見つけて中和します。 モバイル加入者の位置を明らかにする方法

モバイルネットワークでは、非常に特殊な攻撃が可能です。 それらの1つ-セルを決定するために正確なリアルタイムで加入者の位置を開示する-は、この記事で説明します。 セルのサイズは一定値ではないため、従来の測定単位では精度を示していません。 密集した都市部では、ハニカムは数百メートルの範囲をカバーし、都市間高速道路の森林、野原、川の条件で数キロメートルを提供します。

システム要素

図1（クリックするとフルサイズで開きます）



まず、GSM標準の例を使用して、セルラーネットワークの構造について簡単に紹介します。 標準の簡略図を図1に示します。



カバレッジはベースステーション（ベースステーション、BS）によって提供され、各ステーションには通常、異なる方向に向けられた複数のアンテナがあります。 アンテナはセルの無線カバレッジを提供し、各セルには独自の識別子（セルID、CI）があります。 基地局は地理的エリア（LA、ロケーションエリア）にグループ化されます。 グループ化は、ほとんどの場合、領土ごとに行われます。 このようなグループの識別子は、LAC（Location Area Code）と呼ばれます。 図1では、各基地局は3つのセクターのカバレッジを提供します。



ベースステーションは、ベースステーションコントローラ（BSC）に接続されます。 最も単純なケースでは、1つのLACが1つのBSCに対応します。 これが、例（図1）に示されているLACの目的です。 わかりやすくするために、LACはさまざまな色で強調表示されています。



1つのLACがカバーするエリアは、人口密度に依存します。 モスクワでは、MKAD内に数十のLACが存在する可能性があり、ロシアの中央ゾーンの小さな地域では、LACへの分割は次のようになります。1つのLACが地域センターをカバーし、2番目のLACが地域の残りをカバーします。



すべてのBSCコントローラーは、スイッチ（モバイルスイッチングセンター、MSC）に接続されています。 本質的に、MSCは、加入者のモビリティを提供するためのハードウェアとソフトウェアの拡張機能を備えた通常の音声電話交換機です。 IPが普及した時代には、通常の電話番号に基づいて確立された静的ルーティングテーブルに従って、MSCが回線交換（回線交換）で動作することを思い出してください。



Visited Location Register（VLR）は機能的には別個のネットワーク要素と見なされますが、実際には常にMSCと統合されています。 VLRデータベースには、現在MSCの範囲内にいる加入者に関する情報が含まれています。 また、記事のトピックは加入者の場所に関するものであるため、各加入者について、VLRデータベースには現在のLAC識別子と、携帯電話が最後にネットワークと無線通信したときのセル（CI）の識別子に関する情報が格納されていることに言及する価値があります。 つまり、加入者がコールを発信または受信せずに1つのLACのカバレッジエリアを移動しても、VLRデータベースのロケーション情報は変更されません。 一般に、ネットワークには複数のMSC / VLRノードがあります。 図1の例は、このような2つのノードを示しています。



さらに2つの機能ノードであるホームロケーションレジスタ（HLR）と認証センター（AuC）は、単一のモジュールに物理的に配置されています。 HLR / AuCは、ネットワークの加入者プロファイルを保存します。 このプロファイルには、次の情報が含まれています。加入者の電話番号、一意のSIMカード識別子（International Mobile Subscriber Identity、IMSI）、セキュリティキー、加入者カテゴリ（プリペイド支払いシステム/ポストペイド支払いシステム）、許可サービスと禁止サービスのリスト、請求先住所センター（プリペイドシステム加入者用）、加入者が現在いるカバレッジエリア内のMSC / VLRアドレス。 加入者が自分のカバレッジエリアに登録すると、いくつかの変更が加えられた同じプロファイルがVLRにコピーされます。



ゲートウェイMSC（GMSC）は、着信呼び出しの受信ポイントです。 彼は、HLRから受信した情報に基づいて、コールを、被呼加入者がいるカバレッジエリア内のスイッチにルーティングします。



通話の確立、SMSおよびその他のトランザクションの送信のプロセスで、通信ノードは互いに信号メッセージを交換します。 プロトコルスタック、一連のメッセージ、および電話（モバイルだけでなく）通信ネットワークのパラメーターは、Signaling System 7、SS7と呼ばれます。 すべてのSS7プロトコルは公開されており、ITU-T、3GPP、GSMAなどの国際機関のWebサイトで確認および調査できます。 以下で説明する攻撃は、SS7メッセージに依存しています。

攻撃

もちろん、この攻撃は通りから人を作ることはできません。 攻撃を実行するには、星を空に正しい順序で配置する必要があります。 すなわち：

• SS7シグナリングネットワークへのアクセスが必要です。
• SS7シグナリングメッセージを生成することが可能です（攻撃にはMAPプロトコルが必要です）。
• 被害者のネットワークには、誤ったまたは疑わしいSS7メッセージをフィルタリングする手段がありません（世界中のオペレーターの約90％がそのようなフィルタリングについて考えていません）。

攻撃の説明が退屈な定義と用語の下で行き詰まらないように、次の凡例に従います。 2人の従業員がキエフに出張しました。そこで、潜在的な顧客と交渉する予定です。 時間までに判断すると、同僚はすでに結果に戻っているはずですが、彼らは交渉プロセスで困難が生じたと報告し、彼らは遅らせる必要があります。 次に、同僚の1人から指示を受け、図2の矢印に沿ってプロセス全体を追跡することを提案します。







