Здравствуйте мои белые кролики. 🐰
Перед началом:
Хочу поблагодарить вас 500 людей на канале, я очень этому рада 🎉❤️

Я хочу рассказать про криминалистику мобильных сетей📡, и как эти доказательства будут применяться в суде.

Пост разделен на 3 ибо он длинный, так же ниже будет архив с подробными матерьялами по этой тематике⭐️

Сейчас буквально у всех есть мобильные телефоны с возможностью юзать многие интернет сервисы, подобное и повышение коммуникабельности приводит к снижению "обычных" коммуникационных событий (голосовые вызовы, текстовые сообщения и тд), зафиксированных в раскрытых CDR сейчас стало больше событий с передачей GPRS/мобильных данных, зафиксированных в биллинговых данных.
А это означает, что аналитики вынуждены анализировать все большей масштабы данных что довольно трудоемко🧩
Влияние неопределенности, существующей в отношении CDR GPRS/мобильных данных, в частности в отношении "стартовой ячейки", указанной в CDR, и корреляции между этой ячейкой и выводы о сотовом сайте, основанные на доказательствах GPRS, часто не могут быть столь же определенными, как данные, которые могут быть сделаны на основе данных GPRS.

Для начала немножко про GPRS

GPRS предлагает услугу передачи данных "с коммутацией пакетов".
Услуги с PS обычно только занимают ячейку соединения, когда им действительно есть что отправлять или получать(сообщения , звонки и тд)
Это делает его хорошо подходящими для передачи трафика данных.
Большинство приложений для передачи данных - просмотр веб-страниц, электронная почта и тд, имеют данные, которыми нужно обмениваться лишь периодически(пакетиками)
Но грубо говоря, термин "GPRS" (и связанный с ним термин "EDGE") относится только к службе мобильной передачи данных, предоставляемой в сетях 2G. В сетях 3G, 4G и 5G эта услуга называется
просто "мобильными данными" или "данными с коммутацией пакетов", но термин "GPRS" прижился и ошибочно используется как общий термин для всех услуг мобильной передачи данных.
В дальнейшем тексте термины "GPRS" и "сети передачи данных PS" будут использоваться для обозначения ко всем поколениям мобильно сети 🙃

Услуги передачи данных 2G GPRS используют те же радиоканалы, соты и сети доступа, что и голосовые услуги 2G голосовые услуги GSM.
GSM увеличивает пропускную способность своих радиоканалов путем разделения каждый из них на набор из 8 "таймслотов" - до 8 телефонов используют один и тот же радиоканал одновременно, каждый из которых периодически передает/принимает небольшие объемы данных в свой собственный
таймслоте в строгой последовательности.

BSC в 2G обрабатывает трафик, полученный в таймслотах "голос" и "данные" по-разному, перенаправляя голосовой трафик в основную сеть CS, а трафик данных - в основную сеть PS
базовой сети.

Радиоканалы 3G/4G/5G не используют таймслоты, но предоставляют общий доступ к ресурсам соединений, которые они используют. Общие термины "соединения" или "сеансы" будут используются для описания подключения данных PS, используемого всеми поколениями сетей.
Основная сеть PS 2G/3G состоит из двух основных элементов, известных как SGSN и GGSN . SGSN взаимодействует с сетью доступа и управляет обменом пакетами данных с мобильными устройствами. SGSN получает запросы на установку сеанса передачи данных от мобильных устройств и передает их в GGSN. Как только сеанс активирован, SGSN передает пакеты данных как в восходящем, так и в нисходящем и ведет подсчет объема отправленных и полученных данных.

SGSN также периодически получает информацию о соте, которую в настоящее время использует каждое активное мобильное устройство и принимает к сведению любые изменения соты или области маршрутизации. GGSN - это, по сути, маршрутизатор, который взаимодействует с внешними сетями, такими как интернет
#GPRS #network #mobile #forensics

Каждый GGSN может подключаться к нескольким внешним сетям и включает в себя логический элемент, известный как APN элемент, для выполнения обязанностей по взаимодействию с каждой конкретной внешней сети. 😶‍🌫️

Имя, присвоенное APN, обычно отражает сеть или услуги, к которой она подключается, поэтому типичными являются APN 'Internet', 'MMS' и 'ims'. SGSN и GGSN генерируют CDR  для каждого сеанса передачи данных и передают их в сеть.

В базовой сети 4G PS используются устройства, аналогичные SGSN/GGSN, которые называются S-GW и P-GW . Контроль соединений и управление абонентами в сетях 4G осуществляется с помощью MME . Биллинговые данные для сеансов передачи данных 4G генерируются в S-GW и P-GW.

