen geçici bir ağ kimliği (TCP/IP yapısındaki IP adresine benzer) atanır. TMSI rasgele oluşturulan ve belli aralıklarla güncellenen bir kimlik numarasıdır. Böylece GSM ağını pasif olarak dinleyen bir saldırgan TMSI numarasından gerçek abone kimliğine ulaşamaz, cihazı takip edemez.

Dennis Foo Kune adlı araştırmacı tarafından bulunan teknik sayesinde; paging isteği ile abone cihaza göndereceği sessiz bir servis mesajı ile çağrı kesme işlemi yapılarak, saldırganın TMSI numarasından abonenin telefon numarasına ulaşılabildiği gösterilmiştir. Paging isteği geniş kapsamlı bir GSM bölgesinde aboneye çağrıyı ulaştırmak için abonenin hangi hücrede yer aldığını tespite yönelik bir broadcast mesajı olarak düşünülebilir. Örneğin akıllı telefonunda facebook veya whatsapp gibi online çalışan uygulamalar yüklü olan bir hedefe uygulama üzerinden mesaj gönderildiğinde LTE networkünde bir paging isteği broadcast edilir ve havayı dinleyen saldırgan cihazın yerini tespit edebilir. Benzer teknik whatsapp uygulamasında karşıdaki kişi size yazarken görüntülenen “xxx yazıyor…” mesajı ile de gerçekleştirebilir. Her mesajda LTE ağına bağlı cihaz için bir paging (konum bulma) isteği yayınlanır. Broadcast mesajlar LTE ağında kimlik doğrulamasız ve kriptosuz olarak seyahat eder. Benzer şekilde bu broadcast mesajlardan yararlanılarak sahte bir LTE baz istasyonu saldırgan tarafından işletilebilir.

Başka bir konum izleme açığı ise şöyle işler; LTE protokolleri GSM ağındaki sorunları izlemek, raporlamak ve düzeltmek için birçok fonksiyona sahiptir. LTE destekli abone cihazı sürekli olarak etrafındaki baz istasyonlarının (hücrelerin) sinyal ve gürültü seviyelerini izleyerek raporlar. TMSI numarası bilinen abonenin gönderdiği ölçüm raporları saldırgan tarafından incelenerek cihazın bulunduğu lokasyon tespit edilebilir. Bu raporlarda kurbanın etrafında bulunan baz istasyonlarına ait bilgiler yer almaktadır. Bu raporlama özelliği dev LTE ağlarında operatör tarafından abonelere en verimli iletişim hizmetinin sağlanması için temel ve itibar gören kıymetli bir veri sağlar. Bu şekilde LTE ağı en iyi hizmeti verecek şekilde kendi kendini yapılandırır ve hizmetini sürdürür. Gönderilen raporlarda cihaz ve ağ yapılandırması destekliyorsa cihazın GPS kordinatı da yer alabilir. Bu yönüyle LTE tasarımı kulllanıcının lokasyon mahremiyetini sekteye uğratan çözümü hayli zor bir zafiyete sahiptir.

lte-2016-10-17_02-07-58

GSM ağları üzerindeki bir DOS (Denial of Service) saldırısı uluslararası dolaşım adı verilen roaming özelliğinden kaynaklanır. Roaming ile abonesi olunan operatörün dışındaki farklı bir ülkede telefon şebekesinin kullanılabilmesi sağlanmıştır. Diyelimki Turkcell hattınızı Almanya’da da kullanmak istiyorsunuz bu durumda hattınızı roaming’e açtırmalısınız. Hattınızı roaming’e açtırmadığınız da telefonunun şebekeye bağlanmak isteyecek ve şebekeden alacağı “ROAMING NOT ALLOWED” yani red yanıtı ile tekrar bağlanmayı denemez. Normal şartlarda telefonunuz bunu ilk açıldığında veya uçak modundan normal moda geçtiğinizde bir defaya mahsus yapar ve daha sonra NOT ALLOWED ağda yeniden bir roaming sayılabilecek bir istekte bulunmaz. böyle olmasının nedeni batarya tüketimi içindir. Sürekli olarak roaming isteğinde bulunmak telefonun bataryasının kısa sürede tükenmesine ve havada gereksiz GSM sinyallerinin var olmasına neden olur.

Kullanıcı cihazı baz istasyonuna ağa dahil olma isteği gönderdiğinde bu istek açık şekilde gider. Bu istekte kullanıcı cihazının sesli görüşme yeteneğinin de olduğuna dair bilgi bilgi de yer alır. Korumasız olan bu mesajı ele geçiren saldırgan sesli görüşme bilgisini kaldırarak iseteği tekrarlar. Bu durumda kullanıcı cihazı SMS mesajlarını alıp gönderebilirken sesli çağrıları alıp gönderemez. Saldırganın bu atağı tekrarlamasına gerek yoktur. Kullanıcı cihazı bu durumdan kurtulmak için radyo alıcısını yeniden başlatmalıdır veya operatörün yapılandırmasına bağlı olarak 48 saate varan sürelerde rezervasyonun iptal olmasını beklemelidir.

LTE ağına bağlanma işlem süreci downgrade (seviye alçaltma) saldırılarına açıktır. Saldırganın bir GSM cihazını LTE ve 3G bağlantısını kopartarak, operatör ile 2G bağlantı kurmaya zorlayabilir. Bu durumda iletişim 2G’nin sahip olduğu güvenlik zafiyetleri ile yüzleşi ve MITM (ortadaki adam saldırısı) saldırısı gerçekleştirilebilir.

 2016-10-17_02-10-21Kaynaklar:

CEVAP VER