SS7: salajane uks kogu maailma telefonikõnede pealtkuulamiseks, millel on juba kõrge profiiliga ohvrid

graph-sphere.png

Saksa teadlaste paljastatud turvaugud, millega on võimalik pealt kuulata sisuliselt kogu maailma mobiiltelefonide kõnesid ja lugeda nendele saadetud sõnumeid, pole isegi kaks aastat pärast nende avaldamist leidnud lappimist. Kuid tegu pole üksnes teoreetilise murega, sest tõenäoliselt kasutati neid turvaauke Ukraina konflikti ajal, mil lekkisid USA asevälisministri Victoria Nulandi ja Eesti toonase välisministri Urmas Paeti telefonikõned.

Viga puudutab süsteemi nimega SS7, mis on ülemaailmne võrgustik, millega erinevad mobiilioperaatorid saavad ühendada ja suunata kõnesid ja sõnumeid. 1970-ndatel aastatel välja töötatud SS7-s on riburada pidi avastatud nõrkusi ja 2014 paljastasid üksteisest sõltumatult kaks staažikat infoturbe teadlast Tobias Engel ja Karsten Nohl viimased eriti kaalukad haavatavused.

Peale telefonikasutaja asukoha jälgimise on võimalik märkamatult ümber suunata ja salvestada ka kõik kõned ja sõnumid. Sellel on väga suur mõju: peale otsese telefoniside jälgitavuse kasutame telefone üha rohkem ka teiseste turvavahenditena. Näiteks kaheastmelise sisselogimise puhul saadab Google või Apple telefoni SMSiga turvakoodi – see on SS7 abiga võimalik märkamatult ära napsata.

Miljardid lähevad turvaliste võrkude ehitamiseks, kuid tagauks on lahti

Kuigi saksa teadlaste paljastustest möödunud on ligi kaks aastat, pole olukord karvavõrdki muutunud. Seda demonstreeris Nohl USA telesaates “60 Minutes” näidisrünnakuga kongresmeni Ted Lieu telefoni pihta. Nohl pääses selle andmetele ligi teades vaid tema telefoninumbrit.

Turvaaugud puudutavad SS7-sse loodud vajalikke funktsioone, millega saab näiteks mobiilikõne katkemast hoida, kui inimene kihutab kiirteel ühe tugijaama levialast teiseni. Ent samade funktsioonidega saavad häkkerid ligipääsu telefonikõnede ja sõnumiteni, kuna SS7 – Signaling System võrgu 7. versioon – turvameetmed on niivõrd kasinad.

Augud SS7 süsteemis on eriti valusad arvestades fakti, et telekomid üle kogu maailma investeerivaid miljardeid selleks, et tööle seada moodsamaid ja turvalisemaid mobiilivõrke. Aga isegi kui konkreetne operaator krüpteerib näiteks 3G või 4G võrgus mobiiltelefoni side, “lekivad” andmed läbi SS7-e välja. “See justkui majale turvalise välisukse panemine, ent tagauks on pärani lahti,” on Engel olukorda Washington Postile kirjeldanud.

Kuna mobiilioperaatorid suhtlevad teistega läbi SS7-e, satuvad ka turvalise operaatori kliendid ohtu, mis võib lähtuda ühest tuhandetest maailma telekomidest. Nii võib näiteks Kongo või Kasahstani operaatori võrku kasutada selleks, et häkkida sisse mõnda Euroopa operaatori võrku.

“Fuck the EU"

Kaks aastat tagasi tuliste Ukraina sündmuste ajal lekkis YouTube’i salvestus USA asevälisministri Victoria Nulandi ja USA Ukraina saadiku vahelisest kõnest, mis tehti ilmselt üle tavalise mobiilivõrgu. Veidi hiljem avaldas Ukraina telekomiregulaator NKRZI koos kohaliku luureagentuuri SBUga tehtud uurimise järel raporti, mis kirjeldas riigi mobiilivõrkudes toimunud intsidente.

Näiteks sai Ukraina toonane mobiilioperaator MTS Ukraine mitu SS7 andmepaketti, mis muutsid konkreetsete telefoninumbrite sätteid. Kui seejärel mõni nendest numbritest alustas uut telefonikõnet, suunati kõne ilma nende teadmata lauatelefonile Peterburis ja nii oli võimalik kogu kõne otsast lõpuni pealt kuulata. NKRZI raporti teatel oli selliseid “rünnakuid” tehtud näiteks mitme päeva jooksul Ukraina mobiilivõrgu numbrite vastu ja need pärinesid Venemaa võrkudest.

