11 Oca, 2022

[:tr]GSM Operatörlerinin Güvenlik Testleri Nasıl Yapılabilir?[:en]How Can GSM Operators Security Tests Be Performed?[:]

[:tr]

Yapılan son araştırmalar sonucunda, saldırganlar tarafından maliyeti düşük ekipman kullanarak hizmet reddi (DoS) ve ortadaki adam (MitM) saldırılarını başlatmak için kullanılabilecek modern hücresel ağları destekleyen temel bir mekanizma olan hand-over üzerinde güvenlik açığı olduğu ortaya çıktı. 

Sorun, 2G’den (GSM) beri tüm nesilleri etkiliyor ve şu ana kadar çözülememiştir.

Hand-Over olarak da bilinen aktarma, telekomünikasyonda bir telefon görüşmesinin veya bir veri oturumunun iletim sırasında bağlantıyı kaybetmeden bir hücre yayınından (diğer adıyla baz istasyonu) başka bir hücre kulesine aktarıldığı bir süreçtir. Bu yöntem, özellikle kullanıcının hareket halinde olduğu senaryolarda, hücresel iletişim kurmak için çok önemlidir. 

Rutin şu şekilde çalışır: 

Kullanıcı ekipmanı (UE), bir aktarmanın gerekli olup olmadığını belirlemek için ağa sinyal gücü ölçümleri gönderir ve eğer öyleyse, daha uygun bir hedef istasyon keşfedildiğinde geçişi kolaylaştırır.

gsm güvenlik testi-1

Aslında tamda bu kısımda güvenlik testi nasıl olabilir, sorusuna cevap bulabiliriz.    

Bu sinyal okumaları kripto grafik olarak korunurken, bu raporların içeriği ağ tarafından doğrulanmaz, bu da bir saldırganın cihazı saldırgan tarafından kontrolü olan bir hücre yayınına bağlanmasına izin verir. Saldırının püf noktası, kaynak baz istasyonunun ölçüm raporundaki yanlış değerleri idare edememesi ve tespit edilmeden kötü niyetli bir hand-over olasılığını artırmasında yatmaktadır.

Özetle, sahte baz istasyonu oluşturarak güvenlik testlerimizden bir tanesini gerçekleştirebiliriz.

Yukarıda belirtilen şifreli ölçüm raporlarına ve sinyal gücü eşiklerine dayanan hand-over prosedürlerini savunmasız hale getirerek, pentest yapan kişinin MitM atağı yapmasını etkili bir şekilde sağlar. 

Dolayısı ile bu atak sayesinde cihaz ve ağ arasında iletilen mesajları dinleyebilir, içeriğini değiştirip ve kurban kullanıcıya iletilebilir.

Donanım ve Araçların Kurulumu

Donanım:

Aşağıdaki donanımlardan herhangi biri pratik amaçlar için kullanılabilir.

  • RTL-SDR
  • Hackrf
  • USRP

Yazılım:

Pratik amaçlar için aşağıdaki yazılım araçları gereklidir.

  • GR-GSM – GSM tarafından iletilen bilgileri almak için kullanılan bir python modülü.
  • Wireshark – Kablosuz trafiği yakalama.
  • IMSI-Catcher – Bu program cep telefonlarının IMSI numarasını, ülkesini, markasını ve operatörünü gösterir.
  • GQRX – Yazılım tanımlı radyo alıcısı.
  • RTL-SDR Araçları – RTL SDR dongle bilgilerini alın.
  • Kalibrate – Sinyal gücünü belirleyin.

Atak yüzeyimizi anladığımıza göre, bu atağı gerçekleştirebilmek için öncelikle çekim gücüne bağlı olarak kapsadığı alan içerisindeki telefonları bulmak ve izlemek için fake baz istasyonu oluşturmamızı sağlayacak IMSI Catcher kullanmamız gerekecektir. 

IMSI catcher çalışma mantığı aşağıdaki gibidir.

gsm güvenlik testi-2

Bu cihaz örneğin; HackRF olabilir ya da SDR Dongle kullanabilirsiniz.

gsm güvenlik testi-3

gsm güvenlik testi-4

Güvenlik Test Adımları

a) GSM Trafiğini Yakalama

Bu adım için RTL-SDR dongle kullanıldı. Araç yükleme işlemi tamamlandıktan sonra, RTL-SDR USB donanım kilidini sisteminize takın.

