Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Información -- UGR-ETSIIT
1. José Miguel López Pérez. josemlp@correo.ugr.es
Seguridad y Protección de Sistemas Informáticos
4º Grado Ingeniería Informática, Tecnologías de la Información.
Universidad de Granada - ETSIIT
2. Índi c e:
• I nt r oducci ón.
• Not i ci as de espi onaj e GSM
• I nf r aest r uct ur a GSM
• Aspect os segur i dad GSM
•
Aut ent i f i caci ón
•
Ci f r ado
• Al gor i t m
os cr i pt ogr áf i cos.
•
•
•
•
•
Debi l i dades GSM
At aques cont r a GSM
Com hacer segur o GSM
o
Concl usi ón.
Bi bl i ogr af í a
3. Int roduc c i ón:
Las redes móviles han cambiando su propósito original que permite las
comunicaciones habladas, ahora la información que circula por las redes móviles
es de todo tipo y sensibilidad.
Pues somos consientes de todo el trafico de datos que se genera actualmente
con los Smartphones o desde infraestructuras que se apoyan en redes 3G.
Actualmente 3000 millones de personas repartidos en más de 200 países
utilizan a diario las comunicaciones móviles (GSM/GPRS/UMTS).
4. Cr eci m ent o del uso de banda par a dat os y par a voz.
i
9. As pec t os de s eguri dad
c ont em ados en GSM
pl
:
Ident i f i c adores de l as M
S:
IMSI:
NCC - Mobile Country Code - 3 dígitos. (214)
MNC - Mobile Network Code - 2 UE, 3 EEUU
Vodafone 01- Orange 03- Movistar 07
MSIN - Movile Station Identification Number
Numero de identificación de la SIM 8 o 9 dígitos.
IMEI:
TAC- Type Allocation Code:
asociado al modelo del terminal y origen 2+6=8 dig
Serial Number (6 dig)
Checksum (1 digito opcional)
Los datos del IMSI e IMEI deben ser confidenciales, puesto que
implica descubrir la posición geográfica de un usuario.
10. P
roc es o de aut ent i f i c ac i ón
y c l aves de s es i ón:
Parámetros de uso de los algoritmos involucrados:
Ki, Clave de Autentificación del Usuario, secreto pre compartido entre la red
y la SIM, se especifica en la SIM y se debe proteger de cualquier acceso.
Kc, clave de cifrado (64bits), calculada a partir del RAND y Ki usando A8. Y
se utiliza para cifrar los datos con el algoritmo A5 tras la autentificación.
RAND, numero aleatorio de 128bits, generado por la red. Y se usa para
optener el Kc y para servir de “challange”.
SRES, respuesta firmada 32 bits, se calcula con el RAND y el Ki, es la
respuesta esperada al “challenge”.
11. D agram proc es o de aut ent i f i c ac i ón GSM
i
a
12. 1. Inicio de la autentificación por parte del móvil, enviando su TMSI o IMSI.
2. Si se proporciona el TMSI (identificador que se usa en la
comunicaciones de radio), se debe obtener el IMSI del VLR o si no lo
consigue pedírselo a la MS.
3. Si el VLR no tiene los datos de autentificación RAND y SRES y Kc
envía una petición al HLR de calculo.
4. El VLR recibe la tripleta, la almacena, y la reenvía el RAND al MS.
5. En la MS se computa el SRES y se envía a MSC.
6 MSC comprueba que coincida SRES y envía el mensaje
CIPHERING MODE COMMAND.
A partir de este momento la comunicación ya es cifrada utilizando los
parámetros anteriores y utilizando el algoritmo A5
13. Al gori t m c ri pt ográf i c os GSM
os
RAND
(128bits)
SRES(32bit)
A3
Permite la autentificar la
identidad del usuario.
Ki(128bits)
RAND
(128bits)
Kc(64bit)
A8
Ki(128bit)
Datos (114 bit)
Datos cifrado
A5
COUNT (22 bit)
Es el que computa la
clave de cifrado esta
implementado en la SIM.
Cifra los datos.
Kc
14. Fam l i a A5
i
A5/0: Esta versión, simplemente “no sifra”, pero es necesaria que este
implementada en los MS.
A5/1: Desarrollado en 1987, es un algoritmo cifrado en flujo, ya ha sido
roto, pero se sigue usando.
A5/2: versión de A5/1 de 1989, en el mismo mes de su publicación se
demostró su extremada debilidad ya que era capaz de ser crackeado
por equipos domésticos en poco tiempo. GSMA (GSM Association)
desaprobó su uso.
A5/3: esta basado en el algoritmo de cifrado en bloques KASUMI, en
modo CBC, es el que se usa en 3G.
A5/4: utiliza una clave de cifrado de 128bits en vez de 64bits.
Algoritmo aprobado, pero con uso muy restringido
15. D
ebi l i dades GSM
Podemos destacar las siguientes debilidades:
- Trasmisión del IMSI en texto claro: Revelando si determinado
usuario se encuentra en la ubicación de la celda.
- Utilización de A5/0, para trasmitir datos de señalización.
- Debilidad del algoritmos A5
Debilidades cristológicas del A5/1, ya ha sido crackeado.
- No existe autentificación inversa, no se comprueba que la red sea
legitima, por lo tanto es posible suplantar la red.
16. At aques c ont ra GSM
- I nf i l t r aci
- Escucha del
- Escucha del
- At aque cont
- At aques cr i
ón en l a r ed del oper ador .
canal de r adi o ( señal i zaci ón) .
canal de r adi o ( dat os) .
r a l a SI M par a obt ener Ki
pt ogr áf i cos.
17. Inf i l t rac i ón en l a red
del operador.
Se consigue entrar directamente en
la red core del operador,
consiguiendo escuchar las
comunicaciones de la red interna
del mismo.
Destacamos el caso:
The Athens Affair
Donde los espías consiguieron
implantar un rootkit en las
centralitas Ericcson AXE que
utilizaba Vodafone Gracia, con el
asesinato del ingeniero Costa
Tsalkidis.
18. Es c uc ha del c anal de radi o
( s eñal es y dat os )
El atacante se coloca en un punto donde puede escuchar las
comunicaciones de radio entre el MS y la estación báse.
La escucha de las señales puede servirnos para:
- Recopilar información útil para elaborar un ataque.
-Recuperar información sobre un usuario, tales como su presencia o
no en la red.
Estas señales normalmente se pueden interceptar sin cifrar.
La escucha de los datos, el atacante recopila los paquetes que
normalmente vienen cifrados en A5/1 para después utilizar métodos
criptográficos y descubrir los mensajes.
19. At aque c ont ra l a SIM para
obt ener K
i
Utilizando acceso al medio físico de las tarjeta SIM, podemos
realizar los que se conoce como Hacking the Smart Card Chip,
accediendo a los buses de datos de las tarjetas inteligentes, se
extrae información y se realiza ingeniería inversa.
20. At aques c ri pt ográf i c os .
At aques cont r a A5/ 1:
Con texto claro:
1994: El algoritmo se filtra y se conoce.
1997: Jova Dj. Golic, optiene la clave utilizando dos métodos,
Utilizando secuencias de texto claro conocido.
Utilizando la paradoja del cumpleaños + el divide y vencerá
1999: Marc Briceno, conoce completamente utilizando ingeniería inversa.
2000: Se optimiza el ataque de Golic, requiere 300GB de pre computación.
2000: Patric Ekdhl, obtiene la Kc en 5 minutos utilizando conversación
conocida, pero sin pre computación.
2005: Elad Markan y Eli Biham, mejoran el algoritmo anterior.
21. Solo con texto cifrado.
2006: Elad Barkan y Eli Biham, aprovecha los códigos de corrección de
errores como texto plano.
2008: Tim Guneysu, realiza un ataque practico contra A5/1.
2010: Karsten Nohl y Chis Paget, demuestra inseguridad de A5/1
mediante una prueba de concepto, generan la precomputación necesaria
para implementar el ataque, (emprean 3 meses y 40 nodos CUDA,
generando 2TB. )
Son publicadas las Rainbow Tables y se pueden descargar por Torrent
http://www.youtube.com/watch?v=fH_fXSr-FhU
22. At aque m ant e es t ac i ón bas e f al s a :
edi
Consiste en hace que el móvil se registre en la estación false
sin intervención del usuario. Actuando como si la red legitima
estuviese dando cobertura.
Haciendo una ataque conocido como man-in-the-middle.
Uso de una falsa BTS
23. Capt ura del t ráf i c o
- Se puede utilizar chipset de RealTek RTL2832U
que está presente en varios modelos de
sintonizadores TDT con un precio que oscila
entre 20 y 30 Euros.
24. OsmoSDR proporciona software necesario para manejar estos
dispositivos y poder capturar la señalización que viaja por el "aire“
a un fichero binario, pudiendo ajustar la frecuencia, el ancho de
banda, ganancia, etcétera. git clone git://git.osmocom.org/osmo-sdr.git
25. GNU Radio Companion se puede adaptar de manera muy sencilla el
formato de este fichero binario al formato que utiliza el programa airprobe.
Ya podemos ver la señal en Wireshark, pero por supuesto todo irá cifrado
con A5/1.
26. Utilizando las Rainbow Tables de Karsten Nohl que se
encuentran publicadas ya podemos descifrar el mensaje.
Cos t e:
20 € Hardware: chipset de RealTek RTL2832U
0 € Software libre.
0 € Pre procesamiento, Rainbow Tables públicas
https://opensource.srlabs.de/projects/a51-decrypt/files
? € Tiempo de computación.
27. At aque denegac i ón de s ervi c i os .
Utilizando inhibidores de frecuencia de los celulares, incluso se pueden construir
de forma casera.
http://blog.jammer-store.com/2011/06/how-to-make-your-cell-phone-jammer-diy-gui
30. Sol uc i ones ut i l i zando
Cri pt of oní a
Consiste en aplicar funciones a la señal de la voz, para convertirla en
ininteligible o inaudible, si no es aplicando una función inversa.
Métodos:
Inversión de espectro: las frecuencias graves son convertidas en agudas y viceversa.
Método utilizado por Canal Plus. La clave es el ancho de banda donde se invierten las
frecuencias.
Partición de frecuencias: la frecuencia de la voz, se trocean y se permutan.
Partición del tiempo: El mensaje se trocea y se permutan los fragmentos en el tiempo,
(implica añadir un retardo para desencintar.
Modulación de la amplitud.
Pr áct i cam
ent e t odos l os m odos anal ógi cos son poco
ét
r esi st ent es a un senci l l o cr i pt oanál i si s, dada su
baj a ent r opí a.
31.
32. Ut i l i zar c i f rado a t ravés de l os
c anal es CSD de GSM
.
El servicio de CSD (Circuit Switch Data) o llamada de datos, permite utilizar
canales dedicados para la transmisión de datos digitales, y por tanto
podemos, utilizarlo para enviar datos cifrados, la mayoría de los proveedores
ofrecen este servicio sin cargo para el usuario.
.
Características:
- Algoritmo de Encriptación AES
de 256 bits.
- Llamadas de voz enctriptadas.
- SMS encriptados.
- Delay (retraso) de voz menor a
1.5 segundos.
33.
34. Sol uc i ones VoIP
Enviamos la voz mediante datagramas cifrados, sobre un canal
IP, mediante una aplicación especifica.
La mayor desventaja es el retardo que puede presentar, y que
ambos extremos deben utilizar la misma aplicación.
Ejemplo de aplicaciones VoIp cifradas:
35. P vat eGSM
ri
PrivateGSM working on VoIP:
para: Nokia, BlackBerry, iPhone/iPad and Android
PrivateGSM Professionals se puede probar durante 15 días.
La versión PrivateGSM Enterprise, necesita
instalar un PrivateServer dedicado.
Tambien dispone de:
PrivateGSM working on CSD pero solo funciona en Symbian.
36. RedPhone
Utiliza SRTP (Real-time Transport Protocol) para cifrar la
conversación y ZRTP para negociar la clave privada que se
intercambian los dos interlocutores para establecer el canal seguro.
Código fuente está accesible
en GitHub y, por tanto,
podemos auditarlo entero (cosa
que no podemos hacer con
Skype, Viber o WhatsApp).
Pros:
Es gratis, libre y podemos ver
el código.
WhisperSystem también ofrece TextSecure que nos
ofrece la posibilidad de cifrar nuestros mensajes de texto.
Contras:
- Usa un servidores ajenos,
pueden conocer los
interlocutores y el tiempo.
- Sólo funciona bajo Android
37. Term nal es m l es s eguros :
i
óvi
El nuevo SiMKo 3 Samsung está
disponible a un PVP de 1.700 euros
con un contrato de dos años
38. Conc l us i ón:
Para un uso personal, pienso que no se requiere desplegar
ninguna herramienta avanzada de seguridad en redes GSM,
ya que la información que se trasmite en básicamente
personal, y el precio de esta información es bajo.
Para comunicaciones dentro de un entorno empresarial,
donde el precio de la información que circula es alto, y existan
muchos interesados, es clara la necesidad de proteger la
comunicación invirtiendo el dinero necesario.
Otro punto ya que conocemos la debilidad del sistema GSM,
es aplicar el sentido común y no confiar información
importante, puesto que existen otros canales fácilmente
accesibles que ofrecen mucha más seguridad.
39. B bl i ograf í a:
i
http://es.wikipedia.org/wiki/Sistema_global_para_las_comunicaciones_m%C3%B3viles
http://www.genbeta.com/a-fondo/a-fondo-entendiendo-el-problema-de-seguridad-del-algoritmode-cifrado-de-gsm
http://www.xatakamovil.com/gsm/descifran-y-publican-el-codigo-de-encriptacion-primarioutilizado-en-las-redes-gsm
http://sdrlatino.wordpress.com/2013/07/14/instalacion-y-uso-de-airprobe/
http://dariolp.blogspot.com.es/2012/07/cifrador-en-flujo-a51.html
http://www.elladodelmal.com/2012/03/localizacion-fisica-de-personas-usado.html
http://www.elladodelmal.com/2014/01/aumenta-la-vulnerabilidad-de-la-red-gsm.html