Nulandi, kes sai kurikuulsaks telefonikõnes väljendiga “fuck the EU", kõne pealtkuulamise detaile ametlikult ei avaldatudki. Kuid NKRZI raporti põhjal on alust arvata, et tema oli üks SS7 kaudu teostatud rünnakute kõrge profiiliga ohvritest.

Mäletatavasti lekkis mõni aeg hiljem sarnaselt välisministri Urmas Paeti ja EL-i välisasjade esindaja Catherine Ashtoni telefonikõne. See kõne algas küll välisministeeriumi ja Ahstoni ametnikelt ja ühendati alles hiljem osapoolte telefonidesse, kuid vähemalt Paet tunnistas hiljem, et tegi kõne oma tavalise, eriliste turvameetmeteta iPhone’iga.

SS7 haavatavusi tõsiselt analüüsinud mobiilside turvafirma AdaptiveMobile andmetel on SS7 abil võimalik ka näiteks juba vältava telefonikõne “sisse helistada” ja konverentskõne ühe osapoolena seda pealt kuulata, ilma et osapooled seda märkaksid. Pole aga selge, kas Paeti kõne pealtkuulamiseks SS7 lõtva turvalisust kasutati.

Tehnoloogia väga pikk elutsükkel

SS7 turvaprobleemid illustreerivad ilmekalt, kuidas üleilmseks sidevahendiks saanud mobiilside kasutab aastakümneid vana tehnoloogiat, mille turvalisus on tänapäevaseid nõudmisi arvestades pehmelt öeldes kesine.

Seejuures on selle tehnoloogia elutsükkel väga pikk, ulatudes aastakümnetesse või isegi poole sajandini.

1970-ndatel loodud SS7 on ebaturvaline ja vahetatakse välja uuema süsteemi vastu “järgmise aastakümne jooksul”, kommenteeris mullu SS7-e probleeme telekomide üleilmne katusorganisatsioon GSMA. USA sideamet FCC on SS7 probleemidest teadlik olnud aastaid, kuid alles viimastel aastal on meedia surve järel loodud rakkerühmi ja võetud teema arutusse. Eksperdid ei usu, et enne järgmist aastakümmet süsteemi parandatakse.

Graafik: AdaptiveMobile

Samal ajal tegelevad riikide eriteenistused võidurelvastumisega, et SS7 vigu ära kasutada. AdaptiveMobile on hakanud SS7 rünnakuid mobiilivõrkudes tuvastama ja leidnud, et tegu väga "tulise maastikuga". Tehnoloogiat SS7 kaudu pealtkuulamiseks müüakse nn hallil turul, kus otse riikide valitsustele pakuvad oma teenuseid ja tooteid eraturvafirmad. Nendest üks nimekaim oli Hacking Team, kes pakkus võimalusi SS7 kaudu sihtmärke jälgida, mis mulluse andmelekke järel avalikuks sai.

 

Ei mõjuta tavalist inimest, kuni mõjutab

Kuigi SS7 ärakasutamine eeldab väga spetsiifilisi teadmisi mobiilsidevõrkudest ja selle kaudu inimeste jälgimine ning nende side salvestamine on jääb riiklike agentuuride ja üksikute ekspertide pädevusse, võib vigane SS7 mõjutada ka tavalisi inimesi.

Käesoleva aasta 9. veebruari hommikul avastasid ligi miljon Norra mobiilioperaatori Telenori klienti, et nende telefonidel polnud levi. Operaatori teenused olid häiritud ligi kolm ja pool tundi ja põhjuseks oli “väline SS7 sündmus”.

Hilisema uurimise ja seletuse põhjal oli Telenori võrk saanud SS7 käske ühelt Luksemburgi operaatorilt, mis viis Norra mobiilivõrgu ühe keskse süsteemi Home Location Register tsüklisse ja halvas normaalse töö. Väidetavalt oli Luksemburgi operaator ise koos väliste turvakonsultantidega uurinud, ega selle võrgust pole andmeid lekkinud, aga selle uurimise käigus saadeti ka väljapoole SS7 käske.

Konkreetne põhjus võis olla Ericssoni tarnitud võrgutarkvaras, kuid juhtum näitab ilmekalt, kuidas ka SS7 võib üsna laiaulatuslikke häireid põhjustada. AdaptiveMobile hinnangul võib SS7 süsteemi seega kasutada ka klassikaliste teenustõkestusrünnakuteks – veebist tuntud tehnikaga saaks sihtmärgiks oleva mobiilivõrgu tühiste päringutega lihtsalt üle ujutada ja rivist välja lüüa.

 

Avafoto: AdaptiveMobile'i graafik visualiseerib SS7 kaudu vahendatavaid käske ja andmepakette.