Terminali açın ve dongle’ın başarıyla takıldığını kontrol etmek için aşağıdaki komutu çalıştırın.

b) GSM Baz İstasyonlarını Arama

“Kalibrate” veya “grgsm_scanner” araçlarını kullanarak yakındaki baz istasyonları keşfedebilirsiniz.

gsm güvenlik testi-6

Yukarıdaki araçla yaptığımız aramanın çıktısında, yakınımızdaki baz istasyonlarına ait ”merkez frekansı, kanal, ARFCN değeri, LAC, MCC, MNC değeri vb.” gibi bazı parametre bilgilerini elde edebildik.

c) Baz İstasyonunu Sniff Etmek

Bunun için “grgsm_livemon” adlı program kullanılması gereklidir. Paketleri yakalamak için “grgsm_livemon” aracını çalıştırmadan önce “Wireshark”ı çalıştırın. Tüm verileri yakalamak için ‘any’ arayüzünü seçin.

gsm güvenlik testi-7

gsm güvenlik testi-8

Frekans sniff edilmeye başladığında, aşağıdaki ekran görüntüsünde gösterildiği gibi bir açılır pencere belirir.

gsm güvenlik testi-9

Frekansı yakalamak için frekans düğmesinin hareket ettirilmesi gerekir. Veri yakalama başladığında aşağıdaki ekran görüntüsü gibi görünecektir.

gsm güvenlik testi-10

Şimdi bir “IMSI Catcher” aracı yardımıyla IMSI detaylarını yakalamamız gerekiyor.

gsm güvenlik testi-11

IMSI’yi ve TMSI, Ülke, Marka, Operatör, MCC, MNC, LAC, Cell-ID vb. gibi diğer ayrıntıları yakalamak için “IMSI Catcher” aracını çalıştırın.

gsm güvenlik testi-12

Wireshark’ta baz istasyonunun MNC, MCC, LAI ve diğer bilgilerinin yakalanan verileri görülebilir.

gsm güvenlik testi-13

IMSI Catcher’dan Nasıl Korunulur ve Nasıl Tespit Edilir? 

Bulunduğunuz yerde IMSI Catcher’ı bulmanıza yardımcı olan farklı uygulamalar mevcuttur. Cep telefonunuza kurduğunuzda, IMSI Catcher’ı otomatik olarak algılayacaktır. Uygulamalar, farklı ülkelerdeki tüm mobil operatörlerin baz istasyonlarının bir veri tabanını içerir ve bu listeyi düzenli olarak günceller.

Her baz istasyonu tespit edildiğinde, var olup olmadığını görmek için listeyi kontrol eder. Varsa, meşrudur ve tehlikesi yoktur. Ancak, kule listede yoksa şüpheli bir şeyler oluyor ve bunun bir IMSI Catcher olma olasılığı yüksek demektir.

Bu durumda yapabileceğiniz en iyi şey, güvenli bir yere ulaştığınızda telefonunuzu kapatıp tekrar açmaktır.

Aşağıda IMSI Catcher Detektör Uygulamalarından Bazıları Verilmiştir:

  • Osmocom 
  • Android IMSI-Catcher Detector
  • SnoopSnitch
  • Cell Spy Catcher
  • GSM Spy Finder

Sonuç:

Siber güvenlik mimarilerinin ve siber güvenlik katmanlarının, birden fazla siber güvenlik mühendisi ile inşa edilmelidir. Aynı zamanda birden fazla pentester’la farklı bakış açısı getirilebilecek siber güvenlik firmaları tarafından testlerinin kapsamlarının geniş tutulması koşuluyla yaptırılması gerektiğini düşünmekteyiz.

Sorumluluk Reddi Beyanı

Değerli ziyaretçimiz,

Bu blog yazımız bilgi amaçlı olup, saldırılara karşı farkındalığı arttırabilmek ve bu doğrultuda tedbirler alınabilmesi amacı ile hazırlanmıştır. Bu yazıda geçen bilgilerin amacı dışında kullanılmasının hukuki olmadığını hatırlatırız. Anlatılanlardan kaynaklanabilecek doğrudan ya da dolaylı zarar ve kayıplardan CyberArts firmasının sorumlu tutulamayacağını beyan ederiz.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.

[:en]

Recent research has revealed a vulnerability in hand-over, a fundamental mechanism underpinning modern cellular networks that can be used by attackers to launch denial-of-service (DoS) and man-in-the-middle (MitM) attacks using low-cost equipment.

The problem affects all generations since 2G (GSM) and has not been resolved so far.

Relay, also known as Hand-Over, is a process in telecommunications where a phone call or a data session is transferred from one cell broadcast (aka base station) to another cell tower without losing connection during transmission. This method is essential for establishing cellular communication, especially in scenarios where the user is on the move.

The routine works like this:

The user equipment (UE) sends signal strength measurements to the network to determine whether a handover is required and, if so, facilitates the handover when a more suitable destination station is discovered.

gsm güvenlik testi-1

In fact, exactly in this part, we can find the answer to the question of how the security test can be done.

