Клонування SIM карти
У попередньому розділі була описаний процес перевірки автентичності SIM-карти (рис. 120). Базовими в цьому процесі є параметри IMSI і
Як ви вже знаєте, KI зберігається всього в двох місцях - в пам'яті SIM-карти і в пам'яті AUC. KI ніколи не передається у відкритому вигляді при аутентифікації, тобто його не можна перехопити при аутентифікації. У зловмисників є 4 варіанти отримання KI. Перший варіант це інсайдер в компанії-операторі. Цей варіант кращий, тому що можна отримати інформацію відразу по декількох картках. Недоліки цього варіанта полягають в тому, що з огляду на значущості KI доступ до їх значень строго обмежений і при виявленні масової витоку інсайдер швидко буде вирахувано. Крім того, часто в AUC відсутня функціонал для зчитування KI з тих же міркувань безпеки. Другий варіант заснований на викраденні KI відразу після отримання партії SIM-карт від виробника. Проблеми тут ті ж що і в попередньому варіанті: кількість людей, що мають потрібні доступи, обчислюється одиницями.
І нарешті, останній варіант: обчислити KI. Зловмисник повинен володіти відомостями про використаний оператором алгоритмі A3. В цьому випадку можна спробувати обчислити KI. спостерігаючи за результатами перетворення RAND в SRES. Для цього вручну формують RAND, викликають алгоритм шифрування і передають йому RAND. Цей процес автоматизують такі програми як SimScan і WoronScan.
Саме таким чином були отримані перші клони SIM-карт. Це стало доступно через витік відомостей про алгоритм A3, званої COMP128 в мережу. В алгоритмі була виявлена уразливість, яка дозволяла підбирати KI за прийнятне кількість спроб. Після виявлення уразливості більшість операторів замінило його чимось більш стійким. На поточний момент існує три версії COMP128. Друга і третя версія на даний момент вважаються не розкриваються. І хоча в мережі присутні програми, які декларують можливість злому цих версій, на перевірку завжди виявляється, що їх мета - змусити користувача завантажити «трояна».
Якщо ж зловмисник не має відомостей про реалізацію A3, то він може спробувати підібрати KI шляхом перебору (brute force). Тут виникає ще одна перешкода: кількість спроб для підбору KI обмежена. У
Резюмуючи, можна сказати, що клонувати SIM-карти можливо, але досить важко. Якщо оператор своєчасно модернізував реалізацію А3, а його співробітники лояльні і непідкупні, то абонентам не варто боятися появи клонів своєї SIM-карти. Крім того, актуальність такого шахрайства спадає, тому що попит на дешеві дзвінки за кордон компенсується можливістю дзвінків в Skype, а також пропозиціями від легальних операторів.
Перехоплення розмов в мережі GSM
Переходимо до розгляду злому GSM. Статті про уразливості в A5 / 1 з'явилися близько 15 років тому, але публічної демонстрації злому A5 / 1 в умовах реального світу до сих пір не було. Більш того, як видно з опису роботи мережі треба розуміти, що крім злому самого алгоритму шифрування потрібно вирішити ще ряд суто інженерних проблем, які зазвичай завжди опускаються з розгляду (в тому числі на публічних демонстраціях).
Процес підбору ключа A5 / 1 є імовірнісним і залежить від часу, тобто чим довше йде прослуховування, тим більша ймовірність підібрати KC. Таким чином, заявлені в статті 2 хвилини - це приблизний, а не гарантований час підбору KC.
Свій демарш проти A5 / 1 Карстен Нол пояснює бажанням привернути увагу громадськості до існуючої проблеми і змусити операторів зв'язку переходити на більш досконалі технології. Наприклад, технологія UMTS передбачає використання 128 бітного алгоритму A5 / 3, стійкість якого така, що ніякими доступними засобами на сьогоднішній день зламати його не вдасться.
В інтернеті є пропозиції з придбання подібного сканера без дешифратора за 40-50 тис. Доларів. Це не можна назвати бюджетним пристроєм.
б) реалізувати алгоритм підбору Kc для A5 / 1, добре працює на реальних даних (з перешкодами / помилками, пропусками тощо);
в) розрахувати для нього «райдужні таблиці» (rainbow tables);
г) об'єднати всі ці пункти в закінчене працююче рішення.
Карстен і інші дослідники в основному вирішують пункт «в». В
Необхідно зауважити, що оскільки IMSI при пейджинг не передається (і дослідники його не знають), а передається тільки TMSI (який вони і хочуть дізнатися), то проводиться «атака по часу» (timing attack). Вони посилають кілька SMS з паузами між ними, і дивляться, для яких TMSI проводиться пейджинг, повторюючи процедуру до тих пір, поки в списку «підозрілих» TMSI не залишиться тільки один (або жодного).
З'ясувавши LAC, вони починають відвідувати всі стільники цього LAC, посилати SMS-ки і слухати відгуки на пейджинг. Якщо є відповідь, то жертва знаходиться ось в цій соте, і можна починати зламувати її сесійний ключ (KC) і слухати її розмови.
Перед цим необхідно записати ефір. Тут дослідники пропонують наступне:
2) можна брати менш потужне і більш дешеве обладнання і слухати частина частот на кожному з них. Такий варіант коштує приблизно 3,5 тис. Євро з рішенням на базі USRP2;
Підводячи проміжний підсумок можна ствердно відповісти на питання про можливість перехоплення і розшифровки на льоту GSM розмов. При цьому треба мати пам'ятати наступне:
1) Технологія, описана вище не існує у вигляді, доступному для будь-якого охочого (в т.ч. script kiddies). Це навіть не конструктор, а заготовка для деталей конструктора, які треба доробляти до придатного для використання стану. Дослідники неодноразово помічають, що у них немає чітких планів по викладанню в загальний доступ конкретики реалізації. Це означає, що на підставі цих напрацювань виробники Близького Сходу не виробляють масово пристрої за 100 доларів, які можуть слухати все.
2) OsmocomBB підтримує тільки одну родину чіпів (хоча і найпоширеніше).
3) Спосіб визначення місця розташування за запитами до HLR і перебору LAC працює швидше в теорії, ніж на практиці. На практиці зловмисник або знає, де знаходиться жертва фізично, або не може потрапити в тугіше соту що і жертва. Якщо зловмисник не можете послухати ту ж соту, в якій знаходитися жертва, то спосіб не працює.
На відміну від демонстрації, в реальності в середній по навантаженню LA присутні тисячі пейджингових повідомлень. Більш того, пейджинг працює не в момент відправки, а в певні часові вікна і пачками (по пейджинг-групам зі своїми чергами, номер якої є залишок від ділення IMSI на кількість каналів, яке в кожній соте може бути своє), що знову ускладнює реалізацію .
5) Переміщення жертви між сотами також викликає проблеми, тому що вам також треба переміщатися разом з нею.
7) Якщо в мережі регулярно відбувається зміна ключа (rekeying) або змінюються TMSI (жоден з дослідників не брав до уваги це), то це спосіб не працює взагалі або працює дуже погано (час розшифровки може виявитися більше ніж час розмови).
Захист від перехоплювання трафіку
1) Замість константного байта використовувати для пейджинга порожніх GSM-повідомлень випадкові значення.
2) Міняти KC після кожного дзвінка.
3) Міняти TMSI якомога частіше.
Пункти 2 і 3 можна вирішити простий Переконфігурація елементів мережі провайдера і не потребують оновлення прошивок або обладнання.
Відкритий режим (звичайний режим GSM);
Режим шифрування з гарантованим від злому шифруванням інформації.
Cancort виконує наступні функції:
- шифрування / розшифрування голосової інформації.
- шифрування / розшифрування коротких повідомлень (послуга SMS)
- шифрування / розшифрування даних (послуга BS26 і GPRS).
- шифрування / розшифрування електронної пошти.
- шифрування / розшифрування інформації MMS.
Принцип роботи даного скремблера визначається за заданим руйнуванні і тимчасової перестановки звуку на передавальній стороні з його подальшим відновленням на приймаючій стороні. Цей процес двосторонній. Тимчасова перестановка відрізків мовного сигналу і відновлення їх послідовності на прийомі займають певний інтервал часу. Тому обов'язковим властивістю такої апаратури є невелика затримка сигналу на приймальній стороні. Початок розмови, як правило, починається в відкритому режимі і далі за обопільною команді пристрою перемикаються в режим скремблювання. При веденні переговорів прилад виконує одночасно дві функції скремблирование і дескремблірова-ня. Тобто вимовлена одним з абонентів мова шифрується з його боку, а другий скремблер, що знаходиться у другого абонента розшифровує цю промову. І те ж саме відбувається в зворотному напрямку, коли починає говорити другий абонент.
1. Чіткість голосу не менше 95%.
2. Тип з'єднання повний дуплекс.
3. Затримка сигналу в лінії не більше 100 мс.
4. Рівень захищеності лінійного сигналу тимчасовий.
5. Використання в мережах стандарту GSM 900/1800.
Атака "людина-по-середині" в GSM
Розглянута раніше атака активно використовувала пристрій під назвою IMSI-catcher. У цьому розділі розглядається принцип роботи подібного пристрою і його обмеження.
Пристрої з подібним функціоналом дійсно існують (наприклад, яку виробляє компанія Rohde Schwarz комплекс RA 900), але вони мають далеко не настільки вражаючими можливостями:
3) При безпосередньому прослуховуванні вхідні дзвінки не можуть бути доставлені абоненту і, відповідно, не можуть бути прослухані. Для інших абонентів мережі прослуховується абонент знаходиться «поза зоною покриття».
Як видно, функціонал передбачає наявності певних відомостей про жертву.
Принципи роботи IMSI-catcher
IMSI-catcher являє собою пристрій, який, з одного боку, веде себе як базова станція мережі GSM, а з іншого боку містить в собі SIM-карту або якісь інші технічні засоби для з'єднання з комунікаційними мережами. Використовується воно наступним чином:
5. Після цього всі вихідні дзвінки жертви проходять через підроблену станцію у відкритому вигляді і можуть бути там записані / прослухані. Пристрій при цьому виступає в ролі проксі, самостійно з'єднуючись з номером, який набирали і прозоро транслюючи крізь себе голос в обидві сторони.
Для більш точної підміни необхідно щоб пристрій використовувало SIM-карту того ж оператора, яким користується жертва, в цьому випадку у зловмисника буде можливість транслювати дзвінки жертви на службові та короткі номери.
4. Якщо жертва рухається, то може легко вийти із зони покриття пристрою, це призведе до того, що процес треба буде починати спочатку.
Перераховані недоліки показують, застосування подібного пристрою обмежується короткостроковим перехопленням розмов і практично не підходить для тривалого прослуховування.
Таким чином, основна користь від подібного пристрою може бути в тому, щоб ідентифікувати ШЗШМШ жертви, про яку точно відомо тільки її місце розташування, а потім вже використовувати відомості про Ш5І для проведення звичайного прослуховування засобами СОРМ.
Перехоплення повідомлень в ОБМ мережах можливий. Але, з огляду на умови, необхідні для реалізації перехоплення, можна сказати, що ОБМ захищений набагато краще, ніж це показано у фільмах і Інтернеті.