разбирали все статьи PT, с коллегами которые плотно работают с ОКС7 уже более 10 лет. Ничего необычного не написано. сигналка оператора по-прежнему защищена физически и логически пока нет путей злоумышленику в нее проникнуть. Всё что демонстрировали РТ может продемонстрировать любой инженер коммутаторщик, они же показывали это на "стенде", боевого применения из вне, на сколько я знаю еще никто не показал

https://books.google.ru/books?id=ITMrAwAAQBAJ&pg=PA12&lpg=PA12&dq=gsm+hlr+mvno&source=bl&ots=88b0isRGA9&sig=iWzQXTtF5xTHJDRoETe1zt6FUUI&hl=ru&sa=X&ved=0ahUKEwjQv76sjY3TAhUIJ5oKHc0gC8YQ6AEISDAG#v=onepage&q=gsm%20hlr%20mvno&f=false

pt это что?

Positive Techn

позитивные технологии

http://docplayer.net/526795-Worldwide-attacks-on-ss7-network.html

разбирали все статьи PT, с коллегами которые плотно работают с ОКС7 уже более 10 лет. Ничего необычного не написано. сигналка оператора по-прежнему защищена физически и логически пока нет путей злоумышленику в нее проникнуть. Всё что демонстрировали РТ может продемонстрировать любой инженер коммутаторщик, они же показывали это на "стенде", боевого применения из вне, на сколько я знаю еще никто не показал

А как же фемтосоты?

Это к тому что нету путей проникнуть

А как же фемтосоты?

а как ты свою фемтосоту подключишь к фемто RNC, BSC провайдера?

Олсо, помню ресерч про то как кто-то сканил IPv4 и искал/ломал по каким-то характерным фмнгерпринтам смотрящие в инет сервера на которых был доступ в SS7

а как ты свою фемтосоту подключишь к фемто RNC, BSC провайдера?

Свою -- никак, я у провайдера готовую куплю вместе с подпиской и расхакаю её что бы к bsc произвольный трафик гнать

Свою -- никак, я у провайдера готовую куплю вместе с подпиской и расхакаю её что бы к bsc произвольный трафик гнать

коварство

Свою -- никак, я у провайдера готовую куплю вместе с подпиской и расхакаю её что бы к bsc произвольный трафик гнать

в фемтосоте действительно настраивается IP адрес фемто RNC смотрящий в интернет. Можешь дампать трафик. Но трафик шифруется, не знаю нюансов, но мне кажется ресурсы для расшифровки понадабятся такие, как для расшифровки радиоканала. Вот для GSM вроде хакают некоторые протоколы шифрования, в 3G или тем более LTE пока еще не было информации

в фемтосоте действительно настраивается IP адрес фемто RNC смотрящий в интернет. Можешь дампать трафик. Но трафик шифруется, не знаю нюансов, но мне кажется ресурсы для расшифровки понадабятся такие, как для расшифровки радиоканала. Вот для GSM вроде хакают некоторые протоколы шифрования, в 3G или тем более LTE пока еще не было информации

Я так понял, фемтосота коннектится к инфраструктуре оператора через обычный ipsec тоннель по интернету который терминируется на самой фемтосоте, а уже внутри этого тоннеля ходит sctp или что-то подобное с которым ты можешь творить что хочешь

http://blog.nsfocus.net/osmocombb-sms-sniffer/

в фемтосоте действительно настраивается IP адрес фемто RNC смотрящий в интернет. Можешь дампать трафик. Но трафик шифруется, не знаю нюансов, но мне кажется ресурсы для расшифровки понадабятся такие, как для расшифровки радиоканала. Вот для GSM вроде хакают некоторые протоколы шифрования, в 3G или тем более LTE пока еще не было информации

Про шифрование не в кассу, в gsm оно имеет место быть между мобилой и БС, а не между БС и MSC

за что @drdoc0 забанили?

Или таки не, и я что-то путаю?

