Структура лекции (1)

Инфраструктура сотовых сетей
- Домены Circuit switched (голос) и Packet Switched (данные)
- Основные компоненты и их функциональное предназначение
- Принципы обеспечения сетевого (сотового) покрытия
- Идентификация и аутентификация абонентов
- Основы взаимодействия между операторами
  - Сети SS7, DIAMETER, GRX
  - Роуминг
Радиоинтерфейс (Um-интерфейс)
- Основы передачи данных в радиоэфире
- Коммутация каналов (FDMA, TDMA)
- Физические и логические каналы
- Помехозащищенное кодирование (алгоритм Viterbi)
- CSD (Circuit switched Data)
- GPRS (General Packet Radio Service)
- EGPRS (Enhanced General Packet Radio Service)

Структура лекции (2)

Безопасность радиоинтерфейса
Актуальные проблемы мобильных операторов
- Сокрытие идентификаторов абонентов
- Шифрование A5/x и аутентификация
- Миф frequency hopping
Известные атаки и уязвимости
- Отслеживание местоположения абонентов
- Уязвимости алгоритмов шифрования A5/x
- IMSI / TMSI Detach
- Paging Attack (race condition)
- Поддельные базовые станции (fakeBTS, IMSI Catcher)

Об авторе

Яницкий Вадим Павлович

Специалист отдела экспертизы безопасности телекоммуникационных систем
- Positive Technologies, Москва, vyanitskiy@ptsecurity.com
- Выездной аудит безопасности сотовых сетей в различных странах (Турция, Япония, Иран)
- Исследовательская деятельность
Разработчик программного обеспечения (C, Python, TTCN-3, Erlang)
Один из основных контрибьюторов проекта Osmocom
- ПО и оборудование для сотовых сетей (BTS, BSC, PCU, MSC, HLR, SMSC)
- Свободное программное обеспечение с открытым исходным кодом
Участник и организатор ежегодного форума Positive Hack Days
Участник ежегодного конгресса Chaos Communications Congress
- 2017, 34c3, TUWAT!, выступающий
- 2018, 35c3, Refreshing memories, организатор (Engel Team)
- 2019, Chaos Communication Camp, организатор (Engel Team)
- 2019, 36c3, Resource exhaustion, организатор (Engel Team)

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Домены Circuit switched и Packet Switched

Данные, передаваемые в состовых сетях делятся на:
- Circuit switched: один канал - один абонент
  - Служебные сообщения (MM, RR)
  - Голосовые звонки (CC)
  - Supplementary Services - служебные сервисы (SS)
    - USSD (например, *#100#)
    - управление переадресацией звонков
  - SMS (Short Message Service) - сервис коротких сообщений (SM)
  - CSD (Circuit Switched Data) - передача данных по голосовым каналам
- Packet switched: один канал - множество пакетов
  - Служебные сообщения (GMM)
  - SMS сообщения (SM) - SMS-over-GPRS
  - WAP, WWW, E-mail трафик абонентов

Инфраструктура сотовых сетей

MS (Mobile Station) - мобильный телефон + SIM-карта

ME (Mobile Equipment) - непосредственно сам телефон
- MMI (Man-Machine Interface) - взаимодействие человека и "машины"
- Входящие и исходящие звонки, SMS, USSD
SIM (Subscriber Identity Module) - SIM-карта
- Полноценное вычислительное устройство
  - … с операционной системой
  - … и Java-машиной
- Хранение контактов и SMS-сообщений
- Хранение идентификаторов абонента
- Хранение секретных ключей
  - Генерация сессионных ключей
  - Аутентификация

Инфраструктура сотовых сетей

BTS (Base Transceiver Station)

Базовая станция - приемопередающее оборудование сети
Единственная "видимая" часть инфраструктуры
В основном, состоит из нескольких модулей (трансиверов)
Секторные антенны с контроллируемым углом наклона

BSC (Base Station Controller)

Модуль управления базовыми станциями (контроллер)
Объединяет несколько базовых станций вместе (Location Area)
Занимается распределением ресурсов (выделение каналов абонентам)
Хендовер - "переключение" абонентов между базовыми станциями

PCU (Packet Control Unit)

Модуль управления пакетными данными и ресурсами
Аналог BSC для Packet Switched Domain
Выполняет коммутацию RLC/MAC-блоков (E)GPRS
Может быть интегрирован либо в BSC, либо в BTS

Инфраструктура сотовых сетей

HLR (Home Location Register)

Единая база данных абонентов
- Уникальные номера SIM-карт
- Секретные ключи SIM-карт
- Номера телефонов

VLR (Visitor Location Register)

"Кэш" данных абонентов
Распологается рядом с MSC/SGSN
Может быть интегрированным в MSC/SGSN

MSC (Mobile Switching Center)

Центр коммутации голосовых и служебных данных
Идентификация и аутентификация абонентов

SGSN (Serving GPRS Support Node)

Узел обслуживания абонентов (E)GPRS
Аналог MSC для Packet Switched Domain
Контроль доставки пакетных данных
Идентификация и аутентификация абонентов

Инфраструктура сотовых сетей

GGSN (GPRS Gateway Support Node)

"Шлюз" между внутренним и внешним миром - Интернетом
Выдача динамических IP-адресов абонентам
Управление тунеллями (сессиями) абонентов

Второстепенные (вспомогательные) элементы

SMSC (Short Message Service Center) - шлюз и хранилище для входящих и исходящих SMS-сообщений
AuC (Authentication Center) - центр аутентификации абонентов (может быть интегрирован в HLR)
MGW (Media Gateway) - шлюз, выполняющий (пере)кодирование голосового трафика
EIR (Equipment Identity Register) - хранилище идентификаторов абонентского оборудования
MLC (Mobile Location Center) - центр мобильного позиционирования (RRLP, LCLS)

Инфраструктура сотовых сетей

Принципы обеспечения сетевого (сотового) покрытия

Каждая базовая станция (точнее, один ее трансивер) покрывает определенный сектор
- Концентрация мощности достигается посредством использования секторных антенн
- Угол наклона антенны регулируемый ⇒ можно менять границы секторов
Каждый сектор может быть покрыт несколькими операторами одновременно
- Обязательное условие - использование разных частот
Несколько близлежащих секторов объединяются в зоны покрытия
- Каждому сектору присваивается уникальный номер - Cell ID
- Каждая зона покрытия тоже получает уникальный номер - Location Area Code
- По этим двум идентификаторам можно устанивить географическое местоположение абонента
- Сотовый телефон уведомляет сеть при переходе из одной зоны покрытия в другую

Инфраструктура сотовых сетей

Идентификация операторов

Каждый оператор имеет уникальный инентификатор, состоящий из пары чисел:
- MCC (Mobile Country Code) - код страны (у России 250)
- MNC (Mobile Network Code) - код оператора:
  - 250/01 MTS
  - 250/02 Megafon
  - 250/99 Beeline
- http://www.mcc-mnc.com/
В GPRS, каждый GGSN имеет свой уникальный идентификатор
- APN (Access Point Name) - имя точки доступа
  - например, internet.beeline.ru
У оператора может быть несколько точек доступа
- Разные типы данных - разная тарификация
  - internet.beeline.ru - Интернет трафик
  - wap.beeline.ru - WAP траффик
  - mms.beeline.ru - MMS сообщения

Инфраструктура сотовых сетей

Идентификация и аутентификация абонентов

MSISDN (Mobile Subscriber Integrated Services Digital Number) - номер абонента
- Не хранится на SIM-карте, только в HLR оператора
- Не передается сети при идентификации абонента
- Может отсутствовать у абонента ("data only" SIM)
- Привязывается к IMSI на стороне сети
  - Благодаря чему, можно менять SIM-карту без потери номера
IMSI (International Mobile Subscriber Identity) - идентификатор абонента
- Хранится на SIM-карте и в HLR оператора
- Передается сети при идентификации абонента
- Не изменяется никогда, только при замене SIM-карты
TMSI/P-TMSI (Temporary Mobile Subscriber Identity) - временный идентификатор абонента
- Не хранится ни на SIM-карте, ни в HLR оператора
- Передается сети при идентификации абонента
- Изменяется или по окончании звонка / SMS / USSD0
- Основное назначение - "маскировка" IMSI абонента на радиоинтерфейсе
TLLI (Temporary Logical Link Identifier) - временный идентификатор абонента в (E)GPRS
- По аналогии с TMSI/P-TMSI, выполняет задачу сокрытия IMSI абонента на радиоинтерфейсе
- Применяется искоючительно в Packet Switched домене, т.е. в GPRS и EGPRS
- В большинстве случаев, совпадает с P-TMSI абонента

