19:46
29/12/2009

Wszystkie media rozpisują się dziś, jak to nagle 4,5 miliarda komórek stało się podatnych na podsłuch. My chcieliśmy przypomnieć, że 20 letni algorytm A5/1 wykorzystywany w telefonii komórkowej z sukcesem zaatakowano już ponad 10 lat temu, a od dawna kupić można komercyjne “deszyfratory” GSM. Ergo, opisywany przez media atak jest fajny i mrożący krew w żyłach, ale nie nowy.

A5/1 – szyfrowanie w sieciach GSM

Zanim zaczniesz czytać o podsłuchu w sieciach GSM, warto, żebyś wiedział czym jest i jak działa A5/1.

W skrócie, A5/1 to 64-bit algorytm szyfrowania wykorzystywany od 1988 roku do “zabezpieczenia” bezprzewodowej transmisji pomiędzy telefonem komórkowym a najbliższym nadajnikiem GSM. A5/1 początkowo był tajny, ale jego specyfikację uzyskano dzięki reverse engineeringowi. Ma słabszego brata — A5/2, który został stworzony jako produkt eksportowy, niezawierający silnej kryptografii. A5/1 wykorzystywany jest przez większość sieci GSM (to daje te ulubione przez dziennikarzy 4 miliardy komórek), ale warto zauważyć, że są inne algorytmy szyfrowania i w sieciach 3G można już z nich korzystać. W 2007 powstał A5/3, 128-bitowy algorytm, który obecnie nie jest powszechny, bo sieci nie chcą inwestować w konieczne do jego implementacji udoskonalenia infrastruktury.

Podsłuch w sieciach GSM

Podsłuch w sieciach GSM jest możliwy od prawie 10 lat. Chronologicznie, wyglądało to tak:

Znalezione ataki na GSM niestety wymagają sporych i kosztownych obliczeń oraz od kilku sekund do kilku minut plain-textu, co dla ułatwienia nazwiemy jawną “treścią” rozmowy. Z racji kosztów i stosowanych metod są mocno niepraktyczne.

Te ataki nie wymagają już wiedzy dot. “treści” rozmowy. Skłaniają telefony m.in. do skorzystania przez chwilę ze znacznie słabszego szyfru A5/2, którego klucz używany jest później w silniejszym szyfrowaniu A5/1 — wykorzystany został błąd logiczny w projekcie sieci GSM.

Tyle trzeba, żeby posłuchać o czym dowolna osoba rozmawia przez komórkę ;)

W międzyczasie pojawiają się pomysły na ataki MITM w sieciach GSM. Atakujący podszywa się pod BTS-a (co wymaga odpowiedniego sprzętu) i tuneluje rozmowę ofiary do prawdziwej sieci, mogąc zarówno podsłuchiwać jaki modyfikować jej treści. Szkopuł tkwi w tym, że trzeba być blisko ofiary, żeby zagłuszyć oryginalnego BTS-a…

I tak trafiamy do roku 2008, kiedy to na konferencji Black Hat, David Hulton i Steve Miller pokazują, że to co powżej można zrobić lepiej bo:

  • Całkowicie pasywnie (bez podszywania się pod BTS, wstrzykiwania pakietów do sieci, etc)
  • Całkowicie po kosztach, bo nie za milion a za tysiąc dolarów
  • Całkiem szybko, bo w 30 minut

Pomysł polega na stworzeniu Rainbow Tables dla sieci GSM. Później wystarczy wydać $700 na odbiornik GSM pracujący w zakresie od 0 do 3 GHz i zainicjować rozmowę lub wysłać SMS-a do osoby, którą chcemy podsłuchiwać by uzyskać jej IMSI. Niestety, projekt pomimo wyliczenia tablic nie został dokończony, a tablic nie udostępniono do ściągnięcia.

Cała prawda o “nowym” ataku

I tu pojawia się opisywany dziś przez wszystkie media jako nowy, projekt kolejnych śmiałków, Karstena Nohla i Chrisa Pageta. Panowie tak naprawdę rozszerzyli znane od kilku lat ataki o kilka drobnych szczegółów i umożliwili generowanie tablic za pomocą kart graficznych NVidia i ATI oraz skorzystali ze sniffera GSM.

USRP2 - moduł sprzętowy, który po odpowiednim oprogramowaniu (OpenBTS) pozwoli podsłuchać sieć GSM niskim kosztem.

Mamy nadzieję, że teraz niektórym trochę się rozjaśniło w głowach. Podsłuchiwanie rozmów w sieciach GSM jest jak najbardziej możliwe i przy obecnej technologi wcale nie takie trudne do przeprowadzenia. Odpowiednie urządzenie można zbudować sobie samemu po kosztach.

Jak wykryć podsłuch komórki?

Niektóre telefony informują, że podłączyły się do sieci w której nie wykorzystuje się algorytmów szyfrujących (brak nawet A5/1)

Podsłuchiwana osoba ma nikłe szanse na zorientowanie się, że jest inwigilowana, ponieważ telefony komórkowe rzadko kiedy ujawniają dane diagnostyczne z sieci GSM, które mogłyby wykazać podsłuch — a nawet jeśli to robią, to trzeba jeszcze wiedzieć gdzie i czego szukać.

Jeśli do powyższego dorzucimy informację, że operator sieci GSM ma możliwość instalowania aplikacji na karcie SIM użytkownika (kto pomyślał o snifferze, ręka w górę) to pozostaje wam już tylko krzyknąć i schować się pod łóżko, a następnym razem plan dominacji nad światem przedyskutować ze wspólnikiem w rozmowie w cztery oczy …i przy wyjętej z telefonu baterii… ;-)

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Kto mi powie czym różni się metoda opisana tutaj od metody “na” nokie 1100 (ta z jakimś tam oprogramowaniem)?

  2. “Operator sieci GSM ma możliwość instalowania aplikacji na karcie SIM użytkownika”.

    Moar? ;)

  3. “Z racji kostów” > kosztów

    Ciekawy artykuł.

  4. @Adrian: Na kartach SIM często znajdują się Java VM do których operator ma dostęp …ale to temat na osobny wpis ;-)

  5. A ja powiem tak, że moja ciotka na starym telewizorze i na jednym kanale (antena taka do naziemnego odbioru) za każdym razem “podsłuchiwała” jakąś kobietę jak dzwoniła do matki, ale tylko w tym kierunku i z tą samą osobą. Kilka razy słyszałem takie rozmowy to mogę powiedzieć, że nawet wszystko wyraźnie było słychać.

  6. @Nielot: na 99,9% rozmawiała przez stacjonarny bezprzewodowy telefon. Stary bezprzewodowy telefon :).

    • @Piotr what radom said. DECT-y mają kilka kanałów i szyfrowanie, kluczem (krótkim i do złamania w 2 min, ale to nie ma znaczenia w przypadku TV ;) losowanym przy odłożeniu słuchawki.

    • @Piotr Konieczny

      Przed DECTami, we wczesnych latach 90, były w normalnej dystrybucji w polsce telefony np. Panasonica, które łączyły się po najzwyklejszym FM :) Pamiętam jak za młodu podsłuchiwałem sobie rozmowy rodziców na boomboxie ok. 89-91MHZ xD

  7. […] This post was mentioned on Twitter by Niebezpiecznik, Paweł Kowalski. Paweł Kowalski said: Szyfrowanie GSM złamane (po raz kolejny) http://bit.ly/7UvoTs […]

  8. to o czym mówicie to nmt 450:)

  9. “Panowie tak naprawdę rozszerzyli znane od kilku lat ataki o kilka drobnych szczegółów i umożliwili generowanie tablic za pomocą kart graficznych NVidia i ATI”

    Dzięki czemu wg. ich prezentacji skrócili czas potrzebny na obliczenie wszystkich możliwych challenge/response(secret) ze 100 lat do kilku miesięcy (bodaj, czytałem wczoraj). Możliwość złamania szyfru w ciągu 100 lat to IMO średnia podstawa, do stwierdzenia, że zabezpieczenie to zostało złamane – teraz co innego ;]

  10. @Piotr prędzej rozzmawiała przez raadiolinię. TPSA częśto w miejscach gdzie nie opłaca im się budować lini naziemnej stawia masz i część rozmó przesyła drogą radiowią.

    Pozdrawiam

  11. Ładnie opisane jak przechwytywać transmisję GSM http://lwb.elka.pw.edu.pl/trac/lwb/wiki/Przechwytywanie_rozm%C3%B3w_GSM

  12. @pk: To co ja słyszę pod blokiem w skanerze nasłuchowym o0?

    I chcesz mi powiedzieć, ze telefony za 99 zł są lepiej zabezpieczone od tych linii telefonicznych o______________________________0)

  13. […] Podsłuchiwanie rozmów telefonicznych GSM […]

  14. Jak widać 3G i szyfrowanie KASUMI też nie są idealne:
    http://www.emergentchaos.com/archives/2010/01/another_week_another_gsm.html

  15. A czy prawdą jest, że można wysłać zapytanie o lokalizacje danego numeru telefonu, a w odpowiedzi otrzymamy lokalizację najbliższego BTS-u?

  16. […] komórka -> BTS operatora — nasza rozmowa może być wtedy podsłuchiwana). Przypominamy, że szyfrowanie GSM zostało […]

  17. […] Na koniec wspomnijmy, że Nohl nie od wczoraj zajmuje się tematyką bezpieczeństwa danych przesyłanych przez sieci telefonii komórkowej. Warto zapoznać się z jego wcześniejszymi pracami związanymi z podsłuchiwaniem rozmów w sieciach GSM. […]

  18. […] badaczy, który znalazł luki w terminalach płatniczych wchodzi Karsten Nohl, znany m.in. z udanych ataków łamiących zabezpieczenia telefonii komórkowej i umożliwiających podsłuchiwanie […]

  19. […] atak Man in the middle — będąc w środku komunikacji, fałszywy BTS wcale nie musi łamać szyfrowania protokołów sieci GSM, bo po prostu wymusza brak szyfrowania połączeń, korzystając z tego, iż większość […]

  20. […] I tak, koniec końców stanęło na kluczy 64 bitowym, ale osłabionym do 54 bitów (ostatnie bity postanowiono ustawić na 0). Ta decyzja pokutuje od lat — już w roku 2000 pojawiły się pierwsze publikacje naukowe dotyczące łatwości z jaką można atakować A5/1. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: