Fuite d'informations

Presque toutes les attaques visaient à afficher des informations concernant l'abonné et le réseau de l'opérateur. La fraude, l'interception du trafic de l'abonné et la perturbation de l'accessibilité des services pour les abonnés représentent un pourcentage nettement inférieur à deux.

 

L'approvisionnement est le résultat de la façon dont un intrus doit obtenir les identifiants des abonnés et les adresses des serveurs du réseau de leur propriétaire. Davantage d'attaques sont à la merci de l'obtention des informations essentielles. L'exploration de données ne signifie pas qu'une attaque spécifique a été menée contre l'abonné. Plutôt que d'effectuer des attaques complexes, il existe une approche moins difficile pour gagner à nouveau de l'argent en essayant de vendre des informations concernant des classes supplémentaires. Les demandes en volume peuvent signifier que les attaquants construisent actuellement des bases d'informations sur les abonnés, par lesquelles les numéros de téléphone sont comparés à des identifiants de personnes, et qu'ils recueillent les données du propriétaire pour obtenir un achat d'informations dans le secteur.

 

Chaque attaque visant à obtenir une IMSI personnelle, ainsi que chaque attaque visant à démontrer la configuration du réseau a permis aux attaquants d'obtenir les informations qu'ils recherchaient. Pour obtenir des informations, deux stratégies ont été principalement utilisées : AnyTimeInterrogation et SendRoutingInfo. Elles permettent toutes deux de divulguer des informations sur le réseau, et SendRoutingInfo permet simplement d'obtenir l'IMSI d'un abonné ; en outre, ces messages permettent de découvrir l'emplacement de l'abonné. Comme le montrent nos résultats, dans 17,5 % des cas, les réponses du réseau à ce type d'ordre comprenaient des données relatives à l'emplacement de l'abonné.

 

Les préférences de filtrage sur les fournitures de réseau (STP, HLR) ou un programme de filtrage correctement configuré pour les visiteurs ciblés de signalisation éliminera complètement le risque d'attaques utilisant ces messages et, pour cette raison, atténuera la probabilité d'autres dangers. Néanmoins, les solutions de filtrage des communications ne sont généralement pas toujours mises en œuvre. Par exemple, la proportion de réponses aux demandes visant à découvrir l'emplacement du consommateur a été aussi élevée sur les réseaux protégés par une approche de blocage des visiteurs de signalisation que sur les autres réseaux.

Des résultats finaux à peu près identiques ont été obtenus pour toutes les attaques visant à afficher la configuration du réseau et les identifiants des abonnés. Tous ces éléments sont de bons signes. Ils indiquent que les mesures de sécurité sont efficaces. Si la configuration a été correcte, le pourcentage d'attaques puissantes est réduit à zéro. Il est à noter que la plupart des réseaux ont utilisé le programme de routage des ménages par SMS pour contrer les attaques basées sur le système SendRoutingInfoForSM.

 

La communication SendRoutingInfoForSM demande les informations nécessaires pour fournir le SMS : l'identifiant de l'abonné ainsi que l'adresse de l'hôte. En mode de fonctionnement normal, un SMS doit se conformer à ces informations spécifiques particulières. On pense que chaque requête doit être transmise au programme d'acheminement de la maison SMS, qui produit les identifiants et les adresses. En raison de la forme erronée de l'équipement du réseau, cette technique de couverture s'est avérée inefficace dans 87 % des cas où les requêtes ont pu ignorer le SMS house Routing. Nous avons découvert des effets similaires lors de l'évaluation de la sécurité du réseau SS7.