В сетях 5G используются аналогичные методы обработки мобильных данных, что и в сетях 4G, хотя названия сетевых узлов снова изменились: вместо типов узлов обработки пакетных данных, в сети 5G имеется только один тип устройств, известный как UPF . Управление соединениями и абонентами осуществляется узлом, известным как AMF (функция управления доступом и мобильностью).
Данные для выставления счетов генерируются в UPF.

Голосовые и текстовые события обычно имеют очень четкую временную идентичность, в том смысле есть с времени начала до окончания голосового вызова и время передачи или время доставки текстового события.
Записи вызовов для событий SMS определяют идентификатор соты, которая использовалась для передачи текстового сообщения.
Передача SMS обычно занимает всего несколько десятков миллисекунд, не существует механизма, позволяющего, позволяющего осуществлять переключение во время SMS-события, поэтому в записях SMS обычно указывается только
идентификатор "стартовой" ячейки.

В случае как голосовых, так и SMS-событий, аналитики сотовых сайтов могут быть абсолютно уверены в том, что целевой телефон находился в зоне покрытия перечисленных сот в момент начала события и (в случае голосовых записей) в момент начала события и в момент его окончания. 👌
Таким образом, по отчетам сотовых сайтов можно сделать вывод в отношении соты, обслуживающей важное местоположение, что использование этой соты согласуется с возможностью того, что целевой телефон мог находиться "в" этом месте

CDR данных GPRS/PS могут быть гораздо менее определенными в отношении корреляции их временных меток и начальных ячеек, и поэтому потенциально менее ценны с точки зрения доказательств о сотовом сайте, которые они могут предоставить.
Новый CDR данных GPRS/PS открывается, когда мобильное устройство устанавливает новый логический сеанс связи с сетью передачи данных
Например, с интернетом📡, там каждому новому сеансу присваивается отдельный идентификатор.

Отдельные CDR генерируются узлами SGSN/S-GW и GGSN/P-GW.
#GPRS #network #mobile #forensics

Ну так вот к чему эти тех подробности ?

Они нужны для того чтобы вы поняли как работают мобильные сети и как передаются данные по ним, чтобы понимать как вас можно отследить .

Что собирает наш оператор ?

А собирает он и виде много чего что у нас есть, как вы читали ранее:
От нашего точного местоположение(даже при отсутствии вызовов) , до истории поиска и сайтов в интернете, звонки и смс (но там немного сложнее как вы читали выше), или что вы используйте i2p , vpn или tor .

Из-за этого я искренне советую не пользоваться чем то подобным с телефоном .

Более подробно именно по сбору данных в статьях в архиве ниже✨🧩

Но так что из этого можно применить в суде ?

Поговорим о криминалистике операторов MNO и операторов MVNO, но ремарочка все что здесь сказано имеет отношение в основном к США тем не менее многое из нее уместно и в других странах .
Но так вот как мы наверное знаем активность абонентов MNO/MVNO , определенные в стандартах 3G это CDR ,он представляет собой некую "коллекция информации о платном событии "(например, время установления вызова, продолжительность вызова, объем переданных данных и тд)
CDR, относятся к классу не зависимых доказательств. Т.е эти доказательства представляются в зале суда в основном качестве доказательств деловой документации.

Обычно ключевыми доказательствами юзается такая инфа как данные о CDR/CSLI и MNO так же могут юзать записи активности абонентов мобильной сети (созданные во время использования абонентского устройства, пока оно зарегистрировано в MNO/MVNO инфраструктуре и во время коммуникаций сеансов связи), голосовые вызовы, текстовые SMS, голосовые вызовы, текстовые сообщения SMS и использование данных.
Множество элементов мобильной элементов сети, включая HLR, VLR , CGF, PCRF документируются в качестве доказательств использование устройства , так же отправка записей об активности на шлюз выставления счетов/выставления счетов.

Думаю на этом все✨
Для более подробного ознакомления глянуть архив со статьями ниже. Там много итересного 🙃

Спасибо за прочтение❤️ .
И помните даже если вы не червонный валет, вас тоже могут судить у пиковой королевы🃏♠️
#network #mobile #forensics

Hello my white rabbits. 🐰
Before we start:
I want to thank you 500 people on the channel, I'm very happy about that 🎉❤️

I want to talk about mobile network forensics📡 and how this evidence will be used in court.

The post is divided into 3 for it is long, also below will be an archive with detailed material on this topic⭐️

Now literally everyone has a cell phone with the ability to use many Internet services, a similar and increased communication leads to a decrease in "normal" communication events (voice calls, text messages, etc.), recorded in disclosed CDR now has more events with the transfer of GPRS / mobile data recorded in billing data.
And this means that analysts are forced to analyze more and more scales of data which is quite time-consuming🧩
The impact of the uncertainty that exists with respect to CDR GPRS/mobile data, particularly with respect to the "starting cell" specified in the CDR and the correlation between that cell and cell site conclusions based on GPRS evidence often cannot be as certain as data that can be made from GPRS data.

