Tras una introducción a SS7, su arquitectura (centrado en el uso en las redes móviles, ya casi nadie habla de las redes fijas...), los sistemas de intercepción legal y toda una serie de debilidades que ya se han reportado este año sobre la red GSM, la charla se ha enfocado en el núcleo de red, donde se usa SS7 para el establecimiento de las llamadas telefónicas y el envío de mensajes cortos.
Ahí se han presentado nuevas maneras de comprobar la seguridad con la aparición del transporte del SS7 sobre IP (SIGTRAN), que permite el transporte de SS7 sobre redes IP (aunque en general, SIGTRAN nunca se transporta sobre Internet). El protocolo base que transporta la señalización sobre IP se llama SCTP, un protocolo de transporte con más funcionalidades de fiabilidad y robustez que TCP.
Una de las primeras herramientas para probar este protocolo ha sido desarrollada por el autor, SCTP Scan, y permite hacer lo equivalente a nmap (o portbunny) y detectar servidores SCTP que pueda haber en una red.
Otra herramienta presentada (y también desarrollada por el autor) era ss7calc, una calculadora para las direcciones de los puntos de control SS7, los códigos de punto, que se representan en hasta tres formatos incompatibles y no siempre es fácil saber cuál se usa (aunque en la charla se ha demostrado que sí es fácil conseguir los valores y sus asociaciones -- porque los publica la ITU, facilitando el trabajo de averiguar la estructura global de la red SS7).
Estas herramientas son sólo el principio de todas las que son necesarias, ya que aunque permiten escanear a nivel de SCTP, todavía quedan por probar todos los niveles superiores hasta el de aplicación (movilidad, localización, llamadas, SMS, red inteligente...).
La charla ha ido muy deprisa en la parte más técnica, pero ha llegado a enumerar varios ataques posibles a una infraestructura SS7 que se facilitan si se obtiene el acceso IP a esas redes:
- IAM attack: enviando muchos paquetes IAM (los que se envían cuando un usuario pide llamar a otro), como éstos reservan un enlace, rápidamente la capacidad de enlaces de las centrales se acaba y se quedan bloqueadas sin poder establecer llamadas (es el equivalente al SYN flood)
- REL attack: inyectando un mensaje REL (el que se produce cuando el usuario cuelga la llamada) se pueden colgar cualquier llamada en curso.
- SRI: el mensaje Send Routing Info permite obtener la localización geográfica de un usuario.
- Roaming: enviando un mensaje de que un usuario está en otro país diferente al averiguado en el paso anterior, se puede hacer que todas sus llamadas se envíen a ese país para ser descartadas silenciosamente.
- El último vector de ataque, aún casi todo por explorar son las Femto celdas: pequeñas estaciones base que se conectan a un router ADSL para ampliar cobertura en el hogar. Como tales, si no estuviesen suficientemente protegidas, se podrían abusar para enviar cualquiera de los mensajes anteriores. Y según él, resulta que algunos no están demasiado protegidos...
- Entrelazada con la charla, el conferenciante ha contado la anécdota de cuando estaban probando a hacer ataques a una red e informaron al cliente operador que pensaban que no habían conseguido hacer nada y la red era segura, la compañía les reveló que habían tirado la pasarela de intercepción legal, que no era parte de la prueba pero estaba conectada a la misma red (y a continuación recibieron presiones de muchas partes para revelar la debilidad...), dejando a las fuerzas de la ley sin capacidad de intercepción en un día.
No hay comentarios:
Publicar un comentario