Tecnologías de Vigilancia e Antivigilancia

Consultando al espía de bolsillo: vulnerabilidades SS7 y rastreo global

17/06/2015

Por Lucas Teixeira | #Boletín11

Fallas de configuración de operadoras de telefonía móvil permiten rastrear y seguir la ubicación celulares en tiempo real, interceptar y grabar llamadas de cualquier lugar del mundo simplemente conociendo el número del teléfono que se desea interceptar.

Los investigadores Tobias Engel y Karsten Nohl descubrieron las brechas de forma independiente y las presentaron durante el 31C3, el 31º congreso anual realizado por el Chaos Computer Club en Alemania.

SS7, la “internet” de las operadoras

El Sistema de Señalización Nº 7 (Signalling System Nº 7) es la séptima versión de un protocolo usado por centrales telefónicas en todo el mundo para intercambiar información de “señalización”, que sus equipos usan para encaminar mensajes y llamadas al teléfono correcto, reenviar llamadas, funcionar en *roaming* y todo lo necesario para que podamos llamar a Japón con la misma facilidad (aunque no por el mismo precio) con la que llamamos a alguien de otra provincia o estado o del mismo barrio.

network-overview

Las operadores dividen las áreas que cubren en células (de allí viene el nombre de telefonía celular), con una estación de radio base (más conocidas por las grandes antenas) responsable por cada célula.

Supongamos que Alice quiere llamar al celular de Bernardo. Para que se establezca un circuito entre los dos teléfonos, la red de telefonía debe saber en qué célula está el teléfono de Bernardo, es decir, a cuál antena está conectado su celular.

Cada operadora es responsable por monitorear en qué célula se encuentra su cliente.

Localización a través del número

El primer problema detectado es que hay un mensaje en el protocolo SS7 llamado
“anyTimeInterrogation”, que permite pedir el identificador (ID) de la célula donde se encuentra el número. Con ese ID, es posible saber la latitud y la longitud a partir de bancos de datos disponibles comercialmente.

Ese mensaje específico se creó para el uso interno de la operadora (el SS7 se usa tanto entre dos operadoras, como dentro de cada una de ellas para comunicación de sus diversos servidores y dispositivos), pero se descubrió que ninguna operadora bloqueaba esos pedidos cuando provenían de afuera. Esto permitía que una operadora en cualquier lugar del mundo pudiera realizar pedidos ilimitados sobre números de otros países.

Después de la publicación de esa falla, muchas operadores comenzaron a bloquear los mensajes “anyTimeInterrogation”. Pero lo que Karsten, Tobias y otros investigadores vienen descubriendo son otros mensajes que, cuando se envían a los lugares correctos y en el orden correcto, permiten encontrar la localización de un celular, además de cambiar su tipo de plan, agregar o quitar créditos, impedir el funcionamiento del teléfono (denial of service) y hasta interceptar llamadas. Todo a partir de una red de telefonía en cualquier lugar del mundo, solamente sabiendo el número del teléfono celular.

Durante la presentación en 31C3, Tobias Engel mostró una herramienta que usa para comprobar sus investigaciones: un mapa que muestra los movimientos de personas amigas que lo autorizaron a seguirlas. Es posible ver puntos desplazándose a través de una carretera e inmediatamente después saltar de América a Europa, cuando la persona en cuestión viaja en avión.

mapa

Todo indica que esa es la misma técnica por detrás del producto SkyLock, de Verint: de hecho, la investigación de Tobias comenzó a partir del contacto de un periodista del Washington Post que investigaba ese software y el Infiltrator, de funciones semejantes.

SkyLock es presentado en un material de divulgación como una “solución para descubrir localizaciones en tiempo real y de forma independiente, para clientes GSM y UMTS, que permite que agencias operacionales recojan información de localización del cliente a escala global”. Su slogan es “Localice. Monitoree. Manipule”. Distribuido en enero de 2013, el material garantiza que funciona con 70% de los celulares del mundo y, además de mostrar la ubicación de los números en el mapa, también ofrece funciones avanzadas, como alertas cuando se enciende determinado celular, cuando un celular entra en un área predeterminada o se aproxima a otros celulares registrados.

skylock-2

skylock-1

Imágenes de software Skylock. Divulgación permitida

Verint es uno de los gigantes de la tecnología de inteligencia y monitoreo. La empresa, de origen israelí pero que ahora tiene sede en los EE. UU., tiene oficinas en más de veinte países. En América Latina, está presente en Brasil y México.

Otra falla muy grave descubierta permite obtener la clave criptográfica usada para proteger llamadas y mensajes en redes de telefonía 3G.

Las llamadas realizadas utilizando ese estándar u otro más nuevo son protegidas por criptografía que impide que alguien en las proximidades pueda interceptar las ondas de radio y escuchar la conversación.

Al registrarse en una célula, el celular intercambia claves criptográficas con la estación de radio base. Pero para que pueda transferirse de una célula a otra (al hablar dentro de un coche que circula por una carretera, por ejemplo) sin que la comunicación se interrumpa, la estación de radio base que lo recibe debe obtener las claves que la estación que quedó atrás estaba usando.

Esa transferencia de claves se realiza a través de mensajes SS7, que (adivina…) raramente son bloqueados o filtrados. Esto permite que un adversario físicamente próximo a una persona pueda intervenir una conexión celular-antena, obtener la clave a través de la red SS7, abrir la protección criptográfica y acceder a las llamadas y mensajes.

