» »

Varnost slovenskih GSM omrežij III

del I, del II

V torek smo pisali tudi o tem, da Si.Mobil v svojem omre┼żju dovoli uporabo A5/0 (ne┼íifriranega prenosa podatkov). Tudi njih smo poprosili za komentar.

Med ─Źakanjem na odgovor so se razmere rahlo spremenite, a najprej nekaj uvoda.

V okviru projekta OsmocomBB je bila razvita aplikacija mobile, ki omogo─Źa klicanje in po┼íiljanje SMS sporo─Źil s pomo─Źjo OsmocomBB strojne in programske opreme. Za izvajanje klicev seveda potrebujemo SIM kartico, potrebno je tudi oddajati v omre┼żje, kot bomo pokazali v nadaljevanju, pa je z nekoliko predelano aplikacijo v neustrezno za┼í─Źitenih omre┼żjih mogo─Źe izvesti krajo mobilne identitete v GSM omre┼żjih.

Zagon in uporaba aplikacije mobile

Izvorna koda aplikacije mobile je dostopna v sylvain/testing veji OsmocomBB Git repozitorija. Ker smo hoteli preizkusiti, ─Źe lahko ponarejamo klicno identiteto, smo aplikacijo nekoliko predelali in dodali funkcijo “SIM spoofing”. Pomembno je poudariti, da je pri prevajanju originalne izvorne kode v konfiguracijski datoteki potrebno ro─Źno vklju─Źiti TX podporo, torej podporo oddajanju signalov mobilnega telefona.

Aplikacijo najprej prevedemo iz na┼íe “identity” veje Git skladi┼í─Źa. Nato s pomo─Źjo ROM nalagalnika na mobilni telefon nalo┼żimo OsmocomBB strojno programsko opremo. Nato v drugi konzoli za┼żenemo aplikacijo mobile.

Zagon aplikacije mobile v terminalu.

Zagon aplikacije mobile v terminalu.

Nato pa se (v tretji konzoli) s telnetom pove┼żemo neposredno v aplikacijo.

Aplikacija omogo─Źa upravljanje telefona s pomo─Źjo ukazov, ki jih tipkamo. Za za─Źetek pa moramo vstopiti v aktiven na─Źin, in sicer z vnosom ukaza “enable”. Nato vna┼íamo ukaze.

Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Welcome to the OpenBSC Control interface
OsmocomBB> enable 

OsmocomBB# sim pin 1 1234

% (MS 1)
% Trying to registering with network... 

% (MS 1)
% On Network, normal service: Slovenia, Si.mobil

Po┼íiljanje SMS sporo─Źila (mogo─Źe je seveda tudi klicanje):

OsmocomBB# sms 1 041xxxxxx Test 

Prikaz uporabniških podatkov:

OsmocomBB# show subscriber 
Mobile Subscriber of MS '1': 
IMSI: 2934*********** 
ICCID: 8938640************* 
SMS Service Center Address: +38640441000 
Status: U1_UPDATED IMSI attached TMSI 0x65****** 
LAI: MCC 293 MNC 40 LAC 0x0079 (Slovenia, Si.mobil) 
Key: sequence 0 ** c5 ** ** ** ** 4c **
Registered PLMN: MCC 293 MNC 40 (Slovenia, Si.mobil) 
Access barred cells: no 
Access classes: C6 
List of preferred PLMNs: 
<p>&hellip;</p>

Prikaz podatkov o telefonu in bazni postaji na katero smo povezani:

OsmocomBB# show ms
MS '1' is up, service is normal 
IMEI: 355************ 
IMEISV: 355************* 
IMEI generation: fixed 
automatic network selection state: A2 on PLMN 
MCC=293 MNC=40 (Slovenia, Si.mobil) 
cell selection state: C3 camped normally 
ARFCN=54 MCC=293 MNC=40 LAC=0x0079 CELLID=0x01d8 
(Slovenia, Si.mobil) 
radio ressource layer state: idle 
mobility management layer state: MM idle, normal service

Skratka, z aplikacijo mobile lahko po┼íiljamo SMS sporo─Źila, kli─Źemo, sprejemamo klice in SMS sporo─Źila, si ogledamo podrobnosti o bazni postaji na katero smo povezani ter o svoji GSM seji,...