Инфраструктура сотовых сетей

Основы взаимодействия между операторами

Между операторами существуют роуминговые договоренности
- Как внутри страны, так и на международном уровне
Обмен информацией между операторами осуществляется с помощью сигнальной сети
- SS7 - сигнальная сеть для 2G (GSM) и 3G (UMTS)
- DIAMETER - сигнальная сеть для 4G (LTE)
Доступ к сигнальной сети операторов ограничен
- Однако, его все-таки возможно получить
- Данная тема выходит за рамки данной лекции

Радиоинтерфейс (Um-интерфейс)

Проблемы передачи данных в радиоэфире

Связь между абонентом и сетью должна быть двусторонней
Множество устройств могут передавать сигнал одновременно
Максимальная мощность передаваемого сигнала ограничена
Дистанция между абонентом и сетью влияет на задержку сигнала
Мобильное устройство абонента имеет ограниченный запас энергии (аккумулятор)
Задающий генератор (осциллятор) телефона имеет ограниченную точность

Радиоинтерфейс (Um-интерфейс)

Обеспечение множественного доступа

FDMA (Frequency-Division Multiple Access) - разделение по частоте
- Основные частотные диапазоны, используемые в GSM-сетях:
  - GSM-850, GSM-900, DCS-1800, PCS-1900
  - В СНГ используются GSM-900 и DCS-1800
- Каждый из перечисленных диапазонов делится на два под-диапазона:
  - Downlink - диапазон для передачи сигнала от базовой станции к абоненту
  - Uplink - диапазон для передачи сигнала от абонента к базовой станции
- Оба под-диапазона содержат фиксированное количество каналов (200 кГц каждый)
- Базовые станции используют один или несколько каналов для приема и передачи данных
- Мобильный телефон в единый момент времени может использовать только один канал
  - В более старых модемах - либо прием, либо передача сигнала (полу-дуплекс)
  - Новые модемы могут принимать и передавать одновременно (дуплекс)
ARFCN (Absolute Radio-Frequency Channel Number) - абсолютный номер канала
- Представляет собой пару Downlink/Uplink частот из определенного диапазона
  - ARFCN 33: Uplink 896.6 МГц / Downlink 941.6 МГц
  - ARFCN 666: Uplink 1741.0 МГц / Downlink 1836.0 МГц

Радиоинтерфейс (Um-интерфейс)

Обеспечение множественного доступа

TDMA (Time-Division Multiple Access) - разделение по времени
- Передача (следовательно и прием) данных ведется небольшими "порциями" (burst)
- Каждая "порция" должна передаваться строго в пределах выделенного временного промежутка
- Временные промежутки делятся на под-типы и образуют иерархию:
  - Один временной промежуток называется таймслотом (0.577 мс)
  - 8 таймслотов формируют один TDMA фрейм (около 4.615 мс)
  - 1326 фреймов формируют один суперфрейм
  - 2048 суперфреймов формируют один гиперфрейм

Радиоинтерфейс (Um-интерфейс)

Иерархия фреймов и таймслотов

Радиоинтерфейс (Um-интерфейс)

Структура управляющего фрейма (control frame)

Радиоинтерфейс (Um-интерфейс)

Структура фрейма траффика (traffic frame)

Радиоинтерфейс (Um-интерфейс)

Иерархия логических каналов

По типу передаваемых данных, логические каналы подразделяются на:
- Каналы служебной информации (CCH — Control CHannel)
- Каналы трафика (TCH — Traffic CHannel)
По направлению передаваемых данных, логические каналы подразделяются на:
- Каналы общего назначения (CCCH — Common Control CHannels)
- Широковещательные (BСCH — Broadcast Control CHannels)
- Выделенные каналы (DCCH — Dedicated Control CHannels)

Радиоинтерфейс (Um-интерфейс)

Иерархия логических каналов

Радиоинтерфейс (Um-интерфейс)

