[ Update - 28/12/2011 ]
Estendendo sua pesquisa sobre vulnerabilidades em redes GSM, Karsten Nohl do SRLABS (já citado nos updates mais antigos) publicou durante sua apresentação na conferência CCC - em andamento neste final de ano em Berlin - um mapa onde são representados os países europeus de acordo com a qualidade de implementação de segurança em suas redes GSM.
Acesse o mapa em: http://gsmmap.org/
O "GSM security metric" se preocupa com mecanismos de defesa para 3 modalidades de ataques em implementações GSM feitas pelas operadoras (mecanismos de defesa entre parênteses)
- Impersonation (Encryption, Authentication Frequency)
- Intercept (Padding randomization, SI randomization)
- Tracking (HLR Blocking, TMSI change)
Slides da apresentação "Defending Mobile Phones": http://events.ccc.de/congress/2011/Fahrplan/attachments/1994_111217.SRLabs-28C3-Defending_mobile_phones.pdf
Os países que já possuem dados representativos são: Austria, Bélgica, the República Tcheca, França, Alemanha, Hungria, Italia, Morrocos, Eslováquia, Suíça e Tailândia.
Possivelmente outros países (incluindo o Brasil) estarão presentes no mapa em breve, já que instruções foram passadas para que os clientes de operadoras GSM auxiliem coletando dados com "Osmocom capable phones". É possível também detectar que está sendo efetuada interceptação não autorizada através de ferramentas disponibilizadas pelo projeto open-source "Catcher Catcher".
Interessante notar que a imprensa brasileira deu atenção à esta notícia (fonte: Reuters) - um comentário sobre o texto "Celulares GSM, usados por 80% dos usuários dosaparelhos, podem ser o novo alvo dos hackers" (sugestão: eu removeria o "novo" da frase - como pode ser visto nos updates abaixo).
Outras reações de diversas fontes que comentaram o assunto nos últimos dois dias:
Estendendo sua pesquisa sobre vulnerabilidades em redes GSM, Karsten Nohl do SRLABS (já citado nos updates mais antigos) publicou durante sua apresentação na conferência CCC - em andamento neste final de ano em Berlin - um mapa onde são representados os países europeus de acordo com a qualidade de implementação de segurança em suas redes GSM.
Acesse o mapa em: http://gsmmap.org/
O "GSM security metric" se preocupa com mecanismos de defesa para 3 modalidades de ataques em implementações GSM feitas pelas operadoras (mecanismos de defesa entre parênteses)
- Impersonation (Encryption, Authentication Frequency)
- Intercept (Padding randomization, SI randomization)
- Tracking (HLR Blocking, TMSI change)
Slides da apresentação "Defending Mobile Phones": http://events.ccc.de/congress/2011/Fahrplan/attachments/1994_111217.SRLabs-28C3-Defending_mobile_phones.pdf
Os países que já possuem dados representativos são: Austria, Bélgica, the República Tcheca, França, Alemanha, Hungria, Italia, Morrocos, Eslováquia, Suíça e Tailândia.
Possivelmente outros países (incluindo o Brasil) estarão presentes no mapa em breve, já que instruções foram passadas para que os clientes de operadoras GSM auxiliem coletando dados com "Osmocom capable phones". É possível também detectar que está sendo efetuada interceptação não autorizada através de ferramentas disponibilizadas pelo projeto open-source "Catcher Catcher".
Interessante notar que a imprensa brasileira deu atenção à esta notícia (fonte: Reuters) - um comentário sobre o texto "Celulares GSM, usados por 80% dos usuários dosaparelhos, podem ser o novo alvo dos hackers" (sugestão: eu removeria o "novo" da frase - como pode ser visto nos updates abaixo).
Outras reações de diversas fontes que comentaram o assunto nos últimos dois dias:
- Reuters: http://www.reuters.com/article/2011/12/27/us-mobile-security-idUSTRE7BQ05020111227
- O Globo: http://g1.globo.com/tecnologia/noticia/2011/12/celulares-gsm-sao-vulneraveis-ataque-de-hackers-diz-pesquisador.html
- Mcafee: http://blogs.mcafee.com/mcafee-labs/fighting-mobile-phone-impersonation-and-surveillance
- IT Pro: http://www.itproportal.com/2011/12/28/gsma-confident-gsm-security-despite-recent-hijack-flaw-claims/#1
- Financial Times: http://blogs.ft.com/fttechhub/2011/12/warning-over-mobile-phone-hijacking/
[ Update - 06/11/2011 ]
[ Update - 26/07/2010 ]
Algumas novidades recentes sobre interceptação GSM:
- Pratical CellPhone Spying - DefCon - Chris Paget fará uma demonstração de interceptação GSM durante a conferência DEFCON. Advogados da EFF estão ajudando para evitar a prisão do pesquisador.
