Noteringar kring säkerheten i SS7. ---------------------------------- - Zeromatic, www.phreaker.tk .. (Noteringar etc. översatt & tolkat från diverse guider, för privat bruk) (kul om ni har nytta av den. ... :p) Vissa SSP'er är inte anslutna till reserv-STP'er.. En SSP-STP kan vanligtvis hantera uppåt 9600 simultana samtal. Så.. skicka in över 10'000 samtal till någon annan del av landet så lär det kanske braka samman? >:) In other words: .. DoSa skiten genom att introducera stora antal Initial Address Messages (IAMs. alltså, ISUP meddelanden som sätter igång upprätning av samtal) och rikta dem till en enda SSP. Phreakz0rs kan också kapa all trafik vid en komprometterad signaling point, och modifiera IAMs till att requesta anslutningar med en användare på samma SSP. Eftersom att medelandekällan av en ISUP kan spoofas ganska enkelt, kan inte SSPer spåra källan till sådana attacker. ISDN-användare har digital direktanslutning till SSP'er. (IX:ar(?)).. och kan göra lite skada genom att spoofa sourcetelefonnummret & skicka 0nda paket ut på nätet. Man kan fabricera eller modifiera ISUPmeddelanden. ISDN anslutningen är egentligen nästan likadan som CLEC's anslutningar till SSP'er.. (Tanken var att göra direktanslutningar mellan omkretsen av SS7nätet (SSPerna) och kunderna). . bara det att ISDN kostar mycket mindre än CLEC-hyrda linor >;) Kunder hos mindre företag som inte har råd med så stark säkerhet, men som hyr leasade linor av telebolagen (till SSP'erna).. kan penetrera nätverks -anslutna burkar hos det lilla företaget (competitive local exchange carriers - CLECs). och på så vis få access till SSP. Har man stålar så kan man enligt någon Telecommunications Act lag från 1996 kunna hyra lina till SSP för $10'000kr, även om man verkar lite suspekt. STPs & SCPs använder "front-end" datorsystem, varvid exploits utgör en risk. LNP (Local Number Portability) (behålla nummer men byta operatör).. ska tydligen också vara nåt farligt ;P.. Det finns inte många (finns det några?) system för att upptäcka & svara mot attacker). SSPer är känsliga för sniffing. De är måltavlor för att sniffa specifika användare, eftersom att varje användares trafik måste gå genom den motsvarande SSPn. Phreakz0rs kan också avlyssna tjänster avsedda för en användare genom att bifoga phreakz0rns destination till den egentliga destinationen i meddelandet. STP Attacker: Attacker som exploitar routing-protokoll är ett stort bekymmer. SSP-trafik går genom STPer, så en haxxad STP kan ge insyn i all trafik till och från de motsvarande SSP'erna åt haxxaren. En mer sofistikerad attack kan fjärrifrån kompromettera en STP, för att sedan skapa en transparent låssas-STP som filtrerar trafik och re-routrar den till den riktiga STPn. Då blir det möjligt att avlyssna valda konversationer. Genom att modifiera destinationerna hos SCCP, tillåter (end-to-end) meddelanden motsvarande telefonsamtal (och databas-förfrågningar) att bli re-routrade när man så önskar. Eftersom att OSSs ansluts till STPer, kan avgiftsfri-bedrägerier begås genom att ta kontroll över OSSen via STPn. (Här finns mer att förstå.. Global Title Translation & Pointcodes, läs E:\Tele\signal\ss7-s.pdf Sida 4.) Precis som med alla routrar, kan STPer bli överbelastade av trafik, fasten detta är svårare eftersom STPs vanligtvis är placerade i samspelande par. DoS-attacker är fortfarande möjliga,, om multipla SCPdatabaser blir modifierade till att re-routra stora mängder samtal till telefonnummer på en specifik SSP. Sedan kan man ju alltid re-routra alla mottagna meddelanden hos STP1 till en annan STP2, vilket skulle överbelasta STP2 och således göra SSPn/SSPer hos STP2 obrukbar(a). (I det fall att den bara är ansluten till en enda STP då(?)). OSSet är sårbart för vanliga datorattacker.. Dessa inkluderar virus, maskar och trojaner eftersom att