SS7 Protokolü ve GSM Ağlarındaki Potansiyel Tehlikeler
Arka Kapı Dergi’nin 4. sayısında yayımlanmış olan bu makale, SS7 Saldırılarının artış göstermesi nedeni ile burada halka açık olarak paylaşılmıştır.
SS7 (Signal System 7) çok basit tabiri ile cep telefonlarının kendi GSM operatörleri dışındaki operatörler ile haberleşmesini sağlayan bir iletişim ağıdır. Uluslararası standarda sahip olan bu ağ tüm dünyada aynı şekilde çalışmaktadır. Yine basit olarak örnek vermek gerekirse, evimizde kablosuz modem ile kullandığımız ağ bizim yerel ağımız olarak tanımlanabilir, modem ile internete çıkış yaptığımız zaman da uluslararası internet ağına bağlanmış oluruz. SS7 ağı da tıpkı bunun gibidir. Kendi GSM operatörünüz sizin yerel ağınızdır ancak başka bir operatör ile iletişim kurmak için uluslararası ağ olan SS7’ye bağlanmanız şarttır, bu nedenle tüm GSM işlemleri SS7 ağı üzerinden gerçekleşmektedir.
SS7; 1975 yılında geliştirilmiş olup üzerinde pek fazla geliştirilme yapılmamış halde olduğundan potansiyel açıklarla doludur. Bu alanda bilinen ilk güvenlik açığı 2008 yılında duyurulmuş olmasına rağmen çok daha uzun zaman önce Kevin Mitnick gibi araştırmacılar GSM sistemlerindeki açıkları keşfedip amaçları doğrultusunda diledikleri gibi kullanmışlardır. Yine 2014 yılında tüm dünyada bu sistemin %70 oranında potansiyel güvenlik açıkları olduğu raporlanmıştır.
SS7 açıkları kullanılarak cep telefonu kullanıcılarının neredeyse tüm hareketleri izlenilebilmekle kalmayıp araya girilerek kendisi adına işlemler de gerçekleştirilebilmektedir. Bu alanda medyaya en çok yansıyan haberlerden birisi de iki faktörlü kimlik doğrulama (2FA) zafiyetleri olmuştur. SS7 ağı üzerinden hedefin cep telefonuna gelen SMS mesajlarının başka bir telefona yönlendirilmesi yöntemiyle ile birçok kişisinin internet bankacılığı hesabının ele geçirildiği haberlerine sık sık rastlanmaktadır.
Potansiyel zafiyetlerden bazıları:
- Hedefin coğrafi konumunu öğrenebilmek
- Hedefin SMS trafiğini başka bir numaraya yönlendirebilmek
- Hedefin şifreleme anahtarına sahip olup dinlenilen trafiğin şifresinin çözülebilmesi
- IMSI, IMEI, MSISDN gibi verilerin öğrenilebilmesi
Hedef Cep Telefonunun Mevcut Konumunun Öğrenilmesi
2000’li yıllardan önce elektronik sistemlerde kullanıcılara kolaylık sağlayacak birçok özellikler tasarlanırken güvenlik hep ikinci planda tutulmuştur çünkü o yıllarda siber saldırı gibi etkenler risk algılamalarında pek yer bulmuyordu.
SS7 ağında kamu ve kurumsal şirketlerin kullanımına yönelik sunulan, IMSI veya MSISDN (telefon numarası) ile hedefin konumunu öğrenebilmeyi amaçlayan özellik, saldırganlar tarafından kötü niyetli olarak kullanılabilmektedir. Araç veya personel takibi yapılabilmesi için kullanılan bu özellik ile hedef cep telefonu numarası SS7 ağında belirli bir yöntemle kullanıldığında, bu numaranın hangi baz istasyona bağlı olduğu anında öğrenilebiliyor. Dünya çapında yer alan tüm baz istasyonlarına mahsus bir kod numarası vardır ve internet üzerinden bu kod numarası ile o baz istasyonun hangi ülke, şehir ve konumda olduğu görüntülenebilmektedir. Bu da hedef cep telefonun hemen hemen 50 metre hata payı ile anlık olarak bulunabilmesini sağlıyor. Üstelik bu durumdan hedef hiçbir şekilde haberdar olamıyor. Yukarıda da bahsettiğim gibi bu özellik deniz ve kara taşımacılığı gibi alanlarda takip için hâlen kullanılmaya devam etmektedir. (SS7 ağındaki bu yöntem İsrail topraklarında kullanılamamaktadır.)
