标签:
V torek smo pisali tudi o tem, da Si.Mobil v svojem omre?ju dovoli uporabo A5/0 (nešifriranega prenosa podatkov). Tudi njih smo poprosili za komentar.
Med ?akanjem na odgovor so se razmere rahlo spremenite, a najprej nekaj uvoda.
V okviru projekta OsmocomBB je bila razvita aplikacija mobile, ki omogo?a klicanje in pošiljanje SMS sporo?il s pomo?jo OsmocomBB strojne in programske opreme. Za izvajanje klicev seveda potrebujemo SIM kartico, potrebno je tudi oddajati v omre?je, kot bomo pokazali v nadaljevanju, pa je z nekoliko predelano aplikacijo v neustrezno zaš?itenih omre?jih mogo?e izvesti krajo mobilne identitete v GSM omre?jih.
Zagon in uporaba aplikacije mobile
Izvorna koda aplikacije mobile je dostopna v sylvain/testing veji OsmocomBB Git repozitorija. Ker smo hoteli preizkusiti, ?e lahko ponarejamo klicno identiteto, smo aplikacijo nekoliko predelali in dodali funkcijo “SIM spoofing”. Pomembno je poudariti, da je pri prevajanju originalne izvorne kode v konfiguracijski datoteki potrebno ro?no vklju?iti TX podporo, torej podporo oddajanju signalov mobilnega telefona.
Aplikacijo najprej prevedemo iz naše “identity” veje Git skladiš?a. Nato s pomo?jo ROM nalagalnika na mobilni telefon nalo?imo OsmocomBB strojno programsko opremo. Nato v drugi konzoli za?enemo aplikacijo mobile.
Zagon aplikacije mobile v terminalu.
Nato pa se (v tretji konzoli) s telnetom pove?emo neposredno v aplikacijo.
Aplikacija omogo?a upravljanje telefona s pomo?jo ukazov, ki jih tipkamo. Za za?etek pa moramo vstopiti v aktiven na?in, in sicer z vnosom ukaza “enable”. Nato vnašamo ukaze.
Trying 127.0.0.1... Connected to localhost. Escape character is ‘^]‘. Welcome to the OpenBSC Control interface OsmocomBB> enable OsmocomBB# sim pin 1 1234 % (MS 1) % Trying to registering with network... % (MS 1) % On Network, normal service: Slovenia, Si.mobil
Pošiljanje SMS sporo?ila (mogo?e je seveda tudi klicanje):
OsmocomBB# sms 1 041xxxxxx Test
OsmocomBB# show subscriber Mobile Subscriber of MS ‘1‘: IMSI: 2934*********** ICCID: 8938640************* SMS Service Center Address: +38640441000 Status: U1_UPDATED IMSI attached TMSI 0x65****** LAI: MCC 293 MNC 40 LAC 0x0079 (Slovenia, Si.mobil) Key: sequence 0 ** c5 ** ** ** ** 4c ** Registered PLMN: MCC 293 MNC 40 (Slovenia, Si.mobil) Access barred cells: no Access classes: C6 List of preferred PLMNs: <p>…</p>
Prikaz podatkov o telefonu in bazni postaji na katero smo povezani:
OsmocomBB# show ms MS ‘1‘ is up, service is normal IMEI: 355************ IMEISV: 355************* IMEI generation: fixed automatic network selection state: A2 on PLMN MCC=293 MNC=40 (Slovenia, Si.mobil) cell selection state: C3 camped normally ARFCN=54 MCC=293 MNC=40 LAC=0x0079 CELLID=0x01d8 (Slovenia, Si.mobil) radio ressource layer state: idle mobility management layer state: MM idle, normal service
Skratka, z aplikacijo mobile lahko pošiljamo SMS sporo?ila, kli?emo, sprejemamo klice in SMS sporo?ila, si ogledamo podrobnosti o bazni postaji na katero smo povezani ter o svoji GSM seji,...
Odgovor Si.Mobila
Si.mobil je edini operater v Sloveniji, ki v celotnem 2G omre?ju uporablja varnostni algoritem A5/3. A5/3 je trenutno algoritem najvišje varnostne stopnje, ki je na voljo, v pripravi pa je ?e tudi A5/4. Vse nadgradnje in izboljšave algoritmov skrbno spremljamo. Opozoriti velja, da se v omre?ju tretje generacije (3G) uporabljajo naprednejši in varnejši na?ini kodiranja, kar pomeni, da so klici v 3G omre?ju bolj varni. Si.mobil uporabnikom najve?jega in najhitrejšega 3G omre?ja tako zagotavlja najvišjo mo?no varnost in priporo?a, da storitve uporabljajo v 3G omre?ju.
