GSM:in turvallisuus vuonna 2010 Gabriel Waller Nokia Siemens Networks / Research / Security Technologies For internal use only 1 Nokia Siemens Networks Presentation / Author / Date
Johdanto: GSM ja edelläkävijät GSM on maailman laajin mobiiliverkko vuonna 2010 Yli 4 bln. asiakkaita, Yli 750 verkkoja (lähde: GSMA) 1G (analogiset) mobiiliverkoissa (Suomessa: NMT) eivät olleet standardoituja suojamenetelmiä Koetut ongelmat: Helppo (<$100) salakuuntelu Halvempi kuin puhelin itse! Helppo ($1000) laitteiden tilauksien kopiointi Vääriä laskuja asiakkaille, operaattorien häviöt 2 Nokia Siemens Networks GSM turvallisuuden tila / Date
GSM:än turvallisuus vuonna 2010 Väite: GSM:än turvallisuus oli revoluutio ja olennainen menestys. Maailmassa ei ole paljon turvallisuusmenetelmiä, jotka toimivat, ja jotka ovat täysin näkymättömiä käyttäjälle. Huonommin onnistuneita esim: luottokortit verkkopalveluiden salasanat Viime aikoina GSM:in turvallisuuden aukot saivat lisää näkyvyyttä (ks. seuraavat kalvot) Menetelmän alkuperäisesti suunniteltu elinikä oli 20 vuotta juuri loppunut. Tavoitteet ylitettiin selvästi, sekä teknologian että liiketoiminnan puolesta. 3 Nokia Siemens Networks GSM turvallisuuden tila / Date
Claim: GSM security is the fundamental success. GSM security concepts became fundamental and remain unchanged until today in all following radio technologies (and most of them do not seem to require any change) Separation of the device and the authentication token. The latter is also a HW-protected secure execution environment. Confidentiality of user identity and location: temporary identities (TMSI) Authentication tokens are never passed anywhere outside the two secure endpoints (AuC and SIM) All security developments in later mobile networks are much more evolutional than the step from nothing to GSM. 4 Nokia Siemens Networks GSM turvallisuuden tila / Date
GSM security: Limitations visible in 2010 Weak crypto algorithms 1 A5/2 ( world-wide export version) completely broken, prohibited now A5/1 broken in July 2010! Adding new algorithms is hard Short encryption keys (64 bits) restriction is hardcoded deeply No network authentication 2 Allows false base station attacks Some messages are not authenticated at all, or too late 3 Location update (allows to kick you out from the network) IMSI detach (DoS) Radio channel request (DoS) 5 Nokia Siemens Networks GSM turvallisuuden tila / Date Some aspects are not standardised (in which case, almost always the protection is poor): 4 Google-haku SIM clone : SIM clone SW SIM clone device SIM clone GSM authentication and key derivation algorithm. Example COMP-128 broken, allows instant SIM cloning (with a physical access to the SIM). SIM copiers available and cheap. backhaul link security core network protection Just like in PSTN, BTW
Hyökkäys 1 : heikko kryptausalgoritmi Karsten Nohl, BlackHat 10 decrypting A5/1 A5/1 on alkuperäinen GSM kryptausalgoritmi Aluksi salainen, vuoti yleisölle noin v. 1992 Heikkoudet raportoitu heti tämän jälkeen V. 2010, jaettu A5/1 cracking project on saanut valmiiksi A5/1 rainbow tables. Reaaliaikainen salauksen purku oli esitetty. Mahdollistaa salakuuntelua Hyökkäystä on mahdotonta havaita Miten Rainbow tables toimivat? Hyökkääjän tavoite on session avain Kc GSM lähettää suht. paljon vakituisia bittisarjoja tietyissä ajankohdissa Jos vakituiset bittisarjat kryptataan etukäteen kaikilla Kc:lla (2 64 kpl), niin käytetty Kc voidaan etsiä tuloksien taulukosta Rainbow tables pienentävät taulukon kokoa NSN suunnittelee hyökkäyksen demon v. 2011 alussa 6 Nokia Siemens Networks GSM turvallisuuden tila / Date
Hyökkäys 1 : puolustusmenetelmät Uusi algoritmi A5/3 on standardoitu Avoin suunnittelu; maailman johtavat kryptoanalyytikot varmistivat algoritmin vahvuuden Pitää implementoida sekä verkkoon että puhelimeen Verkonvalmistajat (myös NSN) tarjoavat A5/3 lisäominaisuutena Verkon operaattoreilla voi olla suurempi tai pienempi business syy päivitykseen Puhelinvalmistajat vähitellen lisäävät A5/3 tuotteisiinsa Kryptausalgoritmi ei ole näkyvissä käyttäjälle vaikea mainostaa Esim. Nokia tukee A5/3 vuodesta 2006 7 Nokia Siemens Networks GSM turvallisuuden tila / Date
Hyökkäys 2 : valetukiasema SIM Chris Paget, RSA 2010 Salakuuntelu valetukiasemalla Verkon autentikoinnin puute on GSM:in rakenteellinen rajoitus Vaihtoehto 1 Mobile Station False base station Legitimate base station Third-party network, e.g. VoIP GW The other calling party SIM Hyökkäyksen periaate Valetukiasema houkuttelee puhelimia kytkeytymään itselleen Asema käskee puhelinta kytkemään datan kryptauksen pois päältä Kuuntelee ääntä ja lähettää sen uudelleen joko (1) toisen verkon kautta tai (2) samalle verkolle toisella SIM:illä Vaihtoehto 2 Mobile Station False base station Legitimate base station Legal mobile station with a legitimate SIM Core network The other calling party 8 Nokia Siemens Networks GSM turvallisuuden tila / Date
Hyökkäys 2 : valetukiasema IMSI catchers (historiallinen nimi valetukiasemalle) olivat saatavissa harmailla markkinoilla jo vuosia sitten Hinnat rajoittivat laajan käyttöönoton (~100K ) Vuonna 2010 hyökkäys oli esitetty <$1000:lla Googlehakuehdotukset IMSI catcher : IMSI catcher price IMSI catcher buy IMSI catcher for sale Linux-pohjainen Motorola DROID puhelin tukiasemana varustettu OpenBTS / OpenBSC Varmaa puolustusmenetelmää ei ole Puhelin voi kieltäytyä laittamasta kryptauksen pois päältä, tai ainakin varoittaa käyttäjää siitä Järkevä päätös, mutta tässä turvallisuus on konfliktissa käytettävyyden kanssa Verkko voi havaita radio interferenssin odottamaton nosto paitsi jos valetukiasema on uhrin lähellä ja lähettää suhteellisesti heikon signaalin 9 Nokia Siemens Networks GSM turvallisuuden tila / Date
Hyökkäyssarja 3 : kaikenlaiset DoS:it The Grugq, BlackHat 2010: kaikki hyökkäykset paketissa Kohdistus: tietty käyttäjä (IMSI detach, Location spoof) radio-saatavuus alue (RACHell, baseband fuzzing) iso osa verkosta (IMSI flood) GSM on olennaisesti altis eri DoS hyökkäyksiin Eivät mahdollista salakuuntelua Voivat silti olla kiusallisia; esim. IMSI detach voi käynnistää mistä tahansa maailmassa Hyökkäyksiä demonstroitu konferenssilla 10 Nokia Siemens Networks GSM turvallisuuden tila / Date
GSM:in turvallisuus: yhteenveto (Nokia Siemens Networksin näkökulma, 2010) GSM on olennaisesti altis eri hyökkäyksiin, jotka voivat mahdollistaa salakuuntelun, tekeytymisen tai verkon ylikuormittamisen Aktiivi (valetukiasema) Passiivi (salauksen purku) DoS (eri tyypit) Jotkut hyökkäykset on suhteellisesti helppo estää Usein vaatii yhteistyötä verkkoja laite-valmistajien välillä Kumpi ensimmäisenä Yhteistyö lakikunnan kanssa voi olla tarpeellinen Joidenkin hyökkäyksien vastaan on erittäin vaikea puolustautua Hyökkäykset eivät ole uusia teknisesti, mutta tulevat radikaalisesti helpommiksi Valetukiaseman mahdollisuus johtuu GSM:in rajoituksesta GSM:in taajuudella lähettäminen ilman lisenssiä on laitonta DoS hyökkäykset ovat yhtä vaikeita ja kiusallisia kuin Internetissäkin Aiemmin, kallis erikoiskalusto oli tarpeellinen; ohjelmisto oli suunniteltu kapeasti vain omalle raudalle Vähitellen GSM pino tulee avoinkoodiin Yleisimmät laitteet kuten Linux puhelimet kelpaavat myös hyökkäyksiin 11 Nokia Siemens Networks GSM turvallisuuden tila / Date
Kiitos! Kysymyksiä? 12 Nokia Siemens Networks GSM turvallisuuden tila / Date