تاريخ SS7
كما هو الحال في أغلب الأحيان ، كانت الثغرة الأمنية مستمرة منذ الأيام التي لم يتوقع فيها أحد استخدام البروتوكول على نطاق واسع ، ولكن تم تصنيعه لأحجام مختلفة تمامًا من قدرات الهاتف وبنهج للتشفير - "حتى تلك الأوقات" مثل هذه المشكلات ، عند استخدام الحل "القديم الذي تم اختباره بمرور الوقت" ، والذي لم يفكر مؤلفوه في المزيد من التوسع ، هي للأسف شائعة جدًا.
تظهر لوحة النتائج 3 يناير 1900 بدلاً من 3 يناير 2000. فرنسا
المثال الأكثر شهرة ، الأكثر هستيرية وسخيفة - " مشكلة 2000 " ، تضخمها حقيقة أن نوع البيانات المستخدم لتاريخ البيانات المخزنة برقمين فقط ، كما في العبارة ، التي سئم بيل جيتس من التنصل منها: "يجب أن تكون 640 كيلوبايت كافية للجميع ". لقد تجاوز جنون العظمة الجماهيري كوفيد الحديث واستمر أكثر من عام ، وتوقعوا سقوط جميع الأنظمة المصرفية والطائرات ، والعودة إلى العصر الحجري وغيرها من المصائب. في الواقع ، سار كل شيء بهدوء مفاجئ ، ولم تكن هناك إخفاقات كبيرة حتى في تلك البلدان التي لم تهتم بهذه المشكلة. من ناحية أخرى ، تم نشر عدة مئات من الألعاب الأولمبية للأموال الأجنبية ، مما أدى إلى إثراء عتمة "متخصصي تسويق تكنولوجيا المعلومات".
للأسف ، مع البروتوكول قيد المناقشة ، كل شيء ليس ممتعًا وغير ضار على الإطلاق. يبدو اسمها الأكثر شيوعًا مثل "SS7" ، وهذا الاختصار يعني "نظام الإشارة Sign7". "نظام التشوير" مطلوب لإرسال رسائل الخدمة في شبكة الهاتف. في البداية ، كانت بسيطة للغاية: إشارة لإنشاء اتصال بين المشتركين ؛ أن الخط مشغول ؛ لنقل رقم مشترك رقمي وبيانات أخرى مماثلة ، بسيطة وغير معقدة ، والتي استنفدت نفسها عندما بدأت شبكة الهاتف في التوسع بسرعة ، وأصبح هيكلها أكثر تعقيدًا. من منتصف السبعينيات إلى أوائل الثمانينيات ، طورت شركات الهاتف ببطء نظام قيادة متقدم ، السابع على التوالي ، والذي أطلق عليه اسم SS7.
بلوبوكس ستيفن وزنياك
لقد أثبت النظام الجديد نفسه تمامًا ، فقد نما معدل نقل البيانات بشكل كبير ، حتى وصل إلى هزيلة من وجهة النظر الحديثة - 64 كيلوبت / ثانية ، ولكنها أعلى بكثير من بضعة كيلوبتات في الإصدار السابق. وأصبح أكثر أمانًا ، لأنه تم تخصيص إشارات التحكم لقناة منفصلة ، يتعذر على المستخدم العادي الوصول إليها. كان حديث البلدة هو قصة اختراق جوبز ووزنياك لشبكة الهاتف بصفارة من صندوق حبوب وصندوق أزرق. لقد كان هجومًا على نسخة سابقة من البروتوكول تسمى SS6 ، بدائية بشكل يبعث على السخرية لكنها فعالة. استبعد الإصدار السابع الاختراق باستخدام مثل هذه الأساليب البسيطة.
كانت الشركة الأمريكية AT&T أول من أدخل هذا النظام ، بعد بضع سنوات من انسحاب أوروبا وبريطانيا العظمى وبحلول نهاية الثمانينيات ، حل SS7 محل حديقة الحيوانات بأكملها للأجيال السابقة. بالإضافة إلى المزايا الواضحة ، أصبح الاعتماد الواسع لهذا البروتوكول - الذي وفر توحيد شبكات الهاتف وتوافقها حول العالم ، والعديد من الخدمات المألوفة ، مثل معرف المتصل ، وتعليق المكالمات ، والقوائم السوداء ، وتحويل المكالمات ، وحتى الرسائل القصيرة - ممكنًا بفضل الإصدار الجديد.
