Varnost GSM telefonije na 27c3

Na letošnji 27c3 konferenci v Berlinu so raziskovalci zbrani okrog GSM hacking projekta o katerem smo že večkrat poročali, predstavili kopico zanimivosti iz področja varnosti GSM telefonije.

Karsten Nohl in Sylvain Munaut sta v predavanju Wideband GSM Sniffing predstavila novosti v razvoju odprtokodne GSM prisluškovalne naprave. Tako sta na predavanju prikazala kako je s pomočjo 2 TB preko torrent omrežja dostopnih mavričnih tabel, programa Kraken in nekoliko modificiranega GSM aparata mogoče prestrezati GSM pogovore v skoraj realnem času.

GSM telefonija kot enega izmed varnostnih mehanizmov uporablja tudi tim. preskakovanje med frekvencami (ang. frequency hopping), kar so raziskovalci poskušali rešiti s prestrezanjem celotnega GSM spektra s pomočjo USRP, izkazalo pa se je, da je ta problem mogoče rešiti s strojno modifikacijo cenenih GSM telefonov. V tem primeru mora biti napadalec lociran na območju iste bazne postaje kot telefon "žrtve", potrebuje pa še IMSI oz. TMSI številko ciljnega telefona. Ko pogovor v šifrirani obliki posname, pa ga je potrebno še dešifrirati. S programom Kraken in mavričnimi tabelami je A5/2 ključ mogoče razbiti v okrog 20 sekundah, celoten klic pa je mogoče dešifrirati v okrog 30 sekundah po tem, ko je končan.

Zanimivo je bilo tudi predavanje Ralfa-Philippa Weinmanna z naslovom The Baseband Apocalypse, kjer se je avtor nekoliko podrobneje posvetil varnosti GSM stacka. Izkaže se, da je s pomočjo zlonamerne bazne postaje (v zvezi s tem sta zanimiva projekta OpenBSC in OpenBTS) izvajati napade na mobilne telefone. Napadi vključujejo okvaro vsebine pomnilnika telefona (tim. over-the-air memory corruption) ter oddaljeno izvajanje zlonamerne kode.

Na konferenci je bilo prikazanih še več drugih zanimivosti, med drugim tudi kako s pomočjo zlonamernega SMS sporočila locirati poljuben GSM telefon kjerkoli na svetu, kako na daljavo vključiti mikrofon, itd.

Videoposnetki predavanj še niso dostopni na spletu, v živo pa lahko konferenco spremljate preko spleta (hala 1, hala 2 in hala 3).