First, a little bit about GPRS

GPRS offers a "packet-switched" data service. 

Services with PS usually only occupy a connection cell when they actually have something to send or receive (messages, calls, etc)
This makes it well suited for transmitting data traffic.

Most data applications - web browsing, email, etc, have data to be exchanged only periodically(packets)
But roughly speaking, the term "GPRS" (and the related term "EDGE") refers only to mobile data service provided in 2G networks.
In 3G, 4G, and 5G networks, this service is called simply "mobile data" or "packet-switched data," but the term "GPRS" has caught on and is mistakenly used as a generic term for all mobile data services.

In the following text, the terms "GPRS" and "PS data networks" will be used to refer to all generations of mobile network 🙃

2G GPRS data services use the same radio channels, cells, and access networks as GSM 2G voice services. 

GSM increases the capacity of its radio channels by separating
each into a set of 8 "timeslots" - up to 8 telephones using the same radio channel simultaneously, each of which periodically transmits/receives small amounts of data into its own
timeslot in a strict sequence.

The BSC in 2G handles traffic received in the "voice" and "data" time slots differently, redirecting voice traffic to the CS core network and data traffic to the PS
of the core network.

3G/4G/5G radio channels do not use timeslots, but do share the resources of the connections they use. The generic terms "connections" or "sessions" will
used to describe the PS data connections used by all network generations.

The core PS 2G/3G network consists of two basic elements known as the SGSN and GGSN .The SGSN communicates with the access network and manages the exchange of data packets

with mobile devices.
The SGSN receives requests to establish a data session from mobile devices and forwards them to the GGSN. Once the session is activated, the SGSN transmits data packets both upstream and downstream and keeps a count of the amount of data sent and received. The SGSN also periodically receives the cell information that each active mobile device is currently using and takes note of any changes to the cell or routing area.
The GGSN is essentially a router that communicates with external networks, such as the Internet
#GPRS #network #mobile #forensics

Each GGSN can connect to multiple external networks and includes a logical element, known as an APN element, 

to perform the duties of communicating with each specific external network. 😶‍🌫️

The name assigned to an APN usually reflects the network or service to which it connects, so typical APNs are 'Internet', 'MMS' and 'ims'. The SGSN and GGSN generate CDRs for each data session and transmit them to the network.

The 4G PS core network uses devices similar to the SGSN/GGSN, which are called S-GW and P-GW . Connection control and subscriber management in 4G networks is done with MME . Billing data for 4G data sessions are generated in S-GW and P-GW.

5G networks use similar mobile data processing methods as 4G networks, although the names of network nodes have changed again:
instead of packet data processing node types, the 5G network has only one type of device known as UPF . Connections and subscribers are managed by a node known as AMF (Access and Mobility Management Function). Billing data is generated in the UPF.

Voice and text events usually have a very clear temporal identity, in the sense that there is from the start time to the end time of the voice call and the transmission time or
delivery time of the text event. The call records for SMS events identify the cell ID that was used to transmit the text message.
SMS transmission usually takes only a few tens of milliseconds, there is no mechanism to allow switching during an SMS event, so SMS records usually only specify the identifier of the "start" cell.

In the case of both voice and SMS events, cell site analysts can be absolutely certain that the target phone was within coverage of the listed cells at the time the event began and (in the case of voice records) at the time the event began and at the time it ended. 👌

Thus, from the cell site reports, it can be concluded with respect to the cell serving the important location that the use of that cell is consistent with the possibility that the target phone may have been "in" that location GPRS/PS data CDRs may be much less certain about the correlation of their timestamps and starting cells, and therefore potentially less valuable in terms of the evidence about the cell site that they can provide.
A new GPRS/PS data CDR opens when the mobile device establishes a new logical session with the data network Internet📡 for example, there each new session is assigned a separate identifier.

Separate CDRs are generated by the SGSN/S-GW and GGSN/P-GW nodes.
#GPRS #network #mobile #forensics

So that's what these technical details are for?

They are needed for you to understand how mobile networks work and how data is transmitted over them, so that you understand how you can be tracked.

What does our operator collect?

It collects everything we have, as you have read before:

from our exact location (even if you don't make any calls), to our search history and internet sites, calls and sms (but it is a bit more complicated as you read above), or that you use i2p, vpn or tor.

Because of this I sincerely advise not to use something like this with the phone.

More on data collection in the articles in the archive below✨🧩

But what of this can be applied in court?

Let's talk about the forensics of MNO operators and MVNO operators, but a remark all that is said here is relevant mainly to the USA nevertheless much of it is also relevant in other countries .
But as we probably know the activity of MNO/MVNO subscribers defined in 3G standards is CDR, it is a kind of "collection of information about the paid event" (for example, call setup time, duration of the call, the amount of data transferred, etc.)

CDR, belong to the class of independent evidence. That is, this evidence is presented in the courtroom primarily as evidence of business records. 

Usually the key pieces of evidence are CDR/CSLI and MNO may also use the mobile subscriber activity records (created during the usage of the subscriber's device while it is registered in the MNO/MVNO infrastructure and during the communication sessions), voice calls, text SMS, voice calls, SMS text messages and data usage.
Multiple mobile network elements including HLR, VLR , CGF, PCRF are documented as evidence of device usage , as well as sending activity records to the billing/billing gateway.

I think that's all✨
For more details see the archive with articles below. Lots of interesting stuff there 🙃

Thanks for reading❤️ .
And remember even if you are not a jack of hearts, you can also be judged by the queen of spades🃏♠️
#network #mobile #forensics

Статьи про форензику , сбор данных от мобильных операторов, про работу мобильно сети и про лояльность сбора приватной информации оператором. И так же еще много чего интересного .
Надеюсь вам будет полезно❤️🧩

Articles about forensic, data collection from mobile operators, the work of the mobile network and the loyalty of the collection of private information by the operator. And also many other interesting things.
I hope you will find it useful❤️🧩
#network #GPRS #tor #mobile #forensics #anonymity

Привет, мои Мерри эн 🐭🧩

Хочу предоставить вам автомобильную уязвимость CVE-2022-27254. 🚗

Она затрагивающая некоторые модели автомобилей Honda и Acura

В ней злоумышленник может получить полный и неограниченный доступ к запиранию, отпиранию, управлению окнами, открытию багажника и запуску двигателя целевого автомобиля

Атака состоит в том, что: злоумышленник перехватывает радиочастотные сигналы с вашего брелока, и повторно отправляет их, чтобы получить контроль над системой без ключа вашего автомобиля.

Подробнее CVE-2022-27254, представляет собой атаку MitM или, точнее, атаку повторного воспроизведения, при которой злоумышленник перехватывает РЧ-сигналы, обычно отправляемые с удаленного брелка в автомобиль.
Потом повторно отправляет их, чтобы разблокировать автомобиль по желанию.
Простого захвата сигнала, отправленного с FOB, достаточно, чтобы получить хоть какой-то контроль над транспортным средством, лол😶‍🌫️.
Если цель блокирует свою машину, все, что требуется, — это получить ее сигнал и сохранить его, чтобы получить возможность воспроизвести ту же команду и получить соответствующую реакцию машины.

Honda сообщила нам, что несколько автопроизводителей используют устаревшие технологии для реализации функций удаленной блокировки и разблокировки, и поэтому могут быть уязвимы для "решительных и очень технически продвинутых воров".

"В настоящее время кажется, что устройства работают только в непосредственной близости или физически прикреплены к целевому транспортному средству, что требует локального приема радиосигналов от брелка владельца транспортного средства, когда транспортное средство открывается и заводится поблизости"

Обратите внимание, что в своем заявлении Honda прямо упоминает, что не проверяла информацию, предоставленную исследователями, и не может подтвердить, действительно ли автомобили Honda уязвимы для такого типа атак.

И как вы понимайте они не сильно горят желанием устранять это. 

А на этом все, будьте осторожнее с вашими авто. 🚘

Вот вам полезные ссылки на различные poc и статьи про эту уязвимость

Тык
Тык
Тык
Тык
Тык

Спасибо за прочтение❤️
И помните: Младенец которого качает герцогиня на самом деле поросенок 🐷
#car #attacks #cve #exploit #news

Hello, my Merry en 🐭🧩

I want to give you the automotive vulnerability CVE-2022-27254 . 🚗

It affects some models of Honda and Acura cars.

In it, an attacker can gain full and unrestricted access to lock, unlock, control windows, open the trunk, and start the engine of the target vehicle

The attack is this: the attacker intercepts radio frequency signals from your key fob, and re-sends them to gain control of the system without your car key.

Read more CVE-2022-27254, is a MitM attack or, more specifically, a replay attack in which an attacker intercepts RF signals normally sent from a remote key fob to your car.
Then re-sends them to unlock the car at will.
Simply capturing the signal sent from the FOB is enough to gain some control over the vehicle, lol😶‍🌫️.
If a target locks their car, all it takes is getting their signal and saving it to be able to replay the same command and get an appropriate response from the car.

Honda told us that several automakers are using outdated technology to implement remote locking and unlocking features, and therefore may be vulnerable to "determined and very technically advanced thieves."

"Currently, the devices seem to work only in close proximity or are physically attached to the target vehicle, requiring local reception of radio signals from the vehicle owner's key fob when the vehicle is opened and started nearby."

