Атакуя GPRS

Леший с Лукоморья

Xakep, номер #052, стр. 052-050-2

* Иметь на руках аппарат, в недрах которого (читай в SIM'е) прописано, что взломщик может пользоваться GPRS. А смысл сказанного прост: хакер должен каким-то образом получить (и пусть это останется на его совести) аппарат абонента, оплатившего эту услугу, либо клонировать этот аппарат. Т.к. мобильный телефон куда меньше обычного компьютера, то и украсть его намного легче. В худшем случае вор получает аппарат за сотню баксов, который он может продать, повесить себе на шею и т.д. При хорошем же раскладе вор получает телефон с работающей SIM-картой и может пользоваться GPRS-услугами до момента блокирования телефона оператором связи, что может произойти довольно быстро. Очевидно, что вариант с клонированием лучше, т.к. в этом случае хакер может пользоваться услугами GPRS до тех пор, пока настоящий владелец не заметит, что с его счета списывается слишком много денег.

Как и в случае с овечкой Долли, которая умерла, не прожив и половины среднего срока жизни овцы, клонирование телефона - дело непростое и потенциально опасное. Я надеюсь, ты это понимаешь. Приводить технические детали процесса нет смысла, тем более что седьмой номер Спец Хакера за прошлый год был полностью посвящен вопросам фрикинга и защиты самих мобильников. Хочу только отметить, что многие операторы связи, понадеявшись на защиту реализованных в телефоне алгоритмов, не особо контролируют клоны телефонов, чем и дают пищу для размышлений и пространство для испытаний. Более интересны особенности защиты самой GPRS-технологии. К ним и перейдем. Но сразу хочу отметить, что технология эта новая и малообкатанная. Дыр в ней нашли пока не так много, да и те, что нашли, как правило, связаны с недосмотром админа, который что-то упустил и оставил лазейку для умных людей.

Гы-гы? Ломаем!

С точки зрения обычного интернетовского юзверя, первое, что он видит на пути к мобильнику, это GPRS-маршрутизатор (т.е. GGSN), транслирующий все входящие пакеты в GTP-трафик, а все исходящие в обычный IP. Здесь и кроется первая дыра. GGSN - это обычное IP-устройство, подверженное классическим DoS-атакам. Причем на GGSN возможны как распространенные DoS-атаки Land, SYN Flood и т.п., так и малоизвестные дыры. Например, посылка TCP-пакета с типом опции 0xFF внутри заголовка IP приводит к перезагрузке некоторых GGSN. Хотя упадет устройство или нет зависит от качества реализации стека производителем. Например, в Shasta 5000 BSN от Nortel уже встроена защита от атак SYN Flood и Land.

Проблема нумбер 2. Многие GGSN выполнены на базе широко известных ОС, например, HP UX, Solaris или IPSO от Nokia. Дыры в этих ОС тоже известны. Так что остается только проверить с помощью сканера наличие уязвимостей. В случае удачи хакер получает полный доступ к GGSN и, следовательно, ко всей GPRS-сети.

Кстати, SGSN еще более уязвимы, т.к., согласно отчету @stake, на сегодняшний день вообще не существует никаких средств их защиты. Если GGSN, как и нормальный маршрутизатор, можно настроить (задать списки контроля доступа) или навесить на него внешний фаервол (например, CheckPoint Firewall-1 GX), то с SGSN ситуация существенно хуже. Что касается дыр, то в качестве одной из них могу назвать SNMP, с помощью которого можно управлять этим устройством. То же самое относится и к GGSN. В частности, уязвимости в Contivity CES/GGSN (версии 2.04.03 и 3.01.01) от Nortel позволяют реализовать различные атаки на него, начиная от DoS и заканчивая привилегированным доступом (http://www.cert.org/advisories/CA-2002-03.html).