Odgovor Si.Mobila

Si.mobil je edini operater v Sloveniji, ki v celotnem 2G omre┼żju uporablja varnostni algoritem A5/3. A5/3 je trenutno algoritem najvi┼íje varnostne stopnje, ki je na voljo, v pripravi pa je ┼że tudi A5/4. Vse nadgradnje in izbolj┼íave algoritmov skrbno spremljamo. Opozoriti velja, da se v omre┼żju tretje generacije (3G) uporabljajo naprednej┼íi in varnej┼íi na─Źini kodiranja, kar pomeni, da so klici v 3G omre┼żju bolj varni. Si.mobil uporabnikom najve─Źjega in najhitrej┼íega 3G omre┼żja tako zagotavlja najvi┼íjo mo┼żno varnost in priporo─Źa, da storitve uporabljajo v 3G omre┼żju.

Ko govorimo o ne┼íifriranem prenosu preko radijskega vmesnika z uporabo A5/0 algoritma v Si.mobilovem omre┼żju, se je ta uporabljal samo pod pogojem, da telefonski aparat ni podpiral algoritmov A5/1 in/ali A5/3. V tak┼ínih primerih je ┼ílo za zelo stare telefonske aparate, kjer je bila mo┼żna vzpostavitev prenosa zgolj preko A5/0 algoritma.

Si.mobil neprestano sledi napredku tehnologije in posve─Źa veliko pozornosti tudi varnostnim aspektom, konec leta 2011 smo uvedli A5/3 za celotno 2G omre┼żje, v juniju 2012 [beri: 13.6.2012 op.avtor] pa smo izklopili mo┼żnost uporabe ne┼íifriranega algoritma A5/0. Pozdravljamo pa tudi interes javnosti in medijsko poro─Źanje ter strokovno podprte prispevke, kot ga je pripravil portal SloTech, ki opozarja na morebitne pasti. Tudi zaradi tega smo algoritem A5/0 ukinili

Si.Mobil je tako odpravil najbolj vnebovpijo─Źo varnostno pomanjkljivost svojega omre┼żja in posredno priznal, da so v intervjuju za Monitor novembra 2011 skoparili z resnico (takrat so namre─Ź kategori─Źno zanikali mo┼żnost uporabe omre┼żja brez ┼íifriranja -- A5/0 pri nas ni uporabljan, absolutno ne).

Kljub temu za zaradi popolnosti informacij za za─Źetek poglejmo, kaj je ta (sicer odpravljena) pomanjkljivost omogo─Źala.

Ponarejanje mobilne identitete v GSM omre┼żju

Osnovna ideja za izvedbo ponarejanja oz. kraje identitete uporabnika v mobilnem omre┼żju je, da s pomo─Źjo prestrezanja komunikacij drugega uporabnika v GSM omre┼żju pridobimo vse potrebne podatke, ki tega uporabnika v mobilnem omre┼żju identificirajo, nato pa prevzamemo njegovo mobilno identiteto, kar nam omogo─Źa, da v njegovem imenu izvajamo klice, po┼íiljamo SMS sporo─Źila ali izvajamo kak┼íne druge storitve, npr. mobilno pla─Źevanje.

Za tak┼íno po─Źetje v osnovi potrebujemo ┼íifrirni klju─Ź Kc (le v primeru, ko omre┼żje od nas zahteva vklopljeno ┼íifriranje), TMSI in IMSI ┼ítevilko (razen v primeru Si.Mobila na A5/0) ter sekven─Źno ┼ítevilko klju─Źa (ang. key sequence number).

Za potrebe ponarejanja identitete uporabnika smo aplikacijo mobile nekoliko predelali in sicer tako, da smo vklju─Źili ukaz sim spoof, ki mu za parametre podamo IMSI ┼ítevilko, TMSI ┼ítevilko, Kc in sekven─Źno ┼ítevilko klju─Źa. Ta metoda temelji na bistveno druga─Źnem principu delovanja od tiste opisane v na┼íem prvem leto┼ínjem ─Źlanku. Za delovanje zahteva, da se priklopimo na isto bazno postajo kot mobilni telefon osebe, katere mobilno identiteto ┼żelimo prevzeti (kar v mestih zahteva relativno fizi─Źno bli┼żino).

Za izvedbo prevzemanja identitete je potrebno pridobiti IMSI in TMSI ┼ítevilki uporabnika kateremu ┼żelimo ponarediti identiteto, a kot smo pokazali ┼że prej, je to zelo enostavno.

Naslednji video prikazuje postopek prevzema identitete uporabnika Si.Mobila (zaradi spremembe omre┼żja postopek ne deluje ve─Ź):

Kot je razvidno iz posnetka, je bil vlo┼żek ─Źasa in truda blizu ni─Ź.

Preskusili smo tudi sprejemanje klica ali SMS sporo─Źila in izka┼że se, da v tem primeru zahtevo za dodelitev kanala s strani omre┼żja sicer odzoveta oba mobilna telefona, klic ali SMS sporo─Źilo pa prejme le eden (hitrej┼íi od njiju). ─îe bi takoj po prevzemu mobilne identitete drugega uporabnika le-tega s pomo─Źjo motilca GSM signala za─Źasno odklopili iz omre┼żja, bi v vmesnem ─Źasu lahko celo sprejeli klice namenjene njemu.

Mobitelov odgovor (drugi─Ź)

Kot smo navedli ┼że v prvem ─Źlanku, je Telekom Slovenije sporo─Źil, da v vsej svoji zgodovini niso zabele┼żeli nobenega primera zlorabe identitete uporabnika.

Naknadno so za STA povedali tudi, da so zlorabe identitete uporabnika v njihovem omre┼żju prepre─Źene z vrsto standardnih in nadstandardnih varnostnih mehanizmov. Opozarjajo pa, da ne morejo prepre─Źiti, da bi bila identiteta uporabnikov, ki kli─Źejo ali po┼íiljajo sporo─Źila SMS njihovim uporabnikom iz ostalih doma─Źih ali mednarodnih omre┼żij, potencialno zlorabljena (callerID spoofing kot predstavljeno v prvem leto┼ínjem ─Źlanku).

Te nadstandardne ukrepe (ki iz razumljivih razlogov seveda ne bodo razkriti) smo si pobli┼żje pogledali.

.

Ponarejanje mobilne identitete v GSM omre┼żju A5/1

─îe ste pozorno prebrali odstavek o ponarejanju mobilne identitete v GSM omre┼żju na primeru nekodiranega omre┼żja Si.Mobila ste opazili, da je edina resna razlika do kodiranega omre┼żja prisotnost uporabe ┼íifrirnega klju─Źa (Kc) ter v primeru Mobitela dodatno preverjanje IMSI ┼ítevilke (kako do nje z HLR vpogledom smo pojasnili v prej┼ínjem ─Źlanku). Prav tako potrebujemo sekven─Źno ┼ítevilko klju─Źa.

Pridobitev ┼íifrirnega klju─Źa je najte┼żji del naloge, a kot smo pokazali je to v omre┼żjih, ki uporabljajo neustrezno kriptografsko za┼í─Źito mogo─Źe s pomo─Źjo ustrezne kriptoanalize v nekaj minutah (del II). Predpostaviti moramo tudi to, da mora biti napadani mobilni telefon pribli┼żno pri miru in v obmo─Źju kjer ne ska─Źe med ve─Ź baznimi postajami (ARFCN-ji), kar v─Źasih ni tako samoumevno (druga─Źe potrebujemo precej ve─Ź opreme, da mu sledimo med razli─Źnimi baznimi postajami). To lahko preverimo tudi tako da gledamo, ─Źe je na┼ía aplikacija mobile vedno povezana na en ARFCN. S temu zagotovimo da se ┼íifrirni klju─Ź ne menja. ┼íifrirni klju─Ź Kc je tako veljaven za ─Źas trajanja seje (torej med dvema lokacijskima posodobitvama), enako velja za ┼ítevilko TMSI. V praksi to pomeni, da ko s kriptoanalizo uspemo razbiti sejo, lahko do naslednje lokacijske posodobitve vidimo vsebino prometa ciljnega mobilnega telefona, hkrati pa lahko v GSM omre┼żju prevzamemo njegovo identiteto, torej v njegovem imenu opravljamo klice, po┼íiljamo SMS sporo─Źila, itd.. Pri tem posebej poudarjamo, da za krajo mobilne identitete v tem primeru ne potrebujemo ne telefona, ne SIM kartice ciljnega uporabnika, dovolj je le, da se nahajamo na obmo─Źju iste bazne postaje kot on.

