Architekt\u00fara GSM, zn\u00e1me zranite\u013enosti a probl\u00e9my GSM<\/p>\n
![\"GSM](\"http:\/\/zedomax.com\/blog\/wp-content\/uploads\/2009\/12\/gsm-hacked.png\")
\nV\u00e1\u0161 telef\u00f3n je pripojen\u00fd \/ asociovan\u00fd na BTS (Base Transceiver Station) stanicu, stovky BTS stanic s\u00fa prepojen\u00e9 na BSC (Base Station Controller), ktor\u00e9 medzi sebou komunikuj\u00fa pomocou protokolu A-BIS. Tento cel\u00fd syst\u00e9m (Base Station Subsystem) je prepojen\u00fd s NSS (Network Sub System), ktor\u00fd pozost\u00e1va z centr\u00e1lneho switchu (MSC), datab\u00e1zy \u00fa\u010dastn\u00edkov siete (HLR), datab\u00e1zy autentifika\u010dn\u00fdch k\u013e\u00fa\u010dov (AUC), registra \u00fa\u010dastn\u00edkov pou\u017eivaj\u00facich roaming (VLR) a registra ukradnut\u00fdch telef\u00f3nov (EIR).
\nMedzi telef\u00f3nom a GSM sie\u0165ou neexistuje obojstrann\u00e1 autentifik\u00e1cia, \u010do samozrejme m\u00f4\u017ee vies\u0165 k riziku podvrhnut\u00fdch GSM siet\u00ed, MITM \u00fatokov at\u010f.<\/p>\n
Algoritmy A5\/1, A5\/2 s\u00fa u\u017e nieko\u013eko rokov tie\u017e prelomen\u00e9. \u010co je hor\u0161ie, \u0161ifrovanie je samozrejme volite\u013en\u00e9 a vlastn\u00edk telef\u00f3nu samozrejme nikdy nie je informovan\u00fd o tom, \u010di je dan\u00e9 GSM \u0161ifrovanie zapnut\u00e9 alebo nie.<\/p>\n
Baseband procesor nad ktor\u00fdm be\u017ei GSM stack je obvykle ARM7 (2G\/2.5G telef\u00f3ny) alebo ARM9 (3G\/3.5G telef\u00f3ny), ktor\u00fd nedisponuje \u017eiadnymi modern\u00fdmi bezpe\u010dnostn\u00fdmi ochranami (ako napr\u00edklad ochrana vo\u010di prete\u010deniu buffra, ve\u013ea presunov v pam\u00e4ti je st\u00e1le realizovan\u00fdch cez memcpy(), ch\u00fdbaj\u00fa non-executable str\u00e1nky, \u010di randomiz\u00e1cia adries, adresovov\u00fd priestor medzi baseband procesorom a aplik\u00e1ciami nie je oddelen\u00fd at\u010f). Existuj\u00fa preto re\u00e1lne koncepty ako na dia\u013eku z\u00edska\u0165 kontrolu nad baseband \u010dipsetom napr\u00edklad pomocou prete\u010denia bufra (zn\u00e1ma zranite\u013enos\u0165 sa objavila predned\u00e1vnom napr\u00edklad v QCOM codebase).<\/p>\n
\u00dato\u010dn\u00edk, ktor\u00fd si je vedom\u00fd t\u00fdchto ch\u00fdb telef\u00f3nov, dok\u00e1\u017ee sfunk\u010dni\u0165 podvrhnut\u00fa BTS (napr\u00edklad pou\u017eit\u00edm USRP2) a jednoducho z\u00edska\u0165 kontrolu nad asociovan\u00fdmi telef\u00f3nmi (vr\u00e1tane nasadenie zadn\u00fdch vr\u00e1tok), nijako prehnan\u00e9 nebude ani uva\u017eova\u0165 na mobiln\u00fdmi v\u00edrmy, \u010di trojanmi, ktor\u00e9 sa bud\u00fa \u0161\u00edri\u0165 podvrhnut\u00fdmi BTS.<\/p>\n