التفاصيل العامة
جاءت المشكلة من حيث لم تكن متوقعة. نظرًا لعدم افتراض أي من مبتكري البروتوكول أن خط الإشارة سيتم استخدامه لنقل شيء آخر غير إشارات الخدمة ، نظرًا لأن قناته منفصلة عن الصوت ولا يمكن الوصول إليها للمستخدمين ، فقد قرر المطورون عدم إهدار موارد الحوسبة وعدم تشفير نقل البيانات... لا على الاطلاق! في عصرنا ، من المخيف التفكير في هذا. الإدخال الواسع النطاق لـ SSL على مواقع الويب ، والترويج النشط لتشفير كل شيء وكل شخص ، وشبكات VPN والمراسلين مع التشفير من طرف إلى طرف - يتوفر التشفير الأكثر تعقيدًا للمستخدم الحديث ، دون أي صعوبة ، حتى أسهل من PGP. الموقع الذي يعمل على بروتوكول http اليوم يثير الشكوك والحيرة ، والمحاكم في العالم كله تتقاتل على الوصول إلى مراسلات المستخدمين في برامج المراسلة الفورية. وفي منتصف السبعينيات ، لم يكن أحد يتخيل النطاق غير المسبوق الذي سيصل إليه الإنترنت.
ولكن ، بدأت الإنترنت مسيرتها المظفرة حول الكوكب ، وفي أوائل العقد الأول من القرن العشرين ، تم تطوير بروتوكول SIGTRAN ، والذي دعم جميع وظائف SS7 ، ولكن لا يزال بإمكانه تنفيذ معالجة IP ونقل البيانات عبر SCTP ، أحد بروتوكولات النقل مثل TCP و UDP (أجهزة ضبط الوقت القديمة مع عمر مشابه لـ SS7) ، ولكن مع مزاياها الخاصة ، مثل تعدد مؤشرات الترابط وحماية DDoS وبعض الميزات الأخرى. كل هذا جعل من الممكن الوصول إلى قناة خدمة SS7 ، والتي لم تكن متوفرة من قبل.
نظرًا لحقيقة أنه في البداية لم يكن هناك تشفير في هذه القناة ، فقد تم تصميم المعدات لتسريع العمل وتبسيطه بطريقة لم يتم التحقق من مصدر حزمة التحكم ، لأن هذا سيؤدي إلى إبطاء عمل الشبكة بالكامل بشكل خطير - ثم اكتسب المهاجم السيطرة الكاملة عليها ، دون صعوبة كبيرة ، لأن فريقه كان لا يمكن تمييزه عن فريق المشغل. كان يكفي أن يكون لديك جهاز كمبيوتر به البرامج الضرورية والوصول إلى الإنترنت. من غير السار بشكل خاص أن المخترق لا يحتاج مطلقًا إلى أن يكون قريبًا من المشترك المخترق ، يمكنه الهجوم من أي مكان في العالم. يزداد الوضع تعقيدًا بسبب حقيقة أن العمل مع بروتوكول SS7 ، بالنسبة للغالبية العظمى من مقدمي الخدمة ، أمر صعب ، وتغيير البرامج الثابتة بعيد كل البعد عن أن يكون سهلاً مثل طرح التحديثات على برنامج عادي.بالإضافة إلى ذلك ، فهو مكلف للغاية ويتطلب مزيدًا من الوقت ، لذا فإن منظمي الاتصالات ليسوا في عجلة من أمرهم لتغيير معداتهم ونقلها إلى بروتوكولات أخرى.
