TDC: Vi har ikke kendskab til misbrug af fejl, der tillader mobilsporing

TDC var på forhånd bekendt med sikkerhedsbrist, der gør det muligt at spore en telefon alene med telefonnummeret. Teleselskab har ikke kendskab til misbrug, men vil nu lappe hullerne.

Gennem en sikkerhedsbrist i signalprotokollen SS7 kan man alene ved hjælp af telefonnummeret finde ud af, hvor den korresponderende telefon befinder sig. Det afslørede Information i dag med hjælp fra en tysk sikkerhedsekspert.

Fejlen gælder som minimum for kunder hos TDC og 3, men ifølge førstnævnte har kunder ikke grund til at bekymre sig over, om deres gøren og laden er blevet tæt fulgt af hackere. Det siger TDC’s presserådgiver Rasmus Avnskjold til DR.

Læs også: TDC og 3-mobiler kan vise hvor ejeren er

»Man skal altid være forsigtig med garantier, men vi har ikke kendskab til, at det er blevet misbrugt. Ikke bare på TDC-niveau, men på europæisk niveau,« siger han.

Ifølge pressemedarbejderen er det første gang, nogen udnytter fejlen, som har været TDC bekendt før Information i dag kom på gaden. Det kræver stor indsigt i mobilnettets opbygning for at spore en telefon, lyder det yderligere fra Rasmus Avnskjold.

TDC har kendt til sporingsmuligheden i »et stykke tid« og barsler nu med to konkrete tiltag, der skal lappe på hullerne. Rasmus Avnskjold vil af sikkerhedsmæssige grunde ikke gå nærmere ind i, hvad tiltagene går ud på, og hvornår de bliver implementeret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin R. Ehmsen

Rasmus Avnskjold vil af sikkerhedsmæssige grunde ikke gå nærmere ind i, hvad tiltagene går ud på, og hvornår de bliver implementeret.

Så det bliver nok en "security by obscurity"-løsning, som alligevel ikke lukker hullet.

SS7 er iøvrigt en rigtig herlig hullet si, som kan bruges til at aflytte alles telefonsamtaler, bare man kan udgive sig for at være teleudbyder i langbortistan.

  • 7
  • 0
Jesper Lund

SS7 er iøvrigt en rigtig herlig hullet si, som kan bruges til at aflytte alles telefonsamtaler, bare man kan udgive sig for at være teleudbyder i langbortistan.

En mulighed, som Karsten Nohl nævnte på 31c3, er at blokere for (visse) SS7 requests der ikke kommer fra teleselskabets roaming partere, samt blokere for (visse) requests der kommer andre steder fra end hvor din telefon er registreret. Det kræver at alle SMS'er leveres via dit eget teleselskab, og ikke direkte via den lokale MSC.

  • 2
  • 0
Baldur Norddahl

Det er ikke nok. Roaming partnere betyder også diverse suspekte selskaber i Afghanistan - hvis du altså vil kunne roame i de pågældende lande. Lande hvor det ikke kræver mange USD i bestikkelse at få lov til hvad som helst.

Der er nødt til at være noget sanity checking i systemet. Du kan ikke pludselig roame i Afghanistan samtidig med at telefonen er på en lokal mast i København. Men det klares ikke med en simpel firewall.

  • 4
  • 0
Mogens Ritsholm

Selvfølgelig kan man ikke via en uautoriseret adgang til SS7 eller andre adgange til trafiksystemet spore en telefon geografisk i et andet land.

I trafiksystemet er LAC og BS bare nogle koder, som kræver indgående kenskab til det enkelte net, hvis det skal bruges til geografisk udpegning.

Og så udveksles disse interne koder slet ikke via SS7 til andre net. Det ville være helt meningsløst, da geografien i andres net jo ikke kendes i real time.

Så hvis nogen i Berlin kan finde en mobil i Danmark skyldes det enten adgang til mobilens GPS-info via en eller anden end-to-end feature.

Eller det kan skyldes uautoriseret adgang til driftssystemerne og ikke trafiksystemerne. Altså nærmest en insider adgang ligesom i se og hør sagen.

Privacy er vigtigt.

Men desværre skader alle de fantastiske historier sagen mere end de gavner.

Og så burde telebranchen afvise fantasierne mere kontant. Men de mener, at tavshed om de virkelige forhold tjener dem bedst.

Men der tager de fejl. For den generelle mistro rammer dem jo tilbage i sidste ende.

  • 0
  • 7
Baldur Norddahl

Mogens se nu videoen fra CCC og kom tilbage bagefter. Det er meget muligt oh bliver demonstreret live. Man kan OGSÅ hacke GPS enheden i telefonen via et system beregnet til alarm tjenesten, men det er ikke hvad der sker her. Dette er bare simpelt at spørge HLR og VLR om hvilken mast en given telefon er tilknyttet i dette øjeblik. De koder du nævner offentlige tilgængelige fra Google, som har kortlagt GPS positionen på samtlige master.

  • 7
  • 0
Mogens Ritsholm

Dette er bare simpelt at spørge HLR og VLR om hvilken mast en given telefon er tilknyttet i dette øjeblik

Simpelt at tilgå HLR og VLR i et andet net uden en insideradgang?

Og HLR og VLR ved jo ikke hvilken mast mobilen er på. Det er der ingen, der ved, medmindre den er aktivt kommunikerende. For så er den kun allokeret et LAC, der f.eks. kan være hele Sjælland.

Jeg fastholder, at det er nonsens. Men det er rigtigt, at man kan rigtig meget, hvis man kan komme ind i driftssystemet, evt. hvis teleselskaberne lukker LEA ind.

Derfor bør det fastholdes, at LEA kun har adgang med operatøren som mellemmand - sådan som det også er efter dansk lovgivning.

  • 0
  • 7
Baldur Norddahl

Simpelt at tilgå HLR og VLR i et andet net uden en insideradgang?

Ja? Hvordan vil du sende noget så simpelt som en SMS ellers?

Det manden har fundet ud af at er at der er absolut ingen sikkerhed er i systemet. Og den smule sikkerhed der er, den kan trivielt omgås.

Igen igen, tag dig sammen og se den video inden du siger mere åbenlyst vrøvl. Ja undskyld Mogens, jeg har enormt respekt for dig og dit tidligere virke, men lige her har du forsømt at bruge en halv time på at sætte dig ind i sagen.

Som ekstra service er linket her endnu engang: http://bit.ly/1D1rckf

  • 6
  • 0
Mogens Ritsholm

Ja? Hvordan vil du sende noget så simpelt som en SMS ellers?

En SMS sendes one stop via afsenderens SMS-C, som slet ikke er integreret i mobilsystemet. Den leveres via en intern mobil bærertjeneste i SS7 mellem net og videre ud i det terminerende mobilsystem. Og kun internt i det terminerende mobilsystem er der behov for stedinformation - hvor man som udgangspunkt kun kender trafikområdet.

Jeg har skam set videoen. Den sammenblander det man kan udefra med det, der kræver intern adgang og information.

Jeg gentager: Man kan ikke uden end-to end information eller adgang til driftssystemer stedfæste en mobil i Danmark fra Berlin.

Men vi må bare konstatere, at vi har en forskellig opfattelse af hvordan det virker.

En af os har ret.

  • 0
  • 7
Baldur Norddahl

En af os har ret.

Jeg arbejder tilfældigvis med at aflevere SMS via SS7....

Hvad skal jeg give dig for at du kan se sandheden? PCAP filer der viser traces af hvordan vi sender SMS beskeder?

Først sender man en sendRoutingInfoForSM til HLR. Den giver en global titel tilbage, som vi så bruger til en forwardSM til MSC indeholdende en SMS-DELIVER.

Uden mulighed for at kommunikere med HLR vil vi ikke være i stand til at finde den korrekte global titel til forwardSM. Så hvis du ved noget som helst som GSM, så ved du også at alle netværk må kunne kommunikere med hinandens HLR.