Иерархия логических каналов

BCH (BCH — Broadcast CHannels) - широковещательные каналы
- FCCH (Frequency Correction CHannel) - канал коррекции частоты
- SCH (Synchronization CHannel) - канал временной синхронизации
- BCCH (Broadcast Control CHannel) - широковещательный канал служебной информации
CCCH (Common Control CHannels) - каналы общего назначения
- PCH (Paging CHannel) - канал уведомлений о входящих соединениях
- RACH (Random Access CHannel) - канал произвольного доступа
- AGCH (Access Grant CHannel) - канал уведомлений о предоставлении доступа
DCCH (Dedicated Control CHannels) - выделенные каналы
- SDCCH (Stand-alone Dedicated Control CHannel) - основной выделенный канал
- SACCH (Slow Associated Control CHannel) - медленный выделенный канал
- FACCH (Fast Associated Control CHannel) - быстрый выделенный канал

Радиоинтерфейс (Um-интерфейс)

Помехозащищенное кодирование

Передаваемые в эфире данные додвергаются влиянию помех и интерференции
Для минимизации этого влияния, используется избыточное кодирование
- Позволяет корректировать ошибки на стороне приемника
- Алгоритм кодирования зависит непосредственно от типа передаваемых данных
- Служебная, а также широковещательная информация имеет наибольшую важность
  - 23 байт исходной (полезной) информации ⇒ 23 * 8 = 184 бит
  - На выходе энкодера (xCCH) получаем 57 * 2 * 4 = 456 бит
  - Избыточность: 456 - 184 = 272 бит (около 148%)

Радиоинтерфейс (Um-интерфейс)

*Технологии передачи неголосовых данных*

CSD (Circuit Switched Data) - передача данных поверх голосовых каналов
- Практически не используется в современном сегменте мобильного Интернета
- По-прежнему используется некоторомыми устройствами сбора телеметрии
GPRS (General Packet Radio Service) - передача пакетных данных
- Дополнительный слой коммутации поверх TDMA таймслотов
- В отличие от Circuit Switched домена, ресурсы выделяются динамически
  - Множество абонентов может использовать один и тот же таймслот
EDGE (Enhanced Data rates for GSM Evolution)
- ECSD (Enhanced Circuit Switched Data) - модификация CSD
  - Использование нескольких таймслотов параллельно
- EGPRS (Enhanced General Packet Radio Service) - модификация GPRS
  - Использование модуляции 8-PSK (4 бит/символ)

Безопасность радиоинтерфейса

Сокрытие идентификаторов абонентов

Проблема: передача IMSI абонента на радиоинтерфейсе
Последствия: раскрытие местоположения абонента
Решение: TMSI - временный идентификатор
- Сеть присваивает абоненту временный идентификатор, который:
  - Известен только сети и абоненту
  - Действует в пределах определенной зоны покрытия (Location Area)
  - Периодически меняется (Periodic Location Updating)
  - В идеале, меняется после каждого использования (TMSI Reallocation)
    - Исключение: отсутствие TMSI
Мы в безопасности? - Нет!
- Смена TMSI может быть выполнена только по инициативе сети
- Большинство операторов использует один и тот же TMSI несколько раз подряд
- Некоторые операторы не меняют TMSI даже при Periodic Location Updating
- Некоторые операторы генерируют предсказуемые TMSI с низкой энтропией

Безопасность радиоинтерфейса

Аутентификация абонентов

Проблема: любой идентификатор (IMSI, TMSI) можно подделать
Последствия: доступ к услугам связи от имени абонента
Решение: алгоритм A3 - аутентификация абонентов
- На SIM-карте абонента хранится секретный ключ Ki
- Копия ключа Ki' так же хранится в базе данных оператора (HLR)
- Процесс аутентификации:
  - Сеть генерирует случайное число RAND и передает его абоненту (MS)
  - SIM-карта абонента подписывает RAND с помощью ключа Ki: A3(RAND, Ki) = SRAND
  - SRAND передается в ответ сети, где выполняется аналогичная операция
  - A3(RAND, Ki') == SRAND?
Мы в безопасности? - В большинстве случаев, да!
- Секретный ключ практически невозможно (сложно) считать с SIM-карты
- Оператор может использовать свой собственный алгоритм подписи RAND

