Réseaux mobiles: des pirates exploitent une faille découverte sur un code de 40 ans d'âge, Réactions à la publication du 31/05/2018

[Lionel]

Le département américain de la Sécurité intérieure a annoncé que des pirates exploitaient activement une faille découverte dans un code utilisé depuis 40 ans partout dans le monde par les opérateurs mobiles.
SS7 est le protocole de routage qui permet à son mobile de se connecter aux antennes relais les plus proches de l'appareil en toute transparence.
Les failles permettent non seulement de géolocaliser les mobiles par triangulation mais aussi d'intercepter les échanges de messages texte et vocaux.
Les opérateurs sont visiblement assez désemparés face à ce code antédiluvien qu'il faudrait réécrire. Ils en sont à mettre en place des pare-feux pour tenter d'éviter l'exploitation massive des failles en attendant de trouver une solution durable.

Lien vers le billet original

[broitman]

Normal: plus les pirates se sophistiquent, et plus on se rendra compte que ce qui date de "plus de 20 ans" devient vulnerable, c'est l'age moyen d'une generation de securite

[Fafnir]

Le département américain de la Sécurité intérieure américain a annoncé que des pirates exploitaient activement une faille découverte dans un code utilisé depuis 40 ans partout dans le monde par les opérateurs mobiles.

Avec des peek et des poke comme au temps de l'Apple ][?

[cfendt]

Et c’est que le début!
Quand l’informatique quantique va débarquer, ça va faire très très mal!
Même un protocole « sur » disposant d’une implémentation fiable pourra être vulnérable par simple attaque force brute! Donc une refonte TOTALE des protocoles est nécessaire... Google a déjà commencé à essayer des algorithmes de chiffrement qui en théorie résistent à ce bouleversement. Mais en fait, personne n’est prêt : on est déjà pas réellement prêt pour le monde actuel:
- les compteurs communiquant restent sur site pendant 15 ans.... (certains sont déployés avec du chiffrement symétrique 32bits)
- les voitures connectées sans firewall avec accès à distance aux outils de diagnostic moteur
- Alexa qui laisse trainer une oreille chez vous (et qui se met à rire ou à envoyer vos conversations à des tiers...)
- l’internet des objets ou le meilleur moyen d’oublier un cheval de Troie sans aucune mise à jour
- et IPv6 qui promet de connecter jusqu’à votre chemise le tout sans NAT (qui a longtemps protégé le réseau local de monsieur tout le monde)

C’est le début des années fast pour les experts sécurité!

[amike]

Et c’est que le début!
Quand l’informatique quantique va débarquer, ça va faire très très mal!

Oui, la réponse sera simple (on augmentera la taille des clés), mais le matériel existant va souffrir...

...
- Alexa qui laisse trainer une oreille chez vous (et qui se met à rire ou à envoyer vos conversations à des tiers...)
...
C’est le début des années fast pour les experts sécurité!

En voilant une de belle attaque sonore ! Les assistants vocaux sont surtout des automates guère malins. Cf ce qu'a expliqué Amazon à propos d'une mésaventure où son assistant a "crû" entendre qu'on lui demandait d'envoyer un texte vocal !

[Jujusanwa]

un code utilisé depuis 40 ans partout dans le monde par les opérateurs mobiles.

Des opérateurs mobiles il y a 40 ans ? Je ne pensais pas que la téléphonie mobile datait de si longtemps.

Edit : Ha oui, la téléphonie mobile fête ses 40 ans…



Ce message a été modifié par Jujusanwa - 31 May 2018, 08:08.

[Cekter]

C'est à la fois flippant et fascinant !

Et comme l'a dit cfendt : ce n'est que le début.

Si ça peut calmer tout le monde sur l'absurdité du "tout connecté" ça serait pas mal...

[Rorqual]

Des opérateurs mobiles il y a 40 ans ? Je ne pensais pas que la téléphonie mobile datait de si longtemps.

SS7 sert aussi au réseau fixe.

[Laurent17lr]

C'est un peu comme pour les virus, si vous chopper un des tout premier il y a de fortes chances pour que votre antivirus ne le voit pas vu qu'il n'est plus dans sa base de définition.

[kikeo]

Je suis mort de rire quand je lis la source de l'article, qui cite le DHS ou des membres du Congrès. Ils disent tous que la faille pourrait être utilisée par des "nefarious actors" ou "malevolent attackers" (acteurs /attaquants malveillants)... Alors qu'il est ÉVIDENT que cette faille était connue depuis des années et utilisée à grande échelle par les services de renseignement pour suivre, voir écouter, des utilisateurs tout en déployant des tout petits moyens et sans laisser de traces...

