eSIM операторы для пользования связью по всему миру

Что в итоге

Я не стал покупать симкарту Verte Telecom, поэтому не знаю, действительно ли они их продают или просто забирают деньги и исчезают. Такая возможность есть: договоры на услуги связи не заключаются, а на сайте фигурирует офшорная компания, добраться до которой будет сложно.

Но даже если они и правда продают симкарты, конфиденциальность остается под вопросом. Своей инфраструктуры у компании нет, а все сотовые операторы в России попадают под действие российских законов, даже иностранные. По решению суда они обязаны предоставить спецслужбам всю информацию об абонентах.

Единственное, в чем убедила меня компания, это в том, что при рекламе своих услуг она использует технологию подмены телефонных номеров. Но эта технология полезна в первую очередь мошенникам.

Я бы не стал доверять свои секреты Verte Telecom. А если увидите похожие предложения в интернете, я советую сообщить в Роскомнадзор. Сайт заблокируют, и мошенникам будет сложнее приобретать инструменты для работы.

Мнение редакции может не совпадать с мнением автора.

Imsi-ловушки. что это?

Но вернёмся к теме статьи. IMSI-ловушки — это мобильные ложные базовые станции, которые спецслужбы включают при различных обстоятельствах в разных местах. Мобильные телефоны “цепляются” к этим станциям, которые фактически выступают в роле Man-in-the-middle.

В результате мы имеем перехват разговоров, СМС и интернет-трафика. Факты использования таких устройств засекречены. В Германии, например, в 2002 году был принят закон, разрешающий спецслужбам применять такие устройства, однако не обошлось без бурных общественных дебатов.

А где-то и до дебатов не доходит. Однако косвенные доказательства есть. Как правило, ловушки включаются в местах народных волнений, либо вокруг объектов, представляющих высокую государственную важность. Часто IMSI-идентификаторы особо интересных личностей заносятся в список фильтрации, и далее работают только с телефонами конкретных людей.

А теперь познакомимся с IMSI-ловушками поподробнее. Для начала классифицируем их поведение. Оно может поддерживать 2 режима — активный и пассивный. В активном ловушка выступает в роли базовой станции. В пассивном — мониторит канал и другие базовые станции. Наиболее интересен, конечно же, активный режим. Опишем его функции.

Что в черном ящике?

По характеру защиты ясно, что заказчик настроил некий активный фаервол для фильтрации сообщений, поступающих в его сигнальную сеть. По сути, сегодня это единственный эффективный способ защиты инфраструктуры мобильного оператора.

Combine firewall, которые могут контролировать SS7, Diameter, GTP и SMS-трафик, как правило, снабжаются встроенной аналитикой, способны сопоставлять происходящие события и реагировать на атаки. Например, зафиксировав атаку по SS7, такой фаервол проверяет, какие сигнальные сообщения поступают на этого абонента по другим протоколам.

Такие решения предлагают Mobilium, Cellusys, NetNumber, HAUD и другие вендоры, но по косвенным признакам мы не смогли определить, чей фаервол установил заказчик. Все они примерно одинаково эффективны. Надежность защиты в этом сегменте зависит не только от вендора, но и от правильности настройки фаервола. От того, насколько хорошо учтены особенности конкретной сигнальной сети.

Заказчику удалось корректно настроить все, кроме фильтрации сообщений, связанных с роумингом своих абонентов в сетях других операторов. Если оператор разрешает абонентам регистрироваться в чужих сетях, связанные с этим сообщения, поступающие из других сетей, должны проверяться на легитимность. Это наиболее сложная часть защиты, скорее всего, ее просто не успели довести до ума.

Внедрение фаервола в сигнальной сети достаточно долгий и кропотливый процесс, который включает в себя несколько этапов:

  1. разработка схемы защиты;

  2. настройка и проверка схемы в тестовой зоне;

  3. внедрение защиты в режиме детектирования с анализом статистики и логов блокировок;

  4. внедрение защиты с контролем KPI на ограниченном сегменте сети;

  5. и только потом внедрение защиты на всей сети.

Причем настройки фаервола желательно обновлять по мере появления новых угроз. Защита сигнальных сетей устаревает медленнее антивирусной, но за год хакеры придумывают два-три новых метода атак на сигнальные сети. Плюс, регулярно вскрываются уязвимости телеком оборудования различных вендоров.

Поэтому для полноценной защиты недостаточно установить фаервол, необходимо выращивать и поддерживать внутреннюю экспертизу, либо обращаться к независимым специалистам. Здесь на сцену и выходит наша команда.

Что же до рядовых абонентов — рекомендуем сохранять бдительность. Технологии SS7 скоро 50 лет, ее разрабатывали в те времена, когда всем участникам сети доверяли по умолчанию и считалось, что это нормально. Diameter был работой над ошибками, но и в нем нашлись фундаментальные уязвимости. Чтобы снизить риски:

Что это?

Технология
eSIM (Embedded SIM – «встраиваемая SIM-карта») – это чип в смартфоне, который
работает как электронная сим-карта.

  • Альтернатива физическим SIM-картам.
  • Позволяет менять сим-карту без покупки
    физической сим-карты.

Введение

Начнём издалека, а именно с того, что GSM-связь очень плохо поддаётся изучению. Нельзя

просто так взять

Что предлагает verte telecom

Судя по сайту Verte, компания предлагает симкарты по стандартам GSM — сейчас это самый распространенный формат связи. Но их симкарты сильно отличаются от карт других операторов, потому что обеспечивают конфиденциальность сотовой связи.

По утверждению Verte, свою связь они разрабатывали 8 лет и она надежнее всего, что сейчас существует на рынке.