Ko govorimo o nešifriranem prenosu preko radijskega vmesnika z uporabo A5/0 algoritma v Si.mobilovem omre?ju, se je ta uporabljal samo pod pogojem, da telefonski aparat ni podpiral algoritmov A5/1 in/ali A5/3. V takšnih primerih je šlo za zelo stare telefonske aparate, kjer je bila mo?na vzpostavitev prenosa zgolj preko A5/0 algoritma.
Si.mobil neprestano sledi napredku tehnologije in posve?a veliko pozornosti tudi varnostnim aspektom, konec leta 2011 smo uvedli A5/3 za celotno 2G omre?je, v juniju 2012 [beri: 13.6.2012 op.avtor] pa smo izklopili mo?nost uporabe nešifriranega algoritma A5/0. Pozdravljamo pa tudi interes javnosti in medijsko poro?anje ter strokovno podprte prispevke, kot ga je pripravil portal SloTech, ki opozarja na morebitne pasti. Tudi zaradi tega smo algoritem A5/0 ukinili
Si.Mobil je tako odpravil najbolj vnebovpijo?o varnostno pomanjkljivost svojega omre?ja in posredno priznal, da so v intervjuju za Monitor novembra 2011 skoparili z resnico (takrat so namre? kategori?no zanikali mo?nost uporabe omre?ja brez šifriranja -- A5/0 pri nas ni uporabljan, absolutno ne).
Kljub temu za zaradi popolnosti informacij za za?etek poglejmo, kaj je ta (sicer odpravljena) pomanjkljivost omogo?ala.
Ponarejanje mobilne identitete v GSM omre?ju
Osnovna ideja za izvedbo ponarejanja oz. kraje identitete uporabnika v mobilnem omre?ju je, da s pomo?jo prestrezanja komunikacij drugega uporabnika v GSM omre?ju pridobimo vse potrebne podatke, ki tega uporabnika v mobilnem omre?ju identificirajo, nato pa prevzamemo njegovo mobilno identiteto, kar nam omogo?a, da v njegovem imenu izvajamo klice, pošiljamo SMS sporo?ila ali izvajamo kakšne druge storitve, npr. mobilno pla?evanje.
Za takšno po?etje v osnovi potrebujemo šifrirni klju? Kc (le v primeru, ko omre?je od nas zahteva vklopljeno šifriranje), TMSI in IMSI številko (razen v primeru Si.Mobila na A5/0) ter sekven?no številko klju?a (ang. key sequence number).
Za potrebe ponarejanja identitete uporabnika smo aplikacijo mobile nekoliko predelali in sicer tako, da smo vklju?ili ukaz sim spoof, ki mu za parametre podamo IMSI številko, TMSI številko, Kc in sekven?no številko klju?a. Ta metoda temelji na bistveno druga?nem principu delovanja od tiste opisane v našem prvem letošnjem ?lanku. Za delovanje zahteva, da se priklopimo na isto bazno postajo kot mobilni telefon osebe, katere mobilno identiteto ?elimo prevzeti (kar v mestih zahteva relativno fizi?no bli?ino).
Za izvedbo prevzemanja identitete je potrebno pridobiti IMSI in TMSI številki uporabnika kateremu ?elimo ponarediti identiteto, a kot smo pokazali ?e prej, je to zelo enostavno.
Naslednji video prikazuje postopek prevzema identitete uporabnika Si.Mobila (zaradi spremembe omre?ja postopek ne deluje ve?):
-视频1-
Kot je razvidno iz posnetka, je bil vlo?ek ?asa in truda blizu ni?.
Preskusili smo tudi sprejemanje klica ali SMS sporo?ila in izka?e se, da v tem primeru zahtevo za dodelitev kanala s strani omre?ja sicer odzoveta oba mobilna telefona, klic ali SMS sporo?ilo pa prejme le eden (hitrejši od njiju). ?e bi takoj po prevzemu mobilne identitete drugega uporabnika le-tega s pomo?jo motilca GSM signala za?asno odklopili iz omre?ja, bi v vmesnem ?asu lahko celo sprejeli klice namenjene njemu.
Mobitelov odgovor (drugi?)