Безопасность радиоинтерфейса

Шифрование трафика

Проблема: данные, передаваемые в эфире, "видны" всем в радиусе приема сигнала
Последствия: нарушение конфиденциальности передаваемых данных
Решение: алгоритмы шифрования A5/x
- Во время аутентификации, часть подписанного RAND формирует Kc
- Kc - сессионный ключ шифрования, сохраняется на SIM-карте
- Шифрование трафика активируется по команде сети (Ciphering Mode Command)
- Существует 3 алгоритма: A5/1, A5/2, A5/3
- A5(Kc, TDMA Fn, Burst bits) → зашифрованные burst bits
Мы в безопасности? - Нет!
- Шифрование не является обязательным и выполняется только по инициативе сети
- Шифрование применяется к информации после избыточного кодирования
- A5/1 был взломан "на бумаге" еще в 90-x, на практике в 00-х
- A5/2 изначально разрабатывался "для экпорта", умышленно ослаблен
- A5/3 был взломан "на бумаге"

Безопасность радиоинтерфейса

Миф безопасности frequency hopping

Псевдослучайная перестройка рабочей частоты
- Частая смена несущей частоты в соответствии с псевдослучайной последовательностью
- Последовательность известна как отправителю, так и получателю данных
- Последовательности генерируется на основе параметров: MAI = f(HSN, MAIO, MA, TDMA Fn)
  - В некоторых случаях, параметры последовательности передаются в открытом виде
  - Алгоритм генерации последовательности определен спецификациями (3GPP)
Frequency hopping препятствует прослушиванию трафика? Нет!
- Настоящее предназначение - минимизация пагубного влияния интерференции
- Для прослушивания "прыгающих" каналов можно использовать перепрограммированный телефон
  - Проект OsmocomBB, любой поддерживаемый телефон на чипсете Calypso
- Злоумышленнику не обязательно знать параметры последовательности
  - Достаточно "записать" достаточную часть спектра
  - Данные можно "восстановить" из записонной части спектра

Известные атаки и уязвимости

Атака IMSI / TMSI Detach

При выключении телефона, модем уведомляет сеть (IMSI Detach)
Уведомление содержит идентификатор абонента: IMSI или TMSI
Данное сообщение не требует аутентификации со стороны абонента
- Злоумышленник может подделать идентификатор абонента и отправить уведомление от его имени
  - Сеть будет считать телефон абонента выключенным ⇒ входящие звонки / SMS заблокированым

Известные атаки и уязвимости

Атака Paging Race Condition

Сеть уведомляет абонента о входящих звонках / SMS на широковещательном канале PCH
Уведомление содержит идентификатор абонента: IMSI или TMSI
При получении уведомления, телефон устанавливает соединение и отвечает сети
- Установление соединения происходит с определенной задержкой
  - Атакующий может ответить быстрее (специальное оборудование)
    - Входящее соединение будет "перехвачено" злоумышленником ⇒ Spoofing / Hijacking
    - "Запоздалое" соединение настоящего абонента будет отвергнуто сетью ⇒ DoS

Известные атаки и уязвимости

Поддельные базовые станции

Аутентификация с сетях 2G является односторонней: сеть проверяет абонента
- Однако, сам телефон не может проверить легитимность базовой станции
- Злоумышленнику достаточно подделать MCC/MNC оператора
- … и запустить станцию на одном из каналов Neighbour list
  - ⇒ телефон подключится автоматически
Угрозы безопасности:
- Прослушивание телефонных разговоров
- Перехват сообщений SMS и USSD
- Отправка произвольных сообщений SIM-карте абонента
  - SIM Jacker!
Способы защиты
- Обнаружение признаков поддельной базовой станции
  - https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector
  - https://opensource.srlabs.de/projects/snoopsnitch

Спасибо за внимание!

Вопросы?

Безопасность передачи данных в сотовых сетях поколения 2G

Структура лекции (1)

Структура лекции (2)

Об авторе

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Инфраструктура сотовых сетей

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Радиоинтерфейс (Um-интерфейс)

Безопасность радиоинтерфейса

Безопасность радиоинтерфейса

Безопасность радиоинтерфейса

Безопасность радиоинтерфейса

Известные атаки и уязвимости

Известные атаки и уязвимости

Известные атаки и уязвимости

Спасибо за внимание!