ما الذي يمكن فعله بهجوم من خلال هذا البروتوكول؟
باختصار ، أي شيء تقريبًا ، لأن المهاجم ينظم اعتراضًا كلاسيكيًا وفقًا لمبدأ MitM. يمكنك قراءة رسائل SMS الخاصة بأشخاص آخرين وطلبات USSD الوهمية وتحديد موقع المشترك وحتى الاستماع إلى محادثاته الهاتفية أو إيقاف تشغيل اتصاله الهاتفي. علاوة على ذلك ، أصبح اختراق الرسائل القصيرة الآن أكثر خطورة من التنصت المباشر ، لأن الرسائل التي تم اعتراضها تسمح لك بالوصول إلى الخدمات المصرفية عبر الإنترنت ، وسرقة كلمات المرور للحصول على إذن في الشبكات الاجتماعية والمراسلين الفوريين ، حتى إلى Telegram "غير القابلة للاختراق". لا تساعد المصادقة الثنائية ، لأن جميع الرموز المرسلة في الرسائل ستكون متاحة للمتسلل.
بعض التفاصيل
كيف يتم تنفيذ هذه الهجمات؟ دعونا نحلل ، بشكل عام ، آليتهم ، ولكن دون الخوض في الغابة ، فهم فقط للمهندسين ذوي التعليم المناسب.
خلافًا للاعتقاد الشائع ، فإن رقم الهاتف (MSISDN: الرقم الرقمي للخدمات المتكاملة لمشتركي الهاتف المحمول) لم يعد السمة المميزة الرئيسية للمشترك ، فهو الآن معرف بطاقة SIM المثبتة في هاتفه: IMSI (هوية المشترك المحمول الدولي). ولكن ، من أجل تنفيذ هجوم عبر SS7 ، يكفي معرفة رقم المشترك فقط.
بعد الوصول إلى معدات المزود ، والتي تقبل الأوامر باستخدام بروتوكول SS7 ، يقوم المتسلل ، باستخدام برنامج خاص على جهاز الكمبيوتر الخاص به ، بتنظيم شبكة هاتف مزيفة يرسل من خلالها رسالة نصية قصيرة إلى رقم الضحية. يبني جهاز المزود طريقًا إلى جهاز المشترك ، ويقارن MSISDN مع IMSI الخاص به ، من خلال قاعدة بيانات HLR (سجل موقع المنزل) ، ثم يزود جهاز التكسير بطاعة ليس فقط معرف بطاقة SIM للضحية ، ولكن أيضًا عنوان المحول الذي يخدمه في الوقت الحالي (MSC / VLR: مركز التحويل المحمول / سجل موقع الزائر). بعد ذلك ، يتم إرسال طلب إلى المحول حول معرف المحطة الأساسية العاملة مع بطاقة SIM الخاصة بالضحية. هناك العديد من الخدمات عبر الإنترنت على الإنترنت والتي تتيح لك إعطاء إحداثياتها عن طريق معرف الهاتف الخلوي ، وبالتالي الموقع التقريبي للمشترك ،تصل إلى عدة عشرات أو مئات الأمتار - وفقًا لمبدأ A-GPS المعروف.
تحديد الموقع الجغرافي هو مكافأة لطيفة ، ولكنها ليست أهم مكافأة للمهاجم ، هدفه التالي هو اعتراض الرسائل القصيرة. للقيام بذلك ، يرسل الضحية HLR-IMSI إلى القاعدة ويوصلها بمفتاح MSC / VLR الخاص به. الآن ستذهب جميع الرسائل إلى المهاجم ، وحتى لا يلاحظ المهاجم أي شيء ، يتم إجراء إعادة تعريف أخرى للمحول الحقيقي الذي يخدم هاتف الهدف ومن ثم سيتم استلام الرسالة "كالمعتاد".
أخيرًا وليس آخرًا - التنصت على المكالمات الهاتفية. يستبدل المهاجم ، باستخدام أوامر خدمة SS7 ، عنوان المشترك في الفوترة بعنوانه ، ويعترض طلب الدفع مقابل المحادثة ويتصل بالشخص الذي اتصلت به الضحية. ثم يقوم بترتيب مكالمة جماعية ثلاثية. نظرًا لأن المعدات الحديثة لم تعد بطيئة مثل التبادلات الهاتفية الأوتوماتيكية القديمة ، فلا تظهر نقرات غامضة أو توقف مؤقت ، كل شيء يتم في أجزاء من الثانية وغير مرئي تمامًا.
وأخيرًا ، رفض قديم جيد للخدمة. يقوم المهاجم ببساطة بتحويل المكالمات إلى أرقام عشوائية ولا يمكن للضحية الاتصال بأي شخص.