Note that in its statement, Honda explicitly mentions that it has not verified the information provided by the researchers and cannot confirm whether Honda vehicles are indeed vulnerable to this type of attack.

And as you can understand they're not too keen on fixing it. 

And that's it, be careful with your autos. 🚘

Here are some useful links to various poc and articles about this vulnerability

Link
Link
Link
Link
Link

Thanks for reading❤️
And remember: The baby the Duchess is rocking is actually a piggy 🐷
#car #attacks #cve #exploit #news

"Демократия" решила что будет вторая часть про телефоны- сейчас работаю над ней сегодня/завтра выйдет

"Democracy" has decided that there will be a second part about phones - now I'm working on it today /tomorrow it will be released

Добрый день, мои любопытные Алиски . 🧩✨

Извините за долгое отсутствие .
Пока я пишу про телефоны (там давольно большая тема , но думаю вам понравиться) , я решила седлать статью про мобильную связь📱 .
Точнее про атаки в SS7 (в 4g или LTE в частности) 📡

Да многие говорят: "ss7 устарел", хотя на практике он используется все довольно часто.
В особенности в странах снг, впрочем, не только в них. По прогнозам, объем мирового рынка SS7 достигнет 597 млн долларов США к 2028 году по сравнению с 531,2 млн долларов США в 2021 году при среднегодовом темпе роста 1,7% в период с 2022 по 2028 год.
Да и вообще он все еще в расцвете сил (так сказать) , во много регионах Европы даже в азии.
Вот более подробный матерьял про рынок ss7 : тык

По это причине будет резонно поговорить именно о нем его уязвимостях, в частности перехвате IMSI и dos атаках.🎯
Из привёдших постов по этой теме(если не читали их гляньте по тегу #ss7) вы уже помните что такое ss7 и как оно работает .

Теперь следует поговорить про сам атаки на его уязвимости

Первое о чем я хочу рассказать это что-то вроде прослушивания . 

Ибо злоумышленник может подслушивать данные абонента, отправлять/изменять текстовые сообщения жертве, действуя как MiTM. При этом жертва совершенно не подозревает об атаке , если кратко (подробнее будет в одной из статей ниже в архиве) и в посте в последствии .
Злоумышленник устанавливает мост между двумя вызывающими сторонами и направляет все звонки в свою систему мониторинга. Для этого используются MAP сообщения и функция переадресации вызовов.
Целевой пользователь обычно не знает об этой атаке. А злоумышленник может направить вызовы жертвы в систему мониторинга на уровне MAP-сообщений SS7.

Одной из причин этого , является отсутствие шифрования в сети что "на руку " для этих атак.

Еще есть атаки когда при атаке выдается MSC. Целью является получение текстовых сообщений или информации о банковском счете жертвы и подобные другие атаки. USSD используются для получения инфы к примеру банка . Счет жертвы может быть незаконно присвоен к примеру.

Так же есть DOS атаки .💣
Основным мотивом DOS является отказ в предоставлении услуг определенному абоненту.
Когда пользователь получает информацию о новое местоположение и регистрируется в последнем MSC/VLR, он сначала делает запрос на обновление MAP в HLR. После проверки полученного HLR выдает команду ISD новому MSC/VLR и DSD ,CL а так же нашему старым MSC/VLR .
Делая подобное, злоумышленник может изменить разрешенные услуги жертвы, например, запретить абоненту совершать телефонные звонки, отправлять SMS, или вообще удалить его из подключенного VLR абонента.

Это кажется не таким вредным, но может помочь более сложным атакам после.🫥
#lte #network #ss7 #mobile #attacks #dos

Так же не редкость какие-либо атаки по местоположению .
Злоумышленник может использовать либо MAP и ATI либо запросы сообщений PSI для отслеживания лактации.




Теперь поговрим про 4g или LTE🔑

Все еще существуют некоторые уязвимости и проблемы в системе безопасности LTE, в частности на уровне MAC.

Плоская IP-архитектура сетей 3GPP LTE приводит к увеличению рисков безопасности, таких как уязвимость к атакам внедрения, модификации, подслушивания(типо тех атак, что были описаны выше) .
Установлено, что архитектура LTE более уязвима к традиционным вредоносным атакам, таких как подмена IP-адреса, DoS-атаки, вирусы, черви, спам-письма и звонки, и так далее. 🩸

Есть еще несколько потенциальных слабостей, вызванных базовыми станциями, существующими в системах LTE.


Сеть all-IP предоставляет злоумышленникам прямой путь к базовым станциям. 

Поскольку MME управляет многочисленными eNBs в плоской архитектуре LTE. Как только противник компрометирует базовую станцию, он может подвергнуть опасности всю сеть из-за IP-природы сетей LTE.
Более того, из-за внедрения небольших и недорогих базовых станций, HeNBs, которые легко получить злоумышленнику, он может таким образом создать свою собственную неавторизованную версию.