Hedefin SMS Trafiğini Başka Bir Numaraya Yönlendirme
En büyük zafiyetlerden birisi de hedef telefonunun ağ trafiğini SS7 ağın üzerinde saldırganın belirlemiş olduğu başka bir telefona yönlendirebilmesidir. Bu işlemin nasıl gerçekleştirildiğini elbette burada yazmayacağım ancak zafiyetin nedenleri hakkında biraz konuşabiliriz.
MSISDN = Cep telefonu numarası
IMSI = International Mobile Subscriber Identity
İlk 3 rakam: Ülke Mobil Calling Code (MCC) Türkiye için 286
Diğer 2 rakam Mobil Network Code (MNC) yani GSM operatör kodu (Örneğin Turkcell 02)
Sonraki 10 rakam: Operatörün kendisinin belirlediği bir kod
286 02 xxxxxxxxxx
IMEI = Her cep telefonuna özel kod numarası
SS7 ağında hedef cep telefonunun konumu öğrenebildiğimizi yazmıştık, tıpkı bu yöntemde olduğu gibi yine bir cep telefonu numarası veya IMSI numarası ile bu ağdan o telefona ait MSISDN, IMSI ve IMEI numaralarına erişilebilmektedir. Aslında baktığımızda hedef cep telefonuna ait neredeyse tüm bilgilere erişilebilmektedir. Saldırganlar bu noktadan sonra bu bilgileri kullanarak hedefin SIM kartını kopyalayabilmekte veya yine bu sistem üzerinden kendi kontrolündeki cep telefonlarına yönlendirme yapabilmektedirler.
SS7 ağındaki bu tip özellikler cep telefonu bir modem gibi kullanılmak suretiyle gerçekleştirilmektedir. Ancak yeni nesil akıllı telefonların bir çoğunda bu tip özellikler devre dışı bırakıldığı için Qualcomm chipseti kullanan daha eski cep telefonları kullanılmaktadır.
Kendi GSM Operatörünüzü Kurabilirsiniz!
GSM operatörleri her ne kadar sayısız elektronik donanıma sahip olsa da her şey yazılımlarla kontrol edilmektedir. Full Dubleks (Aynı anda hem alıcı hem verici, USRP, BaldeRF) özelliğinde bir donanıma ve antene sahip olan herkes kendi GSM sistemini kurabilmektedir. OpenBTS adlı yazılım size kendi GSM operatörünüzü kurabilmek için gerekli olan her şeyi sağlamaktadır. Bu vesile ile açık kaynak dünyasının ne kadar önemli olduğunu OpenBTS gibi yazılımlarla bir kez daha anlıyoruz.
OpenBTS ile diğer operatörlerin sahip olduğu hemen hemen tüm özelliklere bizler de sahip olabiliyoruz. Şayet yeteri kadar güçlü bir anten ağına sahipsek tüm İstanbul’a bile GSM yayını yapabiliriz. Bu güzel yazılım kötü niyetli kişiler tarafından kullanıldığında ise muazzam bilgilerin ele geçirilmesini sağlayabilmektedir. OpenBTS ile MuratCell adında bir operatör oluşturup bu operatöre ait kendi kodumuzu oluşturabildiğimiz gibi var olan gerçek bir GSM operatörünün bilgileri kullanılarak, hedef operatör gibi hizmet verilebilmektedir! GSM baz istasyonlarının çekmediği bölgelerde seyyar baz istasyonu araçları da benzer bir yöntem kullanmaktadır.
Hedef operatöre ait bilgiler ile oluşturulmuş bir OpenBTS ağına bağlanan cep telefonundan alınan ve gönderilen tüm veriler saldırgan tarafından kaydedilebilmektedir. Blackhat konferanslarından birinde çekilmiş aşağıdaki fotoğraf bu işlemin ne kadar basit olduğunu göstermektedir.
Gerekli olanlar:
- Linux İşletim Sistemi
- OpenBTS (openbts.org)
- Full Dublex Donanım (USRP, BladeRF)