GSM pou\u017e\u00edva symetrick\u00e9 A5\/1 kl\u00fa\u010de, kedy n\u00e1hodn\u00fd „nonce“ a k\u013e\u00fa\u010d pre dan\u00fd GSM hovor je zasielan\u00fd zo strany „Operator Home Location Register“. Odpo\u010d\u00favan\u00edm komunik\u00e1cie medzi BTS stanicou a mobiln\u00fdm telef\u00f3nom je mo\u017en\u00e9 z\u00edska\u0165 uveden\u00fd k\u013e\u00fa\u010d pre dan\u00fd GSM hovor, nako\u013eko je zranite\u013en\u00fd na tzv. „memory trade-off“ \u00fatoky. Kv\u00f4li tomu, \u017ee sa pou\u017e\u00edva v r\u00e1mcoch rovnak\u00e9 zarovnenie (padding), kedy posledn\u00fdch 12 bitov s\u00fa v\u017edy nuly, \u00fato\u010dn\u00edk dok\u00e1\u017ee determinova\u0165 bity u\u017e v \u0161ifrovan\u00fdch r\u00e1mcoch a pomocou A5\/1 rainbow tabu\u013eky z\u00edska\u0165 uveden\u00fd k\u013e\u00fa\u010d „session key“ behom p\u00e1r sek\u00fand.<\/p>\n
Aj napriek tomu, \u017ee od roku 2008 pod\u013ea TS44.006 je potrebn\u00e9 „randomizova\u0165“ uveden\u00fd „padding“ (\u010do samozrejme v\u00e4\u010d\u0161ina mobiln\u00fdch oper\u00e1torov ignoruje), st\u00e1le je mo\u017en\u00e9 v samotn\u00fdch r\u00e1mcoch odhali\u0165 ve\u013ea zn\u00e1meho alebo determinovate\u013en\u00e9ho plaintextu (napr\u00edklad pri terminovan\u00ed hovoru), \u010do st\u00e1le implikuje bezpe\u010dnostn\u00e9 riziko.<\/p>\n
Zauj\u00edmav\u00e9 na tom je, \u017ee ve\u013ea GSM oper\u00e1torov umo\u017e\u0148uje znovupou\u017ei\u0165 „session“ k\u013e\u00fa\u010de pre dan\u00fd hovor na \u010fal\u0161iu komunik\u00e1ciu (tak\u017ee k\u013e\u00fa\u010d z\u00edskan\u00fd napr\u00edklad zo zaslanej SMS spr\u00e1vy je znovupou\u017eit\u00fd na GSM hovor!).
\nPou\u017eitim RRLP protokolu (Radio Resource Location Protocol) sie\u0165 dok\u00e1\u017ee jednoducho zisti\u0165 GPS koordin\u00e1ty alebo surov\u00e9 GSM d\u00e1ta z telef\u00f3nu.<\/p>\n
\u010eal\u0161ie \u00faskalie predstavuje SS7 protokol, ktor\u00fdm komunikuj\u00fa samotn\u00ed telco oper\u00e1tori – oper\u00e1tori sa toti\u017e navz\u00e1jom neautentifikuj\u00fa (\u010do m\u00e1 za n\u00e1sledok v s\u00fa\u010dasnej dobe mas\u00edvne zv\u00fd\u0161enie SMS spamu) a \u010dastokr\u00e1t umo\u017e\u0148uj\u00fa prezradzova\u0165 citliv\u00e9 data o svojich \u00fa\u010dastn\u00edkoch.<\/p>\n
OsmocomBB (Open Source MObile COMmunication Base Band)<\/p>\n
