SS7 Exploitation

Lectura en audio de esta entrada.

Perspectivas generales

La explotación SS7 es la vulnerabilidad institucional documentada más significativa en la infraestructura de telecomunicaciones contemporánea. La característica operativa de la explotación de SS7 es que cualquier parte de acceso a la red SS7 puede consultar y manipular la ubicación del suscriptor, el enrutamiento de mensajes y el estado institucional de enrutado de llamadas de cualquier suscripdor en cualquier operador participante produce la consecuencia de que las comunicaciones seguras a nivel de dispositivo pueden ser interceptadas en la capa de red contra la que el dispositivo no puede defenderse.

El patrón documentado de acceso a la red SS7 a lo largo del período posterior a 2010 se divide en tres categorías institucionales. El acceso de operador con licencia es la vía para todos los operadores móviles y fijos participantes en todo el mundo.

Origen del protocolo

SS7 fue desarrollado por AT&T en 1975 (dentro del Bell System for Common Channel Interoffice Signaling en el interruptor No. 4ESS) y posteriormente estandarizado por el CCITT el organismo predecesor de la ITU-T en el Libro Amarillo de 1980 (serie Q.7xx), como el sucesor del protocolo de señalización SS6 anterior. El contexto institucional fue la expansión posterior a 1970 de la infraestructura de conmutación automatizada de larga distancia en todo el paisaje de monopolio nacional entonces dominante.

La consecuencia del supuesto de diseño de relación de confianza fue que SS7 no implementó el marco de autenticación criptográfica que incluían los diseños de protocolos adyacentes posteriores a 1990.

La expansión posterior a 1984 de la participación en la red SS7 impulsada por la desinversión de 1984 de AT&T en los Estados Unidos, la privatización de las Telecomunicaciones Británicas en 1984, el patrón de desregulación de las telecomunicaciones de la década de 1990 en prácticamente todas las jurisdicciones de economías desarrolladas y la posterior aparición de una infraestructura de operadores móviles independientes erosionaron el supuesto de relación de confianza en el que se había construido SS7. El panorama contemporáneo en el período posterior a 2010 ha incluido aproximadamente 800 participantes institucionales de la Red SS7 en todo el mundo, una cohorte sustancialmente más amplia que la suposición de diseño original.

Primera demostración de registro público

La primera demostración de registro público de la viabilidad operativa de la explotación de SS7 fue la presentación del Congreso de Comunicación del Caos del 27 de diciembre de 2008 por Tobias Engel Localización de teléfonos móviles utilizando el Sistema de señalización # 7 en el evento 25C3 de Berlín. La presentación demostró la exploración operacional de la capacidad de búsqueda de ubicación del SS7 para obtener la ubicación geográfica de cualquier suscriptor de red móvil dentro del alcance de un operador participante.

Las demostraciones posteriores a lo largo de 200914 más prominentemente las demostraciones 31C3 de diciembre de 2014 de Karsten Nohl (Security Research Labs, Berlín) en Mobile Self-Defensey Tobias Engel enSS7: Localizar. Seguir. Manipular. estableció la documentación completa de registros públicos de las características operativas de explotación de SS7 en las categorías de ubicación, SMS y llamadas de voz. [1] [2]

Consulta de la ubicación del abonado

El patrón operativo es que la parte de acceso a la red SS7 emite un mensaje de consulta de ubicación de Mobile Application Part (MAP) contra la infraestructura de registro de localización del hogar del suscriptor objetivo.

Interceptación de mensajes SMS

El patrón operativo consiste en que la parte de acceso a la red SS7 emite un mensaje de actualización de ubicación MAP que informa al registro de la ubicación del hogar del suscriptor objetivo de que el suscripdor ha navegado a un centro de conmutación móvil controlado por el atacante sin que el abonado haya navegado realmente.

La principal consecuencia institucional es para los códigos de autenticación de segundo factor entregados por SMS destinados al suscriptor: esos códigos pueden entregarse al atacante, produciendo el compromiso de cualquier cuenta asegurada por SMS-2FA que mantenga el abonado. El incidente de Telefónica Alemania de 2017 es el principal caso documentado de este patrón operativo a escala contra objetivos civiles.

Interceptación de llamadas de voz

El patrón operativo es análogo al patrón de interceptación de SMS. La parte de acceso a la red SS7 emite un mensaje de configuración de reenvío de llamadas que configura el estado de envía llamadas del suscriptor objetivo para reenviar las llamadas de voz entrantes a un destino controlado por el atacante.

Explotaciones documentadas

La presentación del Congreso de Comunicación del Caos del 27 de diciembre de 2008 por Tobias Engel Localización de teléfonos móviles utilizando el sistema de señalización # 7 en 25C3 Berlín fue la primera demostración de registro público de la viabilidad operativa de la explotación SS7 y produjo el compromiso institucional con las preguntas de vulnerabilidad de SS7 que ha continuado durante el período posterior a 2008.