[Cekter]

@kikeo : oui mais eux ce sont les gentils il parait. Du coup c'est bon c'est legit !

[iAPX]

Je suis mort de rire quand je lis la source de l'article, qui cite le DHS ou des membres du Congrès. Ils disent tous que la faille pourrait être utilisée par des "nefarious actors" ou "malevolent attackers" (acteurs /attaquants malveillants)... Alors qu'il est ÉVIDENT que cette faille était connue depuis des années et utilisée à grande échelle par les services de renseignement pour suivre, voir écouter, des utilisateurs tout en déployant des tout petits moyens et sans laisser de traces...

C'est exactement ça, il y a eu des démonstration publiques de ces failles aux États-Unis, l'émission 60 minutes en a fait la démonstration il y a 2 ans avec un représentant du congrès qui a accepté de se voir localisé et ses messages interceptés à distance, et la faille est connue depuis une décennie!

Mais tant que seuls certains jouaient avec ça, ça allait bien et les opérateurs pouvaient/devaient garder cette faille, mais comme l'usage se répand...

Je ne sais pas trop bien comment on comble une faille qui existe dans le design du protocole SS7, sauf à le revoir et l'histoire de "firewall" utilisée par certains me semble vraiment louche.

[Hebus]

Les méchants auraient mis si longtemps à l’exploiter ?

[marc_os]

C’est le début des années fast pour les experts sécurité!

Fast and furious !

[iAPX]

Les méchants auraient mis si longtemps à l’exploiter ?

Non, le CCC le fait depuis 10 ans au moins. Mais ils ne sont pas vraiment les "méchants", moins que dans les années 80.

[marc_os]

Des opérateurs mobiles il y a 40 ans ? Je ne pensais pas que la téléphonie mobile datait de si longtemps.

Edit : Ha oui, la téléphonie mobile fête ses 40 ans…

Mon premier mobile GSM

[karlitomac]

Je ne sais pas trop bien comment on comble une faille qui existe dans le design du protocole SS7, sauf à le revoir et l'histoire de "firewall" utilisée par certains me semble vraiment louche.

les failles du SS7 sont en fait des utilisations abusives des messages SS7 pour récupérer des informations ou tromper les équipements
- demander, à partir du numéro de téléphone de quelqu'un son IMSI et ensuite sa localisation (la CellID) à partir de l'IMSI.
- envoyer une fausse demander de localisation de l'abonné pour faire croire au réseau que l'abonné est sur un MSC particulier
les Firewall SS7 (https://www.cellusys.com/, https://www.evolved-intelligence.com/, https://www.mobileum.com/ pour ne citer que les plus connus) permettent d'intercepter les messages et:
- de s'assurer que les demandes proviennent de réseau "sur", de "NATTER" les IMSI pour protéger les données...

tout est documenté à la GSMA et les Firewall permettent effectivement de bloquer ces usages dérivés et malicieux du SS7

[iAPX]

Je ne sais pas trop bien comment on comble une faille qui existe dans le design du protocole SS7, sauf à le revoir et l'histoire de "firewall" utilisée par certains me semble vraiment louche.

les failles du SS7 sont en fait des utilisations abusives des messages SS7 pour récupérer des informations ou tromper les équipements
- demander, à partir du numéro de téléphone de quelqu'un son IMSI et ensuite sa localisation (la CellID) à partir de l'IMSI.
- envoyer une fausse demander de localisation de l'abonné pour faire croire au réseau que l'abonné est sur un MSC particulier
les Firewall SS7 (https://www.cellusys.com/, https://www.evolved-intelligence.com/, https://www.mobileum.com/ pour ne citer que les plus connus) permettent d'intercepter les messages et:
- de s'assurer que les demandes proviennent de réseau "sur", de "NATTER" les IMSI pour protéger les données...

tout est documenté à la GSMA et les Firewall permettent effectivement de bloquer ces usages dérivés et malicieux du SS7

J'ai beaucoup ri en lisant réseau "sûr", c'est que fondamentalement les failles sont encore là, et il faut être identifié (probablement par son adresse IP qui n'est en rien un mécanisme de sécurité ou d'authentification) pour avoir accès à celles-ci et pouvoir les exploiter.
Un mélange de sécurité "bonbon" (dur à l'extérieur, mou à l'intérieur) et "Emmental" (avec des trous partout), un grand facteur de réussite ça

Le plus comique étant les tests sur le SS7 devant être fait avec le réseau testé étant au courant du test mais aussi de sa provenance, ça permet de bien mieux passer les tests ça!
Des vrais tests doivent être réalisés en condition réelles, sans limiter outrageusement la portée: à mon sens il vaut mieux péter un service ou un réseau réellement (temporairement quand-même) que de se croire en sécurité juste parce qu'on a restreint les pen-testers. Et c'est pour ça que des compagnies avec de multiples audits se font hacker régulièrement.