Безопасность стоит дорого. Единоразовая плата за покупку карты и подключение к сети — от 20 до 50 тысяч рублей. За разговоры нужно платить отдельно: от 75 $⁣ (

5152Р

) за 100 минут в месяц до 200 $⁣ (

13 739Р

) за 500 минут. Есть и безлимит: за один месяц придется заплатить 300 $⁣ (

20 609Р

), сразу за год — 2500 $⁣ (

171 747Р

Verte утверждает, что защищает абонентов от всех видов угроз: определения местоположения, детализации звонков, идентификации по голосу и прослушки

Аутентификация


На SIM-карте абонента хранится 128-битный ключ — Subscriber Authentication Key. Точно такой же хранится у оператора. Так как SIM-карта формально принадлежит оператору, а сам ключ хранится защищённым образом, то это считается надёжным.

Шаги:

  1. станция генерит случайное 128-битное число и посылает его абоненту;
  2. обе стороны подают на вход алогритма А3 это число и общий ключ, получают 32-битное число SRES (от Signed Response);
  3. абонент отправляет ответ с этим числом, а станция сравнивает со своим; если всё сошлось, то абонент аутентифицирован.

Кстати, подтверждение подлинности самой станции не предусмотрено. Случайно ли?..

Выработка ключа шифрования


Здесь процедура идентичная, за исключением того, что случайное число и ключ подаются на вход алгоритма А8, а результатом является 64-битный ключ симметричного шифрования А5.

Adamant messenger (windows, macos, android, ios, веб)

Для работы Adamant Messenger использует блокчейн. Если быть совсем точным, то мессенджер работает на базе Ethereum. В комплекте идёт криптокошелёк для покупки и продажи валюты.

Общение зашифровано end-to-end с помощью таких алгоритмов, как Diffie-Hellman Curve25519, Salsa20, Poly1305, и подписано SHA-256 Ed25519 EdDSA. Данные никогда не передаются на сервер.

Airalo — самый дешевый глобальный план

Айрало кажется несколько застенчивым, поскольку компания не очень гордится своей историей или любыми другими деталями, если на то пошло. Мы знаем, что они базируются в Сингапуре. Но это все. Они стремятся предоставить путешественникам дешевые тарифы на глобальные данные. И кажется, что это их единственная сфера деятельности.

Компания предлагает своим клиентам несколько местных, четыре региональных и один глобальный план. Срок действия будет варьироваться от 7 до 90 дней, хотя большинство из них заканчивается через 30 дней.

Arfcn

Absolute radio-frequency channel number — идентификатор, однозначно определяющий пару частот, используемых для приёма и передачи. Например, за диапазоном GSM 1800 закреплены номера 512 — 885. При этом частота передачи вычисляется по формуле 1710.2 0.2·(n−512), а частота приёма = частота передачи 95.

Собственно, события, связанные с сетью:

Atalk (android)

По сравнению с остальными мессенджерами в этой статье, aTalk не такой уж и защищённый. Приложение работает на базе Jabber/XMPP, если вы ещё помните, что это такое. А соединение защищено end-to-end шифрованием с использованием протоколов OMEMO или OTR.

В остальном — это обычный мессенджер.

Briar (android)

Briar был создан для безопасного общения активистов, журналистов и всех остальных, с кого могут спросить за «базар». В отличие от аналогов (например, Telegram), у Briar нет центрального сервера. Вся переписка синхронизируется напрямую между устройствами пользователей.

В случае отсутствия соединения с интернетом Briar может использовать Bluetooth или Wi-Fi. А при наличии сети синхронизация работает на базе Tor. Исходники открыты.

Cell id

Идентификатор соты, т.е. базовой станции.

Esim – купить онлайн электронную виртуальную сим карту есим для путешествий от popcorn mobile

logologologologo

Flexiroam — наибольшее разнообразие применимости

Flexiroam, вероятно, является одним из наиболее популярных поставщиков глобальных тарифных планов. Нам в Travel Dealz это очень нравится, и мы даже посвятили этой услуге целую статью. Основанный в 2022 году, он является надежным партнером для путешественников. Компания даже зарегистрирована на Австралийской фондовой бирже.

Причина, по которой нам так нравится Flexiroam, — это отличный выбор тарифных планов, которые они предлагают. Есть семь глобальных передач данных, и вы можете выбирать из любого количества локальных планов данных.

Gigsky — отличный поставщик региональных планов

GigSky — американский провайдер, специализирующийся на глобальной мобильной передаче данных. Компания была основана в 2022 году и поэтому больше не является новичком на рынке. Вы можете рассчитывать на надежное обслуживание. Помимо предложений для частных потребителей, GigSky также обеспечивает мобильный доступ к данным для предприятий.

Вы можете выбрать между региональным планом, глобальным планом и планами для нескольких стран. Срок действия этих планов составляет от 1 дня до 30 дней.

Location update

Когда телефон переходит из одной Location Area на другую, он посылает станциям это сообщение. Также он его посылает и периодически.

Longitude, latitude


Долгота и широта базовой станции.

Mcc/mnc

Mobile Country Code — код страны. Для России это 250. К нему добавляются 2 цифры, идентифицирующие оператора, и получается полноценный код MNC (Mobile Network Code). Список всех MNC можно посмотреть здесь:

Olvid (android, ios)

Никакие данные пользователей Olvid не отправляются на сервер, а для использования приложения не нужно предоставлять личные данные.

Данные передаются через «безопасные каналы». К сожалению, из их описания на сайте мало что понятно.

Ricochet (windows, macos)

Ricochet считается экспериментальным проектом. Его суть заключается в том, что нельзя никому давать ни какие сведения о себе. То есть цель не только в безопасности ваших данных, но и анонимности.