Confirmado Demonstraciones de Nohl y Engel (diciembre de 2014). Las demostraciones del 31C3 de diciembre de 2014 de Karsten Nohl (Autodefensa Móvil) y Tobias Engel (SS7: Localizar. Seguir. Manipular.) documentaron juntos la explotación operativa integral de SS7 contra los suscriptores de German Telekom, incluida la interceptación operacional de SMS, llamadas de voz y datos de ubicación contra cualquier suscriptor para el que se conocía el MSISDN.

El incidente de mayo de 2017 en el que aproximadamente 200 cuentas de suscriptores de Telefónica Alemania experimentaron transacciones bancarias no autorizadas mediadas por SS7 realizadas por atacantes que obtuvieron acceso a la red SS7 a través de un intermediario de una compañía aérea con licencia extranjera, utilizaron el acceso para redirigir códigos bancarios 2FA basados en SMS de los abonados objetivo y utilizaron los códigos redireccionados para autorizar transacciones bancarias no autorizados fue el despliegue operativo más documentado de la explotación de SS7 contra objetivos civiles.

Las advertencias institucionales emitidas por el Departamento de Seguridad Nacional y la Comisión Federal de Comunicaciones en 2017 incluido un asesoramiento de DHS / DHS NPPD que restringe el uso de SMS por parte del personal del gobierno de los Estados Unidos para comunicaciones confidenciales (la Agencia de Seguridad Cibernética e Infraestructura no se creó hasta noviembre de 2018) y el Aviso Público de agosto de 2017 de la FCC (DA-17-799) alentando la adopción por parte de los operadores de las recomendaciones de seguridad SS7 del Grupo de Trabajo 10 de CSRIC V de marzo de 2017. constituyeron el reconocimiento institucional a nivel de regulación federal de que la vulnerabilidad SS7 era operacionalmente significativa. [1] [2] [3]

El patrón documentado de servicios comerciales de seguimiento de telecomunicaciones en el período posterior a 2010, incluidos los servicios de publicidad de localización, interceptación de SMS y capacidad de monitoreo de llamadas, ha involucrado sustancialmente la explotación operativa del acceso a la red SS7. Los informes de registros públicos sobre estos servicios han incluido informes de la Oficina de Periodismo de Investigación de 2020 sobre servicios de acceso comercial a SS7, informes del Wall Street Journal sobre proveedores de acceso SS7 comerciales con sede en Israel y Suiza, y informes adicionales en el periodo posterior a 2020.[1]

Diámetro como sucesor de SS7

El protocolo Diameter el sucesor del diseño de protocolo posterior a 2010 de SS7 para la infraestructura de redes móviles 4G y posteriores incluía el marco de autenticación criptográfica que SS7 carecía. Las redes 4G-y posteriores son, en consecuencia, menos vulnerables al patrón operativo que produce la explotación de SS7. La limitación institucional es que las redes celulares conservan la conectividad de la red SS7- para la compatibilidad con las redes más antiguas la consecuencia es que el aprovechamiento de la SS7 sigue siendo operacionalmente viable contra cualquier suscriptor cuya red móvil conserve la conexión SS7.[1]

Despliegue de cortafuegos de soporte

El desarrollo de la infraestructura de cortafuegos SS7 la capacidad institucional de los operadores participantes para filtrar los mensajes SS7 contra las reglas que distinguen entre el tráfico SS7 legítimo y sospechoso ha limitado pero no eliminado la viabilidad operativa de la explotación de SS7.

Compromiso regulatorio federal

El compromiso de la FCC y el DHS con la cuestión de la vulnerabilidad de SS7 incluyendo la advertencia de 2017 del FCC, el posterior compromiso del Consejo de Seguridad, Confiabilidad e Interoperabilidad de las Comunicaciones FCC , y el marco de seguridad de la red 5G de FCC ha posicionado la infraestructura reguladora federal para la reforma institucional del panorama de SS7. La pregunta institucional continua es si la infraestructura de red SS7 debe retirarse por completo o asegurarse contra una explotación operativa posterior; la pregunta sigue sin resolverse en el registro público.

Fuentes y lecturas adicionales

Karsten Nohl y Tobias Engel, Mobile Self-Defense, presentación en 31C3 (31st Chaos Communication Congress), Hamburgo, 27 de diciembre de 2014, la principal demostración operativa y completa.</li> <li id="fn-1">Christoph Sorge, et al., Bedrohungenzial der Diameter Protokoll-Suite für 4G-Netze Gaze, Oficina Federal de Seguridad de la Información (BSI), 2014 el tratamiento institucional de la vulnerabilidad alemana de SS7-amvs-Dieter subsecuente. Comparación en 25C3 (25o Congreso de Comunicación del Caos), Berlín las principales primeras demostraciones de registro público. <li Id="fn-2">Karsten Nohl y Tobius Engel, "Mobile Self Defence", *Presentación en 31 C3 (31.o Congreo de Comunicaciones del caos), Hambourg, el 27 de Diciembre de 2014, es el principal demostrador operativo-comprensivo de las demostraciones operativas. </li>