(Bilde: Larsen, Håkon Mosvold)

SS7 signalering

Forsøkte å kartlegge Telenor for sårbarheter, så knelte mobilnettet

Et internasjonalt sikkerhetsselskap var kilden. Telenor nekter å si hvem.

Først ble mobilhavariet 19. februar omtalt som et uhell. En "svært sjelden" signaleringsmelding sendt fra en europeisk operatør ble feiltolket av programvare i Telenors nett.

I går kunne digi.no avsløre at meldingen var en bevisst handling, der noen forsøkte å kartlegge eller foreta en rekognosering av eventuelle sårbarheter i selskapets kritiske infrastruktur.

Telenor sier at meldingen ble sendt som del av en uavhengig sårbarhetstest, men at «forsøket på uthenting av informasjon ikke lyktes».

Forklaringen henger ikke på greip, mente professor Øivind Kure ved Institutt for telematikk, NTNU. Slik han ser det, måtte en slik handling enten være avtalt på forhånd, eller som et angrep å regne.

Slik svarer Telenor

– Professor Kure synes å basere seg på enkelte forutsetninger, herunder at kun operatører har tilgang til å sende signalering og at kun ondsinnede aktører driver utprøving av sårbarheter for informasjonslekkasje. Disse forutsetningene er ikke korrekte, skriver Telenor Norges kommunikasjonsdirektør Torild Lid Uribarri til digi.no.

Nå viser det seg at signaleringsmeldingen, som endte med å slå ut mobildekningen for en million Telenor-kunder stammer fra et internasjonalt sikkerhetsselskap.

– Telenor har kunnet fastslå at et internasjonalt sikkerhetsselskap var kilde til den aktuelle signaleringen, og dette er del av en global utprøving av slike sårbarheter som det aktuelle selskapet også gjennomførte i fjor. Denne kartleggingen har vært omtalt i media tidligere, og aktiviteten som nå ble gjennomført har til hensikt å oppdatere resultatene, skriver Uribarri.

Telenor ønsker ikke å kommentere på hvilken operatør det aktuelle sikkerhetsselskapet har benyttet for å etablere tilgang til det internasjonale signaleringsnettet.

De vil heller ikke navngi sikkerhetsselskapet. Telenor svarer heller ikke på spørsmål om de visste om eller hadde godkjent denne aktiviteten.

– Jeg forstår at dere ønsker disse navnene, men vi kan for øyeblikket ikke opplyse hvem de er.

Databasen med alle abonnenter

– Bakgrunn for sending av signaleringsmeldingen som ble feilaktig prosessert i vårt HLR er knyttet til utprøving av sårbarhet for informasjonslekkasje. Konsekvensene dette fikk i vårt HLR skyldtes imidlertid en programvarefeil i behandlingen av én av signaleringsmeldingene som ble mottatt, og var ikke i seg selv sikkerhetsselskapets intensjon ved sending av meldingen, forteller Telenors kommunikasjonsdirektør.

HLR (Home Location Register) er en sentral nettverkskomponent og database som inneholder serviceprofiler og identiteten til alle Telenors abonnenter.

– Telenor er fullt klar over at kriminelle kan søke å utnytte sårbarheter i SS7 og applikasjonsprotokoller som f.eks. MAP og CAMEL, og i likhet med øvrige operatører fokuserer vi på identifikasjon og implementering av tiltak. Vi er imidlertid glade for å kunne fastslå at vi «bestod» testen vi var utsatt for i denne omgang, avslutter Torlid Lid Uribarri.

digi.no kommer tilbake med mer om SS7 og hvordan henholdsvis Telenor, Telia (tidligere Netcom) og Ice møter utfordringene med det tillitsbaserte, sårbare signaliseringssystemet fra 1970-tallet.

Til toppen