Din påstand var at kun folk med insideradgang til HLR. Det er forkert. Jeg har adgang til HLR for alle netværk og jeg arbejder ikke for nogen teleudbyder (andet end min egen).

Jeg har ikke testet de ting han siger, ikke mindst da jeg vurderer at det vil være ulovligt bare at forsøge og et brud på diverse kontrakter. Men jeg er ikke i det mindste i tvivl om at det vil virke.

Selvfølgelig kan jeg finde din mast, og selvfølgelig kan jeg bruge Googles mastedatabase til at finde GPS positionen på denne mast.

  • 8
  • 0
Mogens Ritsholm

Jeg arbejder tilfældigvis med at aflevere SMS via SS7....

Nej. Du arbejder ikke med at signalere via SS7. Du arbejder med en user part signalering, der underliggende bruger SS7 som transportmedium.

Historien er, at Karl Smart i Tyskland kan følge min færden i Danmark temmelig nøjagtigt alene ud fra kendskab til mit offentlige nummer og en eller anden form for SS7 adgang i Tyskland.

Ok. Lad os efterprøve historien.

I går var jeg en tur rundt i Nordsjælland på ca 100 km. Jeg havde min mobil med og jeg er kunde hos 3.

Jeg har måske været på 50 forskellige master undervejs.

Men jeg brugte ikke telefonen og jeg modtog ikke noget undervejs.

Hele Nordsjælland ligger i det samme trafikområde hos 3. Derfor har min telefon slet ikke været aktivt sendende undervejs. Hver gang den har fundet en ny mast, har den konstateret, at det var samme trafikområde, og at der derfor ikke var årsag til at give sig til kende overfor nettet.
Så 3 har slet ikke nogen viden om min tur.

Hvordan kan Karl Smart så sidde i Tyskland og aflæse den?

Der er en svag mulighed for, at en eller anden ekstern part er koblet direkte til 3 med mulighed for at initiere såkaldt tavs signalering, som tvinger min telefon til at give sig til kende ved aktiv sending, uden at det kan ses på telefonen. Det er bl. a. det man bruger ved Teleobservation.

Men det bør ikke være muligt for uvedkommende, hvis user part er konfigureret rigtigt. Og det bør være et aftalebrud mellem den eksterne part og 3. Og 3 ville formentlig hurtigt opdage misbruget, hvis det fandt sted.

Men kan man også forestille sig et sådant misbrug fra Karl Smart i Tyskland?

Her er det vigtigt at forstå, at SS7 bare er en dum transporttjeneste. Al funktionalitet ligger i User parts og deres indbyrdes samarbejde.
Så man kan ikke uden videre antage, at man fra et fjernt punkt kan det samme som ved en direkte tilslutning.

Funktionaliteten i et nets interne brug af SS7 er større end ved den nationale samtrafik. Og ved den nationale samtrafik er funktionaliteten igen større end ved international samtrafik.

Og det der ikke rager andre, og som der slet ikke er brug for, bør ikke være tilgængeligt neteksternt. Ellers er der begået en fejl.

Nede i Tyskland ved de slet ikke, at min telefon er på 3. For det er et porteret nummer fra TDC. Så når de skal signalere for at sende en SMS eller et opkald til mig, sender de det mod TDCs net eller en mere generel international gateway.

Signaleringen terminerer og behandles i første omgang i en international user part i Danmark. Her vil man opdage, at mit nummer er porteret til 3. Det sker ved hjælp af data fra OCH databasen, der opdateres dagligt.
Efter en intern aftale i Danmark kaskadesignaleres herefter videre til det rigtige net – i mit tilfælde 3.

Måske kan der opstå fejlkonfigurering af signallænker, som kan udnyttes i specifikke tilfælde under ganske bestemte forudsætninger. Og det er måske det, som TDC henviser til som en mulighed de vil lukke.

Men det er helt forkert at tro, at SS7 er et samlet net, hvor man har direkte adgang til den enkelte central. SS7 er som sagt bare en ressource mellem signalpunkter, som optræder i kaskade ved behandling af signaleringen.