Aqui está o vídeo da apresentação:
It's widely accepted that the cryptoscheme in GSM can be broken, but did you know that if you're within radio range of your target you can intercept all of their cellphone calls by bypassing the cryptoscheme entirely? This talk discusses the practical aspects of operating an "IMSI catcher", a fake GSM base station designed to trick the target handset into sending you its voice traffic. Band jamming, rolling LACs, Neighbour advertisements and a wide range of radio trickery will be covered, as well as all the RF gear you'll need to start listening in on your neighbours.
- New 'Kraken' GSM-cracking software is released | [A51] The call of Kraken - Novos softwares para cracking via rainbowtables do A5/1 são liberados - mais detalhes sobre a vulnerabilidade no post original abaixo. - http://reflextor.com/trac/a51/browser/tinkering/Kraken
- Hijacking mobile data connections - the state of the art (pdf) Este material recentemente divulgado na conferência HITB de Amsterdan mostra técnicas de hijack / man-in-the-middle de navegação de SmartPhones (incluindo Android e IPhone).
[ Update - 09/04/2010 ]
A quebra do A5/1 acelerou outra quebra de criptografia utilizada largamente na telefonia - o DECT - e automaticamente quase um bilhão de telefones fixos "cordless" do mundo (incluindo o seu) se tornaram muito mais sucetíveis a interceptação.
O tempo necessário é baixo (de 10 a 30 minutos) e tecnologia CUDA (com processamento GPU) pode ser utilizada para aumentar ainda mais a velocidade da quebra.
Segue trecho do paper publicado recentemente (pdf) por Karsten Nohl , Erik Tews e Ralf-PhilippWeinmann:
The DECT Standard Cipher is an asynchronous stream cipher with lowgate complexity that takes a 64 bit secret key and a 35 bit initialization vector,IV, to generate keystream. DSC is similar to GSM’s A5/1 and was reverseengineeredfrom a DECT device using a combination of firmware probing andhardware reverse-engineering. The cipher, publicly disclosed for the first timein this paper, is vulnerable against a clock guessing attack similar to the Ekdahl-Johansson attack against A5/1.
O ocorrido já era previsível já que o algorítimo DECT já tem 20 anos.. Para os mais preocupados e/ou paranóicos - existem telefones cordless que usam criptografia mais moderna, como o DSC - mas infelizmente o algorítimo não é público - o que certamente coloca em dúvida a sua força / eficiência...
Mais informações:
[ Update - 08/02/2010 ]
Ontem foi divulgado na conferência de segurança ShmooCon o txsBBSpy, uma ferramenta de espionagem de SmartPhones BlackBerry - com código java disponível para download e vídeo.
TXSBBSpy Demo from Veracode on Vimeo.
O autor da ferramenta é Tyler Shields, da Veracode e um diferencial importante é que somente foram utilizadas APIs disponíveis pelo próprio fabricante do BlackBerry (RIM) - sem nenhum exploit especial.
Vale a pena também ver a apresentação "Mobile Spyware" de Tyler listando as funcionalidades e trojans - FlexiSpy, Mobile Spy, Etisalat, 09Droid (banker) e outros - comumente usados para SmartPhones, além de
críticas à RIM sobre a maneira que é efetuada a assinatura / distribuição de pacotes para o BlackBerry.
Como pode ser verificado nos links acima, com o código instalado em um smartphone BlackBerry, é possível - através de mensagens SMS que ficam ocultas para o receptor (ou email, GET, POST, TCP, UDP):
Como formas de proteção, são sugeridos os seguintes itens:
[ Update - 30/01/2010 ]
Como se não bastasse os algorítimos utilizados na comunicação de voz e dados GSM estarem sujeitos à interceptação não autorizada - o mesmo acontece mesmo nos produtos feitos especialmente para este fim - criptografia da comunicação de telefones celulares - Vários dos softwares e hardwares que são vendidos com o objetivo de tornar a comunicação criptografada também são falhos!