Вы можете начать общение с кем угодно, не раскрывая свою личность и IP-адрес. Никто никогда не сможет узнать, с кем и когда вы переписывались. Серверная часть отсутствует, а соединение происходит с помощью P2P на базе сети Tor.

Round one

Работа по взлому сотовой сети начинается с подготовительных атак, которые направлены на получение информации об абоненте-цели атаки.

Round two

Спустя несколько недель после первого этапа тестирования клиент сообщил, что закрыл выявленные уязвимости и пора снова браться за дело.

Safe text (android, ios, веб)

Safe Text разрабатывался с целью защиты данных и анонимности своих пользователей. Никто не может узнать, кто, с кем и когда переписывался.

Есть возможность удаления сообщений после отправки на устройствах получателя с поддержкой автоудаления. А снятие скриншотов запрещено приложением.

Session (windows, macos, anroid, ios)

Session — защищённый и анонимный мессенджер. Для регистрации не требуется указывать почту или номер телефона. Вместо этого вам назначается Session ID.

Серверов у компании нет. Вся работа происходит благодаря пользовательским серверам по всему миру. Вся информация передаётся в обезличенном виде, и никто не может получить к ней доступ или узнать, кому она принадлежит.

End-to-end шифрование, сокрытие IP, групповые чаты, открытые исходники.

Signal (windows, macos, android, ios)

В продвижении приватных мессенджеров, и в частности Signal, очень помог неуловимый Сноуден. Если он им пользуется и его до сих пор не поймали, значит, можно пользоваться и нам.

Signal создан на основе TextSecure и RedPhone. Здесь можно общаться тет-а-тет и создавать групповые чаты. Никакие данные никогда не передаются на сервера компании. End-to-end шифрование между устройствами включено по умолчанию. Можно совершать голосовые и видео звонки.

Весь исходный код открыт.

Status (android, ios)

Status работает на базе Ethereum. В приложении есть криптокошелёк и браузер с поддержкой децентрализации. Передача данных осуществляется на основе P2P-соединения между пользователями.

Исходники открыты.

Surfroam — maverick

Surfroam — довольно новый игрок на рынке. Компания зарегистрирована в 2022 году. Она базируется в Эстонии и недавно открыла офисы в других странах Европы.

Surfroam отличается от конкурентов двумя вещами: количеством официально поддерживаемых устройств. А то что планов нет. Вы можете платить только по факту. Для одних это может быть преимуществом, а для других — препятствием.

Telegram (windows, mac, android, ios, веб)

Telegram от товарища Дурова — один из самых популярных мессенджеров на данный момент. И для многих он является синонимом приватности и анонимности. Однако не следует забывать, что возможности защиты ваших данных немного отличаются между платформами. А об анонимности речь вообще не идёт, хотя многие думают, что в Telegram она есть.

В Telegram можно делиться любым привычным контентом, создавать чаты (до 200 000 человек) и каналы. Не стоит забывать про ботов. Есть поддержка голосовых и видео звонков.

По умолчанию переписка не зашифрована, что позволяет синхронизировать общение между клиентами. Для активации end-to-end шифрования нужно использовать специальные секретные чаты.

Ключи шифрования и вся информация по умолчанию хранится на серверах компании. Секретные чаты являются исключением.

Исходный код клиентов открыт, а исходный код серверной части закрыт. Есть возможность использования API для собственных разработок.

Threema (android, ios, веб)

Threema разрабатывали с учётом безопасности данных пользователя. По умолчанию включено end-to-end шифрование, и ваша информация никогда не попадает на сервера компании.

В приложении можно делиться своим местоположением и использовать синхронизацию контактов. Есть голосовые и видео звонки.

Все исходные коды открыты.

Truphone — среднее покрытие. но сладкие планы

Truphone предлагает широкий спектр услуг как частным клиентам, так и предприятиям. Основанная в Великобритании в 2006 году, они, по всей видимости, стали одним из лидеров отрасли. Кроме того, их история звучит как сказка о стартапах, поскольку компания возникла на ферме в Кенте.

Truphone позволяет выбрать либо глобальный план, либо один из 34 местных планов. Не самый большой выбор и как-то странно, поскольку в глобальные планы входит намного больше стран. Самый короткий план рассчитан на один день. Самый продленный вариант — 30 дней.

Wire (windows, macos, android, ios, веб)

Самым неожиданным в Wire для пользователей окажется, что мессенджер платный. Тариф Wire Pro обойдётся в $5,83, а тариф Wire Enterprise — в $9,5. О разнице между тарифами можно прочитать здесь.

В мессенджере доступны групповые чаты, видео и аудио звонки, конференции, и всё это с end-to-end шифрованием. Из дополнительных возможностей стоит выделить: возможность поделиться экраном, создание гостевых комнат (для общения с людьми извне), управление командными параметрами, синхронизация между устройствами.

Исходники клиентов и серверной части открыты.

Анализ данных от диагностического интерфейса

Ребята из SnoopSnitch умудрились отреверсить сами полезные данные и на основе их строится анализ. Вот какие параметры они принимают к сведению.

Атаки на раскрытие imsi

Соответственно, существенная часть защиты выстраивается вокруг сокрытия международного идентификатора мобильного абонента — IMSI. Хакеры обнаружили около десятка способов получения этого набора цифр через сигнальные сети, и основная сложность на первом этапе работ — подобрать правильный подход.

Прежде всего мы попробовали стандартные запросы SendRoutingInfo, SendRoutingInfoForSM и другие сообщения, в ответах на которые сеть должна возвращать IMSI. На этот раз сигнальная сеть не выдала идентификатор — значит, оператор использует какую-то защиту. Осталось выяснить, насколько она серьезная. Обычно в такие моменты появляется особый азарт.