Pri pridobiti ┼íifrirnega klju─Źa si pomagamo s tem, da po─Źakamo, da uporabnik mobilnega telefona, katerega identiteto ┼żelimo prevzeti po┼ílje SMS sporo─Źilo, ali pa mu SMS sporo─Źilo po┼íljemo mi. Lahko mu po┼íljemo tudi skrito (oz. tiho) SMS sporo─Źilo, kar smo ┼że opisali v prej┼ínjih poglavjih.

Naj ┼íe dodamo, da je ta postopek v praksi precej te┼żko izvajati na podro─Źju, kjer se nahaja ve─Ź baznih postaj, oziroma ima ve─Ź baznih postaj pribli┼żno enake mo─Źi signalov (problem je tudi prisotnost velikega ┼ítevila odbojev). Mobilni telefon v tem primeru stalno ska─Źe med med razli─Źnimi baznimi postajami (oz. ARFCN-ji) in je njegovo sledenje z enim samim OsmocomBB telefonom zelo ote┼żeno. Poleg tega je uspe┼ínost izvedbe postopka odvisna od uspe┼ínosti (razbitje ┼íifrirnega klju─Źa z javno dostopnimi mavri─Źnimi tabelami v nekaj odstotkih primerov ni mogo─Źe) in tudi hitrosti razbijanja ┼íifrirnega klju─Źa.

Ko enkrat pridobimo ┼íifrirni klju─Ź, je postopek identi─Źen tistemu, ki smo ga pokazali na primeru nekodiranega Si.Mobil omre┼żja in si ga lahko pogledate v naslednjem videoposnetku:

 

Ampak Mobitel ni edini operater z A5/1

Seveda. Ampak, ─Źe postopek deluje na njihovih posebnih metodah varovanja omre┼żja vam prepu┼í─Źamo razmislek o njegovem delovanju na ostalih slovenskih operaterjih.

Na nekaj naklju─Źnih lokacijah v ─Źasu objave tega ─Źlanka na omre┼żjih Tu┼ímobila in Mobitela nismo zaznavali mo┼żnosti komuniciranja s pomo─Źjo algoritma A5/3. V primeru Si.Mobila je bilo razmerje pribli┼żno 35% uporabnikov preko A5/1 in preostanek na A5/3. Komunikacija uporabnikov, katerih terminalska oprema ne podpira vzpostavljanja komunikacije s pomo─Źjo ┼íifrirnega algoritma A5/3 je tudi na Si.Mobilovem omre┼żju ranljiva enako kot pri ostalih dveh operaterjih, ki smo si jih ogledali.

Namesto zaklju─Źka

Za razliko od ra─Źunalni┼íke tehnologije, je bila telefonija v preteklosti zaradi svoje zaprtosti redko tar─Źa varnostnih pregledov ali obse┼żnej┼íih zlorab. Kar pa seveda ne pomeni, da ta tehnologija ni ranljiva.

Po na┼íem mnenju velja prav nasprotno - posledica dejstva, da so ra─Źunalniki na udaru varnostnih raziskovalcev in hekerjev ┼że dolgo ─Źasa, je precej┼ínje izbolj┼íanje njihove varnosti v zadnjih letih. Pri telefoniji pa zaradi njene zaprtosti motivov za vlaganje v varnost ni bilo tolik┼íno.

Telefonija je bila v preteklosti zaprta iz ve─Ź razlogov - pomemben del zaprtosti je tvorila lastni┼íka programska oprema in kompleksnost protokolov, poleg tega telefonska tehnologija zahteva specifi─Źno strojno opremo, ki je bila v preteklosti razmeroma draga ali celo nedostopna individualnim raziskovalcem.

Vendar pa je projekt OsmocomBB to radikalno spremenil. Osnovna strojna oprema potrebna za raziskovanje GSM tehnologije je danes izjemno poceni, prav tako je z dodatki v Wiresharku bistveno olajšana analiza GSM protokola.