Dos 15 produtos testados pelo hacker Notrax [* - veja disputa abaixo ] (usando o software comercial FlexiSpy e outros) os únicos 3 que passaram nos testes até o momento são o PhoneCrypt, SnapCell e o TopSec GSM). [ * ]
[ Update - 12/01/2010 ]
Há pouco mais de duas semanas do anúncio da quebra do algorítimo A5/1 utilizado nas comunicações de voz GSM, agora é a vez do A5/3 - utilizado nas comunicações de dados GSM (3G). O A5/3 (KASUMI), apesar de ter um nome parecido, na verdade utiliza um sistema de cifragem totalmente diferente.
Desta vez o ataque foi feito no algorítimo criptográfico mesmo, e não na sua implementação (como é de costume). Os pesquisadores que divulgaram o feito são Orr Dunkelman, Nathan Keller, and Adi Shamir (este último muito conhecido pois é o S da sigla RSA).
Eles divulgaram um tipo de ataque de difícil aplicação prática chamado sandwich attack. Ele permitiu que - diferentemente do anúncio da quebra do A5/1 - pouquíssimo poder computacional fosse utilizado para derivar a chave 128bit do KASUMI (A5/3). O ataque completo pode ser executado em menos de duas horas em um PC comum.
Os pesquisadores informaram que estes fatos mostram que a GSM Association, ao mudar de algorítimos do MISTY para o KASUMI, acabou obtendo como resultado uma criptografia muito mais fraca. Bruce Schneier acrescenta que o maior erro foi tentar "adaptar" um algorítimo conhecido em vez de utilizá-lo em sua forma padrão e já testada.
Referências:
[ Post Original - 29/12/2009 ]
Existe mais de um celular GSM para cada dois habitantes do mundo. Já são cerca de 4 bilhões de aparelhos, o que aumenta o interesse pela quebra da criptografia utilizada pelo GSM e outras falhas em sua implementação.
É bom lembrar que o grampo ilegal (incluindo celulares) é um problema real no Brasil - como pode ser observado durante as os procedimentos ocorridos na CPI do Grampo, nos últimos anos. Segundo a Revista IstoÉ, foram ilegalmente escutados (ao menos) "18 senadores, 26 deputados, do secretário geral da Presidência da República, Gilberto Carvalho, da ministra Dilma Rousseff, de ministros do STF e do STJ, advogados, lobistas e inúmeros jornalistas"
Há mais de 10 anos (EC1997, FSE2000, Crypto2003, SAC2005) vemos notícias sobre a fraqueza do algorítimo A5/1 é como ele é "academicamente" quebrável, mas a quantidade de dados que necessitavam ser interceptados e o poder computacional necessário para obter um resultado real até o momento o protegiam na realidade. Detalhe, o A5/1 tem mais de 20 anos de idade...
Em uma recente apresentação no congresso hacker 26th Chaos Communication ( PDF | MP3 | MP4 ) - ocorrido recentemente em Berlin - os pesquisadores Karsten Nohl e Chris Paget demonstraram um grande avanço no sentido de ouvir ligações de celulares GSM depois de quebrar o código secreto (algorítimo A5/1 - 64-bit) usado para previnir este tipo de interceptação na comunicação entre os aparelhos e as ERBs (estações rádio base).
Dentre os cenários mostrados recentemente por Nohl e Paget, o que mais me chamou atenção foi a utilização de hashes pré-computados através de rainbow tables processados em 40 nodes de forma otimizada e utilizando tecnologia CUDA (aproveitando o poder computacional de múltiplas placas de aceleradores gráficos Nvidia).
O anúncio já gerou efeito sobre as operadoras de celular, que chamado anunciaram que irão futuramente implementar o algorítimo A5/3 (KASUMI), que por sua vez é baseado no MISTY1 - sendo por isto mais moderno e seguro. O padrão GEA3 (KASUMI) já é usado em algumas redes 3G para dar segurança ao tráfego de dados/internet.
