SS7 (Signaling System 7) ve Tehdit Potansiyeli

Daha önce burada ülkemizin GSM şebeke güvenliği hakkında bazı bilgileri paylaşmıştım. Yeni edindiğim bilgilere göre; daha önce zafiyeti açıklanmış olan A51’in kullanımı, özellikle avrupa ülkelerinde büyük oranda terk edilmiş durumda. Ancak Afrika ve Çin gibi bazı geri kalmış bölgelerde hala daha kullanılmakta. (Diğer taraftan mevcut telefonların çok büyük bir kısmı sahte BTS ile A51’i kullanmaya da zorlanabilmekte ve gerçekleştiğinde kullanıcısına herhangi bir uyarı da vermemekte)

Ülkemizdeki operatörler 2016 itibari ile çoğunlukla A5/2 ve A5/3’ü, telefonun desteklemesi halinde ise de A5/4’ü kullanıyor.  Avrupadaki GSM (ve RF) alt yapısının standartlarını düzenleyen ETSI isimli organizasyon A5/4 ve A5/3 kullanımı standartlaştırmış durumda. Ülkemizdeki operatörler de bu organizasyonun birer üyesi.  A51 de olduğu gibi A54 ve A53 hakkında public olmuş bir güvenlik açığı yok, lakin bu sadece iletişim (bağlantı) ele geçirildiğinde kullanıcıyı koruyan bir şifreleme.

Bu şifreleme SS7 (uluslararası GSM şebekesi protokolleri) zafiyetlerine karşı bir koruma sağlamıyor. Evet havadaki sinyalleri koklayan saldırgan kriptolu veriyi çözemez (şimdilik) fakat 1975’den beri kullanılan SS7 sistemi,  giden çağrıları yönlendirme, gelen SMS’leri yakalama, GSM network’ü içinde kurbanın yerine geçme ve kurbanın coğrafi konumunu bulma gibi yönlendirmeye dayalı atraksiyonların suistimaline açık bir yapı sağlıyor.

SS7 çevir sesinden, görüşmelerin BSC/MSC düğümleri arasında yönlendirmesinden uluslararası operatörler arasındaki roaming’e kadar tüm network atraksiyonlarını düzenleyen çok eski (1975) bir protokoller kümesi. Saldırgan trafiğinizi decrypt edemez ama çağrılarınızı veya SMS’lerinizi yönlendirebilir. Bunu farklı bir kıtadan (Avustralya) dahi yapabilir yeterki IMSI (International Mobile Subscriber Identy) numaranızı bilsin ve SS7 networküne dahil olabilsin. Bigbrother’in (NSA) massive GSM intercaption efsanesi hiç de efsane değil. Snowden’in Wiki’sinde bununla ilgili (echolon) belgeler yayınlamıştı.

Tarihçe açısından SS7 (Signaling System 7) Nedir ?

Ortak Kanal İşaretleşme Sistemi No:7 (SS7 veya C7) Uluslararası Telekomünikasyon Birliği (ITU, International Telecommunication Union) Telekomünikasyon Standardizasyon Birimi (Telecommunication Standardization Sector, ITU-T) tarafndan tanımlanmış, küresel bir telekomünikasyon standardıdır. Standart, Kamusal Anahtarlamalı Telefon Ağındaki (PSTN) ağ birimlerinin sayısal bir işaretleşme ağı üzerinden kablosuz (Hücresel) ve karasal çağrı kurulumu, yönlendirilmesi ve denetimini sağlamak için yöntem ve protokolleri tanımlar. ITU’nun SS7 tanımlaması Amerikan Ulusal Standartlar Enstitüsü (American National Standards Institute, ANSI) ve Bell Communications Research (Telcordia Technologies) gibi Kuzey Amerika’da ve Avrupa Telekomünikasyon Standartlar Enstitüsü (European telecommunications Standards Institute, ETSI) gibi Avrupa’da kullan lan SS7 türevlerine olanak tanımaktadır.

SS7 ağı ve protokolleri;

  1. Temel çağrı kurulumu, yönetimi ve bitirilmesi,
  2. GSM gibi kablosuz hücresel hizmetler, kablosuz dolaşım (Roaming) ve mobil
    kullanıcı doğrulaması.
  3. Yerel Numara Taşınabilirliği (Local Number Portability, LNP)
  4. Karasal ücretsiz (Toll-free, 800/888) ve ücretli (Toll, 900) hizmetler.
  5. Çağrı yönlendirme, arayan tarafn numara/adının görüntülenmesi, telekonferans
  6. Dünya çapında yüksek servis sürekliliği ile güvenli iletişim

gibi amaçlarla kullanılır.

