LTE (4.5G) ağlarında DOS ve İzleme (Konum Takibi) Zafiyetleri

Mobil iletişim ağlarının güvenliği geçilen her nesil (Generation) ile daha güvenli bir seviyeye taşınmıştır. 3G ile sahte baz istasyonu kurmak ve kimlik doğrulamayı engellemek için aşılması güç yeni güvenlik önlemleri gelmiştir. Özellikle LTE’de sahte baz istasyonu kurmak ve uygulamak çok zor hale gelmiştir.

Buraya kadar güvenliği üst düzeyde tutmak servis sağlayıcının yapılandırdığı konfigürasyonun başarısı ile doğrudan ilişkilidir. Her durumda insan unsurundan kaynakalanan güvenlik zafiyetleri olabilmektedir. Bu Türkiye’deki operatörler için de geçerlidir. Yalnızca operatörün gerçekleştireceği mobil şebeke güvenlik yapılandırma zafiyetleri söz konusu değildir. Baseband donanım üreticilerinin chipset’lerinde dahi güvenlik zafiyetleri olabilmektedir.

Bu zafiyetler saldırganın, abonenin telefonun izlemesine olanak veren sahte baz istasyonu işletmesine ve istenilen ağın abone cihazı tarafından reddedilmesine olanak veren saldırılara dönüşebilir.

GSM’in 3G tasarımında lokasyon (cihazın bulunduğu cografi kordinat) gizliği ön plana çıkmıştır. Abone cihazı mobil ağa bağlandığında kendisine IMSI (International Mobile Subscriber Identity) yerine TMSI (Temporary Mobile Subscriber Identity ) adı verilen geçici bir ağ kimliği (TCP/IP yapısındaki IP adresine benzer) atanır. TMSI rasgele oluşturulan ve belli aralıklarla güncellenen bir kimlik numarasıdır. Böylece GSM ağını pasif olarak dinleyen bir saldırgan TMSI numarasından gerçek abone kimliğine ulaşamaz, cihazı takip edemez.

Dennis Foo Kune adlı araştırmacı tarafından bulunan teknik sayesinde; paging isteği ile abone cihaza göndereceği sessiz bir servis mesajı ile çağrı kesme işlemi yapılarak, saldırganın TMSI numarasından abonenin telefon numarasına ulaşılabildiği gösterilmiştir. Paging isteği geniş kapsamlı bir GSM bölgesinde aboneye çağrıyı ulaştırmak için abonenin hangi hücrede yer aldığını tespite yönelik bir broadcast mesajı olarak düşünülebilir. Örneğin akıllı telefonunda facebook veya whatsapp gibi online çalışan uygulamalar yüklü olan bir hedefe uygulama üzerinden mesaj gönderildiğinde LTE networkünde bir paging isteği broadcast edilir ve havayı dinleyen saldırgan cihazın yerini tespit edebilir. Benzer teknik whatsapp uygulamasında karşıdaki kişi size yazarken görüntülenen “xxx yazıyor…” mesajı ile de gerçekleştirebilir. Her mesajda LTE ağına bağlı cihaz için bir paging (konum bulma) isteği yayınlanır. Broadcast mesajlar LTE ağında kimlik doğrulamasız ve kriptosuz olarak seyahat eder. Benzer şekilde bu broadcast mesajlardan yararlanılarak sahte bir LTE baz istasyonu saldırgan tarafından işletilebilir.