Чтобы преодолеть барьер, мы намеренно искажаем сигнальные сообщения. Как правило, вносим изменения на SCCP или TCAP уровне — после этого некоторые фаерволы не могут корректно распарсить более высокие уровни сообщения и пропускают его без должной проверки.

Манипуляции с адресной частью сообщений позволили нам пробиться через фильтр и осуществить взаимодействие с HLR оператора. В ответ получили ошибку, но вместе с ней мы узнали адрес HLR. Далее, атакуя непосредственно HLR и применив очередной набор манипуляций, мы достаточно быстро получили IMSI обоих абонентов-жертв.

Атакуем абонента через diameter

Мы тестировали и Diameter-сеть. Через ее уязвимости удалось получить информацию о текущем состоянии абонентов на MME, зоне обслуживания, а также сетевой статус мобильного устройства. С помощью этих данных злоумышленник может выбрать оптимальное время для других атак — когда абонент находится вне зоны действия сети и не заметит ничего необычного.

Кроме того, отправка нелегитимных сигнальных сообщений позволила добиться деградации сервисов 4G у тестовых абонентов. Получилось установить запрет на обслуживание в LTE узлах сети и снизить до минимума скорость передачи данных в пакетной сети.

Атакуем абонента через ss7

Зная IMSI абонента и используя MAP-операцию Update Location, мы «перенесли» абонента-жертву в свою фейковую сеть. Для сотового оператора это выглядит как регистрация абонента в роуминге и, как правило, не вызывает подозрений. Так мы получили возможность перехватывать входящие звонки и СМС.

Принципиальная схема атаки с использованием фейковой сети
Принципиальная схема атаки с использованием фейковой сети

Развивая атаку и сформировав еще несколько сигнальных сообщений, мы выполнили от имени абонента-жертвы отправку СМС и USSD-запросов, изменение профиля услуг. Кроме того, этот вектор атаки можно использовать для DOS всех сервисов абонента.

Другая группа атак осуществляется, когда абонент находится в реальном, а не фейковом, VLR.

Выяснив VLR, в котором находится абонент, и представившись HLR’ом, злоумышленник может изменить его профиль в этом VLR. Для демонстрации этой уязвимости мы установили запреты вызовов в профиле абонента. А при подмене адреса обслуживающей IN-платформы в VLR-профиле абонента на адрес своей платформы, мы обрели полный контроль над исходящими вызовами — получили возможность блокировать, перенаправлять, прослушивать звонки с тестовых смартфонов.

Также в процессе тестирования мы реализовали атаки, позволяющие получить:

Все это не только угрожает приватности абонента, но и позволяет выстраивать сложные атаки с применением социальной инженерии.

Вердикт

Surfroam — аутсайдер в нашем сравнении. В то время как большинство провайдеров будут продавать вам пампы, в том числе определенный объем данных, компания из Эстонии пошла по другому пути. Вы платите по мере использования за точный объем данных, который вы использовали.

Это может быть очень полезно для людей, путешествующих по разным местам и нуждающихся в небольшом количестве данных. Они поддерживают множество разнообразных устройств, а более 200 стран — это то, что мы называем большим охватом.

Похожие публикации

Дата публикации:

19.10.2020

Выбор режим шифрования

Станция посылает телефону команду CIPHER MODE SELECT, сообщая требуемый режим шифрования: А5/0, А5/1, А5/2 или А5/3. Однако в этом сообщении есть ещё флаг REQUEST_IMEISV, означающий, что телефон должен сообщить в ответном сообщении CIPHER MODE COMPLETE свой уникальный идентификатор, причём это сообщение уже зашифровано на ранее согласованном ключе.

По умолчанию флаг всегда ставится. Однако ловушка может не передавать этот флаг, в результате сообщение CIPHER MODE COMPLETE будет содержать предсказуемую статическую информацию. После этого производится стандартная атака по известному открытому тексту (known plain text attack), и ключ вскрывается.

9. После Location Update идёт стандартный запрос абоненту на идентификационную информацию (IMEI, IMSI), а дальше станция отвергает телефон, заставляя делать новый Location Update. Всё это — признак ловушки, работающей в режиме сбора информации.

10. Если станция анонсирует другой режим шифрования, отличный от обычного для данной местности или оператора, то это либо ловушка, либо оператор недоглядел, либо аппаратный сбой, либо так задумано. Но в расчёт принимается.

11. Слишком маленький интервал регулярного Location Update. Телефон обязан периодически посылать Location Update — даже если он не мигрирует с одной соты на другую. А значение периода приходит со станции. Стандартное значение — 1-4 часа. Но ловушка может распространять заведомо маленькие тайм-ауты, чтобы более оперативно “цеплять” телефоны.

12. Произошёл Paging, за которым не последовало ни SMS, ни разговора. Это типичная проверка, находится ли “жертва” в зоне покрытия в конкретный момент времени.

13. Установлен канал данных (Traffic Channel, или TCH), но не последовало ни SMS, ни разговора. Либо он последовал, но спустя необычно долгое время. Согласно протоколу, после установления этого канала телефон непрерывно шлёт пустые подтверждения, пока канал не закроется. Эти подтверждения могут использоваться ловушкой для более точного позиционирования телефона.

14. Подозрительный список соседних станций (Neighboring Cells). Каждая станция передает подключённому к ней телефону список окружающих станций. Но если это ловушка, то она будет отсутствовать в этих списках – в отличие от других, легитимных, станций.

15. Разбиение на большое количество групп (Paging Group). Каждая станция объединяет все подключенные телефоны в группы. Это нужно для оптимизации ресурсов. Когда происходит входящий звонок, все телефоны данной группы получают оповещение на соответствующем логическом канале.

Когда ложная станция хочет вернуть абонента в родную сотовую сеть, она посылает некорректные данные на канале той группы, в которую входит абонент. В результате все члены группы начнут процедуру Cell Reselection. Чтобы затронуть как можно меньше абонентов, ложная станция делает их маленькими, а количество групп будет большим, что и является признаком работы ловушки.

Как мы видим, существует множество критериев, каждый из которых по отдельности не является 100%-ной гарантией обнаружения ловушек. Вместо этого предлагается вероятностная оценка.

Как подключить?

  • eSIM передаётся по воздуху
  • Физическую сим-карту покупать не нужно
  • Активируется по QR-коду.

Как это происходит

Опишем алгоритм, как ловушка вклинивается в эту систему.

Сразу отметим, что если оператор изначально везде применяет А5/2, то задача становится тривиальной — этот шифр вскрывается в реальном времени. Но операторы не совсем идиоты, поэтому они используют А5/1. Базовая станция анонсирует этот протокол и телефон на него “соглашается”, все довольны.

Все шифры А5 работают на ключе, который хранится как у оператора, так и на SIM-карте. Он уникален для каждого абонента и за его сохранность отвечает крипточип SIM-карты. Из этого следует, что ловушка по отношению к оригинальной базовой станции “прикидывается” абонентским устройством на алгоритме А5/1, а для реального телефона “прикидывается” базовой станцией на алгоритме А5/2, который вскрывается на лету.

Таким образом, ловушка извлекает секретный ключ абонента и реконструирует сессию с базовой станцией. Дело сделано. Как узнать, что ваш телефон переключился на слабый шифр? Обычно никак: индустрия сотовой связи заботится о людях — меньше знаешь, крепче спишь.

Однако в природе все же встречаются отдельные модели телефонов, которые как-то сигнализируют, и это не смартфоны. Где-то появляется иконка, а где-то незаметная строка утекает в лог, однако это обычно связано с переходом на А5/0. В любом случае, все это скорее исключения из правил.

Как это работает

Представьте, что Джулиан Ассанж пытается связаться по телефону с Эдвардом Сноуденом. Американские спецслужбы с легкостью узнают о беседе, если ребята будут использовать телефон с обычной SIM-картой.

Какие смартфоны поддерживают технологию esim?

eSIM для iOS

(iPhone/iPad)iPhone XS, XS MAX, XR, 11, 11 Pro, 11 Pro Max с ОС iOS 12.1 или более поздней версией
Исключения: iPhone XS, XS Max и XR с двумя слотами для сим-карт из Китая, Макао и

Гонконга

eSIM для Android

Google Pixel 3, 3 XL, 3a XL, 4, 4XL, Samsung Galaxy S20, Samsung Galaxy S20 , Samsung
Galaxy S20 Ultra, Huawei P40, Huawei P40 pro, Huawei P40 pro с ОС Android 10 или более
поздней версией
Исключения: Google Pixel 3a из Японии

eSIM для Windows 10

Acer Swift 7, ASUS NovaGo, HP Envy x2, Lenovo IdeaPad Miix 630, Lenovo Yoga 630,
Microsoft Surface Pro X/Go/Pro с поддержкой LTE

Какие устройства поддерживают esim в 2020 году?

Этот список будет становиться все длиннее и длиннее. Мы же хотим предоставить вам обзор всех устройств (по крайней мере, о которых мы знаем), поддерживающих eSIM. Обратите внимание, что не все провайдеры поддерживают все устройства! Итак, сначала вам нужно выяснить, можете ли вы использовать свой, чтобы оставаться в сети с помощью eSIM.

  • Смартфоны:
    • Apple iPhone XR, XS, XS Max, 11, 11 Pro и 11 Pro Max
    • Nuu Mobile X5
    • Google Pixel 2/2 XL, 3/3 XL, 3A / 3A XL и 4/4 XL
    • Samsung Galaxy Fold LTE
    • Motorola Razr 2022
  • Таблетки:
    • Apple iPad Pro (3-е поколение), Air (3-е поколение) и Mini (5-е поколение)
    • Близнецы КПК
    • Microsoft Surface (под управлением Windows 10)
  • Умные часы:
    • Apple Watch серии 1-3
    • Huawei Watch 2 Pro
    • Samsung Gear S2 S3

Конфиденциальность и неподсудность

В доказательство менеджер рассказал о некоем судебном процессе, в ходе которого у Verte пытались запросить данные абонента, но фирма отказала — и ничего ей за это не было. Я попросил ссылку на судебное решение и получил его полную версию.

Прокурор попросил суд эту страницу заблокировать, и суд с ним согласился. А Verte просто перебралась на другой сайт.

При этом сама Verte может никому ничего и не предоставлять. Судя по сайту компании, собственной инфраструктуры у нее нет, а значит, сведения компетентным органам предоставят компании, мощности которых используются для организации связи.

Verte пишет, что у нее нет своей инфраструктуры и она заключила соглашение с 500 операторами в 200 странах мира. Если будет нужно, спецслужбы потребуют информацию о разговорах у этих операторов

Кто предоставляет услуги

На сайте Verte я нашел публичную оферту на оказание услуг сотовой связи. Судя по этому документу, услуги абонентам оказывает компания Wilmington Services Limited, зарегистрированная в Белизе, офшорной зоне.

При этом компания пишет об офисах в России и Казахстане. Адресов не приводит — только номера телефонов. Сведений о российском юрлице я тоже не нашел.

Для абонентов все это выглядит очень рискованно. Если симкарта откажется работать или ее вообще не привезут, будет сложно доказать, что вы за нее заплатили, и вернуть свои деньги.