Sadede gelelim: Yani 1 dakikada WhatsApp veya Facebook Hesabı Nasıl Patlatılır

Amiyane sayılabilecek patlatma tabirini ilk defa underground faliyetleri olan bir öğrencimden duymuştum ve hoşuma gittiği için kullanıyorum :) Aşağıdaki video’da SS7 (Signaling System 7) zafiyetleri kullanılarak hedef telefonun IMSI (Uluslararası Mobil Abone Kimliği) numarası sahte bir baz istasyonu ile ele geçirilerek (Fake BTS, BTS rogue, IMSI catcher) kurbanın yerine geçiliyor. Bu uygulamada kısa bir süreliğine kurbanın IMSI numarası ile SS7 sinyal ağına yasadışı kayıt yapılarak kurbana gelemesi gereken SMS’ler saldırgana geliyor ve böylece hesap kurtarma için doğrulama kodu ele geçirilmiş oluyor. Bu yönteme karşı Whatsapp veya Facebook gibi SMS doğrulama kodlarını kullanan güvenlik mekanizmalarının bir önlem alma şansı yok. Çünkü zafiyet SS7 ile ilgili.

 Nasıl Yapılıyor?

Positive Technologies: SS7 (Signaling System 7) Security Report

Dosyayı İndir SS7-Security-Report.pdf – 1 MB

Numara 7 İşaretleşmesi (Signaling System 7) Türkçe

Dosyayı İndir Numara-7-İşaretleşmesi-Signaling-System-7.pdf – 1 MB

GSM-GPRS ve Tarihçesi

Dosyayı İndir GSM-GPRS.pdf –

IMSI-Catch Me If You Can IMSI-Catcher-Catchers

Dosyayı İndir DabrowskiEtAl-IMSI-Catcher-Catcher.pdf –

Kaynaklar:

Türkiye GSM Güvenlik Raporu:

GSM Sistemi: https://www.tankado.com/cep-telefonu-gsm-sistemi-2/

Uluslararası Çağrı Kodları: http://www.yasinkaplan.com/tr/uluslararasi.html

Türkiye GSM Güvenlik Raporu (Turkcell, Vodafone ve Avea) ile Sınıfta Kaldı

Onur bu makalenin bağlantısını gönderdikten sonra GSM protokolünü kırma pratiklerinin bir hayli kolaylaştığını fark ettim. GSM şebekesinde havadan gidip gelen (Telefon-BS [Baz istasyonu]) veriler normal olarak şifrelenir. Aksi takdirde sabit olan frekans aralıklarına ayarlanan herhangi bir RF alıcısı ile sesli görüşme ve sms‘leri elde etmek çok kolay olurdu.

İşte tam da bu kolaylıktan bahsetmek gerekiyor. 2007 yılında GSM şifrelemesi için kullanılan A5/1 algoritmasının kırılması büyük yankı uyandırmıştı. Tam da o yıllarda cracker’lar arasında kızışmaya başlayan Rainbow Table oluşturma yarışları A5/1’in sonunu getirdi. Bunun sonucu olarak yaklaşık 20 yıllık teknoloji ve hali hazırda kullanılan milyarlarca telefon güvensiz hale geldi.

Bundan sonra üreticiler A5/1’in daha güvenli ve güncellenmiş sürümleri olan A5/2 ve A5/3 ü yeni cihazların firmware’lerine dahil etmeye başladılar. Fakat, bu yazının da konusunu oluşturan Türkiye GSM Güvenlik Raporu operatörlerin, üreticilerin aksine bu konuda pek de istekli olmadıklarını ortaya koyar nitelikte. Rapordan da görebileceğiniz üzere Avea ve Turkcell (2013 itibari ile) hala A5/1 uyumlu sistemler kullanmaya devam ediyorlar.

gsm_turkiye_guvenlik_2016-09-21_03-17-10

Avea ve Turkcell kullanıcıları için bu durum ne anlama geliyor [1]:

  1. Görüşme sırasında araya girilerek oturum kayıt altına alınabilir.
  2. Adınıza çağrı yapılabilir ve SMS gönderilebilir.
  3. Ortalama 150m hassasiyetle bulunduğunuz konumu öğrenilebilir [2].

Malesef tüm bu saldırılar yaklaşık $400’lık bir donanımla (HackRF One) SDR yazılımları kullanılarak kolayca gerçekleştirilebilir. Aşağıdaki video serisinde uygulamaları izleyebilirsiniz:

Araştırma raporuna gelecek olursak GSM saldırılarına karşı alınabilecek önlemlerin ilk başında gelen altyapıdaki algoritmanın son güncel olan A5/3 olarak güncellenmesini sadece Vodafone’nun yaptığı görülüyor. Hatta Vodafone’nın A5/3 kapsaması oldukça yaygınlaşmış durumda. Güvenlik önlemlerini almada AVEA ve Turkcell’in geride kaldığı raporda dikkat çekiyor. 3G şifrelemede hepsi iyiyken, yine 3G’de geçici mobil abone kimliği (TMSI) güncellemesinde sadece az olsa da Vodafone’nun yatırım yaptığı görülüyor. [1]

hangi_gsm_operatoru_hangi_a5_algoritmasini_kullaniyor2016-09-21_03-18-28

SECURIY RESOURCE LABS: Türkiye GSM Güvenlik Raporu.pdf

Dosyayı İndir gsmmap.org-country_report-Turkey-2013-03.pdf – 143 KB