D\u00f4vod na nap\u00edsanie OsmocomBB GSM stack implement\u00e1cie bol jednoduch\u00fd – GSM siete s\u00fa prudko uzavret\u00e9 (existuj\u00fa dohromady 4 GSM stack uzavret\u00e9 implement\u00e1cie, ktor\u00e9 v\u00fdrobcovia GSM \u010dipov nikdy nezverejnili a k ich zdrojov\u00fdm k\u00f3dom nemaj\u00fa dokonca pr\u00edstup ani v\u00fdrobcovia niektor\u00fdch telef\u00f3nov). Z biznis h\u013eadiska m\u00e1 t\u00e1to uzavretos\u0165 samozrejme zmysel – GSM sie\u0165ovy hardware vyr\u00e1ba na svete len p\u00e1r firiem, jeho ceny pre mobiln\u00fdch oper\u00e1torov s\u00fa potom automaticky \u00faplne premr\u0161ten\u00e9 (10-40k \u20ac za BTS). Taktie\u017e mno\u017estvo \u013eud\u00ed, ktor\u00ed h\u013abkovo vidia do GSM protokolu \/ GSM stacku je na svete ve\u013emi m\u00e1lo a samotn\u00ed mobiln\u00ed oper\u00e1tori v\u00e4\u010d\u0161inou t\u00fdmito \u013eudmi obvykle nedisponuj\u00fa. Trp\u00ed t\u00fdm samozrejme nez\u00e1visl\u00fd bezpe\u010dnostn\u00fd v\u00fdskum v oblasti GSM a ak nejak\u00fd je, tak sa t\u00fdka len aplika\u010dnej vrstvy alebo teoretickej kryptoanal\u00fdzy A5\/1 a A5\/2. Preveri\u0165 zabezpe\u010denie GSM stack implement\u00e1cii je teda temer nemo\u017en\u00e9.<\/p>\n
![\"osmocomBB\"](\"http:\/\/bb.osmocom.org\/trac\/raw-attachment\/wiki\/SciphoneDreamG2\/scig2_jtag.jpg\")
V\u0161etky tieto d\u00f4vody viedli k nap\u00edsaniu prvej opensource implement\u00e1cie OsmocomBB. Mo\u017eno by bolo dobr\u00e9 poznamena\u0165, \u017ee v minulosti bolo viacero pokusov o tvorbu opensource GSM stack implement\u00e1cie (THC GSM, mados) – \u017eiadny z t\u00fdchto projektov bohu\u017eia\u013e nebol \u00faspe\u0161n\u00fd.
\nVzh\u013eadom k tomu, \u017ee vytvorenie vlastn\u00e9ho GSM baseband chipsetu (na customizovanom hardv\u00e9ri) je \u010dasovo n\u00e1ro\u010dn\u00e1 oper\u00e1cia, autori OsmocomBB sa na to rozhodli vyu\u017ei\u0165 jednoduch\u00fd, lacn\u00fd, existuj\u00faci, hotov\u00fd a hlavne funguj\u00faci hardv\u00e9r s\u00fa\u010dasn\u00fdch mobiln\u00fdch telef\u00f3nov. Toto rozhodnutie znamenalo, \u017ee bolo potrebn\u00e9 spravi\u0165 reverzn\u00e9 in\u017einierstvo a na z\u00e1klade toho nap\u00edsa\u0165 hardv\u00e9rov\u00e9 ovl\u00e1da\u010de. Aby toho reverzn\u00e9ho in\u017einierstva bolo \u010do najmenej, boli vybran\u00e9 telef\u00f3ny, o ktor\u00fdch GSM baseband \u010dipsetov bolo „leaknut\u00fdch“ \u010do najviac inform\u00e1ci\u00ed a to \u0161peci\u00e1lne „Texas Instrument Calypso“ a „Mediatek MT622x“, ku ktor\u00fdm existuje (na \u010d\u00ednsk\u00fdch str\u00e1nkach) zverejnen\u00e9 SDK a pr\u00edslu\u0161n\u00e9 GSM stack kni\u017enice. Tieto baseband \u010dipsety be\u017eia napr\u00edklad v telef\u00f3noch Motorola C11x, C12x, C13x, C14x, C15X, pr\u00edpadne Openmoko Neo1973 \/ Freerunner. V\u00fdvojari OsmocomBB sa rozhodli zamera\u0165 na v\u00fdvoj a testovanie hlavne pre telef\u00f3ny Motorola C123 a C155. OsmocomBB bol nap\u00edsan\u00fd prakticky od nuly behom 9-tich mesiacov a ide o prv\u00fa funk\u010dn\u00fa opensource GSM baseband implement\u00e1ciu, ktor\u00e1 v sebe zahr\u0148uje ovl\u00e1da\u010de na v\u0161etok potrebn\u00fd GSM hardv\u00e9r (DBB, ABB, RF transceiver, LCD\/LCM) ako aj implement\u00e1ciu fyzickej, linkovej a sie\u0165ovej vrstvy (L1-L3). O tom, \u017ee je OsmocomBB skuto\u010dne funk\u010dn\u00fd sved\u010d\u00ed fakt, \u017ee je u\u017e mo\u017en\u00e9 vykonav\u00e1\u0165 GSM hovory (viac ako 30+ min\u00fat), \u0161ifrova\u0165 pomocou A5\/1, A5\/2 a pou\u017e\u00edva\u0165 Full Rate(FR) a Enhanced Full Rate(EFR) codec. Niektor\u00e9 veci (ako presmerovanie na in\u00fa BTS po\u010das samotn\u00e9ho hovoru) ale e\u0161te st\u00e1le nefunguj\u00fa.Vzh\u013eadom k tomu, \u017ee ide o kompletn\u00fa „from-scratch“ opensource implement\u00e1ciu, je mo\u017en\u00e9 ma\u0165 pln\u00fa kontrolu nad zasielan\u00fdm d\u00e1tami, \u010do v praxi znamen\u00e1 mo\u017enos\u0165 zasiela\u0165 \u013eubovo\u013en\u00e9 (s \u013eubovo\u013enou hlavi\u010dkou) RR spr\u00e1vy BSC, MM\/CC spr\u00e1vy MSC, SMS spr\u00e1vy do MSC\/SMSC at\u010f – teda realizova\u0165 „kr\u00e1sne“ GSM „fuzzy“ testovanie. Pr\u00edstup na telef\u00f3n je cez VTY (telnet) s ve\u013emi podobn\u00fdm a pr\u00edjemn\u00fdm rozhran\u00edm ak\u00fdm disponuje Cisco, pr\u00edpadne je mo\u017en\u00e9 telef\u00f3n napoji\u0165 na linuxov\u00fd call PBX router.<\/p>\n
V\u010faka OsmocomBB je mo\u017en\u00e9 pou\u017ei\u0165 viacero zaujimav\u00fdch aplik\u00e1ci\u00ed ako „cell_log“ – scanovanie a logovanie inform\u00e1cie „beacon“ r\u00e1mcov bunky (ako napr\u00edklad GPS poz\u00edcia), „gsmmap“ na zistenie presnej polohy pomocou triangul\u00e1cie, „bcch_scan“ – z\u00edskavanie sily sign\u00e1lu enumer\u00e1ciou cez cel\u00e9 frekven\u010dn\u00e9 spektrum, „cbch_sniff“ – dumpovanie broadcast spr\u00e1v (pou\u017eitie napr\u00edklad pre wireshark).<\/p>\n
GSM \u00fatok cez upraven\u00fd OsmocomBB<\/p>\n
Samotn\u00e9 \u0161ifrovanie hovoru sa inicializuje v riadiacom kan\u00e1li („control channel“), pri\u010dom samotn\u00fd hlas je pren\u00e1\u0161an\u00fd v d\u00e1tovom kan\u00e1li („traffic channel“), kde funguje „frequency hopping“ (GSM hovory s\u00fa pren\u00e1\u0161an\u00e9 \u0161ifrovane cez r\u00f4zne nepredikovate\u013en\u00e9 frekvencie). Lacn\u00e9 Motorola telef\u00f3ny s OsmocomBB firmwareom a vypnut\u00fdm \u0161ifrovan\u00edm (patch DSP k\u00f3du) je mo\u017en\u00e9 pou\u017ei\u0165 na odpo\u010d\u00favanie „frequency hopping“ hovoru. Na samotn\u00fd cielen\u00fd \u00fatok sta\u010dia dva telef\u00f3ny (ak nie je zn\u00e1my TMSI, tak je nutn\u00e9 viacero telef\u00f3nov) – jeden telef\u00f3n na zachyt\u00e1vanie riadiacich spr\u00e1v pre