Судя по публичной оферте, иметь дело придется с офшорной компанией. На практике это значит, что права абонента практически ничто не защищает

Более того, в разговоре менеджер мне заявил, что договор с абонентами вообще не заключается. Это подавалось как преимущество: паспорт не нужен — никто не узнает, что я купил конфиденциальную симкарту. Но это утверждение вызывает сомнения — хотя бы потому, что у компании уже есть мой номер: мы общались по телефону и в «Телеграме». При этом отсутствие договора оставляет клиента беззащитным перед любыми действиями компании и противоречит даже ее сайту.

После долгих уговоров я все же убедил представителя фирмы, что покупаю симкарту для компании, поэтому готов работать только через договор. Стоимость при этом выросла сразу на 12%. В результате полученный мной документ оказался договором на рекламу моих товаров — а это проблема, поскольку по легенде никаких товаров я не произвожу.

Договор заключается с ИП, там указаны его данные, включая номер банковского счета. Такой предприниматель действительно зарегистрирован. Основной вид его деятельности — торговля оптовая водопроводным, отопительным оборудованием и санитарно-технической арматурой.

Деньги за симкарту мне предложили перевести по номеру банковской карты физлица, некоего Антона Александровича М. Бухгалтерия моей выдуманной компании такое не одобрила, поэтому от покупки пришлось отказаться.

Весь договор — на 11 листах, но про сотовую связь в нем ни слова нет

Методика тестирования

Наша программа составлена с учетом опыта предыдущих проектов и рекомендаций GSMA. Чтобы ускорить работу по подобным проектам, несколько лет назад мы начали собирать собственный инструментарий для атак на сотовые сети. Постепенно он разросся до 60 готовых к использованию сценариев атак, в которые нужно только подставить идентификатор абонента.

В принципе, их можно было бы отправлять автоматически, но мы делаем это вручную. Во-первых, потому что действуем в рабочей инфраструктуре и не хотим ненароком помешать работе коммерческих сервисов. Во-вторых, когда мы сталкиваемся с защитой, и стандартные атаки не проходят, все равно приходится смотреть, что отвечает сигнальная сеть оператора, и думать головой. Так вышло и на этот раз.

Нарушение связи

Возможно оставить абонента без связи: сначала “захватить” на себя, а потом оборвать, и так до бесконечности. А можно выдавать мусор или заведомо некорректные пакеты.

Новые атаки на раскрытие imsi

Первое с чем мы столкнулись — это проблемы с повторным получением IMSI. Сеть либо не отвечала на запросы, либо возвращала фиктивные идентификаторы — на каждый запрос IMSI тестовых абонентов мы получали разные IMSI.

Мы варьировали параметры запросов и пробовали все более сложные схемы, но ни один метод не сработал. Без IMSI целевые атаки на абонентов невозможны, так что безопасность сети значительно возросла.

Впрочем, раскрытие IMSI через сеть сигнализации частый, но не единственный способ получения этого идентификатора. Есть и другие: специальные устройства, притворяющиеся базовыми станциями — IMSI Catcher, вредоносное ПО, недобросовестные сотрудники оператора. Поэтому мы взяли идентификаторы, полученные на первом этапе тестирования, и продолжили проверку.

Перехват разговоров

Самое вкусное. Здесь все не так просто, однако проще чем могло бы быть.


Как известно, в GSM предусмотрели защиту от несанкционированного съёма информации. Существует несколько режимов:

Как показал известный хакер

, вся схема защиты в GSM местами зиждется на популярном принципе Security through obscurity и содержит фундаментальные уязвимости. При этом столпы GSM-индустрии годами игнорируют эти факты — всех всё устраивает.

Подготовка к атаке

Чтобы атаковать сотового оператора нужен доступ к сигнальной сети. Это основное препятствие, которое стоит перед злоумышленником. Его можно преодолеть, взломав пограничное устройство, например GGSN, или купив подключение на черном рынке. Их продают сотрудники мелких транзитных операторов из стран со слабым законодательством.

У Бастион есть легальный выход в международную сеть сигнализации SS7 и сетевой доступ к инфраструктуре Diameter
У Бастион есть легальный выход в международную сеть сигнализации SS7 и сетевой доступ к инфраструктуре Diameter

Предложения для клиентов

Компания JET-связь предлагает тарифы с подключением нескольких виртуальных номеров. Функция мобильного интернета не блокируется. Абоненты получают доступ к безлимитному роумингу – JET-связь работает в 200 странах мира.

Защищенная связь JET не требует оформления и работает на территории России.

Дополнительные предложения – чехлы блокираторы мобильных частот. Телефон в таком чехле нельзя отследить даже при применении специальной аппаратуры. В наличии криптотелефон CRYPTO-JET. Он способен скрыть любого человека от всех спецслужб мира. Согласитесь, быть невидимкой для всех в XXI веке – это большая роскошь.

Компания JET-связь обеспечивает техническую поддержку абонентов 24/7. При утере сим-карты мы восстанавливаем номер клиентам и выдаем новую симку бесплатно. Защищенная связь – это 100% гарантия неприкосновенности личной информации. JET-связь предлагает клиентам изменение политики безопасности на уровне SIM и выгодный роуминг для Европы, стран Азии, Турции, США и Австралии.