أمثلة بارزة
تثير البساطة الواضحة سؤالًا منطقيًا - كم عدد هذه الهجمات التي تم تنفيذها وكم من الوقت استخدم المتسللون هذه الثغرة الأمنية؟ اتضح أنه ليس بهذا القدر.
تم عرض أشهر الهجمات ، كما هو متوقع ، في مؤتمرات القراصنة ، بما في ذلك "نادي الكمبيوتر الفوضوي" الذي تمت مناقشته في المقالة السابقة. على الرغم من أن الخبراء يعرفون منذ فترة طويلة مشاكل هذا البروتوكول ، إلا أن إحدى أولى المناقشات العامة جرت في CCC في عام 2008 ، تحدث خبير الأمن الألماني توبياس إنجل عن طرق التجسس على المشتركين في الهاتف الخلوي بناءً على نقاط الضعف هذه ، والتي يكفي معرفة رقم الهاتف المحمول للشخص فقط.
توبياس إنجل يتحدث في CCC
جاءت زيادة أخرى في الاهتمام بـ SS7 بعد اكتشافات سنودن في عام 2013 ، الذي تحدث عن مشروع SkyLock ، حيث استغلت وكالات الاستخبارات الأمريكية نقاط الضعف الموصوفة للتجسس على الناس.
وصف قدرات SkyLock ، أعدت
Karsten Nol ، المعروفة بالفعل للقراء ، في عام 2016 تجربة عامة على الهواء لبرنامج 60 Minutes TV لقناة CBS. من خلال ثغرة أمنية في SS7 ، اخترق هاتف عضو الكونجرس الأمريكي المدعو تيد لي. كان الأخير معجبًا جدًا لدرجة أنه طالب رسميًا بإجراء تحقيق في المشكلة. يحاول
Karsten Nol و Ted Lie بشكل
خاص الترويج لهذه الثغرة الأمنية للشركات التي تبيع برامج الأمان ، حيث تسرد كل مقالة تقريبًا حول هذا الموضوع منتجات برمجية معينة مصممة لإنقاذ العالم من هذه الآفة.
هل الأمر حقا بذلك السوء؟
قد يقرر القارئ ، الذي أعجب بكل هذه المعلومات ، أن اختراق الهاتف عبر SS7 أمر سهل للغاية بحيث يمكن لأي طفل نصي اعتراض مراسلات زميله في الفصل.
في الواقع ، كل شيء أكثر تعقيدًا ويشبه جنون العظمة الذي يظهر بشكل دوري بعد الصورة التالية لساعي في مترو الأنفاق ، وهو يحمل محطة متنقلة للدفع عن طريق البطاقات المصرفية. الهستيريا "AAA! سوف يسحب الأموال من الجميع إلى المترو ، باستخدام الدفع بدون تلامس ولا يتجاوز الحد الذي لا يتطلب رمز PIN !!! ". في الواقع ، هذا الهجوم ، رغم أنه ممكن ، لن يتم تنفيذه أبدًا. لأنه أولاً ، الأموال من البطاقات لن تذهب إلى البريد السريع ، بل إلى صاحب المتجر ، الذي يتم فحص تفاصيله من قبل ضباط الأمن بالبنك حتى الجيل السابع. ثانيًا ، تكلف أي تراخيص ورسوم للحصول على الاتصال أكثر بكثير مما يمكن سرقته بسرعة بهذه الطريقة. ثالثًا ، لا يتم تنفيذ مثل هذه المعاملات على الفور ،ويتم تجميد الأموال أولاً في الحسابات وينتظر الدين التأكيد النهائي لقانونية المعاملة ، وسيتم ضخها مرة أخرى بمجرد الكشف عن الاحتيال. لكن السكان في حالة ذعر من القمار ، مهما حدث.
تبدو قصص الرعب حول SS7 متشابهة ، لأن المهاجم يواجه العديد من المشاكل الخطيرة.
أولاً ، يجب أن يكون لديك برنامج عالي التخصص للعمل مع هذا البروتوكول ، والذي لم يتم رؤيته بعد في المجال العام. كانت "مبيعات" عديدة من هذه البرامج على Darknet مزيفة ، لجذب الأموال من المدرسة ، مع إغراءات مثل "هل تريد أن تعرف ما تكتبه صديقتك في عربة التسوق؟"
ثانيًا ، تحتاج إلى العثور على متخصص عالي التخصص يوافق على المشاركة في مثل هذا الحدث.
