Bezpieczeństwo GSM

Bezpieczeństwo w sieciach GSM i UMTS – sieci GSM i UMTS oferują zróżnicowane usługi związane z bezpieczeństwem teleinformatycznym. W szczególności są to usługi zapewniające autentyczność abonenta podłączającego się do sieci oraz poufność transmisji głosu i danych[1].

Uwierzytelnienie

Telefon abonenta w momencie rejestracji potwierdza swoją tożsamość w stosunku do sieci komórkowej za pomocą protokołu A3/8. Protokół ten może wewnętrznie wykorzystywać różne algorytmy kryptograficzne, ustalane lokalnie przez operatora sieci. W praktyce większość operatorów na świecie korzystała jednak z referencyjnego algorytmu COMP128 zamieszczonego w niejawnej specyfikacji udostępnianej przez GSM Association.

W 1997 roku, w wyniku wycieku, ujawniony został dokument opisujący propozycje algorytmów A3/8 zgłaszane m.in. przez operatorów francuskich i niemieckich, w tym opis COMP128[2].

Odtworzona w 1998 roku ówczesna wersja algorytmu COMP128 została poddana skutecznej kryptoanalizie przez zespół z Uniwersytetu Berkeley[3]. Atak umożliwiał sklonowanie karty SIM pod warunkiem posiadania do niej fizycznego dostępu przez około 8 godzin. W tym czasie atakujący przesyłał do karty około 160 tys. zapytań, na podstawie których odtwarzane były tajne parametry COMP128[4].

W odpowiedzi na ten atak część operatorów zaczęła ustalać w kartach limit ilości zapytań, który był dostatecznie wysoki, by nie utrudniać normalnej pracy i równocześnie uniemożliwić klonowanie. W 2000 roku zespół IBM opublikował jednak udoskonaloną wersję ataku, który umożliwiał sklonowanie karty przez wykonanie jedynie ośmiu zapytań[5], co zmniejszyło czas wymaganego dostępu do karty do kilku sekund i spowodowało, że zabezpieczenie stało się nieskuteczne.

W międzyczasie GSM Association opublikowała nowe wersje algorytmów dla A3/8, ponumerowane odpowiednio COMP128-2, COMP128-3 i COMP128-4. Numerem COMP128-1 zaczęto określać oryginalną, złamaną wersję algorytmu. Wersja COMP128-4 jest oparta o szyfr AES i przeznaczona do stosowania w UMTS.

Ze względu na to, że wybór algorytmu A3/8 nie ma wpływu na interoperacyjność telefonów pomiędzy sieciami, także w roamingu, lokalni operatorzy implementują różne wersje tych algorytmów lub korzystają z algorytmów stworzonych samodzielnie[6].

Ataki aktywne

Ze względu na brak uwierzytelnienia sieci w stosunku do telefonu w sieci GSM możliwe są ataki man in the middle (MITM), polegające na umieszczeniu w pobliżu docelowego abonenta urządzenia spełniającego rolę fałszywej stacji bazowej (IMSI Catcher).

Pierwsze urządzenie tego typu zostało zaprezentowane publicznie przez firmę Rohde & Schwarz (GA 090) w 1996 roku[7] i obecnie są one dostępne na rynku od wielu producentów (Rohde & Schwarz, Endoacustica, Global Security Solutions, Shoghi). W większości krajów są one sprzedawane wyłącznie policji i służbom specjalnym. Oferowana przez nie funkcjonalność określana jest jako aktywne przechwytywanie połączeń GSM (GSM interception).

Atak ten nie jest możliwy w sieciach UMTS, gdzie uwierzytelnienie telefonu i BTS jest dwustronne. Równocześnie jednak od 2005 roku znane są teoretyczne podstawy ataku, umożliwiającego przechwycenie w podobny sposób połączeń UMTS przez wykorzystanie funkcji interoperacyjności UTMS z sieciami GSM. Polega on na przeprowadzeniu pełnego MITM przez IMSI Catcher udający stację bazową GSM działającą w trybie kompatybilności z UMTS[7].

Zbudowanie urządzeń typu IMSI catcher jest również możliwe w warunkach amatorskich w oparciu o sprzęt typu USRP (Universal Software Radio Peripherial) i oprogramowanie OpenBTS[8][9].

Poufność transmisji

Dane przesyłane w ramach usług GSM są szyfrowane pomiędzy stacją telefonem abonenta a stacją bazową (BTS) za pomocą algorytmów z rodziny A5. Połączenia nie są szyfrowane w całej relacji pomiędzy telefonami dwóch abonentów będących w trakcie komunikacji (end-to-end).

Specyfikacja algorytmów A5/1 i A5/2 nie została publicznie ujawniona, jednak od połowy lat 90. jest znana dzięki odtworzeniu z istniejących implementacji i poddana skutecznej kryptoanalizie.

Najbardziej rozpowszechniony jest algorytm A5/1. Algorytm A5/2 został skutecznie złamany, opublikowane są również ataki na algorytmy A5/1 i A5/3[10].

Podsłuchiwanie rozmów prowadzonych przez telefony GSM jest możliwe w następujących scenariuszach (poza rejestracją w centrali operatora):

  • włączony jest tryb A5/0 czyli brak szyfrowania transmisji,
  • wykorzystanie IMSI catcher do włączenia w telefonie klienta trybu A5/0 w sytuacji gdy normalna transmisja przebiegałaby w trybie szyfrowanym,
  • wykorzystanie IMSI catcher do pełnego MITM, w którym atakujący przeszyfrowuje dane otrzymane od klienta i przesyła go do oryginalnego BTS, mając dostęp do treści komunikacji,
  • pasywne deszyfrowanie transmisji przy pomocy danych udostępnionych przez operatora lub chwilowego dostępu do karty abonenta (możliwe dla A5/1 i A5/2),
  • pasywne deszyfrowanie transmisji bez wiedzy operatora

Część urządzeń typu IMSI catcher dostępnych na rynku umożliwia pasywne podsłuchiwanie transmisji GSM w przypadku gdy stosowany jest algorytm A5/0 (brak szyfrowania) lub A5/2 (osłabiona wersja szyfru) lub gdy możliwa jest współpraca z operatorem (A5/1)[11]. Część urządzeń deklaruje możliwość pasywnego podsłuchiwania połączeń z A5/1 po dołączeniu specjalnych modułów sprzętowych[12].

Przypisy

  1. GSM Cellular Network. Threats and Security Measures. Bundesamt für Sicherheit in der Informationstechnik.
  2. Racal Research Ltd: GSM System Security Study. Cryptome, 1988. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2010-08-05)].
  3. Marc Briceno, Ian Goldberg, David Wagner: GSM Cloning. 1998.
  4. Aleksander M. Simon: Bezpieczeństwo telefonii komórkowej (2): Ataki na system GSM. SecurityStandard.pl, 2007. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2011-06-17)].
  5. Partitioning Attacks on GSM Cards. IBM, 2000. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2009-03-02)].
  6. Philipp Südmeyer: A performance oriented implementation of COMP128. Ruhr-University Bochum, 2006. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2012-12-02)].
  7. a b Daehyun Strobel: IMSI Catcher. Ruhr-Universitat Bochum, 2007.
  8. Karsten Nohl, Chris Paget: GSM –SRSLY?. 26C3, 2009.
  9. Piotr Krysik: Przechwytywanie transmisji GSM w praktyce. Linux w Bramie.
  10. Atak na szyfr komórek 3G. SecurityStandard.pl, 2010. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2010-01-24)].
  11. Passive GSM Interception System (SCL-5020). Shoghi. [dostęp 2010-01-19]. [zarchiwizowane z tego adresu (2010-02-01)].
  12. GSS ProA – GSM Interceptor.