Başka bir konum izleme açığı ise şöyle işler; LTE protokolleri GSM ağındaki sorunları izlemek, raporlamak ve düzeltmek için birçok fonksiyona sahiptir. LTE destekli abone cihazı sürekli olarak etrafındaki baz istasyonlarının (hücrelerin) sinyal ve gürültü seviyelerini izleyerek raporlar. TMSI numarası bilinen abonenin gönderdiği ölçüm raporları saldırgan tarafından incelenerek cihazın bulunduğu lokasyon tespit edilebilir. Bu raporlarda kurbanın etrafında bulunan baz istasyonlarına ait bilgiler yer almaktadır. Bu raporlama özelliği dev LTE ağlarında operatör tarafından abonelere en verimli iletişim hizmetinin sağlanması için temel ve itibar gören kıymetli bir veri sağlar. Bu şekilde LTE ağı en iyi hizmeti verecek şekilde kendi kendini yapılandırır ve hizmetini sürdürür. Gönderilen raporlarda cihaz ve ağ yapılandırması destekliyorsa cihazın GPS kordinatı da yer alabilir. Bu yönüyle LTE tasarımı kulllanıcının lokasyon mahremiyetini sekteye uğratan çözümü hayli zor bir zafiyete sahiptir.

lte-2016-10-17_02-07-58

GSM ağları üzerindeki bir DOS (Denial of Service) saldırısı uluslararası dolaşım adı verilen roaming özelliğinden kaynaklanır. Roaming ile abonesi olunan operatörün dışındaki farklı bir ülkede telefon şebekesinin kullanılabilmesi sağlanmıştır. Diyelimki Turkcell hattınızı Almanya’da da kullanmak istiyorsunuz bu durumda hattınızı roaming’e açtırmalısınız. Hattınızı roaming’e açtırmadığınız da telefonunun şebekeye bağlanmak isteyecek ve şebekeden alacağı “ROAMING NOT ALLOWED” yani red yanıtı ile tekrar bağlanmayı denemez. Normal şartlarda telefonunuz bunu ilk açıldığında veya uçak modundan normal moda geçtiğinizde bir defaya mahsus yapar ve daha sonra NOT ALLOWED ağda yeniden bir roaming sayılabilecek bir istekte bulunmaz. böyle olmasının nedeni batarya tüketimi içindir. Sürekli olarak roaming isteğinde bulunmak telefonun bataryasının kısa sürede tükenmesine ve havada gereksiz GSM sinyallerinin var olmasına neden olur.

Kullanıcı cihazı baz istasyonuna ağa dahil olma isteği gönderdiğinde bu istek açık şekilde gider. Bu istekte kullanıcı cihazının sesli görüşme yeteneğinin de olduğuna dair bilgi bilgi de yer alır. Korumasız olan bu mesajı ele geçiren saldırgan sesli görüşme bilgisini kaldırarak iseteği tekrarlar. Bu durumda kullanıcı cihazı SMS mesajlarını alıp gönderebilirken sesli çağrıları alıp gönderemez. Saldırganın bu atağı tekrarlamasına gerek yoktur. Kullanıcı cihazı bu durumdan kurtulmak için radyo alıcısını yeniden başlatmalıdır veya operatörün yapılandırmasına bağlı olarak 48 saate varan sürelerde rezervasyonun iptal olmasını beklemelidir.

LTE ağına bağlanma işlem süreci downgrade (seviye alçaltma) saldırılarına açıktır. Saldırganın bir GSM cihazını LTE ve 3G bağlantısını kopartarak, operatör ile 2G bağlantı kurmaya zorlayabilir. Bu durumda iletişim 2G’nin sahip olduğu güvenlik zafiyetleri ile yüzleşi ve MITM (ortadaki adam saldırısı) saldırısı gerçekleştirilebilir.

 2016-10-17_02-10-21Kaynaklar:

Practical Attacks Against Privacy and Availability in 4G-LTE Mobile Communication Systems

Dosyayı İndir Practical-Attacks-Against-Privacy-and-Availability-in-4G-LTE-Mobile-Communication-Systems.pdf – 6 MB

SS7 (Signaling System 7) ve Tehdit Potansiyeli

Daha önce burada ülkemizin GSM şebeke güvenliği hakkında bazı bilgileri paylaşmıştım. Yeni edindiğim bilgilere göre; daha önce zafiyeti açıklanmış olan A51’in kullanımı, özellikle avrupa ülkelerinde büyük oranda terk edilmiş durumda. Ancak Afrika ve Çin gibi bazı geri kalmış bölgelerde hala daha kullanılmakta. (Diğer taraftan mevcut telefonların çok büyük bir kısmı sahte BTS ile A51’i kullanmaya da zorlanabilmekte ve gerçekleştiğinde kullanıcısına herhangi bir uyarı da vermemekte)