PS: le CCC c'est le célèbre Chaos Computer Club qui était très avancé dans les années 80, créant des dicos dans chaque langue des mots usuels et prenant des tonnes de données sur leurs cibles déjà à l'époque, à commencer par les registres publiques d'État Civil (conjoints, parents, enfants), etc.

Ce message a été modifié par iAPX - 31 May 2018, 14:03.

[Hebus]

Les méchants auraient mis si longtemps à l’exploiter ?

Non, le CCC le fait depuis 10 ans au moins. Mais ils ne sont pas vraiment les "méchants", moins que dans les années 80.

J’ai lu CCCP (prononcé SSSR)

C’est quoi CCC ? Copy Carbon Cloner ? Le gourou de APFS est un individu bien dangereux

[iAPX]

...
tout est documenté à la GSMA et les Firewall permettent effectivement de bloquer ces usages dérivés et malicieux du SS7

C'est du plus grand comique et mériterait d'être lu pour comprendre que c'est fait pour auditer en obtenant de bons résultats et non pour s'assurer de la sécurité réelle des réseaux.

En parlant de Test de Sécurité, cette perle m'a plié en deux (ici 4.4.1):
The signalling used must not be intentionally harmful to, significantly degrade or otherwise be of a nature that can reasonably be expected to cause harm or significant degradation of receiving operator’s network or services, also including the receiving operator’s customers.

En bref, on peut tester, mais sans risquer de dégrader ou de causer des dégâts dans le réseau attaqué. Comme un crash test de voiture, mais à l'arrêt pour ne pas l'abîmer!

Et la suite:
Messages as described above that are badly formed or represent a DoS attack should not be sent by a legitimate tester. No fuzzing of messages should be permitted – i.e. all messages should conform to specifications.

Comme si des hackers n'allaient envoyer que des messages bien formés et pas essayer d'obtenir des crash par DoS ou Buffer overrun! Sérieux?!?

Encore une autre partie:
As far as is reasonably possible, testers should seek to perform testing within the normal business hours of the DNO to ensure availability of appropriate DNO resources to deal with any unexpected disruption. If testing is planned out of core DNO business hours to avoid high-usage hours impact, this should be highlighted in the advance notification message sent by the tester to the DNO.

Comme si des hackers allaient attaquer quand les équipes en défense sont présentes au maximum, ou sinon les avertir d'une attaque nocturne, alors qu'ils cherchent à savoir quand les gens seront coincé dans le traffic ou dans un avion pour intervenir, et les meilleurs montent des attaques doubles, avec une première grossière qui sert juste à fatiguer les équipes de sécurité, la véritable étant faite bien après que la première soit terminée, vers les 3h à 6h du matin quand l'équipe de sécurité se repose après une très mauvaise nuit!

Il y a un dernier point c'est que le GSMA interdit l'exfiltration de données, sinon de façon extrêmement limitée, donnant la possibilité à un opérateur de prétendre avoir des mesures effectives contre cela, alors qu'il y a des techniques toutes simples pour exfiltrer des données en utilisant les flux présents pour coller à la réalité (je laisserais cela à votre sagacité ).

Du grand guignol cette façon de tester la sécurité des opérateurs!

Ce message a été modifié par iAPX - 31 May 2018, 14:49.

[codeX]

PS: le CCC c'est le célèbre Chaos Computer Club qui était très avancé dans les années 80, créant des dicos dans chaque langue des mots usuels et prenant des tonnes de données sur leurs cibles déjà à l'époque, à commencer par les registres publiques d'État Civil (conjoints, parents, enfants), etc.

Un vieux de le vieille m'a dit qu'il y avait aussi le Clean Crack Band. Un peu plus franchouillard, apparemment

Ce message a été modifié par codeX - 31 May 2018, 20:56.