cie\u013eov\u00e9 TMSI a druh\u00fd na to, aby „sk\u00e1kal“ na t\u00fdch ist\u00fdch frekvenciach ako cie\u013eov\u00fd odpo\u010d\u00favan\u00fd telefon a zachyt\u00e1val samotn\u00fd odpo\u010d\u00favan\u00fd hovor. Zo zachytenej SI spr\u00e1vy (pri vytvoren\u00ed hovoru) je pomocou Kraken crackera a pr\u00edslu\u0161n\u00fdch rainbow tabuliek z\u00edska\u0165 \u0161ifrovac\u00ed k\u013e\u00fa\u010d pre dan\u00fd hovor („session key“) a n\u00e1sledne zachyten\u00fd hovor de\u0161ifrova\u0165. Tu je dobr\u00e9 poznamena\u0165, \u017ee samotn\u00fd „lookup“ do rainbow tabuliek trv\u00e1 na be\u017enom hardv\u00e9ri menej ako 20 sek\u00fand, tak\u017ee de\u0161ifrovanie je skuto\u010dne ve\u013emi r\u00fdchle.<\/p>\n
A ako z\u00edska\u0165 identifik\u00e1ciu adres\u00e1ta (TMSI)?<\/strong><\/p>\n V SS7 je mo\u017en\u00e9 (zo strany Telco oper\u00e1tora) zasla\u0165 tzv.“HLR \u017eiados\u0165“ s ot\u00e1zkou, kde presne vo svete sa nach\u00e1dza dan\u00fd \u00fa\u010dastn\u00edk X. Odpove\u010f na t\u00fato \u017eiados\u0165 je mesto + IMSI, teda pribli\u017en\u00e1 poloha dan\u00e9ho \u00fa\u010dastn\u00edka. Vzh\u013eadom k tomu, \u017ee OsmocomBB m\u00e1 pln\u00fa kontrolu nad zasielanou \u0161trukturou SMS spr\u00e1v, je mo\u017en\u00e9 pou\u017ei\u0165 tzv. „silent“ (alebo naru\u0161en\u00e9) SMS spr\u00e1vy, ktor\u00e9ho cie\u013eov\u00e9mu adres\u00e1tovi s\u00edce nepr\u00eddu (lebo maj\u00fa po\u0161koden\u00fa predp\u00edsan\u00fa \u0161trukt\u00faru, tak\u017ee telef\u00f3n ich zahod\u00ed), umo\u017enia ale z\u00edska\u0165 jeho presn\u00fa polohu bunky. Odpo\u010d\u00favanie GSM siete po\u010das posielania SMS a pr\u00edjimania odpovede cie\u013eov\u00e9mu telef\u00f3nu sta\u010d\u00ed na presn\u00e9 determinovanie TMSI cie\u013eov\u00e9ho telef\u00f3nu. N\u00e1sledne je mo\u017en\u00e9 hovory pre tento telef\u00f3nov odpo\u010d\u00fava\u0165 a prelomi\u0165.<\/p>\n Nutno poznamena\u0165, \u017ee OsmocomBB nebol dizajnov\u00fd ako sniffer ale ako implement\u00e1cia basebandu. Pod\u013ea Sylvain Munauta n\u00e1stroje na samotn\u00e9 prevedenie \u00fatoku nie s\u00fa a ani nebud\u00fa dostupn\u00e9 (alebo predan\u00e9 ako sa nieko\u013eko \u013eud\u00ed p\u00fdtalo).<\/strong> Vlastn\u00e1 implement\u00e1cia sniffera vy\u017eaduje h\u013abkov\u00e9 pochopenie GSM, \u010do s\u00fa tis\u00edce str\u00e1n GSM \u0161pecifik\u00e1ci\u00ed a tis\u00edce riadkov k\u00f3du. Anatomy of contemporary GSM cellphone hardware<\/a><\/p>\n Running your own GSM stack on a phone<\/a><\/p>\n The Baseband Apocalypse<\/a><\/p>\n
\nOdkazy<\/p>\n
\nPrelomen\u00fd GSM a leg\u00e1lne probl\u00e9my s t\u00fdm spojen\u00e9<\/a><\/p>\n