Mais informações sobre as vulnerabilidades no algorítimo A5/1:
http://www.nytimes.com/2009/12/29/technology/29hack.html?_r=1
http://news.cnet.com/8301-1009_3-10422340-83.html
http://www.theregister.co.uk/2009/12/28/gsm_eavesdropping_breakthrough/
Apresentação Original:
http://events.ccc.de/congress/2009/Fahrplan/attachments/1479_26C3.Karsten.Nohl.GSM.pdf
GSM Projects @ CCC:
http://events.ccc.de/congress/2008/wiki/GSM
A5/1 Cracking Project:
http://reflextor.com/trac/a51
Ontem foi divulgado na conferência de segurança ShmooCon o txsBBSpy, uma ferramenta de espionagem de SmartPhones BlackBerry - com código java disponível para download e vídeo.
TXSBBSpy Demo from Veracode on Vimeo.
O autor da ferramenta é Tyler Shields, da Veracode e um diferencial importante é que somente foram utilizadas APIs disponíveis pelo próprio fabricante do BlackBerry (RIM) - sem nenhum exploit especial.
Vale a pena também ver a apresentação "Mobile Spyware" de Tyler listando as funcionalidades e trojans - FlexiSpy, Mobile Spy, Etisalat, 09Droid (banker) e outros - comumente usados para SmartPhones, além de
críticas à RIM sobre a maneira que é efetuada a assinatura / distribuição de pacotes para o BlackBerry.
Como pode ser verificado nos links acima, com o código instalado em um smartphone BlackBerry, é possível - através de mensagens SMS que ficam ocultas para o receptor (ou email, GET, POST, TCP, UDP):
- controlar a localização geográfica do blackberry via Google Earth,
- receber as mensagens SMS enviadas e recebidas,
- receber os emails enviados e recebidos,
- receber os contatos existentes no telefone,
- receber detalhes das ligações feitas,
- ligar o microfone do telefone e receber um arquivo de áudio (codificado com base64)
Como formas de proteção, são sugeridos os seguintes itens:
- Users can configure their default application permissions to be more restrictive. This way, if an application tries to use an API that accesses the user’s email or contact list, the OS will ask for permission. Avoid granting applications “trusted application” status, which grants untrusted applications additional privileges. Tyler’s slide deck shows the default and trusted permission sets in more detail.
- Corporations using a BlackBerry Enterprise Server can configure their IT policies to restrict their users from installing third-party applications, or whitelist certain approved applications (but brace yourself for the backlash)
- BlackBerry App World could introduce a rigorous security screening process that submitted applications must pass in order to be listed in the store.
[ Update - 30/01/2010 ]
Como se não bastasse os algorítimos utilizados na comunicação de voz e dados GSM estarem sujeitos à interceptação não autorizada - o mesmo acontece mesmo nos produtos feitos especialmente para este fim - criptografia da comunicação de telefones celulares - Vários dos softwares e hardwares que são vendidos com o objetivo de tornar a comunicação criptografada também são falhos!
Dos 15 produtos testados pelo hacker Notrax [* - veja disputa abaixo ] (usando o software comercial FlexiSpy e outros) os únicos 3 que passaram nos testes até o momento são o PhoneCrypt, SnapCell e o TopSec GSM). [ * ]
A fonte desta informação é o site MobileMag.
[ * ] alguns reports têm ligado o hacker "Notrax" a uma empresa que vende software de criptografia de voz para smartphones - tornando esta análise acima suspeita. A empresa SecurStar (fabricante do produto PhoneCrypt) respondeu mas não convenceu a todos. Deixamos à cargo do leitor visitar os links e tirar suas próprias conclusões.
É necessário ter em mente que as melhoras práticas indicam que sistemas criptográficos proprietários não devem ser usados pois não estão disponíveis para revisão pública.
[ Update - 12/01/2010 ]
Há pouco mais de duas semanas do anúncio da quebra do algorítimo A5/1 utilizado nas comunicações de voz GSM, agora é a vez do A5/3 - utilizado nas comunicações de dados GSM (3G). O A5/3 (KASUMI), apesar de ter um nome parecido, na verdade utiliza um sistema de cifragem totalmente diferente.
Desta vez o ataque foi feito no algorítimo criptográfico mesmo, e não na sua implementação (como é de costume). Os pesquisadores que divulgaram o feito são Orr Dunkelman, Nathan Keller, and Adi Shamir (este último muito conhecido pois é o S da sigla RSA).