Про шифрование не в кассу, в gsm оно имеет место быть между мобилой и БС, а не между БС и MSC

У меня есть под боком фемто сота, если есть идеи как реализовать перехват трафика вне туннеля - давай попробуем

(я не настоящий телекомщик)

У меня есть под боком фемто сота, если есть идеи как реализовать перехват трафика вне туннеля - давай попробуем

Слей с неё прошивку и сделай хайрез фотки платы

между контроллером и БС канал так же шифруется

Если там нет secure boot и прочего анального DRM -- то можно вкорячить в прошивку какой-то бекдор или дебаговый интерфейс который будет давать доступ к процу соты

между контроллером и БС канал так же шифруется

Да, но БС же знает ключ

Сейчас посмотрел свои записи -- да, на Ki ключе котрый зашит в симкарте (вернее, на сенсовом ключе Kc который является производным от Ki и рандома) трафик шифруется только между БС и мобилой

При этом БС отправляет MSC все данные необходимые для вычисления Kc, а MSC в свою очередь возвращает ей Kc который используется для того что бы данные между телефоном и БС шифровать

короче, из этого следует что канал между БС и MSC может шифроваться только на ключе доступном самой БС, следовательно атакующий который может расказать фемтосоту может получить полный контроль над этим каналом

s/расказать/расхакать

Слей с неё прошивку и сделай хайрез фотки платы

+++

Если там нет secure boot и прочего анального DRM -- то можно вкорячить в прошивку какой-то бекдор или дебаговый интерфейс который будет давать доступ к процу соты

Там арм или мипс, вполне роутерно, но бывает gps бдля геолока (rx/tx режь и говори)

короче, из этого следует что канал между БС и MSC может шифроваться только на ключе доступном самой БС, следовательно атакующий который может расказать фемтосоту может получить полный контроль над этим каналом

Там ipsec до оператора

значит даже бекдорить ничего не нужно

тупо вытащить ipsec ключи и подцепиться с компа

(если там не смарт карта конечно)

нету там смарткарт или подобных чипов, не видел

Просто заткнута рутовая консоль

если там реально линуксы а не какая-то специализированная реалтайм ось то это ЖЫР

> @shadowsoul Там арм или мипс, вполне роутерно, но бывает gps бдля геолока (rx/tx режь и говори) gps вроде как почти у всех есть, что бы люди не покупали фемтосоты для наеба роуминга

Линуксятина старая что мой хвост, не vxworks нифига

Иногда в дешевках подключение только с канала того же провайдера той же страны

Водкафон, orange и прочие

а эта фемтосота от российского провайдера? их продают физикам?

Не, бери с ебея водафон и прочее

Баксов за 30-40 вытащишь б/у 3g

у нас в тае там какой-то геморный договор, когда-то в доме где я жил жильцы скидывались на покупку 3G фемтосоты что бы мобильный интернет работал быстрее, но покупала и ставила ее управляющая компания ибо телеком котирует только юр лица

В бриташке и прочем продают физлицам

В чехии вроде тоже

Размер роутера на фастфуде

> @shadowsoul Не, бери с ебея водафон и прочее > @shadowsoul Баксов за 30-40 вытащишь б/у 3g само железо достать не проблема, проблема в том что бы оно нормально коннектилось к своей домашней сети и работало в ней из того места где находишься ты

вангую еблю с vpn, обходом gps и прочего

Обход с gps тупо пением одного и того же nmea сообщения

vpn вроде не надо, пустит хоть со спутникового линка

Спросил. Есть возможность включить ipsec между бс и контроллерами. Но как правило не включен.

Короче, оно даже под дамп прошивки и ковыряние железа за такие бабки интересно

Спросил. Есть возможность включить ipsec между бс и контроллерами. Но как правило не включен.

