Атакуя GPRS

Леший с Лукоморья

Xakep, номер #052, стр. 052-050-3

Следующая проблема касается GTP, который работает поверх UDP или TCP (только в версии выше первой) и по умолчанию не шифрует трафик. А, следовательно, получив доступ к GGSN или SGSN, хакер может читать все сообщения. Никаких механизмов безопасности в GTP не предусмотрено, и все производители рекомендуют использовать IPSec, что, разумеется, делают далеко не все. Собственно, как считают многие специалисты, только некоторые компании, предоставляющие услуги GPRS, применяют положения своей политики безопасности к GPRS-устройствам, остальные считают их защищенными и недоступными для злоумышленников.

Как и любая крупная структура, GPRS-сеть должна иметь эффективные механизмы управления, и они действительно есть. Помимо уже упомянутого SNMP, в сети GPRS можно встретить Telnet, DHCP, DNS, TFTP, RIP и даже HTTP. А что позволяют делать эти протоколы с узлом, на котором они запущены, я думаю, говорить не стоит.

Кстати, перехватить трафик можно не только между GGSN и SGSN, но и между мобильником и SGSN. И это несмотря на наличие шифрования между ними. А все потому, что в реализации алгоритмов A3 и A8, объединенных общим именем COMP128, существует ряд дыр, которые были найдены ушлыми хакерами. Правда эти дыры были обнаружены в SIM-карте, но учитывая, что SGSN использует те же алгоритмы, получить доступ к передаваемым данным не составит труда.

Те, кто читал мою статью об атаках на IP-телефонию (12-й Хакер за 2002 год), могут проследить, что атаки на обе технологии практически совпадают - разнятся только детали реализации. Поэтому можно попытаться спрогнозировать - какой еще атаке подвержены компоненты GPRS-сети. Правильно! Абсолютное большинство устройств поставляется с предустановленными настройками, и для их изменения используется пароль администратора, заданный по умолчанию и практически никогда не изменяемый. Например, в Nortel'овском оборудовании есть такая учетная запись field, пароль для которой - service.

Если бы хакер был сотрудником какого-нибудь Мегафона, Билайна или МТС, у него появилось бы чуть больше возможностей по хаканью GPRS. В частности, можно взломать биллинговую систему, ведущую тарификацию звонков и услуг. А можно покопаться в базах HLR (Home Location Register) и VLR (Visitor Location Register), хранящих информацию о каждом человеке, оплатившем услуги оператора GPRS, и о каждой мобильной станции, находящейся в данный момент в зоне действия SGSN. HLR, например, хранит информацию о дополнительных услугах, параметрах аутентификации, IP-адресе и т.д. Обмен данной информацией происходит между HLR и SGSN. В VLR хранится та же информация об абоненте, что и в HLR, но только до тех пор, пока абонент не покинет географическую зону, обслуживаемую этим реестром перемещений. Но так как среди 75000 подписчиков ][ вряд ли есть найдется много сотрудников указанных операторов связи, то рассматривать эту тему более подробно мы не будем.