Eles divulgaram um tipo de ataque de difícil aplicação prática chamado sandwich attack. Ele permitiu que - diferentemente do anúncio da quebra do A5/1 - pouquíssimo poder computacional fosse utilizado para derivar a chave 128bit do KASUMI (A5/3). O ataque completo pode ser executado em menos de duas horas em um PC comum.
Os pesquisadores informaram que estes fatos mostram que a GSM Association, ao mudar de algorítimos do MISTY para o KASUMI, acabou obtendo como resultado uma criptografia muito mais fraca. Bruce Schneier acrescenta que o maior erro foi tentar "adaptar" um algorítimo conhecido em vez de utilizá-lo em sua forma padrão e já testada.
Referências:
- http://www.emergentchaos.com/archives/2010/01/another_week_another_gsm.html
- http://threatpost.com/en_us/blogs/second-gsm-cipher-falls-011110
- http://threatpost.com/en_us/blogs/four-questions-bruce-schneier-gsm-cipher-crack-011210
[ Post Original - 29/12/2009 ]
Existe mais de um celular GSM para cada dois habitantes do mundo. Já são cerca de 4 bilhões de aparelhos, o que aumenta o interesse pela quebra da criptografia utilizada pelo GSM e outras falhas em sua implementação.
É bom lembrar que o grampo ilegal (incluindo celulares) é um problema real no Brasil - como pode ser observado durante as os procedimentos ocorridos na CPI do Grampo, nos últimos anos. Segundo a Revista IstoÉ, foram ilegalmente escutados (ao menos) "18 senadores, 26 deputados, do secretário geral da Presidência da República, Gilberto Carvalho, da ministra Dilma Rousseff, de ministros do STF e do STJ, advogados, lobistas e inúmeros jornalistas"
Há mais de 10 anos (EC1997, FSE2000, Crypto2003, SAC2005) vemos notícias sobre a fraqueza do algorítimo A5/1 é como ele é "academicamente" quebrável, mas a quantidade de dados que necessitavam ser interceptados e o poder computacional necessário para obter um resultado real até o momento o protegiam na realidade. Detalhe, o A5/1 tem mais de 20 anos de idade...
Em uma recente apresentação no congresso hacker 26th Chaos Communication ( PDF | MP3 | MP4 ) - ocorrido recentemente em Berlin - os pesquisadores Karsten Nohl e Chris Paget demonstraram um grande avanço no sentido de ouvir ligações de celulares GSM depois de quebrar o código secreto (algorítimo A5/1 - 64-bit) usado para previnir este tipo de interceptação na comunicação entre os aparelhos e as ERBs (estações rádio base).
Dentre os cenários mostrados recentemente por Nohl e Paget, o que mais me chamou atenção foi a utilização de hashes pré-computados através de rainbow tables processados em 40 nodes de forma otimizada e utilizando tecnologia CUDA (aproveitando o poder computacional de múltiplas placas de aceleradores gráficos Nvidia).
O anúncio já gerou efeito sobre as operadoras de celular, que chamado anunciaram que irão futuramente implementar o algorítimo A5/3 (KASUMI), que por sua vez é baseado no MISTY1 - sendo por isto mais moderno e seguro. O padrão GEA3 (KASUMI) já é usado em algumas redes 3G para dar segurança ao tráfego de dados/internet.
Recentemente recebi um email perguntando sobre a segurança da criptografia de chave pública utilizada nas comunicações do BlackBerry. A resposta é: vai depender da sua confiança na empresa RIM e obviamente seu nível de requisito de sigilo e/ou paranóia. Exemplo: em 2007 o governo francês proibiu a utilização de BlackBerry no país por temer a monitoração das comunicações pela inteligência americana.
Mais informações sobre as vulnerabilidades no algorítimo A5/1:
http://www.nytimes.com/2009/12/29/technology/29hack.html?_r=1
http://news.cnet.com/8301-1009_3-10422340-83.html
http://www.theregister.co.uk/2009/12/28/gsm_eavesdropping_breakthrough/
Apresentação Original:
http://events.ccc.de/congress/2009/Fahrplan/attachments/1479_26C3.Karsten.Nohl.GSM.pdf
GSM Projects @ CCC:
http://events.ccc.de/congress/2008/wiki/GSM
A5/1 Cracking Project:
http://reflextor.com/trac/a51