ثالثًا ، تحتاج إلى الوصول إلى معدات المزود ، وهو أمر ليس بهذه السهولة أيضًا. من الضروري إما اختراقها عن بُعد ، أو رشوة موظف في الشركة ، أو العثور على مشغل يقوم رسميًا ، مقابل رسوم ، بتوصيل المتسللين بشبكة SS7 الخاصة بهم. يشاع أن الشركات الأفريقية تقدم هذه الخدمات بعدة آلاف من الدولارات ، لكن هذه مجرد شائعات.
علاوة على ذلك ، حتى إذا كان من الممكن التفاوض مع مزود يمنحك حق الوصول إلى شبكة SS7 الخاصة به وتخصيص GT (العنوان العالمي ، عنوان لرسائل توجيه الإشارات) ، فمن الضروري أن يقوم بتسجيل المهاجم رسميًا باعتباره NE الجديد (عنصر الشبكة) وتحديث هذه المعلومات من شركائهم المتجولين الذين سيتعين عليهم إضافته إلى القائمة البيضاء. إذا قمت فقط باختراق خوادم المشغل ، فإن أقصى ما يمكن القيام به هو تنظيم هجوم DDoS محلي ، دون اعتراض المعلومات.
كل هذا يبدو أكثر تعقيدًا مما هو عليه في المقالات الساخنة على مستوى "ضاع كل شيء!" علاوة على ذلك ، بمجرد معرفة المعلومات بأن شخصًا ما قد اعترض رمز التفويض بهذه الطريقة ، سيتم حظر GT على الفور من قبل جميع المشغلين ، وقد يتم إنهاء التعاون مع "المساعد الأفريقي". لذلك ، لن يوافق كل مزود على المخاطرة بسمعته من خلال منح المتسللين الوصول إلى شبكتهم لمثل هذا الاحتيال ، على الأقل ليس بآلاف الدولارات.
في الواقع ، فإن طريقة القرصنة هذه متاحة فقط للخدمات الخاصة ، أو يمكن إجراؤها في بيئة معملية ، بالاتفاق المسبق مع الضحية وربما حتى مع مشغلي الهاتف المحمول. علاوة على ذلك ، في حين أن الشركات الخلوية ليست في عجلة من أمرها لتحديث أجهزتها ، فإنها لا تزال تحاول حماية شبكاتها ومستخدميها. على سبيل المثال ، استجابة لطلب أحد المتسللين ، لا يجوز لهم إصدار IMSI الحقيقي للمشترك ، ولكن مع عدة أرقام معدلة أو رقم مؤقت مأخوذ من مجموعة خاصة من المعرفات التي تم إنشاؤها للحماية من هذا الاعتراض. لأن المشغلين عادة ما يلتفون مثل هذه الطلبات على أنفسهم ويشاركوا أنفسهم في تسليم الرسائل القصيرة ، دون إعطاء بيانات مهمة إلى الجانب. وهذه ليست سوى واحدة من طرق التصدي.
بالإضافة إلى ذلك ، لا يقف مطورو التعريف الثنائي أيضًا ولا يستخدمون الرسائل القصيرة بشكل متزايد ، ولكنهم ينقلون الرمز من خلال برنامج المصادقة الخاص بهم.
يتم تطوير واستخدام خوارزميات جديدة ، على سبيل المثال TOTP ، حيث يتم إنشاء كلمة المرور بناءً على الوقت الحالي. علاوة على ذلك ، مع DFA ، لا يقوم الخادم فقط بفحص بطاقة SIM الخاصة بالمشترك ، ولكن أيضًا العكس.
***
آمل أن تطمئنك هذه المعلومات قليلاً حول الخطر الحقيقي لمثل هذا الهجوم ، وستحاول استخدام خدمات المصادقة الثنائية التي لا تستخدم الرسائل القصيرة لتأكيد الإجراءات الهامة ، خاصة وأن NIST (المعهد الوطني للمعايير والتكنولوجيا) لا يشجع بشدة على القيام بذلك على وجه التحديد بسبب مشاكل في SS7.