[karlitomac]

En fait, il faut comprendre que le protocole SS7 n'est pas un protocole qui permet de prendre contrôle à distance d'un mobile ou d'un équipement réseau. Le SS7 (le MAP plus exactement) est une suite de messages bien définis utilisés pour gérer la mobilitié, l'authentification des mobiles à base de "donne moi l'IMSI etle MSC/VLR de tel numéro de téléphone","" donne moi les triplets d'authentification de tel IMSI","donne moi un numéro technique de routage","envoie les informations de l'abonné de tel IMSI"
Les failles SS7 mentionnées ces dernières années sont des failles de confidentialité, voire intégrité, mais jamais de disponibilité.
Un buffer overrun fera planter l'équipement qui recevra le message (et encore, à voir). Quant au DoS, il est très très peu probable que l’interconnexion d'un opérateur soit suffisamment grande pour que le traffic qui peut y transiter peut faire planter un équipement réseau, c'est très peu probable (pas impossible) et ça ne permet pas de prendre le contrôle d'un équipement ou intercepter un appel. Le DDOS est impossible en pratique.

Les failles du SS7 seront toujours là et il est inconcevable de les corriger... c'est aussi long que le remplacement de l'IPV4.... la 4G permettra de remplacer le MAP (Diameter n'est pas mieux cependant).

Et si, on peut parler de sources "sûre", dans le cadre de la confidentialité, spoofé un GT (addresse IP en SS7) n'apporte rien (sauf si on faire un DoS, mais un FW pourra écrêter) le hacker ne recevra pas la réponse (toutes les failles décrites parlent du besoin d'avoir la réponse au message); un message à destination d'un GT ne peut pas être dévié ou intercepté.

On peut rire du document de la GSMA, mais il adresse les failles de confidentialité remontées, il n’adresse pas les failles de disponibilité qui ne permettent pas d'intercepter un appel ou un SMS.
Le but des tests n'est pas de faire tomber un équipement (ces derniers doivent être faits par les constructeurs), mais de voir si il est possible de reproduire les scénarios d'interception d'appels/SMS mentionnées par le CCC.

[iAPX]

...
On peut rire du document de la GSMA, mais il adresse les failles de confidentialité remontées, il n’adresse pas les failles de disponibilité qui ne permettent pas d'intercepter un appel ou un SMS.
Le but des tests n'est pas de faire tomber un équipement (ces derniers doivent être faits par les constructeurs), mais de voir si il est possible de reproduire les scénarios d'interception d'appels/SMS mentionnées par le CCC.

Et c'est pour ça que dans beaucoup de domaines quand on parle de sécurité, on fait des tests totalement indépendants, comme les crash-tests automobile, et on ne confie pas ça aux bons soins des fabricants qui font les leurs, on vérifie en pratique.
Pareil pour le freinage, AutoBild en Allemagne étant coutumier du fait depuis très longtemps, et Consumer Report venant de s'apercevoir d'un problème dans les Tesla 3 avec un test similaire (freinage d'urgence à répétition avec temps de pause entre chaque essai), corrigé maintenant par Tesla qui n'avait -visiblement- pas fait correctement son travail.

Mais pour les communications, on ne vérifie pas, ou plutôt tout est fait pour ne rien vérifier, surtout pas des DoS qui ne peuvent évidemment arriver. Étonnant non?!?

[karlitomac]

...
On peut rire du document de la GSMA, mais il adresse les failles de confidentialité remontées, il n’adresse pas les failles de disponibilité qui ne permettent pas d'intercepter un appel ou un SMS.
Le but des tests n'est pas de faire tomber un équipement (ces derniers doivent être faits par les constructeurs), mais de voir si il est possible de reproduire les scénarios d'interception d'appels/SMS mentionnées par le CCC.

Et c'est pour ça que dans beaucoup de domaines quand on parle de sécurité, on fait des tests totalement indépendants, comme les crash-tests automobile, et on ne confie pas ça aux bons soins des fabricants qui font les leurs, on vérifie en pratique.
Pareil pour le freinage, AutoBild en Allemagne étant coutumier du fait depuis très longtemps, et Consumer Report venant de s'apercevoir d'un problème dans les Tesla 3 avec un test similaire (freinage d'urgence à répétition avec temps de pause entre chaque essai), corrigé maintenant par Tesla qui n'avait -visiblement- pas fait correctement son travail.

Mais pour les communications, on ne vérifie pas, ou plutôt tout est fait pour ne rien vérifier, surtout pas des DoS qui ne peuvent évidemment arriver. Étonnant non?!?