図2（クリックするとフルサイズで開きます）



1.携帯電話は、ウクライナの携帯電話会社のネットワークに登録されています。 ある時点で、加入者はCI 22C0セクターからLAC 41800のカバレッジエリアに入り、CI 22CFセクターまで移動し続けます。 オペレーターのネットワークで現在何が起こっていますか？ 電話機がLAC 41800のカバレッジエリアにある場合、ロケーション更新手順が開始され、VLRデータベースのLAC値とCI値が更新されます。 同僚がCI 22CFセクターに移動すると、VLRデータベースにこれ以上の変更は発生しません。



2.従業員が実際に困難な交渉を行っているかどうかを知りたい。 そして、ある時点で、Type-0属性を持つSMSメッセージを作成し、同僚の1人の番号に送信します。 伝説によると、彼は現時点でCI 22CFセクターにいることを思い出します。



3.タイプ0 SMSには別の名前があります-SMS ping。 このメッセージは携帯電話の画面には表示されず、受信したSMSのリストには保存されません。 さらに、加入者が計画しなかったアクション、つまり、VLRデータベースのロケーション属性を更新します。 これで、VLRは、サブスクライバーが到着するセクター、つまりCI 22CFの現在の値を保存します。



4.私たちはすでに活動を開始していますが、まだ結果のバイトを受け取っていません。 加入者の位置に関する情報は更新されていますが、オペレーターの機器の腸内にあり、データを取得するために調査を続けています。 次のステップでは、sendRoutingInfoForSMシグナリングメッセージを生成します。このメッセージでは、従業員の携帯電話番号がパラメーターとして示され、このメッセージをオペレーターのHLRに送信します。



5.テレコムの世界では、特にSS7ネットワーク経由で受信した要求を相互に信頼するのが慣習であり、オペレーターのHLRはこの規則の例外ではありません。 図3は、トレースからの抜粋を示しています。 HLRは、データベース内で、サブスクライバーのIMSI（1）およびアドレスMSC / VLR（2）を検索し、指定された番号のサブスクライバーがカバーするエリア内で、トリックを疑わずに、「対話者」にこのデータを通知します。 ここで、いくつかの数字の値に注意を払うことができます。 IMSI識別子の最初の3桁は、Country Country Code（MCC）を示しています。 ロシアに割り当てられたコード250（1）。 スイッチのアドレスは、より馴染みのある電話番号で提供されます。380はウクライナの国際電話コードです（2）。







図3



このステップでは、少し一時停止できます。 実際のところ、ネットワーク上にはこれにとどまり、モバイルスイッチに対して正確なモバイル加入者の位置に関する情報をユーザーに提供するサービスがあります。







図4



図4は、同じ人物の検索結果を含むスクリーンショットの断片を示しています。 ここに、サブスクライバー番号（1）が表示されます。 さらに、サービスはIMSI（2）識別子を開示します。これは一般に機密情報であり、オペレーターが7つのシールに保存する必要があります。 次に、加入者がいるサービスセンターの番号を表示します（3）。 実際、これはモバイルスイッチの切り捨てられたアドレスです。 ロシアでは、スイッチのアドレス指定が地域の電話番号と一致するため、サービスセンターの番号によって、加入者のいる地域を特定できます。 残念ながら、ウクライナの携帯電話会社にとっては、そのような一致を見つけることができませんでした。



6.検索が続行されます。 ここで、パラメータとしてIMSIを設定するprovideSubscriberInfoメッセージを作成し、このメッセージをモバイルスイッチのアドレスに送信します。 前のステップで必要なすべてのパラメーター（IMSIおよびMSC / VLRアドレス）を取得しました。



7.また、一般的な信頼でプレーします。 スイッチはメッセージを完全に合法であると認識し、MCC / MNCネットワーク識別子、LAC値、最近更新されたCIセクター値を喜んで報告します。



次に、トレースを見てみましょう（図5）。 方向探知に必要なすべての値が取得されます。

• MCC-国コード。
• MNC（モバイルネットワークコード）-モバイルオペレーターコード。
• LAC（さらに使用するには、この値を16進数にする必要があります：41800 = A348h）;
• CGI（Cell Global Identity）-セルコード。値はすぐに16進数で表示されます。

図5



これまでのところ、これはMCCによって国を見つけることができる数字のセットにすぎません-コード255はウクライナに割り当てられています。 これまでのところ、すべてが収束しています。 最後のショットでは、サービスを開いて、基地局の座標を決定します。基地局の座標は、ネットワーク内に多数あります（図6）。 そして、私たちは何を見ますか？ これはキエフではなく、フェオドシヤであり、このセクターは都市の制限ではなく、ビーチのある海岸にサービスを提供しています！ これで、同僚が長い間出張で何をしていたかが明確になりました:)







図6

おわりに

記事で説明されている「サービス」のユーザーとして、犯罪者、産業スパイ、私立探偵を想像することができます...しかし、疑問は残ります。



まず第一に、通信事業者の技術専門家はこの機会を持ち、事業者自身は世界のどの国にいることもできます。



次に、サービスを実装するために、必要なライセンス、機器の購入、SS7への接続を備えた会社を特別に作成し、MAPプロトコルが機能する可能性があります。 ロシアでそのようなオプションを実装するための現金費用は、ラウンド額で計算され、返済する可能性は低いでしょう。



3番目のオプションは、オペレーターの制御ネットワークをハッキングし、既存のインフラストラクチャにバグを導入することです。



また、法執行機関には、位置検索機能を備えたものを含め、独自の運用検索手段（SORM）があります。



投稿：ポジティブリサーチセンター、セルゲイプザンコフ。



PSネットワークデバイスPositive Technologiesのセキュリティ分析部門と、調査中にクリミアに滞在し、加入者として行動したVera Kraskovaに感謝します。