Используя неавторизованную базовую станцию, злоумышленник может выдать себя за настоящую базовую станцию, чтобы переманить законного пользователя. Кроме того, он может замаскировать легитимного пользователя для установления соединения с подлинной базовой станцией.
Архитектура LTE может породить некоторые новые проблемы в процедурах аутентификации при переходе.
Из-за внедрения простой базовой станции, HeNB, существует несколько различных сценариев мобильности в сетях LTE, когда UE перемещается от eNB/HeNB к новой HeNB/eNB.

В EPS AKA отсутствует защита конфиденциальности . 

Существует множество случаев, приводящих к раскрытию IMSI.
Например, когда UE регистрируется в сети в первый раз или с текущим MME невозможно связаться, или IMSI не может быть получен из-за возможного сбоя синхронизации при роуминге к новому MME, текущий MME или новый
MME запрашивает IMSI UE, и таким образом, UE должно передать IMSI в открытом виде.
Раскрытие IMSI может повлечь за собой серьезные проблемы с безопасностью , доходя даже до перехвата смс.
Как только IMSI будет получен, злоумышленник может получить информацию об абоненте, местоположении и даже информацию о разговоре, а затем замаскировать настоящий UE и запустить другие атаки, такие как DoS-атаки, чтобы разрушить сеть.

Пример различных атак:

Отслеживание на основе C-RNTI

Поскольку C-RNTI в управляющем сигнале L1 можно прочитать, злоумышленник может узнать, продолжает ли UE использовать C-RNTI.


Он может узнать, находится ли UE, использующее C-RNTI, все еще, в той же соте или нет, а также может связать C-RNTI и соответствующие сообщения, если они не зашифрованы. 

Использование одной и той же CRNTI в пределах одной соты, предоставляет информацию о присутствии UE для злоумышленника.
Если он может сопоставить сигнализацию с услугами, где идентификатор пользователя виден, он может сопоставить идентификационные данные на уровне соты с идентификационными данными на уровне услуг пользователя. В процессе хэндовера новый CRNTI назначается UE с помощью команды хэндовера.
Это означает, что злоумышленник может связать новый C-RNTI в сообщении Handover Command и старый C-RNTI в управляющем сигнале L1, если только само назначение C-RNTI не защищено конфиденциальностью. Это позволяет отслеживать UE в нескольких сотах.

Идентификация сообщений на основе небольших различий в длине сообщений не является очевидной атакой , да и провести ее сложновато и может даже невозможно💧 . Тем не мнение я решила упомянуть это🙃🧩
#lte #network #ss7 #mobile #attacks #dos

Атака на ложный отчет о состоянии буфера

🍩

Отчет о состоянии буфера используется в качестве входной информации для алгоритмов планирования пакетов, распределения нагрузки и управления допуском.
Злоумышленник может изменить поведение этих алгоритмов, отправляя ложные отчеты о состоянии буфера от имени другого нормального UE.
Хотя влияние этой угрозы зависит от алгоритмов реализации, можно проиллюстрировать несколько возможных атак.
Первая атака заключается в краже пропускной способности путем изменения поведения планирования пакетов.
Используя C-RNTI другого UE, атакующий может отправлять отчеты о состоянии буфера от имени других UE. Это может заставить сеть поверить, что другим UE нечего передавать (буферы пусты). В результате алгоритм планирования пакетов в eNB не выделяет/меньше ресурсов этим другим UE, а больше ресурсов выделяет злонамеренному UE .

Вторая атака заключается в изменении поведение алгоритмов балансировки нагрузки/контроля доступа в eNBs.

От имени реальных UE атакующий утверждает, что у них больше данных в буферах отправки, чем на самом деле буферизовано в них. 

Множество таких отчетов о состоянии буфера от различных UEs, заставляют сеть поверить, что существует нагрузка на этой ячейке.
Следовательно, новые прибывающие UE не могут быть приняты этой ячейкой.
Эти виды атак трудно обнаружить , они снижают пропускную способность/возможности системы.
Атака может даже считаться более вредной, чем глушения, поскольку для ее выполнения требуется меньше энергии💥.
Но на практике злонамеренному UE(или злоумышленику) трудно осуществить такую атаку.
Когда UE общается с обслуживающей его eNB, поддельный отчет буфера будет сталкиваться с пакетом от нормального UE.
Но, как обсуждалось выше, злоумышленник может внедрить поддельный отчет о состоянии буфера когда UE входит в длительный период DRX. Этот отчет не вызовет никакого конфликта с управляющим сигналом от обычного UE.