Tu te réfères au doc de la GSMA (certes sur mes conseils, mais en intro disons), qui régule les relations inter opérateurs principalement, mais ce n'est pas la bible exhaustive non plus. La GSMA a ses avantages, mais elle reste gouvernée par les opérateurs.
Il existe des entreprises qui vont plus loin que la GSMA (http://www.p1sec.com/corp/ Philippe Langlois est très bon, https://www.ptsecurity.com/).
Le tableau n'est pas aussi négatif que tu le décris; l'industrie mobile ne prend pas le sujet aussi sérieusement la sécurité SS7 que dans d'autres domaines, certes; elle se concentre sur les failles remontées (qui sont vraiment sérieuse et permettent des cas de fraude) qui sont des cas de brêche de confidentialité, sans remettre en question toute la sécurité SS7 (intégrité, disponibilité), certainement parce que les cas de DOS, DDOS, buffer out of bound sont extrêmement compliqués et improbable et en plus, ne permet pas d'exploiter quoique ce soit (on ne prend pas le contrôle à distance d'un équipement avec un buffer out of bound SS7).

[iAPX]

...
On peut rire du document de la GSMA, mais il adresse les failles de confidentialité remontées, il n’adresse pas les failles de disponibilité qui ne permettent pas d'intercepter un appel ou un SMS.
Le but des tests n'est pas de faire tomber un équipement (ces derniers doivent être faits par les constructeurs), mais de voir si il est possible de reproduire les scénarios d'interception d'appels/SMS mentionnées par le CCC.

Et c'est pour ça que dans beaucoup de domaines quand on parle de sécurité, on fait des tests totalement indépendants, comme les crash-tests automobile, et on ne confie pas ça aux bons soins des fabricants qui font les leurs, on vérifie en pratique.
Pareil pour le freinage, AutoBild en Allemagne étant coutumier du fait depuis très longtemps, et Consumer Report venant de s'apercevoir d'un problème dans les Tesla 3 avec un test similaire (freinage d'urgence à répétition avec temps de pause entre chaque essai), corrigé maintenant par Tesla qui n'avait -visiblement- pas fait correctement son travail.

Mais pour les communications, on ne vérifie pas, ou plutôt tout est fait pour ne rien vérifier, surtout pas des DoS qui ne peuvent évidemment arriver. Étonnant non?!?

Tu te réfères au doc de la GSMA (certes sur mes conseils, mais en intro disons), qui régule les relations inter opérateurs principalement, mais ce n'est pas la bible exhaustive non plus. La GSMA a ses avantages, mais elle reste gouvernée par les opérateurs.
Il existe des entreprises qui vont plus loin que la GSMA (http://www.p1sec.com/corp/ Philippe Langlois est très bon, https://www.ptsecurity.com/).
Le tableau n'est pas aussi négatif que tu le décris; l'industrie mobile ne prend pas le sujet aussi sérieusement la sécurité SS7 que dans d'autres domaines, certes; elle se concentre sur les failles remontées (qui sont vraiment sérieuse et permettent des cas de fraude) qui sont des cas de brêche de confidentialité, sans remettre en question toute la sécurité SS7 (intégrité, disponibilité), certainement parce que les cas de DOS, DDOS, buffer out of bound sont extrêmement compliqués et improbable et en plus, ne permet pas d'exploiter quoique ce soit (on ne prend pas le contrôle à distance d'un équipement avec un buffer out of bound SS7).

As-tu quelque-chose de factuel pour pouvoir affirmer "on ne prend pas le contrôle à distance d'un équipement avec un buffer out of bound SS7" ou que du DoS ou DDoS sont impossibles?!?

Si les deux étaient impossibles par design et prouvé, la GSMA n'aurait pas besoin d'interdire ces types de tests

Moi je vois de l'obscurantisme, de la sécurité par obscurité et on sait où ça mène.

Un exemple d'exploitation d'attaque DoS sur du SS7 ou le faire tomber avec des paquets mal formés (ou des équipements de comm ou périphériques du moment qu'on réussi à bloquer les communications entre opérateurs) ça peut être pour empêcher le roaming de fonctionner pour une cible ou un groupe de personne, pendant un timeframe défini, car aujourd'hui couper les communications c'est majeur dans de nombreuses structures
Le gros handicap des gens qui travaillent dans la sécurité sans être ou avoir été hacker, c'est qu'ils n'ont pas le même état d'esprit...

PS: on peut aussi bloquer l'accès à distance à des sites utilisant les SMS pour une médiocre authentification en deux étapes, quand la personne est en roaming, effectuant alors un Déni de service ciblé et indétectable par le ou les sites, incontournable par la personne.

Ce message a été modifié par iAPX - 1 Jun 2018, 23:59.