Kot smo navedli ?e v prvem ?lanku, je Telekom Slovenije sporo?il, da v vsej svoji zgodovini niso zabele?eli nobenega primera zlorabe identitete uporabnika.
Naknadno so za STA povedali tudi, da so zlorabe identitete uporabnika v njihovem omre?ju prepre?ene z vrsto standardnih in nadstandardnih varnostnih mehanizmov. Opozarjajo pa, da ne morejo prepre?iti, da bi bila identiteta uporabnikov, ki kli?ejo ali pošiljajo sporo?ila SMS njihovim uporabnikom iz ostalih doma?ih ali mednarodnih omre?ij, potencialno zlorabljena (callerID spoofing kot predstavljeno v prvem letošnjem ?lanku).
Te nadstandardne ukrepe (ki iz razumljivih razlogov seveda ne bodo razkriti) smo si pobli?je pogledali.
Ponarejanje mobilne identitete v GSM omre?ju A5/1
?e ste pozorno prebrali odstavek o ponarejanju mobilne identitete v GSM omre?ju na primeru nekodiranega omre?ja Si.Mobila ste opazili, da je edina resna razlika do kodiranega omre?ja prisotnost uporabe šifrirnega klju?a (Kc) ter v primeru Mobitela dodatno preverjanje IMSI številke (kako do nje z HLR vpogledom smo pojasnili v prejšnjem ?lanku). Prav tako potrebujemo sekven?no številko klju?a.
Pridobitev šifrirnega klju?a je najte?ji del naloge, a kot smo pokazali je to v omre?jih, ki uporabljajo neustrezno kriptografsko zaš?ito mogo?e s pomo?jo ustrezne kriptoanalize v nekaj minutah (del II). Predpostaviti moramo tudi to, da mora biti napadani mobilni telefon pribli?no pri miru in v obmo?ju kjer ne ska?e med ve? baznimi postajami (ARFCN-ji), kar v?asih ni tako samoumevno (druga?e potrebujemo precej ve? opreme, da mu sledimo med razli?nimi baznimi postajami). To lahko preverimo tudi tako da gledamo, ?e je naša aplikacija mobile vedno povezana na en ARFCN. S temu zagotovimo da se šifrirni klju? ne menja. šifrirni klju? Kc je tako veljaven za ?as trajanja seje (torej med dvema lokacijskima posodobitvama), enako velja za številko TMSI. V praksi to pomeni, da ko s kriptoanalizo uspemo razbiti sejo, lahko do naslednje lokacijske posodobitve vidimo vsebino prometa ciljnega mobilnega telefona, hkrati pa lahko v GSM omre?ju prevzamemo njegovo identiteto, torej v njegovem imenu opravljamo klice, pošiljamo SMS sporo?ila, itd.. Pri tem posebej poudarjamo, da za krajo mobilne identitete v tem primeru ne potrebujemo ne telefona, ne SIM kartice ciljnega uporabnika, dovolj je le, da se nahajamo na obmo?ju iste bazne postaje kot on.
Pri pridobiti šifrirnega klju?a si pomagamo s tem, da po?akamo, da uporabnik mobilnega telefona, katerega identiteto ?elimo prevzeti pošlje SMS sporo?ilo, ali pa mu SMS sporo?ilo pošljemo mi. Lahko mu pošljemo tudi skrito (oz. tiho) SMS sporo?ilo, kar smo ?e opisali v prejšnjih poglavjih.
Naj še dodamo, da je ta postopek v praksi precej te?ko izvajati na podro?ju, kjer se nahaja ve? baznih postaj, oziroma ima ve? baznih postaj pribli?no enake mo?i signalov (problem je tudi prisotnost velikega števila odbojev). Mobilni telefon v tem primeru stalno ska?e med med razli?nimi baznimi postajami (oz. ARFCN-ji) in je njegovo sledenje z enim samim OsmocomBB telefonom zelo ote?eno. Poleg tega je uspešnost izvedbe postopka odvisna od uspešnosti (razbitje šifrirnega klju?a z javno dostopnimi mavri?nimi tabelami v nekaj odstotkih primerov ni mogo?e) in tudi hitrosti razbijanja šifrirnega klju?a.
Ko enkrat pridobimo šifrirni klju?, je postopek identi?en tistemu, ki smo ga pokazali na primeru nekodiranega Si.Mobil omre?ja in si ga lahko pogledate v naslednjem videoposnetku:
-视频2-
Ampak Mobitel ni edini operater z A5/1
Seveda. Ampak, ?e postopek deluje na njihovih posebnih metodah varovanja omre?ja vam prepuš?amo razmislek o njegovem delovanju na ostalih slovenskih operaterjih.