Una internet sin firewalls

La historia de SS7 se remonta a los años 70 y a lo largo de su desarrollo, realizado en conjunto por empresas de telecomunicaciones, se convirtió en un sistema bastante complejo. Además, el modo como interconecta a las operadoras y permite que intercambie información se basa casi totalmente en la confianza. “No existe autenticación para ninguno de estos servicios; entonces, si estás en la red SS7 y tienes un acuerdo de roaming con otras operadoras, simplemente puedes usarlos”, dice Tobias.

Con el crecimiento de las redes de telefonía, los prestadores de servicios acceden a ellas, son alquiladas, puestas a disposición a través de VPN, etc. Según el investigador, el acceso a la red puede comprarse a las empresas de telecomunicaciones o a roaming hubs por algunas centenas de euros al mes. De esa manera, la red de telefonía global tejida por el protocolo SS7 pasó de unas pocas y grandes corporaciones controladas por gobiernos a numerosas empresas de telecomunicaciones, grandes y pequeñas, dispersas por el mundo. Cuando se le preguntó, Karsten Nohl, no supo estimar cuántos actores hay en la red SS7 (“más de lo que sería confiable”).

Pero Karsten cree que la infraestructura puede repararse sin tener que reconstruirla de cero. Muchas brechas de seguridad pueden mitigarse bloqueando los mensajes que vienen de afuera de la red interna de la operadora, o incluso pueden eliminarse totalmente, ya que están allí para permitir funciones obsoletas.

Otros no pueden bloquearse totalmente: si las células vecinas no pueden pasar las claves criptográficas, las llamadas se interrumpirían cuando uno vuelve a casa en ómnibus. En esos casos, la decisión de responder o no a pedidos de clave puede tomarse a través de “pruebas de plausibilidad”: si la fuente del pedido actúa cerca del lugar donde está el celular, si esos pedidos están realizándose dentro de un límite razonable, etc.

Mapeo de redes vulnerables

En el mismo congreso del Chaos Computer Club, Laurent Ghigonis y Alexandre de Oliveira, de P1 Security, presentaron una herramienta interesante para entender y actuar sobre ese problema.

A través de alianzas con operadoras de telefonía, P1 Security probó cada una de las diferentes formas de extraer información delicada de las redes SS7 de todo el mundo y consolidó sus conclusiones en el SS7map. En este mapa, cada país es clasificado de acuerdo con la seguridad de sus redes de telefonía frente a esas vulnerabilidades.

ss7map

Haciendo clic en cada país es posible ver detalles sobre las vulnerabilidades de sus operadoras que permiten la fuga de datos de sus clientes (“privacy leaks”) y de su infraestructura interna y configuraciones de seguridad (“network exposure”).

El escenario, al menos en el momento de la generación del mapa (navidad de 2014), es triste. Entre los países de América Latina, solamente Venezuela bloquea todas las formas posibles de extraer la localización de un celular a nivel de la ciudad (una sola operadora en el país fue escaneada, ya que era la única con un  acordo de roaming con las operadoras aliadas al proyecto). Son pocas las operadoras que cierran las brechas de localización más graves, con precisión de 200 metros. La mayoría de las operadoras también aceptan pedidos que revelan las claves criptográficas 3G que protegen las llamadas y los mensajes SMS de intervenciones.

Así que nos pusimos en contacto con P1 Security, nos dijeron que hay un scan en curso y nuevos resultados serán publicados en el tercer trimestre de este año.

Autodefensa: detecte ataques con SnoopSnitch

Karsten Nohl presentó también una poderosa herramienta para que podamos tomar las riendas de la situación. Él, Tobias y otras personas involucradas con SS7 vienen alertando desde hace años sobre ese tipo de problemas. “No se puede esperar más, por lo menos para mí. Soy impaciente, quiero hacer algo ahora y quiero abordar todos esos problemas”, dice Karsten hablando sobre vulnerabilidades como las que presentamos en este artículo.

Para eso, Security Research Labs desarrolló SnoopSnitch, una aplicación (libre y de código abierto) para Android que muestra las vulnerabilidades de su operadora y detecta ataques SS7 e interferencias en la red causados por equipos como stingrays e IMSI catchers.

snoopsnitch

“Su celular técnicamente sabe que se están produciendo esos ataques y que su red está configurada de forma insegura. Pero, lamentablemente, esa información está bien escondida en el teléfono, dentro del baseband. Entonces, no se puede acceder a ella programando normalmente para Android.” El año pasado el escenario cambió un poco. El equipo de Karsten descubrió que ciertos modelos de celular (los que tienen chipsets Qualcomm) pueden reconfigurarse para que el baseband transfiera los datos necesarios para detectar los ataques.

Para quien cumple con los requisitos (Android con acceso root y chipset Qualcomm), la aplicación permite hacer esos análisis y, si se acepta, enviar datos para contribuir con un proyecto paralelo de Security Research Labs, el GSM Security Map, que funciona como el SS7map, pero que considera toda la seguridad de la red de telefonía celular.

Al conocer más datos sobre las redes de una región, el Snoop Snitch puede hacer comparaciones para detectar súbitos cambios de configuraciones de seguridad que pueden indicar la presencia de algún equipo usado para orquestar o facilitar ataques. La evaluación de América Latina se basa totalmente en estimaciones; al contribuir con el banco de datos usando SnoopSnitch, podemos ayudar a dibujar mejor ese mapa y saber, incluso sin la aplicación, qué tan seguras son nuestras operadoras.

Tags: , , , , ,