Ülkemizdeki operatörler 2016 itibari ile çoğunlukla A5/2 ve A5/3’ü, telefonun desteklemesi halinde ise de A5/4’ü kullanıyor.  Avrupadaki GSM (ve RF) alt yapısının standartlarını düzenleyen ETSI isimli organizasyon A5/4 ve A5/3 kullanımı standartlaştırmış durumda. Ülkemizdeki operatörler de bu organizasyonun birer üyesi.  A51 de olduğu gibi A54 ve A53 hakkında public olmuş bir güvenlik açığı yok, lakin bu sadece iletişim (bağlantı) ele geçirildiğinde kullanıcıyı koruyan bir şifreleme.

Bu şifreleme SS7 (uluslararası GSM şebekesi protokolleri) zafiyetlerine karşı bir koruma sağlamıyor. Evet havadaki sinyalleri koklayan saldırgan kriptolu veriyi çözemez (şimdilik) fakat 1975’den beri kullanılan SS7 sistemi,  giden çağrıları yönlendirme, gelen SMS’leri yakalama, GSM network’ü içinde kurbanın yerine geçme ve kurbanın coğrafi konumunu bulma gibi yönlendirmeye dayalı atraksiyonların suistimaline açık bir yapı sağlıyor.

SS7 çevir sesinden, görüşmelerin BSC/MSC düğümleri arasında yönlendirmesinden uluslararası operatörler arasındaki roaming’e kadar tüm network atraksiyonlarını düzenleyen çok eski (1975) bir protokoller kümesi. Saldırgan trafiğinizi decrypt edemez ama çağrılarınızı veya SMS’lerinizi yönlendirebilir. Bunu farklı bir kıtadan (Avustralya) dahi yapabilir yeterki IMSI (International Mobile Subscriber Identy) numaranızı bilsin ve SS7 networküne dahil olabilsin. Bigbrother’in (NSA) massive GSM intercaption efsanesi hiç de efsane değil. Snowden’in Wiki’sinde bununla ilgili (echolon) belgeler yayınlamıştı.

Tarihçe açısından SS7 (Signaling System 7) Nedir ?

Ortak Kanal İşaretleşme Sistemi No:7 (SS7 veya C7) Uluslararası Telekomünikasyon Birliği (ITU, International Telecommunication Union) Telekomünikasyon Standardizasyon Birimi (Telecommunication Standardization Sector, ITU-T) tarafndan tanımlanmış, küresel bir telekomünikasyon standardıdır. Standart, Kamusal Anahtarlamalı Telefon Ağındaki (PSTN) ağ birimlerinin sayısal bir işaretleşme ağı üzerinden kablosuz (Hücresel) ve karasal çağrı kurulumu, yönlendirilmesi ve denetimini sağlamak için yöntem ve protokolleri tanımlar. ITU’nun SS7 tanımlaması Amerikan Ulusal Standartlar Enstitüsü (American National Standards Institute, ANSI) ve Bell Communications Research (Telcordia Technologies) gibi Kuzey Amerika’da ve Avrupa Telekomünikasyon Standartlar Enstitüsü (European telecommunications Standards Institute, ETSI) gibi Avrupa’da kullan lan SS7 türevlerine olanak tanımaktadır.

SS7 ağı ve protokolleri;

  1. Temel çağrı kurulumu, yönetimi ve bitirilmesi,
  2. GSM gibi kablosuz hücresel hizmetler, kablosuz dolaşım (Roaming) ve mobil
    kullanıcı doğrulaması.
  3. Yerel Numara Taşınabilirliği (Local Number Portability, LNP)
  4. Karasal ücretsiz (Toll-free, 800/888) ve ücretli (Toll, 900) hizmetler.
  5. Çağrı yönlendirme, arayan tarafn numara/adının görüntülenmesi, telekonferans
  6. Dünya çapında yüksek servis sürekliliği ile güvenli iletişim

gibi amaçlarla kullanılır.