OSSet vanligtvis är en samling datorer. STPs och SCPs hanterar LNP databaser som innehåller information för routring av samtal. Förfrågningar hos LNPdatabaser kräver betydande systemresurser. Därför är LNP-överbelastningar ett stort hot. En helvetesphreaker som genererar massiva mängder LNP-queries kan dra ner STPer och/eller SCPer som har hand om LNPdatabaserna. Tillägningsvis kan telefonnumer i LNPdatabasen bli modifierade eller borttagna. MTP Lager 3 i SS7protokollet ger "sophisticated link traffic management". Message Signaling Units (MSUs) kan notifiera omgivande signalingpoints att en nod har kraschat,, vilket leder till att trafiken blir re-routrad runt den felande noden. Förfalskade MSUs skulle kunna lämna funktionsdugliga signalpoints värdelösa, resulterande i stockning och möjlig lamslagning i nätverket. SCP attacker: SCPdatabaser som lagrar känslig information är högt utsatta. Tänk dig CMSDBs (Call Management Services Databases) som hanterar gratissamtal. >;p~ Gratissamtalnummrena (020/888 osv) representerar inte de egentliga nummrena, utan istället är nummret knytet till det riktiga nummret, dit abonnenten skickas och taxeringen sköts separat ($0). Man kan då som vi nog förstår knyta ett gratisnummer till ett annat betalnummer och på så vis ringa gratis till polers. Ägaren av ett avgiftsfritt nummer kan också ändra taxeringsinformation för att undvika avgifter. Liknande mofifieringar är möjliga med taxeringsdatabaser, LPN databaser, linjeinformations databaser (LIDBs) och andra. En LIDB har hand om abonnentinformation, vilket inkluderar taxering, mottagaren betalar, betalkortstjänst och validering,, och PINs.. Access till denna databas främjar en massa aktiviteter.. :P allt från identitets-stöld till "avgiftsfria bedrägerier" ;). Till exemepel, skulle phraxx0rz kunna modifiera taxeringsvärden, sno åt sig och även modifiera PINs. Många SCPattacker genomförs via TCAP meddelanden som stödjer access och modifiering av SCPdatabaser. Till exempel skulle en 0nd man kunna modifiera abonnent-konto-nummret i ett TCAPmeddelande destinerat för en LIDB och på så vis slippa undan att betala för sig. På samma vis kan kunders PUNkoder bli stulna genom att generera de rätta TCAP-requestarna. VoiceMailDatabaser har liknande sårbarheter. En elaking skulle kunna sända ett TCAPmeddelande med förfrågan om en användares lösenord och därmed få full tillgång till hans/hennes VMB. SCP databaser är också sårbara mot DoS-attacker. En komprometterad SCP skulle helt enkelt kunna få sina databaser raderade, vilket skulle sabba en massa viktiga tjänster.. En affär skulle kunna sabba en kunds gratisnummer genom att associera det med ett annat nummer (t.ex. en korttelefon i Gävle stad eller ett sexföretag :p~). En fuling skulle kunna modifiera alla destinationsnummrerna i en call-forwardingdatabas och routra dem till ett enda nummer, t.ex. SOS 112, vilket skulle ställa till problem X-( .. En förfalskning av TCAPmeddelanden tillåter också oautentifierad SCP-databas-access och modifikation. Sådana attacker kan klart som korvspad sabba SS7-nätverkstjänster. De dryga säkerhetsåtgärderna: Om det inte redan finns, så arbetar man på system för att förbättra säkerheten i SS7 (som från början inte alls var avsedd för PSTN-bruk.. varvid säkerheten inte är/var den bästa). Firewalls lär placeras ut mellan SSP-STP, autentifieringsmoduler placeras ut vid SSPer, SCP-acces-controll-modules placeras vid SCPer i syfte att filtrera bort paket som tyder på spoofning etc. Real-Time bedrägerianalyserande system placeras också vid SCPer för att övervaka sessioner och vifta med varningsflaggan då TCAPmeddelanden med förfrågningar om t.ex. ändring av gratisnummer-associeringar kommer in. I vilket fall så lär det fortfarande finnas säkerhetsbrister i SS7 >:D 0ver 'n 0ut! - Zeromatic | 2600@Europe.com