Ибо сеть внутренняя и настраивать лень

> @mimokrokodil Спросил. Есть возможность включить ipsec между бс и контроллерами. Но как правило не включен. даже если и был бы -- то в том кейсе который описываю я атакующему пофиг так как он контрлирует бс и может вытащить ipsec ключи

> @shadowsoul Короче, оно даже под дамп прошивки и ковыряние железа за такие бабки интересно ну хрен знает, если только будет хотя бы гипотетическая возможность достать в будущем точно такую же соту с активной подпиской и полной работоспособностью

у разных телекомов в разных странах контракты с разными вендорами фемтосот, кто-то продает модели одной конторы, кто-то другой

Они не меняются лет по пять)

я как-то предлагал знакомым которые пентестят телекомы что бы они договорились с каким-то из местных что бы он дал мне фемтосоту а я расхакал ее что бы доступ в ss7 получить, но им это не интересно потому что в тех аудитах которые проводят они предполагается что у атакующего _уже_ есть доступ к ss7 и это already solved problem

я как-то предлагал знакомым которые пентестят телекомы что бы они договорились с каким-то из местных что бы он дал мне фемтосоту а я расхакал ее что бы доступ в ss7 получить, но им это не интересно потому что в тех аудитах которые проводят они предполагается что у атакующего _уже_ есть доступ к ss7 и это already solved problem

Но это же фыр, атака через фемтосоту интереснее

какие курсы посоветуете по безопасности в области разработки ПО?..вроде: GSSP-.NET: GIAC Secure Software Programmer- .NET CSSLP: Certified Secure Software Lifecycle Professional Software Development Security Certification Course

смотря кому, их тема это всякий суровый apt и state sponsored атаки где ss7 доступ не проблема получить и без фемтосот

ERROR: S client not available

(зарегистрировавшись виртуальным мобильным оператором от левого юр лица например)

Ну дык и билайн с e1 транка ёптики даст...

Если есть лицуха телекома

провайдерам сейчас такого плана аудиты нужны, а всякие васяны которые будут фемтосоты закать им в целом пофигу

многие сейчас деплоят всякие ips уровня ss7 и как следствие -- нанимают иб конторы что бы проверить адекватность этих самых ips и правильно сконфигурировать их

вот как бумажники учоцца, видимо)

Ебапасность...

у меня где-то валялась прикольная книга из конца 90-х про технологии пром спионажа, там схемки всяких жучков для телефонных линий, лазерных микрофонов и прочего)

(хотя схемы довольно попсовые и на древней элементной базе)

User, я так понимаю у тебя фемсота под рукой?)

Мумиё!

Мумиё!

фамилия огонь)

User, я так понимаю у тебя фемсота под рукой?)

У меня есть физический доступ к 2м стойкам оператора. И, соответственно, вышкам

Ток я хз что именно там у них понапихано

Фоткай

Он просто писал, что может прошивку выдернуть, было бы интересно ее поковырять

> @Raccoon_sec User, я так понимаю у тебя фемсота под рукой?) я теоретизирую, фемтосоты у меня нет

Не прямо сейчас))) Завтра будет

для хуавеевских фемтосот у парней из pt можно прошивку попросить, там vxworks если я правильно помню

но без кредов с валидной подпиской от прошивок толку мало потому что смысл в том что бы к сети оператора по итогу подключиться, а не в том что бы сами соты копать

А ковырять прошивку как раз для достижения этой цели в данной ситуации разве не надо?

кстати, у светофоров сейяач ставят ящики белые, там на внутренней стенке написаны внешний ип4, пару внутренних и планетовые свечки стояли, в дс это всё, больше рассмотреть не удалось - уже закрывали, даже зафотать не успел

Они скорее всего к частной сети подключенны. Захачить все равно не получиться

кстати, у светофоров сейяач ставят ящики белые, там на внутренней стенке написаны внешний ип4, пару внутренних и планетовые свечки стояли, в дс это всё, больше рассмотреть не удалось - уже закрывали, даже зафотать не успел

Сиська промышленна на дин-рейке и медиаконвертерь, после - плк с релейными

Если только физически поставить модем

Они скорее всего к частной сети подключенны. Захачить все равно не получиться

К частной, я её видел

Я мельком видел там кластеры и оптические кроссы