Sadede gelelim: Yani 1 dakikada WhatsApp veya Facebook Hesabı Nasıl Patlatılır

Amiyane sayılabilecek patlatma tabirini ilk defa underground faliyetleri olan bir öğrencimden duymuştum ve hoşuma gittiği için kullanıyorum :) Aşağıdaki video’da SS7 (Signaling System 7) zafiyetleri kullanılarak hedef telefonun IMSI (Uluslararası Mobil Abone Kimliği) numarası sahte bir baz istasyonu ile ele geçirilerek (Fake BTS, BTS rogue, IMSI catcher) kurbanın yerine geçiliyor. Bu uygulamada kısa bir süreliğine kurbanın IMSI numarası ile SS7 sinyal ağına yasadışı kayıt yapılarak kurbana gelemesi gereken SMS’ler saldırgana geliyor ve böylece hesap kurtarma için doğrulama kodu ele geçirilmiş oluyor. Bu yönteme karşı Whatsapp veya Facebook gibi SMS doğrulama kodlarını kullanan güvenlik mekanizmalarının bir önlem alma şansı yok. Çünkü zafiyet SS7 ile ilgili.

 Nasıl Yapılıyor?

Positive Technologies: SS7 (Signaling System 7) Security Report

Dosyayı İndir SS7-Security-Report.pdf – 1 MB

Numara 7 İşaretleşmesi (Signaling System 7) Türkçe

Dosyayı İndir Numara-7-İşaretleşmesi-Signaling-System-7.pdf – 1 MB

Kaynaklar:

Türkiye GSM Güvenlik Raporu:

GSM Sistemi: https://www.tankado.com/cep-telefonu-gsm-sistemi-2/

Uluslararası Çağrı Kodları: http://www.yasinkaplan.com/tr/uluslararasi.html

Cep Telefonu (GSM) Sistemi – 2

Üniversite zamanlarımdan kalma teknik dökümanlarımın arasında Elektronik Yüksek Mühendisi Fikret OTTEKİN’in yazmış olduğu aynı başlıktaki makalesini buldum. O zamanlar (2002), etrafta GSM konusuyla ilgili pek fazla kaynak yok iken bu belge Türkçe olması hasebiyle oldukça iyi bir kaynaktı. Elimdeki fotokopi biraz yıpranmış olduğundan net’de daha iyi bir sürümünü aradım fakat gördüm ki kutsal bilgi kaynağımız Google böyle bir belgeyi indekslememiş. Üzüldüm. Belki daha ne kıymetli dökümanlarınız var tozlu raflarınızın eskimiş klasörlerinde. Gün ışığına çıkartın onları, paylaşın internet ile. Ben de tam olarak böyle yaptım. Belgeyi tarayıp PDF biçimine dönüştürdüm. Şimdi paylaşıyorum onu sizin ile fakat sayfa sıraları karışmış özür… ;)

Cep Telefonu Sistemi (GSM) - 2

Dosyayı İndir Cep-Telefonu-GSM-Sistemi-2.pdf – 1 MB

Google’a hitaben belgenin içeriğinden biraz bahsetmek gerekirse;
GSM kablosuz iletişim teknolojisinin geldiği en son noktayı yansıtmaktadır. Bu sistemin standartlarının ufak tefek değişiklikler ile, GSM’in ikinci nesil temsilcisi olan DCS (Digital Communication System) standartlarına dönüşeceği ve bu sistemlerin çok uzun yıllar güncelliğini koruyacağı düşünülürse GSM standartlarının önemi ortaya çıkar…Sistem işleticisi tarafından her abonenin SIM kartına Ki adı verilen bir kullanıcı anahtarı yerleştirilmiştir…GSM sisteminin toplam 124 taşıyıcıya sahip olduğunu daha önce belirtmiştik….