Og jeg kan med sikkerhed konstatere, at Karl Smart i Tyskland ikke har kunnet følge min tur i Nordsjælland i går.

  • 0
  • 8
Baldur Norddahl

vordan kan Karl Smart så sidde i Tyskland og aflæse den?

Vi kan konstatere at du faldt i søvn inden du nåede 10 minutter ind i det. Han lader som om han vil ringe til dig men dropper det efter han har fået din masteinformation. Alternativt at han vil sende en SMS.

Og så aner du ikke hvad jeg arbejder med. Måske du skulle tjekke listen over virksomheder der har en point code og tænke lidt over hvad man kan bruge sådan en til uden ss7 adgang.

Vi kan også lige nævne at hvem som helst kan sende tavse SMS beskeder. Det er en del af standarden.

  • 7
  • 0
Baldur Norddahl

Undskyld jeg kiggede på en tidligere præsentation. Han har skiftet metode til noget mere effektivt:

Hackeren sendet anyTimeInterrogation til HLR som så sender provideSubscriberInfo til MSC. Den sender så Paging Request til telefonen. Her er din telefon nødt til at give sig til kende.

Tilbage får han cell id som kan konverteres til gps koordinater her:

https://developers.google.com/maps/documentation/business/geolocation/

Se videolinket fea 11:45 der er svar på alle dine spørgsmål.

  • 9
  • 0
Christian Panton

I trafiksystemet er LAC og BS bare nogle koder, som kræver indgående kendskab til det enkelte net, hvis det skal bruges til geografisk udpegning.

Der er de seneste år lavet omfattende kortlægning af LAC og CellIDs (er det det du kalder BS?). LAC uden for Københavnsområdet er ret bredmasket, men CellID er det tætteste man kommer på lokation (hvis E911 og LCS ikke er enabled i de danske net).
For TDCs vedkommende var det CellID - for "3"s vedkommende LAC som blev lækket. Her er fx et kort over triangulerede TDCs celler i DK.

Der var ved 31c3 mange talks om hvordan man kunne udnytte SS7, særligt Mobile+CAMEL Application Part. Se fx. slides her fra Tobias Engels talk. Slide 13 omtaler (den for det meste lukkede) anyTimeInterrogation forespørgsel. Men dette kan omgås med provideSubscriberInfo andet.

  • 0
  • 0
Mogens Ritsholm

Der var ved 31c3 mange talks om hvordan man kunne udnytte SS7, særligt Mobile+CAMEL Application Part. Se fx. slides her fra Tobias Engels talk. Slide 13 omtaler (den for det meste lukkede) anyTimeInterrogation forespørgsel. Men dette kan omgås med provideSubscriberInfo andet.

Det forudsætter stadig, at du fra en SS7 adgang i udlandet har fuld adgang til alle signaladgange gennem de forskellige typer af sinallænker, der er på vejen.

Jeg ved det ikke.

Men jeg håber ikke, at det er alment gældende.

For man bør jo ikke have adgang til mere, end der er brug for.

Med i billedet hører også, at alle operatører overvåger trafik og signaltrafik temmelig nøje af hensyn til fraud.

Så et større misbrug kan næppe forekomme uden at afsætte tydelige spor i denne overvågning.

Men lad mig vende den rundt.

Hvad mener i så, at løsningen er, hvis det er så åbent som I påstår?

  • 2
  • 0
Tom Paamand

Tilbage i 2006 kodede jeg et simpelt live tv-system, der sendte fra en standard mobiltelefon helt uden smartphone-funktioner. For at omgå de dyre MMS-takster blev videoerne sendt til mit eget "mobilselskab", der blot var en server med lidt kodning, så jeg slap med ren Mb-pris. Jeg brugte ikke mobilselskabet til andet, men det fungerede fint og blev aldrig blokeret - og metoden kunne sikkert også i dag bruges til diverse kriminelt, som frække folk havde lyst til.

  • 3
  • 0
Log ind eller Opret konto for at kommentere