Na nekaj naklju?nih lokacijah v ?asu objave tega ?lanka na omre?jih Tušmobila in Mobitela nismo zaznavali mo?nosti komuniciranja s pomo?jo algoritma A5/3. V primeru Si.Mobila je bilo razmerje pribli?no 35% uporabnikov preko A5/1 in preostanek na A5/3. Komunikacija uporabnikov, katerih terminalska oprema ne podpira vzpostavljanja komunikacije s pomo?jo šifrirnega algoritma A5/3 je tudi na Si.Mobilovem omre?ju ranljiva enako kot pri ostalih dveh operaterjih, ki smo si jih ogledali.
Namesto zaklju?ka
Za razliko od ra?unalniške tehnologije, je bila telefonija v preteklosti zaradi svoje zaprtosti redko tar?a varnostnih pregledov ali obse?nejših zlorab. Kar pa seveda ne pomeni, da ta tehnologija ni ranljiva.
Po našem mnenju velja prav nasprotno - posledica dejstva, da so ra?unalniki na udaru varnostnih raziskovalcev in hekerjev ?e dolgo ?asa, je precejšnje izboljšanje njihove varnosti v zadnjih letih. Pri telefoniji pa zaradi njene zaprtosti motivov za vlaganje v varnost ni bilo tolikšno.
Telefonija je bila v preteklosti zaprta iz ve? razlogov - pomemben del zaprtosti je tvorila lastniška programska oprema in kompleksnost protokolov, poleg tega telefonska tehnologija zahteva specifi?no strojno opremo, ki je bila v preteklosti razmeroma draga ali celo nedostopna individualnim raziskovalcem.
Vendar pa je projekt OsmocomBB to radikalno spremenil. Osnovna strojna oprema potrebna za raziskovanje GSM tehnologije je danes izjemno poceni, prav tako je z dodatki v Wiresharku bistveno olajšana analiza GSM protokola.
Kot smo prikazali v ?lanku, varnostna analiza ka?e na po našem mnenju zaskrbljujo?e varnostne pomanjkljivosti pri slovenskih mobilnih operaterjih. Z izrabo odkritih ranljivosti bi napadalec lahko nepooblaš?eno, predvsem pa nezaznavno prestrezal vsebino SMS sporo?il in pogovorov, izvajal sledenje uporabnikom ali s pomo?jo kraje identitete mobilnega uporabnika le-temu povzro?al neupravi?ene stroške ali ga spravil v kazenski pregon. ?e je bila oprema za kaj takega v preteklosti dostopna samo obveš?evalno-varnostnim slu?bam in kriminalnim organizacijam z velikimi finan?nimi sredstvi, pa je - kot smo pokazali - tehnologija, ki omogo?a izrabo varnostnih ranljivosti danes na voljo prakti?no vsakomur.
Varnostna analiza po našem mnenju v dolo?enem delu ka?e na malomarnost nekaterih operaterjev in njihovo pomanjkljivo znanje oz. nerazumevanje varnostnih problemov v GSM mobilni telefoniji, v dolo?enem delu pa nepripravljenost vlagati v ve?jo stopnjo varnosti. Posledica je po našem mnenju zaskrbljujo?e nizka stopnja varnosti, ki omogo?a razmeroma enostavno nezaznavno prestrezanje komunikacij v mobilnih omre?jih in ponarejanje mobilne identitete uporabnika, kar ima resne posledice tako za varnost, kot tudi za zasebnost slovenskih uporabnikov mobilne telefonije.
Glede na to, da so ustrezne rešitve, katerih implementacija bi izboljšala varnost GSM telefonije, na voljo ?e dlje ?asa, upamo, da bodo mobilni operaterji svoja omre?ja ustrezno varnostno nadgradili.
O posledicah, ki jih tovrstni izzivi prinašajo za ureditev obvezne hrambe prometnih podatkov ter o njihovi dokazni vrednosti pa kdaj drugi?.
相关文章:
Varnost slovenskih GSM omre?ij
Varnost slovenskih GSM omre?ij II
Varnost slovenskih GSM omre?ij III
Varnost slovenskih GSM omre?ij IV
Varnost slovenskih GSM omre?ij III
标签:
原文地址:http://www.cnblogs.com/k1two2/p/5296592.html