While these signal readings are protected as cryptographic, the content of these reports is not verified by the network, allowing an attacker to connect the device to a cell broadcast that is controlled by the attacker. The crux of the attack lies in the source base station’s inability to handle incorrect values ​​in the measurement report, increasing the likelihood of a malicious hand-over without being detected.

In summary, we can perform one of our security tests by creating a fake base station.

It effectively enables the pentester to attack MitM, making hand-over procedures based on the above-mentioned encrypted measurement reports and signal strength thresholds vulnerable.

Therefore, thanks to this attack, it can listen to the messages transmitted between the device and the network, change their content and forward them to the victim user.

Installation of Hardware and Tools

Equipment:

Any of the following equipment can be used for practical purposes.

  • RTL-SDR
  • Hackrf
  • USRP

Software:

The following software tools are required for practical purposes.

  • GR-GSM – a python module used to receive information transmitted by GSM.
  • Wireshark – Capture wireless traffic.
  • IMSI-Catcher – This program displays the IMSI number, country, brand and operator of mobile phones.
  • GQRX – Software defined radio receiver.
  • RTL-SDR Tools – Retrieve RTL SDR dongle information.
  • Calibrate – Determine the signal strength.

Now that we understand our attack surface, in order to carry out this attack, we will first need to use IMSI Catcher, which will enable us to create a fake base station to find and monitor the phones within the area it covers, depending on the gravitational power.

The IMSI catcher working logic is as follows.

gsm güvenlik testi-2

This device, for example; You can hackRF or use SDR Dongle.

gsm güvenlik testi-3

gsm güvenlik testi-4

Security Test Steps

a) Capture GSM Traffic

RTL-SDR dongle was used for this step. After the tool installation is complete, plug the RTL-SDR USB dongle into your system.

Open terminal and run the command below to check that the dongle is successfully mounted.

gsm güvenlik testi-5

b) Calling GSM Base Stations

You can discover nearby cell towers using the “Calibrate” or “grgsm_scanner” tools.

gsm güvenlik testi-6

In the output of the search we made with the tool above, the center frequency, channel, ARFCN value, LAC, MCC, MNC value, etc. of the base stations near us. We were able to obtain some parameter information such as.

c) Sniffing Base Station

For this, it is necessary to use the program called “grgsm_livemon”. Run “Wireshark” before running the “grgsm_livemon” tool to capture packets. Select ‘any’ interface to capture all data.

gsm güvenlik testi-7

gsm güvenlik testi-8

When the frequency starts to be sniffed, a popup will appear as shown in the screenshot below.

gsm güvenlik testi-9

To catch the frequency, the frequency knob needs to be moved. When data capture starts, it will look like the screenshot below.

gsm güvenlik testi-10

Now we need to capture the IMSI details with the help of an “IMSI Catcher” tool.

gsm güvenlik testi-11

IMSI and TMSI, Country, Brand, Operator, MCC, MNC, LAC, Cell-ID etc. Run the “IMSI Catcher” tool to capture other details such as.

gsm güvenlik testi-12

Captured data of base station’s MNC, MCC, LAI and other information can be seen in Wireshark.

gsm güvenlik testi-13

How to Avoid and Detect IMSI Catcher?

There are different apps available to help you find IMSI Catcher where you are. When you install it on your mobile, it will automatically detect IMSI Catcher. The applications contain a database of base stations of all mobile operators in different countries and regularly updates this list.

When each base station is detected, it checks the list to see if it exists. If it does, it’s legitimate and not dangerous. However, if the tower is not listed, something suspicious is going on and there is a good chance it is an IMSI Catcher.

The best thing you can do in this situation is to turn your phone off and then back on when you reach a safe place.

Below are some of the IMSI Catcher Detector Applications:

  • Osmocom
  • Android IMSI-Catcher Detector
  • SnoopSnitch
  • Cell Spy Catcher
  • GSM Spy Finder

Conclusion:

Cyber ​​security architectures and cyber security layers should be built with more than one cyber security engineer. At the same time, we think that the tests should be done by cyber security companies that can bring different perspectives with more than one pentester, provided that the scope of the tests is wide.


Disclaimer

Dear visitor,

This blog post is for information purposes and has been prepared with the aim of raising awareness against attacks and taking measures in this direction. We remind you that it is not legal to use the information in this article for any other purpose. We declare that CyberArts company cannot be held responsible for direct or indirect damages and losses that may arise from what is explained.


To request a quotation for the following: Cyber Security, Digital Transformation, MSSP, Penetration Testing, KVKK, GDPR, ISO 27001 and ISO 27701, please click here.

[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram