Niebezpieczeństwo w GSM

Algorytm szyfrujący stosowany w sieciach komórkowych nie jest silnym zabezpieczeniem. Można go złamać nie tylko w teorii.

Algorytm szyfrujący stosowany w sieciach komórkowych nie jest silnym zabezpieczeniem. Można go złamać nie tylko w teorii.

Choć komórkowe były projektowane z myślą o zapewnieniu bezpieczeństwa abonentów i przesyłanych w nich informacji, to powstawały pod koniec lat 80., w czasie, gdy nie było praktycznych możliwości korzystania z mechanizmów silnego szyfrowania danych. Tworząc ich architekturę zadbano o to, aby uniemożliwić zarówno podszywanie się pod użytkownika, jak i zapewnić ochronę prywatności. W efekcie powstała jednak sieć, w której ochroną objęto tylko tor radiowy, a najważniejszy proces identyfikacji jest jednokierunkowy - telefon musi identyfikować się w sieci, ale nie ma możliwości weryfikacji, z jaką siecią się łączy. To jest obecnie największą słabością GSM.

Transmisja w sieciach cyfrowych jest bezpieczniejsza niż w analogowych, jak choćby NMT. Jednak wraz z rozwojem technologii nastąpiło obniżenie poziomu bezpieczeństwa. Najczęściej podnoszonym problemem jest możliwość podsłuchu rozmów. Sieć GSM posiada zabezpieczenia przed takim zagrożeniem, bo w torze radiowym (od stacji bazowej do stacji mobilnej) stosuje się szyfrowanie danych. Niestety stosowany algorytm A5, w obydwu używanych odmianach: A5/1, A5/2, nie jest silnym zabezpieczeniem i jego złamanie jest możliwe nie tylko teoretycznie.

Fałszywa sieć

Historycznie pierwszym sposobem podsłuchu było wykorzystanie fałszywych stacji bazowych wymuszających na telefonie tryb pracy bez szyfrowania danych (zero cipher mode). Tryb ten rzadko zdarza się przy normalnej pracy telefonii komórkowej, choć przy poważnym przeciążeniu sieci operatorzy czasami wyjątkowo wyłączają szyfrowanie. Jedynym połączeniem, w którym dane nie są szyfrowane jest połączenie alarmowe pod numer 112 wykonywane bez karty SIM, której brak wymusza konieczność stosowania otwartej transmisji. Niektóre telefony sygnalizują taki tryb pracy za pomocą odpowiedniej ikony, ale mało użytkowników zwraca na to uwagę.

Ale fałszywe stacje bazowe można wykorzystać w atakach man-in-the-middle. Nawet jeśli sieć wykorzystuje wyłącznie trudniejszy do złamania algorytm A5/1, można dokonać takiego ataku jeżeli tylko telefon wspiera A5/2. Cyberprzestępca może użyć fałszywej stacji bazowej, która łączy się z siecią przy użyciu algorytmu A5/1, zaś do połączenia z telefonem wykorzystuje A5/2. Klucz prywatny telefonu można bowiem uzyskać na podstawie pasywnego nasłuchu transmisji z użyciem A5/2. Najważniejszą luką w bezpieczeństwie, którą wykorzystuje ten atak, jest współdzielenie tego samego klucza przez oba algorytmy oraz brak mechanizmów uwierzytelnienia sieci.

Brutalna siła

Najprostszym sposobem deszyfrowania strumienia danych pochodzących z nasłuchu jest łamanie brute-force przy użyciu przygotowanych uprzednio tzw. tęczowych tablic. Zawierają one wcześniej obliczone dane, dzięki którym łamanie szyfru odbywa się znacznie szybciej, niż obliczanie wszystkich możliwych kombinacji. Przestrzeń danych obejmująca stany rejestru ma rozmiar rzędu 2^58, czyli zajmuje około 2-3 TB danych. Przygotowanie takich tablic wymaga dużej pracy obliczeniowej. W wypadku standardowego komputera PC szacuje się, że zajęłoby to ok. 33 tys. lat obliczeń, ale przy zastosowaniu dedykowanych mikrokomputerów proces ten można znacznie skrócić.

Poza pecetami zorganizowanymi w duże klastry, korzystano też z procesorów G5 używanych w maszynach PowerMac, na których uruchamiano oprogramowanie optymalizowane pod kątem najlepszego wykorzystywania akceleratora Velocity Engine. Crackerzy udowodnili nie raz, że potrafią wykorzystać każdy sposób by osiągnąć cel - były nawet projekty, które wykorzystywały wysokowydajne kart graficznych (Nvidia, Intel, ATI) do obliczeń związanych z łamaniem szyfrów.

Członkowie grupy The Hackers Choice przygotowali dedykowany komputer zawierający 68 Express Card posiadający programowalne mikroprocesory FPGA, z których każdy ma wydajność rzędu 72 GFlops. Dzięki temu czas obliczeń kompletnej bazy tablic skrócił się do kilku miesięcy. Przy pomocy gotowej tablicy, strumień danych odebranych z toru radiowego może zostać deszyfrowany przy użyciu jednego modułu FPGA w czasie pół godziny, a przy użyciu 16 takich modułów i dysków SSD, czas złamania zabezpieczeń i przechwycenia rozmowy można skrócić do kilkudziesięciu sekund.


TOP 200