Еще пример атаки другой⚡️

Если плоскость пользователя (RLC, PDCP) или плоскость управления (RRC, NAS) номера последовательности пакетов непрерывны до и после хэндовера, злоумышленник может угадать отображение между старыми и новыми C-RNTI, основываясь на непрерывности номеров последовательности пакетов.
Чем больше битов используется для номера последовательности на радиоканале, тем выше вероятность эного.
Это особенно актуально для EUTRAN и подобных сетей с высокой пропускной способностью ,поскольку порядковый номер должен быть длиннее для правильной работы ARQ.
Этот тип отслеживания UE также применим к переходам состояния между холостым и активным, если конечно номера последовательности сохраняются непрерывными.
Злоумышленник радиоканала может отслеживать UE на основе непрерывных порядковых номеров пакетов в потоках пакетов.
Эта атака представляется особенно интересной для E-UTRAN, поскольку UE будут находиться в активном состоянии в течение длительных периодов времени.
Также ожидается, что UE будут получать больше пакетов из сети в E-UTRAN, чем например в UTRAN.


Это была теоретическая часть серии посто про ss7 для того чтобы вы понимали какие бывают атаки ,и как они работают . В бедующем я расскажу про более практическое применение этого.📱📡
Для более подробных матерьялов об атаках , архитектуре защиты , и многое другое смотре статьи в архиве ниже.🧩❤️‍🔥

А на этом все , спасибо за прочьение ❤️.
И помните : Если злая горлица говорит что вы змея она ошибается, даже если вы тоже едите яйца🐦🐍
#lte #network #ss7 #mobile #attacks #dos

Good afternoon, my curious Alice . 🧩✨

Sorry for the long absence .
While I'm writing about phones (it's a big topic, but I think you'll like it), I decided to write an article about mobile phones📱 .
More precisely about attacks in SS7 (in 4g or LTE in particular) 📡

Yes many people say "ss7 is obsolete" although in practice it is used all quite often.
Especially in cis countries, however, not only them. The global SS7 market is projected to reach $597 million by 2028, up from $531.2 million in 2021 at a compound annual growth rate of 1.7% from 2022 to 2028.
And it's still in its prime (so to speak) , in many regions of Europe, even in Asia.
Here is a more detailed article about the ss7 market: link

For this reason it would be reasonable to talk about his vulnerabilities, especially the IMSI hijacking and dos attacks.🎯

From the above posts on this subject (if you have not read them, go to #ss7) you remember already what ss7 is and how it works.

Now we should talk about the attack itself on its vulnerabilities

The first thing I want to talk about is something like eavesdropping . 

For the attacker can eavesdrop on the subscriber's data, send/change text messages to the victim, acting like a MiTM . The victim is completely unaware of the attack, in short (more details will be in one of the articles below in the archive) and in a post in the aftermath .
The attacker establishes a bridge between the two callers and routes all calls to his monitoring system. This uses MAP messages and the call forwarding feature.
The target user is usually unaware of this attack. And the attacker can route the victim's calls to the monitoring system at the level of MAP messages SS7.
One reason for this, is the lack of encryption on the network which is "handy" for these attacks.

Then there are attacks where the attack is performed with the MSC. The goal is to obtain text messages or bank account information from the victim and other similar attacks. USSDs are used to obtain information about a bank for example. The account of the victim can be misappropriated for example.

There are also DOS attacks .💣

The main motive of DOS is to deny service to a certain subscriber.
When a user receives information about a new location and registers in the last MSC/VLR, it first makes a request to update the MAP in the HLR. After checking the received HLR gives ISD command to the new MSC/VLR and DSD, CL as well as to our old MSC/VLR.
By doing this, the attacker can change the allowed services of the victim, for example, prohibit the subscriber to make phone calls, send SMS, or even remove him from the connected VLR subscriber.

This does not seem as damaging, but can help more sophisticated attacks afterwards.🫥
#lte #network #ss7 #mobile #attacks #dos

Location-based attacks are also not uncommon. 

An attacker can use either MAP and ATI or PSI message requests to track lactation.




Now let's talk about 4g or LTE🔑

There are still some vulnerabilities and issues in LTE security, particularly at the MAC level.

The flat IP architecture of 3GPP LTE networks leads to increased security risks such as vulnerability to infiltration, modification, eavesdropping attacks(like the attacks described above) .
The LTE architecture has been found to be more vulnerable to traditional malicious attacks such as IP spoofing, DoS attacks, viruses, worms, spam emails and calls, and so on. 🩸

There are several other potential weaknesses caused by the base stations that exist in LTE systems.
The all-IP network gives attackers a direct path to the base stations. 

Since the MME manages numerous eNBs in the flat LTE architecture. Once an adversary compromises a base station, it can expose the entire network because of the IP nature of LTE networks.
Moreover, because of the introduction of small and inexpensive base stations, HeNBs, which are easy for an attacker to obtain, he can thus create his own rogue version.