Kot smo prikazali v ─Źlanku, varnostna analiza ka┼że na po na┼íem mnenju zaskrbljujo─Źe varnostne pomanjkljivosti pri slovenskih mobilnih operaterjih. Z izrabo odkritih ranljivosti bi napadalec lahko nepoobla┼í─Źeno, predvsem pa nezaznavno prestrezal vsebino SMS sporo─Źil in pogovorov, izvajal sledenje uporabnikom ali s pomo─Źjo kraje identitete mobilnega uporabnika le-temu povzro─Źal neupravi─Źene stro┼íke ali ga spravil v kazenski pregon. ─îe je bila oprema za kaj takega v preteklosti dostopna samo obve┼í─Źevalno-varnostnim slu┼żbam in kriminalnim organizacijam z velikimi finan─Źnimi sredstvi, pa je - kot smo pokazali - tehnologija, ki omogo─Źa izrabo varnostnih ranljivosti danes na voljo prakti─Źno vsakomur.

Varnostna analiza po na┼íem mnenju v dolo─Źenem delu ka┼że na malomarnost nekaterih operaterjev in njihovo pomanjkljivo znanje oz. nerazumevanje varnostnih problemov v GSM mobilni telefoniji, v dolo─Źenem delu pa nepripravljenost vlagati v ve─Źjo stopnjo varnosti. Posledica je po na┼íem mnenju zaskrbljujo─Źe nizka stopnja varnosti, ki omogo─Źa razmeroma enostavno nezaznavno prestrezanje komunikacij v mobilnih omre┼żjih in ponarejanje mobilne identitete uporabnika, kar ima resne posledice tako za varnost, kot tudi za zasebnost slovenskih uporabnikov mobilne telefonije.

Glede na to, da so ustrezne re┼íitve, katerih implementacija bi izbolj┼íala varnost GSM telefonije, na voljo ┼że dlje ─Źasa, upamo, da bodo mobilni operaterji svoja omre┼żja ustrezno varnostno nadgradili.

O posledicah, ki jih tovrstni izzivi prina┼íajo za ureditev obvezne hrambe prometnih podatkov ter o njihovi dokazni vrednosti pa kdaj drugi─Ź.

Teleinfos 2003

Teleinfos 2003

Čeprav je Teleinfos sejem dokaj majhnega obsega, je potrebno razmisliti, kaj več nam slovensko gospodarstvo sploh lahko ponudi. No, na letošnjem Teleinfosu je bilo dejansko prostora za še marsikaj (pomnimo, pojem telekomunikacij je potrebno obravnavati v širšem pomenu), ...

Preberi cel članek »

GSM logotipi

GSM logotipi

Nekega dne, kakopak, na irc kanalu #slo-tech, sem debatiral s slo-techerjem alien-wjem. Pokazal mi je majceno, drobno sličico, ki pa ni bila nič drugega, kot LOGOTIP Slo-Techa. Seveda je bilo treba njegovo stvaritev takoj izkoristiti in tako sva prišla ...

Preberi cel članek »

Teleinfos 2001

Teleinfos 2001

Tudi to leto se je zvrstil. Teleinfos. Menim, da bi moral logo te prireditve biti: &quot;Če že mislite, da slabše ne bi moglo biti, si nas oglejte še enkrat!&quot;. Resno. Take polomije, za katero sva morala odšteti 600 tolarjev vsak, še nisem doživel (od lanskega Teleinfosa, ...

Preberi cel članek »

Varnost slovenskih GSM omrežij

Varnost slovenskih GSM omrežij

V članku so predstavljeni rezultati varnostne analize slovenskih GSM omrežij, ki smo jo opravili v prvi polovici leta 2012. Namen članka je opozoriti na varnostne ranljivosti v slovenskih GSM omrežjih z namenom, da se varnostne ranljivosti odpravijo, posledično pa se poveča stopnja varnosti in zasebnosti ...

Preberi cel članek »

Varnost slovenskih GSM omrežij II

Varnost slovenskih GSM omrežij II

Članek je dopolnitev predhodno objavljenega članka. Ker se je izkazalo, da nekateri mobilni operaterji skrbijo za zaupnost komunikacije v svojih omrežjih z več mehanizmi zaščite (in domnevno ne samo s kodiranjem z zastarelim algoritmom), s katerimi je zagotovljena visoka stopnja zaščite, smo se tovrstne ...

Preberi cel članek »