L’anno scorso è stato scoperto un modo nuovo di attaccare le reti cellulari. Non richiede né costosi radio ricevitori scanner né centraline ed è disponibile virtualmente a chiunque. Inoltre, i gestori telefonici non hanno mezzi pratici per proteggersi da assalti di questo tipo.
L’espediente è basato sull’attacco al SS7, un set standardizzato di protocolli di segnalazione usato dalle reti cellulari e sviluppato negli anni Settanta. In parole povere, nell’era dei primi commutatori telefonici elettronici.
È sorprendente, ma il SS7 non impiega misure di protezione basilari: il traffico non è criptato e il sistema non è in grado di distinguere tra comandi leciti e fraudolenti. Il sistema li gestisce a prescindere dalla fonte
La ragione è molto semplice: come previsto 40 anni fa dagli elaboratori del protocollo, nell’ SS7 il signaling layer era separato dal voice layer e, di conseguenza, nessuno eccetto il personale preposto al commutatore telefonico avrebbe potuto accedere a questo canale.
Se anche qualcuno ci fosse riuscito, non avrebbe avuto un fine pratico: nessun comando, eccetto quelli che dicevano di connettersi a un utente, veniva spostato attraverso la rete, quindi nessuno si preoccupaba dell’eventualità di un trasporto di pacchetti fasulli via layer.
SS7map: worldwide map of SS7 attack surface per country http://t.co/gmMSq7FCum Reddit: http://t.co/7FQiGXBxfG #ss7map #31C3
— Matthijs R. Koot (@mrkoot) December 28, 2014
Tuttavia, la situazione è cambiata quando nel 2000 venne introdotta la procedura di elaborazione dei comandi SS7 su IP, in sostanza esponendo l’ SS7 layer all’accesso esterno.
La buona notizia è che, da un computer a caso su Internet, non è possibile connettersi ad alcuna rete degli operatori. Servirebbe un dispositivo speciale, un hub SS7.
La cattiva notizia riguarda le normative permissive sull’acquisto di tali dispositivi di rete. Alcuni paesi rilasciano facilmente le licenze agli operatori che, in cambio, permettono a chiunque di aprire l’hub legalmente e di interconnetterlo a un nodo di trasporto. Questo spiega perché il mercato nero sia strapieno di rivenditori illeciti che offrono “Connessione come Servizio” (Connection-as-a-Service) a tali hub.
4G is just beginning to become the norm, so why do we need 5G? – http://t.co/vP3wDv1X8s pic.twitter.com/t9ZR5neEcN
— Kaspersky (@kaspersky) July 3, 2015
Non importa dove sia posizionato l’hub. Può essere usato per inviare e accettare comandi globalmente su qualunque rete dell’operatore. Questo per una buona ragione: il blocco dei comandi a certi nodi di rete, probabilmente è la causa dell’interruzione dei servizi di roaming e delle connessioni internazionali, rendendo questi attacchi molto difficili da evitare.
Adesso, esaminiamo le opzioni che un criminale potrebbe usare a proprio vantaggio. In primis, un aggressore necessita dell’ International Mobile Subscriber Identity (identità internazionale di utente di telefonia mobile, IMSI) della vittima, un identificativo unico di una SIM card nella rete mobile, che è essenziale per la violazione. L’attacco viene condotto via SMS (curiosamente, all’inizio l’SMS era una funzione non documentata del protocollo GSM: i messaggi venivano trasportarti attraverso il canale di segnalazione).
Se qualcuno richiede l’invio di un SMS a un particolare numero di telefono, il gestore di rete, o per la precisione, l’Home Location Register (HLR), che è il maggiore database d’informazioni di abbonati permanenti per una rete mobile, risponderebbe con l’IMSI e il riferimento al corrente Mobile Switching Center (MSC) e Visitor Location Register (VLR), un database che contiene informazioni temporanee specifiche del paese sugli utenti e che serve al MSC per l’assistenza tecnica agli utenti ospiti.
LTE-U: on the way to 5G https://t.co/02VVd4Sla9 pic.twitter.com/2lYJmLtF6a
— Kaspersky (@kaspersky) July 24, 2015
Il responso è il seguente: “Ciao, ecco l’IMSI e l’indirizzo del segmento di rete dove si trova al momento l’abbonato. Adesso invia il messaggio per l’IMSI già menzionato a quel MSC/VLR”.
Mentre ciò accade, l’indirizzo del database HLR diventa, alla fine, altrettanto esposto. Conoscendo gli indirizzi e gli ID, un aggressore è in grado di inviare vari comandi all’HRL.
Per esempio, un truffatore potrebbe richiedere l’identificatore della stazione base cellulare che in quel momento sta servendo l’utente bersaglio. Armato di questo identificatore esclusivo e con qualunque dei numerosi database di utenti disponibili su Internet, chiunque ne può scoprire l’esatta localizzazione, con un’approssimazione di qualche dozzina di metri. Una serie di semplici programmi sono in grado di automatizzare totalmente il processo, richiedendo in modo opportuno di inserire solo il numero di telefono e di segnare un punto sulla mappa.
Major carriers, AT&T as well as Verizon continue to lag in EFF's privacy report – http://t.co/mYKvII4c02 pic.twitter.com/NxYK5Djyik
— Kaspersky (@kaspersky) June 19, 2015
Si potrebbe richiedere all’ HLR di riconnettersi a un altro VLR e inserire il valore errato, bloccando così le chiamate in arrivo e i messaggi.
C’è un’altra opzione d’invio: inserire l’indirizzo MSC/VLR desiderato imitato sul computer del truffatore con l’aiuto di un software “SS7 for Linux” che può essere scaricato. Ciò apre ulteriori opportunità per dirottare di nascosto chiamate e messaggi.
Per esempio, una volta che un aggressore invia un SMS al computer fraudolento, non ritornerà il messaggio di avvenuta consegna, ma riporterà il VLR al valore legittimo. Quindi, il server in partenza lo acquisirà di nuovo e infine lo consegnerà al destinatario finale. Il dirottamento di SMS è un metodo perfetto per intercettare codici di verifica utilizzati una tantum da vari sistemi di autenticazione a due fattori.
Majority of 4G USB modems, SIM cards exploitable https://t.co/g3x95Yg0yY pic.twitter.com/1cslj6AdAb
— Eugene Kaspersky (@e_kaspersky) January 1, 2015
È anche più facile ottenerlo nel caso delle chiamate telefoniche: con accesso all’HLR, un aggressore è in grado di inoltrare senza condizioni a un numero di telefono intermedio prima di recapitare una chiamata al legittimo destinatario.
Lo stesso metodo consente di spiare le chiamate in partenza, con un piccolo sforzo in più: il percorso d’inoltro potrebbe essere stabilito per il telefono chiamato dalla vittima. Il numero viene scoperto quando la chiamata in uscita emette una richiesta contenente un determinato numero di telefono e lo invia a un sistema di pagamento che applica certe tariffe e quindi una richiesta contenente un determinato numero e lo inoltra a un sistema di fatturazione, quindi applica una certa tariffa e addebita la chiamata al chiamante.
Voice as a threat: VoLTE, a new tool to compromise #mobile networks – https://t.co/fliFYkDb90 pic.twitter.com/vr4gfGQvRb
— Kaspersky (@kaspersky) November 4, 2015
Scambiando un indirizzo del sistema di fatturazione legale con uno casuale utilizzato dal truffatore, un aggressore è in grado di scoprire il numero del bersaglio. La vittima, come risulta, potrebbe realizzare la chiamata solo al secondo tentativo, rendendo il primo tentativo infruttuoso e senza dubitare della chiamata fallita (a proposito, se tendete a chiamare solo al secondo tentativo, è un chiaro segnale che qualcuno vi sta spiando).
Evidentemente, tutti i recenti casi di chiamate segrete dei politici sbandierate al mondo intero, non sono legate all’intercettazione telefonica dei loro uffici e dispositivi o al coinvolgimento di agenti segreti: in fondo, l’avversario in campagna elettorale ha tutti i diritti di farlo per pochi soldi.
[/twitter_pullquote]Quanto è facile violare una rete cellulare? La risposta vi sorprenderà![/twitter_pullquote]
L’impatto che questo metodo potrebbe avere sulle persone normali è limitato per lo più al furto di pochi dollari sottratti dal credito del cliente: può essere ottenuto inviando comandi USSD fasulli per abilitare piccoli trasferimenti di denaro o reindirizzare le chiamate a numeri a pagamento e generare traffico.
Come già detto, non esiste un rimedio al 100% efficace contro questo bug. Esiste fin da quando il protocollo è stato rilasciato. Solo un sostanziale cambiamento nel modo in cui funzionano le comunicazioni cellulari potrebbe fornire un’opportunità per eliminare completamente il problema.
C’è un altro modo per risolverlo: schierare sistemi complessi di monitoraggio dell’attività dell’utente per scoprire attività potenzialmente dolose. Alcune compagnie IT offrono sistemi automatizzati che, in sostanza, ricordano le piattaforme anti-frode largamente utilizzate dalle banche.
RT @e_kaspersky "Mobile carriers are public enemy #1 in terms of cyber security" @csoghonian #SAS2013
— Kaspersky (@kaspersky) February 4, 2013
Il problema sono le compagnie telefoniche: i gestori non hanno fretta di impiegare questi sistemi, lasciando gli abbonati in dubbio se siano protetti da tali attacchi o no. Se si considera il roaming, non se ne può mai essere certi.
Per prevenire che i vostri segreti cadano nelle mani dei criminali bisogna seguire semplici regole: non parlate di argomenti delicati al telefono e conservate queste informazioni per un incontro personale. Immaginate soltanto di parlare di queste cose su YouTube. Per proteggere gli SMS ricevuti da sistemi di autenticazione a due fattori, basta avere un’altra SIM card con un numero che conoscete solo voi, e solo a questo scopo.