Using a rogue base station, the attacker can impersonate a real base station in order to poach a legitimate user. He can also disguise a legitimate user to establish a connection with a genuine base station.
The LTE architecture may create some new problems in the authentication procedures for switching.
Because of the introduction of a simple base station, HeNB, there are several different mobility scenarios in LTE networks when a UE moves from an eNB/HeNB to a new HeNB/eNB.

There is no privacy protection in EPS AKA . 

There are many instances that lead to IMSI disclosure.

For example, when a UE registers on the network for the first time, or the current MME cannot be contacted, or the IMSI cannot be obtained due to a possible synchronization failure while roaming to the new MME, the current MME or new
MME requests the IMSI of the UE, and thus the UE must transmit the IMSI in plaintext. 

Disclosure of the IMSI can lead to serious security problems, going as far as texting interception.
Once the IMSI is obtained, an attacker can get the subscriber, location, and even conversation information, and then disguise the real UE and launch other attacks, such as DoS attacks, to destroy the network.

Example of different attacks:

C-RNTI-based tracking.

Since the C-RNTI in the L1 control signal can be read, an attacker can find out if the UE continues to use C-RNTI.
He can find out whether the UE using the C-RNTI is still in the same cell or not, and can also associate the C-RNTI and the corresponding messages if they are not encrypted.

Using the same CRNTI within the same cell, provides information about the presence of the UE to an attacker.
If he can map the signaling to services where the user ID is visible, he can map the identity at the cellular level to the identity at the user's service level. During the handover process, a new CRNTI is assigned to the UE using the handover command.
This means that an attacker can associate the new C-RNTI in the Handover Command message and the old C-RNTI in the L1 control signal, unless the C-RNTI assignment itself is privacy-protected. This allows UEs to be tracked across multiple cells.

Message identification based on small differences in message lengths is not an obvious attack, and it is difficult and maybe even impossible💧 . Nevertheless, I decided to mention it🙃🧩
#lte #network #ss7 #mobile #attacks #dos

Attack on false buffer status report🍩

The buffer state report is used as input to the packet scheduling, load balancing, and tolerance management algorithms.

An attacker can modify the behavior of these algorithms by sending false buffer state reports on behalf of another normal UE. 

Although the impact of this threat depends on the implementation algorithms, several possible attacks can be illustrated.
The first attack is to steal bandwidth by changing the packet scheduling behavior.
Using the C-RNTI of another UE, the attacker can send buffer status reports on behalf of other UEs. This can make the network believe that the other UEs have nothing to transmit (buffers are empty). As a result, the packet scheduling algorithm in eNB does not allocate/allocate less resources to these other UEs, but allocates more resources to the malicious UE .

The second attack is to change the behavior of load balancing/access control algorithms in eNBs.



On behalf of real UEs, the attacker claims that they have more data in their sending buffers than is actually buffered in them. 

Multiple such buffer status reports from various UEs, lead the network to believe that there is a load on that cell.
Consequently, new incoming UEs cannot be accepted by this cell.
These types of attacks are difficult to detect , they reduce the throughput/capacity of the system.

The attack may even be considered more harmful than jamming, since it requires less energy to perform. 💥

But in practice, it is difficult for a malicious UE(or a malicious user) to execute such an attack.

When a UE communicates with the eNB serving it, a fake buffer report will collide with a packet from a normal UE. 

But, as discussed above, an attacker can inject a fake buffer report when the UE enters a long DRX period. This report would not cause any conflict with the control signal from the normal UE.

Another example of a different attack⚡️

If the user plane (RLC, PDCP) or control plane (RRC, NAS) packet sequence numbers are continuous before and after handover, an attacker can guess the mapping between old and new C-RNTIs based on the continuity of packet sequence numbers.


The more bits used for the sequence number on the radio channel, the higher the probability of an enogo. 

This is especially true for EUTRAN and similar high bandwidth networks since the sequence number must be longer for ARQ to work properly.
This type of UE tracking is also applicable to state transitions between idle and active, as long as the sequence numbers are kept continuous of course.
A radio link attacker can track UEs based on continuous sequence numbers of packets in packet streams.
This attack seems particularly interesting for E-UTRAN because UEs will be active for long periods of time.
It is also expected that UEs will receive more packets from the network in E-UTRAN than in UTRAN, for example.


This was just a theoretical part of the ss7 series to give you an idea about the attacks and how they work. In the future I will describe more practical applications.
For more details about the attacks, defense architecture, and more, read the articles in the archive below.🧩❤️‍🔥

And that's it, thanks for reading ❤️.
And remember : If the evil dove says you are a snake she is wrong, even if you also eat eggs🐦🐍
#lte #network #ss7 #mobile #attacks #dos