José Miguel López Pérez. josemlp@correo.ugr.es Seguridad y Protección de Sistemas Informáticos4º Grado Ingeniería Informática, Tecnologías de la Información.Universidad de Granada - ETSIIT

Índice:

• Introducción.• Noticias de espionaje GSM

• Infraestructura GSM

• Aspectos seguridad GSM• Autentificación • Cifrado• Algoritmos criptográficos.

• Debilidades GSM• Ataques contra GSM• Como hacer seguro GSM• Conclusión. • Bibliografía

Introducción:

Las redes móviles han cambiando su propósito original que permite las comunicaciones habladas, ahora la información que circula por las redes móviles es de todo tipo y sensibilidad.

Pues somos consientes de todo el trafico de datos que se genera actualmente con los Smartphones o desde infraestructuras que se apoyan en redes 3G.

Actualmente 3000 millones de personas repartidos en más de 200 países utilizan a diario las comunicaciones móviles (GSM/GPRS/UMTS).

Crecimiento del uso de banda para datos y para voz.

Noticias de espionaje:

Infraestructura GSM:

BSS

MS

Aspectos de seguridad contemplados en GSM:

Identificadores de las MS:

IMSI:NCC - Mobile Country Code - 3 dígitos. (214)MNC - Mobile Network Code - 2 UE, 3 EEUU Vodafone 01- Orange 03- Movistar 07MSIN - Movile Station Identification Number Numero de identificación de la SIM 8 o 9 dígitos.

IMEI:TAC- Type Allocation Code:

asociado al modelo del terminal y origen 2+6=8 dig

Serial Number (6 dig)Checksum (1 digito opcional)

Los datos del IMSI e IMEI deben ser confidenciales, puesto que implica descubrir la posición geográfica de un usuario.

Proceso de autentificación y claves de sesión:

Parámetros de uso de los algoritmos involucrados:

Ki, Clave de Autentificación del Usuario, secreto pre compartido entre la red y la SIM, se especifica en la SIM y se debe proteger de cualquier acceso.

Kc, clave de cifrado (64bits), calculada a partir del RAND y Ki usando A8. Y se utiliza para cifrar los datos con el algoritmo A5 tras la autentificación.

RAND, numero aleatorio de 128bits, generado por la red. Y se usa para optener el Kc y para servir de “challange”.

SRES, respuesta firmada 32 bits, se calcula con el RAND y el Ki, es la respuesta esperada al “challenge”.

Diagrama proceso de autentificación GSM

1. Inicio de la autentificación por parte del móvil, enviando su TMSI o IMSI.

2. Si se proporciona el TMSI (identificador que se usa en la comunicaciones de radio), se debe obtener el IMSI del VLR o si no lo consigue pedírselo a la MS.

3. Si el VLR no tiene los datos de autentificación RAND y SRES y Kc envía una petición al HLR de calculo.

4. El VLR recibe la tripleta, la almacena, y la reenvía el RAND al MS.

5. En la MS se computa el SRES y se envía a MSC.

6 MSC comprueba que coincida SRES y envía el mensaje CIPHERING MODE COMMAND.

A partir de este momento la comunicación ya es cifrada utilizando los parámetros anteriores y utilizando el algoritmo A5

Algoritmos criptográficos GSM

A3

RAND (128bits)

Ki(128bits)

SRES(32bit)

A8

RAND (128bits)

Ki(128bit)

Kc(64bit)

A5Datos (114 bit)

COUNT (22 bit)

Datos cifrado

Kc

Permite la autentificar la identidad del usuario.

Es el que computa la clave de cifrado esta implementado en la SIM.

Cifra los datos.

Familia A5

A5/0: Esta versión, simplemente “no sifra”, pero es necesaria que este implementada en los MS.

A5/1: Desarrollado en 1987, es un algoritmo cifrado en flujo, ya ha sido roto, pero se sigue usando.

A5/2: versión de A5/1 de 1989, en el mismo mes de su publicación se demostró su extremada debilidad ya que era capaz de ser crackeado por equipos domésticos en poco tiempo. GSMA  (GSM Association) desaprobó su uso.

A5/3: esta basado en el algoritmo de cifrado en bloques KASUMI, en modo CBC, es el que se usa en 3G.

A5/4: utiliza una clave de cifrado de 128bits en vez de 64bits. Algoritmo aprobado, pero con uso muy restringido

Podemos destacar las siguientes debilidades:

- Trasmisión del IMSI en texto claro: Revelando si determinado usuario se encuentra en la ubicación de la celda.

- Utilización de A5/0, para trasmitir datos de señalización.

- Debilidad del algoritmos A5Debilidades cristológicas del A5/1, ya ha sido crackeado.

- No existe autentificación inversa, no se comprueba que la red sea legitima, por lo tanto es posible suplantar la red.

Debilidades GSM

- Infiltración en la red del operador.-Escucha del canal de radio (señalización).-Escucha del canal de radio (datos).-Ataque contra la SIM para obtener Ki-Ataques criptográficos.

Ataques contra GSM

Infiltración en la red del operador.

Se consigue entrar directamente en la red core del operador, consiguiendo escuchar las comunicaciones de la red interna del mismo.

Destacamos el caso:The Athens Affair

Donde los espías consiguieron implantar un rootkit en las centralitas Ericcson AXE que utilizaba Vodafone Gracia, con el asesinato del ingeniero Costa Tsalkidis.

Escucha del canal de radio (señales y datos)

El atacante se coloca en un punto donde puede escuchar las comunicaciones de radio entre el MS y la estación báse.

La escucha de las señales puede servirnos para:

- Recopilar información útil para elaborar un ataque.-Recuperar información sobre un usuario, tales como su presencia o no en la red. Estas señales normalmente se pueden interceptar sin cifrar.

La escucha de los datos, el atacante recopila los paquetes que normalmente vienen cifrados en A5/1 para después utilizar métodos criptográficos y descubrir los mensajes.

Utilizando acceso al medio físico de las tarjeta SIM, podemos realizar los que se conoce como Hacking the Smart Card Chip, accediendo a los buses de datos de las tarjetas inteligentes, se extrae información y se realiza ingeniería inversa.

Ataque contra la SIM para obtener Ki

Ataques criptográficos.

Ataques contra A5/1:

Con texto claro:

1994: El algoritmo se filtra y se conoce.1997: Jova Dj. Golic, optiene la clave utilizando dos métodos, Utilizando secuencias de texto claro conocido. Utilizando la paradoja del cumpleaños + el divide y vencerá1999: Marc Briceno, conoce completamente utilizando ingeniería inversa.2000: Se optimiza el ataque de Golic, requiere 300GB de pre computación.2000: Patric Ekdhl, obtiene la Kc en 5 minutos utilizando conversación conocida, pero sin pre computación.2005: Elad Markan y Eli Biham, mejoran el algoritmo anterior.

Solo con texto cifrado.

2006: Elad Barkan y Eli Biham, aprovecha los códigos de corrección de errores como texto plano.

2008: Tim Guneysu, realiza un ataque practico contra A5/1.

2010: Karsten Nohl y Chis Paget, demuestra inseguridad de A5/1 mediante una prueba de concepto, generan la precomputación necesaria para implementar el ataque, (emprean 3 meses y 40 nodos CUDA, generando 2TB. )

Son publicadas las Rainbow Tables y se pueden descargar por Torrent

http://www.youtube.com/watch?v=fH_fXSr-FhU

Ataque mediante estación base falsa:

Consiste en hace que el móvil se registre en la estación false sin intervención del usuario. Actuando como si la red legitima estuviese dando cobertura.

Haciendo una ataque conocido como man-in-the-middle.

Uso de una falsa BTS

Captura del tráfico

- Se puede utilizar  chipset de RealTek RTL2832U que está presente en varios modelos de sintonizadores TDT con un precio que oscila entre 20 y 30 Euros.

OsmoSDR proporciona software necesario para manejar estos dispositivos y poder capturar la señalización que viaja por el "aire“ a un fichero binario, pudiendo ajustar la frecuencia, el ancho de banda, ganancia, etcétera. git clone git://git.osmocom.org/osmo-sdr.git

 GNU Radio Companion se puede adaptar de manera muy sencilla el formato de este fichero binario al formato que utiliza el programa airprobe.

Ya podemos ver la señal en Wireshark, pero por supuesto todo irá cifrado con A5/1.

Utilizando las Rainbow Tables de Karsten Nohl que se encuentran publicadas ya podemos descifrar el mensaje.

Coste:20 € Hardware: chipset de RealTek RTL2832U0 € Software libre.0 € Pre procesamiento, Rainbow Tables públicas https://opensource.srlabs.de/projects/a51-decrypt/files? € Tiempo de computación.

Utilizando inhibidores de frecuencia de los celulares, incluso se pueden construir de forma casera.

http://blog.jammer-store.com/2011/06/how-to-make-your-cell-phone-jammer-diy-guide/

Ataque denegación de servicios.

Como hacer GSM seguro

Configurar el terminal para que solo use redes 3G.

Consiste en aplicar funciones a la señal de la voz, para convertirla en ininteligible o inaudible, si no es aplicando una función inversa.

Métodos:

Inversión de espectro: las frecuencias graves son convertidas en agudas y viceversa. Método utilizado por Canal Plus. La clave es el ancho de banda donde se invierten las frecuencias.

Partición de frecuencias: la frecuencia de la voz, se trocean y se permutan.

Partición del tiempo: El mensaje se trocea y se permutan los fragmentos en el tiempo, (implica añadir un retardo para desencintar.

Modulación de la amplitud.

Prácticamente todos los métodos analógicos son poco resistentes a un sencillo criptoanálisis, dada su baja entropía.

Soluciones utilizando Criptofonía

Utilizar cifrado a través de los canales CSD de GSM.

El servicio de CSD (Circuit Switch Data) o llamada de datos, permite utilizar canales dedicados para la transmisión de datos digitales, y por tanto podemos, utilizarlo para enviar datos cifrados, la mayoría de los proveedores ofrecen este servicio sin cargo para el usuario.

.

Características:- Algoritmo de Encriptación AES de 256 bits.- Llamadas de voz enctriptadas.- SMS encriptados.- Delay (retraso) de voz menor a 1.5 segundos.

Soluciones VoIP

Enviamos la voz mediante datagramas cifrados, sobre un canal IP, mediante una aplicación especifica.

La mayor desventaja es el retardo que puede presentar, y que ambos extremos deben utilizar la misma aplicación.

Ejemplo de aplicaciones VoIp cifradas:

PrivateGSM working on VoIP: para: Nokia, BlackBerry, iPhone/iPad and Android

Tambien dispone de:PrivateGSM working on CSD pero solo funciona en Symbian.

PrivateGSM Professionals se puede probar durante 15 días.

La versión  PrivateGSM Enterprise, necesita instalar un PrivateServer dedicado.

PrivateGSM

Utiliza SRTP (Real-time Transport Protocol) para cifrar la conversación y ZRTP para negociar la clave privada que se intercambian los dos interlocutores para establecer el canal seguro.

 Código fuente está accesible en GitHub y, por tanto, podemos auditarlo entero (cosa que no podemos hacer con Skype, Viber o WhatsApp).

Pros: Es gratis, libre y podemos ver el código.

Contras: - Usa un servidores ajenos, pueden conocer los interlocutores y el tiempo.- Sólo funciona bajo Android

WhisperSystem también ofrece TextSecure que nos ofrece la posibilidad de cifrar nuestros mensajes de texto.

RedPhone

Terminales móviles seguros:

El nuevo SiMKo 3 Samsung está disponible a un PVP de 1.700 euros con un contrato de dos años

Conclusión:

Para un uso personal, pienso que no se requiere desplegar ninguna herramienta avanzada de seguridad en redes GSM, ya que la información que se trasmite en básicamente personal, y el precio de esta información es bajo.

Para comunicaciones dentro de un entorno empresarial, donde el precio de la información que circula es alto, y existan muchos interesados, es clara la necesidad de proteger la comunicación invirtiendo el dinero necesario.

Otro punto ya que conocemos la debilidad del sistema GSM, es aplicar el sentido común y no confiar información importante, puesto que existen otros canales fácilmente accesibles que ofrecen mucha más seguridad.

Bibliografía:

http://es.wikipedia.org/wiki/Sistema_global_para_las_comunicaciones_m%C3%B3viles

http://www.genbeta.com/a-fondo/a-fondo-entendiendo-el-problema-de-seguridad-del-algoritmo-de-cifrado-de-gsm

http://www.xatakamovil.com/gsm/descifran-y-publican-el-codigo-de-encriptacion-primario-utilizado-en-las-redes-gsm

http://sdrlatino.wordpress.com/2013/07/14/instalacion-y-uso-de-airprobe/

http://dariolp.blogspot.com.es/2012/07/cifrador-en-flujo-a51.html

http://www.elladodelmal.com/2012/03/localizacion-fisica-de-personas-usado.html

http://www.elladodelmal.com/2014/01/aumenta-la-vulnerabilidad-de-la-red-gsm.html