Преимущества использования esim

  • Нет времени ожидания: при использовании физической SIM-карты или наклейки с SIM-картой (обе будут отправлены вам по электронной почте), вы можете сразу же приступить к работе, используя eSIM.
  • Отсутствие затрат на доставку: поскольку нет ничего, что нужно было бы отправлять, здесь нет никаких затрат. И это может иметь огромное значение, особенно если вы заказываете SIM-карту, которая должна быть отправлена ​​вам из США или Азии (что имеет место в большинстве случаев).
  • Бесплатная или дешевая eSIM: Опять же, eSIM — это виртуальный продукт, и поэтому провайдеру не нужно платить за его производство. И многие компании передадут вам это преимущество. Большинство провайдеров, которые мы продвигаем здесь, не взимают плату за настройку вашего профиля eSIM (по крайней мере, если вы приобретаете стартовый пакет).
  • Простое переключение между провайдерами: это может быть не то, что вам нужно постоянно. Но предположим, что вы путешествуете по двум разным странам и нашли дешевого провайдера для каждого из пунктов назначения. Не нужно носить с собой две SIM-карты. Просто измените свой профиль eSIM, и все будет в порядке.

Прикидываемся базовой станцией

Согласно алгоритму GSM, сотовый телефон обычно выбирает станцию с наиболее сильным сигналом. Это разумно — можно снизить мощность передатчика и сэкономить батарейку. Таким образом ловушка “забирает” телефоны на себя. Далее она запрашивает с телефона его…

Это происходит в рамках стандартных протоколов GSM-стека. Итак, мы вышли на конкретного человека.

eSIM операторы для пользования связью по всему миру
IMSI-ловушка “StingRay” известной фирмы Harris

Противодействие


Естественно, борцы против Большого Брата не оставляют это дело без внимания.

Так появился проект SnoopSnitch — это программа для Android, помогающая в обнаружении IMSI-ловушек в повседневной жизни. Принцип её работы заключается в регулярном сборе статистики об окружающих базовых станциях: их характеристиках и местоположении. В случае обнаружения отклонения от привычной картины программа выдаёт предупреждение. Тут же можно загрузить свои данные на сервер — там формируется глобальная база знаний обо всех базовых станциях мира.

К сожалению, программа недоступна для большинства телефонов. Это связано с особенностью её работы. Как уже было отмечено, в GSM-отрасли любые технические детали старательно вымарываются, но кое-что просачивается. Baseband-процессоры Qualcomm имеют специальный диагностический интерфейс (программный), через который возможно информирование о разных событиях из жизни сотовой связи.

Для начала выкачаем ядро для Qualcomm. Оно называется msm — по одноимённой серии Qualcomm SoC.

Снова атакуем через diameter

Несмотря на сложности, которые вызывала новая защитная система, нам удалось получить информацию о профиле абонента и услугах. Кроме того, потенциальный злоумышленник по-прежнему мог бы использовать S6a ULR (Update-Location-Request), чтобы отключить абонента от сотовой сети.

Снова атакуем через ss7

Оказалось, что даже у злоумышленника, знающего IMSI, теперь во многом связаны руки. Большинство запросов, направленных на выявление узлов сети, обслуживающих конкретного абонента, остались без ответа.

Попытка атаки, направленной на DOS инфраструктуры оператора, натолкнулась на настроенную защиту. При превышении некого лимита сеть стала отбивать наши запросы. Большинство атак на абонента также не удалось.

Было бы совсем нечего написать в отчете, но достигли успеха атаки с использованием процедур UpdateLocation. Так что возможность перехватывать входящие вызовы и SMS абонента и отправлять сообщения от его имени сохранилась. Опасная уязвимость, если учитывать, как много сервисов используют двухфакторную аутентификацию при помощи SMS.

Сообщения paging


PAGING — это процесс нахождения конкретного абонента для передачи ему SMS-сообщения или звонка. Если приходит SMS, то программа регистрирует адрес центра SMS (SMSC) и тип сообщения: обычное, Silent или Binary.

А теперь опишем непосредственно критерии, на основе которых программа находит ловушки.

1. Сменился LAC или Cell ID, при том что частота осталась неизменной. Действительно, часто ловушка занимает существующую частоту, при этом предоставляя более сильный сигнал, чем оригинальная станция. Но эта метрика весьма ненадёжна. Во-первых, телефон может находиться в зоне действия двух станции из разных LAC, и просто перескочить с одной на другую, оставаясь на одинаковом канале. Во-вторых, сам оператор может дать команду какой-то станции на переход к другому LAC.

2. LAC текущей станции отличается от LAC окружающих станций. Задача ловушки — добиться Location Update от телефона, так как только в этом случае она может “стянуть” с него нужную информацию. Поэтому она анонсирует другой LAC, предоставляя более сильный сигнал.

3. При неизменной паре Cell ID — LAC изменился номер канала. Ловушка часто маскируется под неиспользованную частоту уже существующей базовой станции.

4. LAC содержит единственную станцию. Как уже сказано в п. 2, обычно стремятся инициировать Location Update. Проще всего этого добиться, подняв псевдо-вышку с отличным от всех LAC и самым сильным сигналом. Подводный камень: в местах с плохим покрытием (обычно за городом) часто бывает, что телефон “видит” только одну станцию, и здесь уже бессмысленно гадать.

5. Станция не сообщает информации о своих соседских станциях, хотя это должно происходить в условиях плотного покрытия. Ловушка не анонсирует другие станции, чтобы у телефона “не было соблазна” на них переключиться. А иногда хитрят: анонсируют несуществующие частоты либо существующих, либо несуществующих соседних станций.

6. Анонсирование заведомо завышенного CRO (Channel Reselection Offset). Это один из параметров, который влияет на алгоритм выбора телефоном наилучшей базовой станции.

7. Отключение шифрования, при том что оно ранее было на той же паре LAC/Cell. Ловушка может переключить телефон с А5/3 на А5/0, тем самым выключив шифрование вообще, либо на слабый алгоритм А5/2.

8. Сообщение CIPHER MODE COMPLETE не содержит IMEISV. Тут надо подробнее пояснить весь процесс аутентификации и шифрования в GSM. Подключение к GSM-сети состоит из трех этапов: аутентификация, выработка ключа шифрования и выбор режима шифрования.

Факты

  • Поддерживаемые устройства:
    • iPhone XS, iPhone XS Max, iPhone XR, iPhone 11, iPhone 11 Pro, iPhone 11 Pro Max
    • Google Pixel 3 / 3XL, 3A / 3A XL и 4 / 4XL
    • Модель Samsung Galaxy Fold LTE
    • iPad Pro 11 и 12,9 дюйма Wi-Fi сотовая связь (3-е поколение), iPad Air Wi-Fi сотовая связь (3-е поколение), iPad mini Wi-Fi сотовая связь (5-е поколение)
    • Близнецы КПК
    • Lenovo Yoga 630
    • HP Spectre Folio
  • Пополнение и заказ: только онлайн. Нет приложения.
  • Покрытие: более 200 стран мира
  • Ценовой диапазон: Surfroam предоставляет только платный доступ в Интернет. Это означает, что вы будете платить за каждый использованный МБ. Ставки обычно составляют от 0,01 до 0,08 евро за Мб.
  • Начальная стоимость eSIM: 20 евро. Но этот сбор включает 20 евро на пополнение баланса. ТАК, что это в основном бесплатно.
  • Примерная ставка: Нет примерной ставки из-за уникального подхода Surfroams.

Чем опасен сервис

Во время разговора менеджер компании показал мне фокус: я назвал произвольный номер телефона — и он тут же с него перезвонил. Это говорит о том, что Verte Telecom действительно использует какие-то технологии. Хоть и не доказывает, что ее клиенты смогут так же.

При этом надо понимать, что функция подмены номера вряд ли полезна тем, кто хочет сохранить какие-то законные секреты — например производственные. Зато она очень полезна мошенникам. Правда, менеджер заверил меня, что принадлежащие банкам номера недоступны для подмены, — но тут остается только принимать его слова на веру. Проверить это невозможно.

Но даже если заменить свой номер на 900 не получится, можно использовать любой другой. Например, для известного развода «мама, я сбил человека, срочно переведи деньги, иначе меня посадят». В оригинале мошенник звонил «с телефона полицейского», а с помощью Verte можно и «со своего» — и к такому звонку будет меньше недоверия.

Звонить можно от имени знакомых, родственников, сотового оператора, коллекторов, коммунальных служб, Путина. Разнообразие схем ограничено только воображением мошенников.

За факт покупки такой симкарты и вовсе ничего не грозит — но это при условии, что покупатель не будет совершать ничего противоправного. Действительно, без договора установить личность покупателя сложно. Но все-таки не невозможно.

На своем сайте компания не указывает адреса российских офисов, но не исключено, что они у нее действительно есть. И тогда в такой офис могут прийти люди в погонах и устроить обыск, например в связи с делом о каком-то мошенничестве. Если не получится установить владельца конкретной симкарты, под подозрение попадут все абоненты — даже добросовестные.

Заключение

Данной статьёй я хотел пробудить интерес к стандарту GSM, который используют около ⅘ мобильных пользователей мира. Как мы убедились, в основе безопасности GSM лежит не столько криптографическая стойкость, сколько высокий “входной билет” в эту область.

Но и хакеры тоже не дремлют. Будем ждать новых уязвимостей в сетях 3G и 4G!

Итоги первого этапа тестирования

На первом этапе работ удалось продемонстрировать практически все, что описывают критики сигнальных сетей, поэтому их беспокойство вполне обосновано. И все же, мы столкнулись с незначительным противодействием на внешнем периметре оператора.

Подобные защитные настройки оборудования — наиболее распространенный метод предотвращения атак на сигнальные сети. Их можно найти в базовых рекомендациях GSM Association или подобрать, полагаясь на практический опыт. Еще несколько лет назад такой защиты хватало, но сейчас она не покрывает всего спектра угроз. Этот механизм недостаточно гибок, чтобы отразить сложные структурированные атаки.

Что касается защиты на сети оператора, то если его оборудование и поддерживало функции проверки и блокировки сигнальных сообщений, то они не работали должным образом. В первом раунде мы побили систему защиты сигнальной сети с разгромным счетом и в красках описали ситуацию заказчику.

Почему инцидентов много, и их редко расследуют

Долгое время основным источником атак на сигнальные сети были страны Африки со множеством мелких сотовых операторов. Сегодня следы ведут в Океанию, и даже в Европу, но это ни о чем не говорит.

Когда начинаешь разбираться, выясняется, что оператор, от которого якобы пришло опасное сигнальное сообщение, ничего не отправлял. Хакеры подставляют к запросам идентификаторы чужих сетей и отправляют их сложными маршрутами через многочисленных транзитных операторов. В результате, атакующий физически находится, например, в Воронеже, использует подключение к сигнальной сети от оператора в Южной Америке, а подписывается Океанией.

Причем даже честные транзитные операторы, вовлеченные в мошенническую схему, редко признаются, что пропускают трафик с подстановкой идентификаторов. Это бьет по репутации. Что уж говорить о тех, кто предоставляет хакерам доступ к сигнальной сети.

Найти злоумышленников и доказать их вину практически нереально. По крайней мере, мы не знаем ни одного такого случая. При этом 2G до сих пор используется у всех российских, да и у большинства зарубежных операторов, и атаки происходят все чаще. В последнее время наши клиенты фиксируют их ежедневно. К сожалению, операторы вынуждены защищать морально устаревший протокол от современных угроз.

Читайте про операторов:  Когда будет работать мобильная связь МТС в Луганске | Качество связи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *