abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 0
včera 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 0
včera 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
včera 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 0
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 7
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 7
13.10. 14:33 | Komunita

Společnost SUSE natočila a na YouTube zveřejnila dva nové videoklipy: 25 Years - SUSE Music Video (7 Years parody) a Linus Said - Music Parody (Momma Said).

Ladislav Hagara | Komentářů: 6
13.10. 12:55 | Zajímavý projekt

Autoři stránky Open Source Game Clones se snaží na jednom místě shromažďovat informace o open source klonech proprietárních počítačových her. Přidat další hry nebo návrhy na zlepšení lze na GitHubu. Na stránce Open Source Text Games jsou shromažďovány informace o open source textových hrách. Opět lze k vylepšení nebo doplnění stránky použít GitHub.

Ladislav Hagara | Komentářů: 1
12.10. 20:44 | Nová verze

Po 18 měsících vývoje od vydání verze 2.3 byla oficiálně vydána nová verze 2.4 firewallové distribuce pfSense, fork již nevyvíjeného m0n0wall, která je postavená na základech FreeBSD 11.1. Přehled novinek v poznámkách k vydání. Zdůraznit lze ukončení podpory dvaatřicetibitové i386 architektury.

Ladislav Hagara | Komentářů: 0
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 717 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník

    Útoky na GSM

    18. 7. 2012 | Jan Hrach | Bezpečnost | 13084×

    V článku si představíme několik aktivních útoků na GSM síť, které můžou skončit DoS nebo odposlechem, a zmíníme jejich nevýhody. Nakonec se podíváme na hit posledních let, plně pasivní kryptografický útok, a zkusíme odhadnout, jak náročná by byla pro motivovaného útočníka jeho realizace.

    Obsah

    Útoky typu DoS

    link

    Pokud útočníkovi stačí způsobit odepření služby, má to celkem jednoduché. GSM je rádiová síť, takže z principu lze zarušit. Levné rušičky lze objednat z Číny, jejich stavba ze šuplíkových součástek také není příliš složitá. Nevýhodou je snadné odhalení.

    Mnohem zajímavější je způsobení DoS odesláním malého množství „vhodných“ dat někam do sítě. Softwarová stránka implementace GSM je všelijaká a když spustíte na mobil nějaký běžný fuzzer (věc, která zkouší posílat různými způsoby rozbitá data a čeká, jestli na druhé straně spadne parser), najdete spoustu chyb. Přečtěte si například o projektu SMS-o-death (záznam přednášky), který zjistil, že spousta mobilů lze zablokovat SMSkou obsahující binární balast.

    Je zřejmé, že na bezdrátovém principu není proto vhodné stavět kritické technologie, jako například zabezpečení budov posílající SMS notifikaci a volající policii přes GSM. Leč mnozí tak činí.

    Dále se již budeme věnovat bezpečnosti přenášených dat.

    Prostě si to poslechni

    link

    Po telefonu si lidé říkají všelijaké citlivé informace. Bohužel u většiny dnes provozovaných sítí tečou někde u provozovatele data nešifrovaně. U GSM je šifrováno spojení mezi mobilem a BTS, ale infrastruktuře operátora jsou již data dostupná. Odposlechnout je může neposlušný zaměstnanec nebo složka státní moci (samozřejmě pouze na soudní příkaz :-)). Již z tohoto důvodu bychom si měli dávat pozor, co telefonu svěřujeme.

    IMSI catcher je vlastně Man-In-the-Middle

    link

    Pokud útočník nemá přístup do infrastruktury operátora a přesto by chtěl poslouchat, musí nějakým způsobem obejít či zlomit šifru, kterou je komunikace vzduchem chráněna.

    Jedním z prvních útoků, které se objevily, byl tzv. IMSI catcher. Využívá toho, že mobilní telefon kryptograficky neověřuje identitu sítě, ke které se přihlašuje. Každý operátor v každé zemi má unikátní ID skládající se z MCC (Mobile Country Code, pro ČR 230) a MNC (Mobile Network Code, v ČR 01-03 pro známou trojku a 98 pro jednoho méně známého) a tyto informace jsou všemi BTS pravidelně ohlašovány do sítě. Mobil si ze SIM karty zjistí, kterému operátorovi patří, a k jeho nejsilnější BTS se přihlásí. Pokud žádnou „rodinnou“ BTS nenajde (typicky v zahraničí), zkusí si domluvit roaming.

    Co se ale stane, pokud si spustíme vlastní BTS a nastavíme dvojici MCC a MNC na tu, kterou už nějaký operátor používá? Pokud zařídíme, aby oběť našeho útoku měla dostatečně silný signál (například směrovou anténou), ochotně se její mobil přihlásí na naši BTS. A protože šifrování přenosu iniciuje BTS, můžeme mobilu říct, aby šifrování vypnul, a pak si hovor v klidu poslechnout.

    Problémy jsou dva: za prvé nefungují příchozí hovory a za druhé lze takový útok poměrně snadno odhalit. Překvapující je, že to nikdo nedělá. Totiž – indicií je několik:

    • Vypnulo se mi šifrování. Ke sjednání symetrického šifrovacího klíče Kc (session key) je potřeba sdílené tajemství mezi operátorem a SIM kartou. IMSI catcher toto tajemství nezná, šifrování proto musí vypnout. Telefon má podle specifikace na absenci šifrování upozornit, ovšem v přednášce GSM: SRSLY? se tvrdí, že toto varování lze potlačit nastavením jednoho konfiguračního bitu na SIM kartě a světe div se, většina operátorů to má potlačeno.
    • V okolí se objevila nová mimořádně silná BTS.
    • Nefungují mi příchozí hovory (to už prý mají nejnovější implementace IMSI catcherů nějak vyřešené, ale vůbec netuším, jak).

    Existuje projekt IMSI catcher catcher, který se snaží podle těchto indicií útok odhalit. Shodou okolnosti je implementován nad telefony Osmocom.

    Zařízení vlastní například různé složky státní moci (zajímavý dodavatel). Ostatně i ta slavná Agáta je „jenom“ takový naspeedovaný IMSI catcher.

    Opensource IMSI catcher se dá postavit nad OpenBTS. Je k tomu potřeba USRP a spousta času.

    Pasivní sniffing je nejsofistikovanější typ útoku

    link

    Především hrozba odhalení vedla k vývoji dalších typů útoků. Pro jejich pochopení ale budeme muset tušit něco málo o symetrických šifrách.

    Intermezzo o blokových a proudových šifrách

    link

    Symetrická šifra je funkce, která vezme nějaký tajný klíč a data, která chceme zašifrovat, vyrobí z toho nějaký nečitelný blob a pošle to. Na druhé straně se vezme ten stejný klíč a blob se jím dešifruje. Příklady symetrických šifer jsou AES, Blowfish, DES, A5/1, RC-4.

    Některé symetrické šifry jsou blokové. Fungují tak, že vezmou blok dat (řádově stovky bitů) a klíč a vyplivnou zašifrovaný blok dat. Blokové šifry jsou například AES, Blowfish, DES.

    Útoky na GSM

    Jiné symetrické šifry jsou proudové. Pomocí klíče se inicializuje generátor pseudonáhodných čísel a tímto generátorem se vygeneruje potřebné množství (proud) pseudonáhodných dat, kterým se říká keystream. Keystream se potom zXORuje s daty, která chceme zašifrovat. Příjemce si také inicializuje svůj pseudonáhodný generátor, nechá ho vygenerovat keystream a zXORuje s ním přijatá data. Vypadne na něj původní text. Proudové šifry (stream ciphers) jsou například RC-4 nebo A5/1 používaná v GSM.

    Útoky na GSM

    Generátor keystreamu v A5/1 jsou tři posuvné registry, do kterých je na začátku nasypán klíč, a pak se začnou různě posouvat a míchat, výstupy z nich se vzájemně XORují a někudy z toho začnou padat pseudonáhodná data, keystream. Můžete se podívat na povedenou animaci principu na YouTube.

    Útoky na GSM

    Šifra má tedy cosi jako vnitřní stav definovaný hodnotami proměnných v generátoru. Když ho získáte, můžete ho nasypat do svého generátoru, vygenerovat si stejný keystream a dešifrovat přenášenou zprávu. A5/1 lze navíc „backclockovat“ – s o něco vyššími nároky na výkon lze obrátit směr, kterým se posouvají bity v posuvných registrech, a po chvíli počítání získat i počáteční stav šifry a z něj klíč. Tedy zjištěním vnitřního stavu v jakémkoli okamžiku používání šifry jste schopni dešifrovat celou komunikaci.

    Můžete si spočítat tabulku:

    Vnitřní stavKeystream
    0x00000000000000000xabcdef12345678
    0x00000000000000010x54632221afed03
    0x00000000000000020x456dcd562b980e

    Když uvidíte ve vzduchu nějaká data a dokážete z nich extrahovat keystream, podíváte se do tabulky, zjistíte vnitřní stav šifry a máte vyhráno. Bohužel taková tabulka je poněkud velká. Triviálně 264 možných stavů × 64 bitů keystreamu na stav, přičemž se ukazuje, že keyspace je jenom nějakých 261, ale i tak je to v řádech EB (exabajt, tedy milion terabajtů).

    Naštěstí lze použít time-memory tradeoff. Pomocí jistého triku si spočítáte menší tabulku, která bude obsahovat pouze vybrané vnitřní stavy šifry, ale zároveň bude obsahovat informace, které vám umožní chybějící data rychle dopočítat v okamžiku, kdy je potřebujete.

    Velmi hrubě řečeno to funguje tak, že si zvolíte nějaký počáteční bod, použijete ho jako tajný stav pro A5/1 a vyrobíte keystream. Ten vhodně upravíte a použijete jako tajný stav pro další A5/1 a tak dále, až se dostanete do distinguished pointu. Ten může být definován třeba tak, že na konci je určitý počet nul. Počáteční bod a distinguished point uložíte do tabulky. Opakujete tak dlouho, až vám dojde místo na disku.

    Počáteční tajný stavDistinguished point (po mnoha iteracích)
    0x00000000000000000xcd547853000000
    0x00000000000000010x4512ebca000000
    0x00000000000000020x3249bdcc000000

    Když potom získáte nějaký keystream, použijete ho jako tajný stav a počítáte tak dlouho, až se dostanete do distinguished pointu. Ten si najdete v tabulce, podíváte se, jaký počáteční tajný stav na něj vedl, a dopočítáte zbytek řetězu. Víte, že článek řetězu těsně před vaším keystreamem je tajný stav, který vás zajímá.

    Pomocí dalších optimalizací (nad rámec článku a znalostí autora) se dá zmenšit velikost tabulek zabráněním kolizí (merge), kdy máte nějaká data zbytečně víckrát. Hezky je to popsané v přednášce GSM: SRSLY? Podívejte se také na projektovou wiki. Útok momentálně implementuje projekt Kraken.

    Na čtyřjádrovém Xeonu s 8 GiB RAM, grafikou Radeon HD 5900 a 2TB polem z rychlých 15kRPM SCSI disků lze cracknout A5/1 v řádu minut. Se SSD disky a čtyřmi grafikami se dá dostat na sekundy.

    Skákání po kanálech

    link

    Když přenášíte nějaká data vzduchem a přijímač není v ideálních podmínkách, například je mezi železobetonovými domy, vlny se různě lámou a odrážejí, v některých místech se sečtou a v některých vyruší, na některých frekvencích se objevuje rušení atd. Proto je výhodné používat channel hopping – při přenosu se velmi rychle mění frekvence, na které se vysílá, a doufá se, že i když jeden kanál bude zarušený, ostatní budou fungovat dobře a dojdou alespoň nějaká data (z těch potom lze pomocí rozličných error correction a parit dopočítat zbytek). Případnému útočníkovi, který se snaží komunikaci odposlechnout, tohle ale může způsobit komplikace, protože se musí přelaďovat přesně stejně jako vysílač.

    Poslech signálních dat

    link

    Můžeme se zaposlouchat, co se kolem nás ve vzduchu děje. Naladíme se na BEACON kanál nějaké blízké BTS a koukáme:

    BTS: Jsem nejmenovaný operátor v České republice!
    BTS: Jsem nejmenovaný operátor v České republice!
    BTS: Jsem nejmenovaný operátor v České republice!
    BTS: Telefon s tmsi 123456 nechť skočí na kanál 8, timeslot 2!
    BTS: Jsem nejmenovaný operátor v České republice!
    BTS: Jsem nejmenovaný operátor v České republice!
    

    TMSI (Temporary Mobile Subscriber Identity) je identifikátor, pod kterým mobil komunikuje s BTS.

    Chtěli bychom slyšet i něco víc, tak se na výzvu k přeladění (v řeči GSM Immediate Assignment) naladíme na ohlášený kanál a poslechneme si ohlášený timeslot.

    BTS: Telefone, mám tu pro tebe zprávu.
    Telefon: OK.
    BTS: Síla tvého signálu je 5 a tvoje time-advance je 1.
    Telefon: OK.
    BTS: Zapni šifrování.
    (dál už pokračuje nesrozumitelný balast)
    

    Time advance je „náskok“, o který musí mobil začít vysílat dřív – když je daleko od BTS, než se k ní signál dostane, chvíli to trvá a netrefil by se tak přesně do timeslotu, který mu byl přidělen. Změření TA k různým okolním BTS a následná triangulace se dá použít k poměrně přesnému zaměření mobilu.

    Tohle je ta komunikace, kterou jsme viděli ve Wiresharku v minulém článku.

    Získání keystreamu

    link

    K použití tabulek, které jsme si spočítali výše, potřebujeme keystream. Vzduchem ale létají jenom zašifrovaná data. Z principu šifry víme, že zašifrovaná data jsou keystream XOR nešifrovaná data. Z toho vyplývá, že nešifrovaná data XOR zašifrovaná data je keystream. Zašifrovaná data jsme právě odposlechli, nešifrovaná data zdánlivě nevíme, ale můžeme se pokusit je uhádnout. V GSM se totiž přenáší spousta vaty, například pokud BTS zrovna nemá co říct, pošle prázdný rámec (nazvěme ho NOP) vyplněný paddingem (0x2b, ASCII znak +). Předání SMS by mohlo vypadat třeba takhle:

    NOP+++++++++++++++++++
    Síla tvého signálu je 5 a tvoje time-advance je 1.
    NOP+++++++++++++++++++
    Máš tu SMS s textem "uz kaprici pripluli?"
    NOP+++++++++++++++++++
    

    Prázdný rámec ve Wiresharku (posledních 23 bajtů) – 0x03 0x03 0x01 a pak padding z ASCII +

    ZXORujeme předpokládaný NOP s přijatými daty a výsledek se pokusíme cracknout. S trochou štěstí získáme klíč, kterým dešifrujeme zbytek zprávy.

    Přenos SMS

    Poslech hovorů

    link

    Při hovoru se hopuje. Problém je v tom, že po kterých kanálech se bude skákat, se dohodne až po zapnutí šifrování. Takže:

    • Buď nahrajeme celé pásmo a až crackneme klíč, doskáčeme si v tom zpětně. To vyžaduje drahé rádio, které dokáže celé pásmo zachytit.
    • Smíříme se s tím, že nám začátek hovoru (než vycrackujeme klíč) unikne.
    • Využijeme toho, že mnozí operátoři nemění klíče. Když je mobil pořád na jedné BTS, jeden klíč se používá dostatečně dlouho na to, abychom si ho mohli vycrackovat předem a při navázání hovoru ho už „měli připravený“.

    Sestavení hovoru

    link

    Podle různých zdrojů je zřejmé, že několik implementací zmiňovaného útoku po světě existuje, některé klíčové části softwaru ovšem nejsou volně dostupné na Internetu. Kdyby tedy nějaký útočník chtěl provést pasivní odposlech, co by k tomu potřeboval?

    Pro příjem pravděpodobně použije Osmocom telefony. Jsou malé, levné a mají nízkou spotřebu. Jeden stojí v přepočtu kolem 500 Kč a bude jich potřebovat 4-8. K nim budou potřeba sériové převodníky (4portový FTDI za 700 Kč), nějaký driver (Arduino, 350 Kč) a bižuterie kolem (USB hub, deska, krabička…).

    Pro crackování je potřeba silný počítač. Pokud mu stačí offline crackovat SMS, bude potřebovat stroj s lepší grafickou kartou a 2TB storage. Pro real-time crackování je potřeba více grafických karet a 2TB SSD (kvůli co nejrychlejšímu seeku). To je asi nejdražší z celého zařízení, 2TB SSD může stát tak 40-50 tisíc korun.

    Po softwarové stránce chybí:

    • Něco, co bude instruovat mobily ke skákání, a ukládat zachycená data.
    • Guesser, který bude tipovat plaintext a podle toho generovat keystream, který bude strkat do Krakena.
    • Nějaké obslužné skripty, SW ve stylu Kismetu nebo nedejbože GUI.

    Něco se dá vybagrovat z Airprobe, něco z OpenBTS a něco z aplikace mobile pro Osmocom. Viz též Notes on sniffing a odkazovaný mail.

    Jak vidíte, není to úplně triviální, ale s rozpočtem nižších stovek tisíc korun (méně, pokud jste nadšenci a nepočítáte svůj čas a/nebo pokud máte přístup na nějaký cluster, takže si nebudete muset počítač na provoz Krakena kupovat) se to dá.

    Útok byl předveden na 27c3.

    Co s tím?

    link

    Nejlepší by bylo upgradovat z 25 let starého GSM na nějaký modernější protokol. Bohužel ani 3G, ani UMTS na tom také nejsou s bezpečností zrovna růžově. Nejvíc by se mi osobně líbilo, kdyby operátor poskytoval IP konektivitu a já bych si přes to tuneloval šifrovaný VoIP (SIP přes TLS, RTP přes sRTP nebo ještě lépe zRTP), ale něčeho takového se asi hned tak nedočkám. Navíc po světě existují miliardy GSM telefonů a jejich výměna je v horizontu 5-10 let nereálná.

    Šifra použitá v GSM je sice zlomená, i přes to lze ale útočníkovi její lámání všelijak znechutit. Útok, který jsme si popsali, využívá toho, že po síti létá spousta known-plaintextu v paddingu. Doporučení TS44.006 z roku 2008 definuje padding randomizovaný. I potom lze použít rámce, jejichž obsah lze tipnout (například rámec „System Infromation Type 5“ se silou signálu – telefon se nepohybuje zas tak rychle na to, aby to nešlo zjistit, nebo v krajním případě i zbruteforcovat), ale ty se posílají méně často a náročnost útoku tak velmi stoupá. Nicméně, ačkoli náhodný padding byl doporučen již v roce 2008, například v České republice ho zatím implementuje pouze jeden ze tří operátorů (nemůžu říct který).

    Druhým kostlivcem ve skříni je málo časté překlíčování. Extrémem je jeden mobilní operátor, u kterého, pokud je mobil stále na stejné BTS, vydrží klíč několik dní. Překlíčování bohužel sežere trochu výpočetního výkonu a přenosové kapacity sítě, ale když se bude dělat dost často, útočníka opět znechutí.

    Nicméně všechna tato opatření pouze posouvají náročnost útoku o několik řádů, z desítek a stovek tisíc do možná (desítek?) milionů korun. Jak se bude dostupný výpočetní výkon s časem zvyšovat, bude se crackování A5/1 stávat snazším a snazším. Proto je potřeba myslet na to, že s GSM nikdy neslyšíte hovor sami.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    18.7.2012 00:25 Jinan Dvoulaločný
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Moc zajímavý a obsáhlý článek, díky!
    18.7.2012 01:45 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Super článek.
    Je zřejmé, že na bezdrátovém principu není proto vhodné stavět kritické technologie, jako například zabezpečení budov posílající SMS notifikaci a volající policii přes GSM. Leč mnozí tak činí.
    Rejp do ecallu? :-D
    Nefungují mi příchozí hovory (to už prý mají nejnovější implementace IMSI catcherů nějak vyřešené, ale vůbec netuším, jak).
    Může mobil donutit BTS k nešifrování, nebo musí poslechnout inicializaci od BTS?
    A5/1 lze navíc „backclockovat“ – s o něco vyššími nároky na výkon lze obrátit směr, kterým se posouvají bity v posuvných registrech, a po chvíli počítání získat i počáteční stav šifry a z něj klíč. Tedy zjištěním vnitřního stavu v jakémkoli okamžiku používání šifry jste schopni dešifrovat celou komunikaci.
    Hmm na tohle by to chtělo nedeterministický automat :-D. Není to backclockování zbytečný, když už vnitřní bity známe? Hehe stejně nic se nevyrovná inicializací samejma nulama (nebo aspoň framecounter nulovej) :-D.
    Případnému útočníkovi, který se snaží komunikaci odposlechnout, tohle ale může způsobit komplikace, protože se musí přelaďovat přesně stejně jako vysílač. ... Buď nahrajeme celé pásmo a až crackneme klíč, doskáčeme si v tom zpětně. To vyžaduje drahé rádio, které dokáže celé pásmo zachytit.
    Jsem původně reagoval jenom na to první (je to moc daleko od sebe :-( ). To se týče přesnosti to by snad problém být neměl (jako naladění PLL, to není jako ladění elektronkovýho rádia, kde byly táhla na jádra cívek!! :-O :-D). BTW jak velká prodleva je mezi výzvou o přeladění a samotným zahájením přenosu? Že by už mohl během výzvy začít přelaďovat druhej tuner (takovej doublebuffering). ... Nebo několik přijímačů sestavujících celé pásmo. Jinak šířka kanálu je jen 200kHz? To není problém, snad i bluetooth má mnohem širší pásmo (dokonce na náročnější/vyšší frekvenci). BTW bluetooth umí hopping taky :-D.
    K nim budou potřeba sériové převodníky (4portový FTDI za 700 Kč)
    ROFL převodník stojí víc než mobil? :-O
    Nejlepší by bylo upgradovat z 25 let starého GSM na nějaký modernější protokol. Bohužel ani 3G, ani UMTS na tom také nejsou s bezpečností zrovna růžově. Nejvíc by se mi osobně líbilo, kdyby operátor poskytoval IP konektivitu a já bych si přes to tuneloval šifrovaný VoIP (SIP přes TLS, RTP přes sRTP nebo ještě lépe zRTP), ale něčeho takového se asi hned tak nedočkám.
    Šifrovaně můžeš tunelovat i přes současný kanál ne? Jenom místo zakomprimovanýho zvuku přímo do streamu z LFSR ještě zaXORuješ něčím tvrdším.

    BTW Co ten hack pomocí tý piko(mikro/nano?)BTS jak distribuoval zahraniční operátor?

    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    18.7.2012 01:59 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Útoky na GSM
    BTW Co ten hack pomocí tý piko(mikro/nano?)BTS jak distribuoval zahraniční operátor?
    To bylo na 3G...
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    18.7.2012 02:10 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Aha.
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    Jendа avatar 18.7.2012 02:12 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Rejp do ecallu? :-D
    Ne ne, rejp do zabezpečovaček baráků.
    Může mobil donutit BTS k nešifrování, nebo musí poslechnout inicializaci od BTS?
    Mobil poslouchá BTS. Ta pošle Ciphering Mode Command a když telefon nezačne šifrovat, tak mu IMHO přestane rozumět.
    Hmm na tohle by to chtělo nedeterministický automat :-D. Není to backclockování zbytečný, když už vnitřní bity známe?
    My si vycrackovali nějaký rámec zprostředka, ale chtěli bychom znát celou komunikaci. A taky bychom chtěli poslouchat následující komunikace, které se inicializují stejným klíčem, ale napajpuje se tam jiný framenumber (to je něco jako IV, akorát hodně slabý, protože se mezi transakcemi inkrementuje jen o málo).
    Hehe stejně nic se nevyrovná inicializací samejma nulama (nebo aspoň framecounter nulovej) :-D.
    Tak ony defaultně mají ty LFRS nuly… kdyby jich nebylo jenom 64 bitů, ale třeba 128, tak to není zas tak špatná šifra…
    Jsem původně reagoval jenom na to první (je to moc daleko od sebe :-( ). To se týče přesnosti to by snad problém být neměl (jako naladění PLL, to není jako ladění elektronkovýho rádia, kde byly táhla na jádra cívek!! :-O :-D).
    Ty jo, DCS (GSM 1800) má v ČR snad 70 MHz v jednom směru? To znamená I/Q ADC s 70 Megasamply. Nebo radši rovnou dva (uplink i downlink).
    BTW jak velká prodleva je mezi výzvou o přeladění a samotným zahájením přenosu?
    Já měl za to, že je to 8 timeslotů, tedy 0,577 (?) ms. Ale vzhledem k tomu, že jak poslouchání, tak samotný GSM stack na Linuxu funguje přes USB, tedy milisekunda žádná míra, tak tam asi bude nějaký delay. Nebo se na začátku neposílá nic důležitého :-D.
    Nebo několik přijímačů sestavujících celé pásmo.
    To by šlo, ještě to nikdo asi nezkoumal. Když už jsou k dispozici výkresy krabičky (jak to říct diplomaticky?), která dokáže chytat 8 kanálů. To by jednu BTS dát mohlo.
    Jinak šířka kanálu je jen 200kHz? To není problém, snad i bluetooth má mnohem širší pásmo (dokonce na náročnější/vyšší frekvenci). BTW bluetooth umí hopping taky :-D.
    No poraď, zatím nejlevnější SDR je rtl-sdr s šířkou 2 MHz (když se to hodně ohulí, tak i 3 MHz) a rozsahem 64-1700 MHz, tedy na GSM1800 by se to muselo nějak downmixovat. Navíc BTS mají v ČR kanály přidělené tak, aby se to navzájem nerušilo, takže tam jsou díry → potřebuješ těch SDR hodně.
    ROFL převodník stojí víc než mobil? :-O
    Na ten převodník dáš 4 mobily, ale i tak je to pálka…
    Šifrovaně můžeš tunelovat i přes současný kanál ne?
    Blbě. S rozumným effortem do toho GSM narveš tak pár set bitů za sekundu maximálně.
    Jenom místo zakomprimovanýho zvuku přímo do streamu z LFSR ještě zaXORuješ něčím tvrdším.
    To nejde. Na BTS se totiž zvuk rozbalí do PCM, infrastrukturou operátora putuje jako PCM a na druhé BTS se zase zkomprimuje GSM/EFR/AMR/jaksetozrovnamenuje a pošle. Při nějakém chytrém exploitnutí vlastností toho vokodéru by se z toko pár kb/s vytřískat dalo (takže nějaký nejmizernější speex tím protáhneš), ale to CSD/GPRS/EDGE vyjde fakt líp…
    BTW Co ten hack pomocí tý piko(mikro/nano?)BTS jak distribuoval zahraniční operátor?
    To je UMTS/3G a odkazuju to v závěru (…zrovna růžové). To je fail nad faily, leč GSM pikocely se nedistribuují. Ale kdo má mikrocelu v baráku, pustit si Wireshark po těch drátech, co z toho vedou, by mohlo být zajímavé. Jen jestli tam není ipsec - pak by bylo potřeba hackovat přímo tu stanici…
    Errata (na základě 28c3-4736-en-defending_mobile_phones_h264.mp4):
    • V TS44.018 z roku 2011 (ještě jsem nečetl) byla zavedena randomizace System Information rámců. Tipuji, že se jedná o permutaci seznamu sousedních BTS (to je například v SI Type 5 rámci). Při korektní implementaci to zvyšuje náročnost útoku 10!× (asi 3 milióny), takže z grafiky by bylo třeba upgradovat na rack plný nejsilnějších FPGAček.
    • Získáte-li Kc (session key), můžete s pomocí jeho a TMSI (létá nešifrovaně ve vzduchu) emulovat mobil. Například iniciovat placený hovor na prémiová čísla. This sucks.
    • Ještě by bylo potřeba randomizovat uplink, netuším, kolik known-plaintextu se v něm ale přenáší (námět na výzkum!). Jeden používaný chipset (nechytil jsem jméno) už to umí, ale musí se to zapnout a to nikdo nedělá. Třeba v iPhone je vypnutý.
    • gsmmap.org je mapa GSM sítí a toho, jak jsou na tom s děravostí.
    18.7.2012 03:12 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Mobil poslouchá BTS. Ta pošle Ciphering Mode Command a když telefon nezačne šifrovat, tak mu IMHO přestane rozumět.
    Aha tak to asi ne, jsem myslel kdyby to bylo jako třeba telnet nebo analogový modem (ne master slave).
    My si vycrackovali nějaký rámec zprostředka, ale chtěli bychom znát celou komunikaci. A taky bychom chtěli poslouchat následující komunikace, které se inicializují stejným klíčem, ale napajpuje se tam jiný framenumber (to je něco jako IV, akorát hodně slabý, protože se mezi transakcemi inkrementuje jen o málo).
    FN se inkrementuje nějak deterministicky? Jak se přenese první hodnota?
    Tak ony defaultně mají ty LFRS nuly… kdyby jich nebylo jenom 64 bitů, ale třeba 128, tak to není zas tak špatná šifra…
    Jo ale kdyby byl klíč nulový i framenumber nulový, tak lfsr generuje jen samý nuly a přenáší se přímo enkódovaný zvuk/data :-D.
    Ty jo, DCS (GSM 1800) má v ČR snad 70 MHz v jednom směru? To znamená I/Q ADC s 70 Megasamply. Nebo radši rovnou dva (uplink i downlink).
    To vybereš z libovolného osciloskopu :-D, navíc můžeš dát třeba několik 10MSps. P.S. Ještě možná spíš 140M dle nyquista-shanona-kotelníka :-D.
    Já měl za to, že je to 8 timeslotů, tedy 0,577 (?) ms. Ale vzhledem k tomu, že jak poslouchání, tak samotný GSM stack na Linuxu funguje přes USB, tedy milisekunda žádná míra, tak tam asi bude nějaký delay. Nebo se na začátku neposílá nic důležitého . ... To by šlo, ještě to nikdo asi nezkoumal. Když už jsou k dispozici výkresy krabičky (jak to říct diplomaticky?), která dokáže chytat 8 kanálů. To by jednu BTS dát mohlo.
    Aha takže přímo hnedka v dalším slotu, zajímavý. A ten ovladač přes linux řídí přímo vysílač? :-O Tak to je masakr :-D. ... Nebo by se taky možná dala BTS přinutit přejít na jiný kanál pouhým zarušením ;-). Což mě přivádí na otázku, co se stane, když začnou ve stejném timeslotu vysílat dva mobily? (nebo když se zaruší příjem změny frekvence)
    No poraď, zatím nejlevnější SDR je rtl-sdr s šířkou 2 MHz
    Satelitní přijímač downmixuje tuším z >10GHz na ~1GHz, analogová televize má obrazovou mezifrekvenci 30MHz, takže stáhnout z 1.8G by to šlo horší je prostě ten AD převodník no, ale 100MSps se koupit dá (nebude to levný, ale zase to nebudou miliony).
    Na ten převodník dáš 4 mobily, ale i tak je to pálka…
    A je to UART→USB? To by možná šlo z nějakýho PICu levnějc...
    To nejde. Na BTS se totiž zvuk rozbalí do PCM, infrastrukturou operátora putuje jako PCM a na druhé BTS se zase zkomprimuje GSM/EFR/AMR/jaksetozrovnamenuje a pošle.
    Aha brrrblé. Zajímavý proč si zvyšuje trafic.

    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    Jendа avatar 18.7.2012 10:36 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    FN se inkrementuje nějak deterministicky?
    No, překvapivě o jedničku s každým frame ;-). Vysílá se nešifrovaně na broadcast kanálu.
    To vybereš z libovolného osciloskopu :-D, navíc můžeš dát třeba několik 10MSps. P.S. Ještě možná spíš 140M dle nyquista-shanona-kotelníka :-D.
    Hele postav to SDRko a lidi ti za to utrhaj ruce.

    Už jsme přemýšleli i o vysílání ve stylu Tempest nebo tadytoho týpka.
    A ten ovladač přes linux řídí přímo vysílač? :-O
    Samotná demodulace se děje v DSP v mobilu, takže po sériáku už tečou jedničky a nuly, ale jinak je všechno ostatní na počítači.
    Nebo by se taky možná dala BTS přinutit přejít na jiný kanál pouhým zarušením ;-).
    BTS mají kanály alokované staticky (buňky musí být po krajině rozmístěné a spočítané tak, aby se to navzájem co nejmíň rušilo - takže se hladá uspořádání, kde každé dvě stejné frekvence budou co nejdál od sebe). Když jednu na chvilku zarušíš, mobil zkusí handover na vedlejší; když ji zarušíš na dýl, přijede bílá dodávka a začne se zajímat, co se stalo.
    (nebo když se zaruší příjem změny frekvence)
    Nic, přeladíš se na vedlejší BTS. A když je to během hovoru, tak asi spadne :).
    A je to UART→USB? To by možná šlo z nějakýho PICu levnějc...
    No jo, jenže tenhle UART nemá 115200, ale dvojnásobek :-).
    Aha brrrblé. Zajímavý proč si zvyšuje trafic.
    Podle mě proto, že (pick one :)
    • V době návrhu se předpokládalo, že z mobilů se bude volat na pevné.
    • V době návrhu nebyla mezi všemi BTS digitální síť.
    • Když ty máš dobrý signál a protistrana špatný, sníží se při rekompresi kvalita a do bitstreamu se zahrne víc error correction.
    18.7.2012 13:04 pc2005
    Rozbalit Rozbalit vše Re: Útoky na GSM
    No, překvapivě o jedničku s každým frame . Vysílá se nešifrovaně na broadcast kanálu.
    Takže se musí někde nejprve inicializovat a pak už můžou jet asynchronně. Pokud bych odchytnul rámec, tak mám další část klíče, ale to se asi bude posílat taky šifrovaně, že?
    Hele postav to SDRko a lidi ti za to utrhaj ruce.

    Už jsme přemýšleli i o vysílání ve stylu Tempest nebo tadytoho týpka.
    AD9446 s 100MSps nebo si můžeš vybrat z klikatelné tabulky (+1 bod pro Analog Devices).
    Samotná demodulace se děje v DSP v mobilu, takže po sériáku už tečou jedničky a nuly, ale jinak je všechno ostatní na počítači.
    Hmm takže by mohlo jít zpoždění USB maskovat jako větší timing advance.
    BTS mají kanály alokované staticky (buňky musí být po krajině rozmístěné a spočítané tak, aby se to navzájem co nejmíň rušilo - takže se hladá uspořádání, kde každé dvě stejné frekvence budou co nejdál od sebe). Když jednu na chvilku zarušíš, mobil zkusí handover na vedlejší; když ji zarušíš na dýl, přijede bílá dodávka a začne se zajímat, co se stalo.
    Jedině, že bys měl směrovou anténu a věděl, že teďka vysílá mobil co chceš sledovat a rušičku zapínal jen v jeho kanálu a timeslotu. BTW teoreticky jestli se na začátku vysílání mobilu posílá synchronizační pole, tak bys možná mohl stihnout přeladit dřív než začnou data (kterej kanál bys zjistil pomocí spektrálního analyzéru).
    No jo, jenže tenhle UART nemá 115200, ale dvojnásobek .
    UART modul v PICu má asi 8Mbps ;-). BTW Pouze ty nejshitoidnější čipsety na PC maj 115200, už v 90. letech měly třeba ~912kbps.
    Podle mě proto, že (pick one :)
    Nejspíš ta nedigitální síť, i když já bych vybral spíš to, že odposlouchávat kodek je složitější než PCM :-D.
    Jendа avatar 18.7.2012 13:19 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Takže se musí někde nejprve inicializovat a pak už můžou jet asynchronně. Pokud bych odchytnul rámec, tak mám další část klíče, ale to se asi bude posílat taky šifrovaně, že?
    Framenumber znáš - k získání klíče z generátoru ho totiž potřebuješ. Viděl jsi to video o A5/1? Nejdřív se do toho napajpuje klíč a pak framenumber. Když to backclockuješ, musíš v těch 22 cyklech vyndavat z těch registrů framenumber.
    Hmm takže by mohlo jít zpoždění USB maskovat jako větší timing advance.
    Nejvyšší TA je 35 km, tedy 120 μs.
    Jedině, že bys měl směrovou anténu a věděl, že teďka vysílá mobil co chceš sledovat a rušičku zapínal jen v jeho kanálu a timeslotu.
    To můžu namířit na mobil a gumovat mu BTSku.
    BTW teoreticky jestli se na začátku vysílání mobilu posílá synchronizační pole, tak bys možná mohl stihnout přeladit dřív než začnou data (kterej kanál bys zjistil pomocí spektrálního analyzéru).
    Posílá se DATA-TRAINING-DATA, ale pravda, pomocí rychlého spektráku nebo pomalého spektráku a následného dohopování rádiem by se dalo zjistit, na kterých kanálech a timeslotech probíhá uplink. Teď ještě co s downlinkem, ale i tak může být půlka hovoru cenná. Taky lze zkusit extrahovat echo z mikrofonu a zrekonstruovat druhou půlku, i když GSM kodek je na tohle dost šmejdský.
    18.7.2012 13:52 pc2005
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Framenumber znáš - k získání klíče z generátoru ho totiž potřebuješ. Viděl jsi to video o A5/1? Nejdřív se do toho napajpuje klíč a pak framenumber. Když to backclockuješ, musíš v těch 22 cyklech vyndavat z těch registrů framenumber.
    Jo viděl, ale není tam napsaný odkud ho vezmu ;-) (možná, že to je v audiu, já to pouštěl bez zvuku :-/).
    Nejvyšší TA je 35 km, tedy 120 μs.
    Kruci, pravda, to mám z toho, že píšu narychlo nepřihlášen :-D. Jinak jestli bude komunikace používat interrupt přenosy, tak by to mělo být dost rychlý.

    GSM rámce maj na začátku 3 bity tail bity, takže máš cca 11us na detekci a přepnutí přijímače :-D. BTW osobně bych se nedivil, kdyby první rámec po hopu byl pouze synchronizační/trénovací.
    18.7.2012 11:57 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Rejp do ecallu? :-D

    Ne ne, rejp do zabezpečovaček baráků.

    Jenze GSM je porad lepsi nez pevna, kterou staci fiknout. Lepsi alternativy uz budou mimo financi dosah vetsi casti populace, a vzhledem k prototypu zlodeju je GSM lepsi nez nic (kdyz mela vetsina aspon zakladni alarm napojeny na centralu!)
    Max avatar 18.7.2012 12:09 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Tak dělá se to, že je to připojený jak přes GSM, tak telefonní linku + je alarm na baterce. Když někdo šmikne kabel od telefonu, pošle se sms přes gsm. Když se znedostupní gsm, pošle se echo přes pevnou. Když vypadne proud, tak se pošle také echo atd.
    Samozřejmě, lze spojit šmiknutí pevné s rušičkou GSM, aby se nic neposlalo, nicméně stále lepší, než jen jedna cesta.
    Zdar Max
    Měl jsem sen ... :(
    18.7.2012 13:33 anonym
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Případně tam přidat klec s poštovním holubem, která se při výpadku proudu otevře (relé).
    18.7.2012 13:48 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Tohle je realizovatelne pouze v pripade, ze je pevna linka k dispozici...
    19.7.2012 21:34 Trident
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Nejsme v USA kde na telefonni linku narazis i v tech nejzapadlejsich vesnicich. Pevna linka byla jednoducha zalezitost jeste kdyz SPT/CTc budoval sit jak vztekly a pripojoval kdejakou chatu/zahradkarskou kolonii, nebo nechala urak proste uprostred pole aby planovacum sedely cisla. Dneska hochu zapomen! Pevna linka resp. pripojeni na SEK O2 te muze stat mnohem vic nez koupe celeho spoje na 10Ghz, pripadne i zbudovani retranslacniho stozaru na wifi. Pevna linka neni za kacku jak nam vesele O2 tvrdi. To jde v realu do statisicu.To je jen pro zakazniky kteri jsou na SEK O2 jiz napojeni. Oni ani uz nereagujou ani na zajem vetsich obytnych celku.

    Osobne doporucuji jako zalohu poridit neuniverzalni telefonni technilogii, na kterou komercne vyrabenou rusicku proste nesezenes. Takze idealni je treba UFOn;)

    Stanislav Brabec avatar 18.7.2012 18:29 Stanislav Brabec | skóre: 45 | Praha
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Dnes snad. Ovšem na to, aby se hloupá GSM zabezpečovačka nechala přesvědčit, že GSM spojení běží, není nutno nic crackovat. Stačí, aby se připojila na falešnou BTS, která vše přijme, a nic nepošle dál.

    Je jen otázka času, kdy se na černém trhu začnou objevovat hotové krabičky na odstavení levných GSM zabezpečovaček.

    Bránit se proti tomu dá. Například pravidelně provádět handshaking s pultem centralizované ochrany. Samozřejmě opatřený časovými značkami, aby si ho někdo nemohl po cestě nachytat a později ho vysílat z falešné BTS.

    Pevná linka v zemi se stříhá docela špatně, a výkop vedle zabezpečeného objektu lze jen těžko zamaskovat.
    Bystroushaak avatar 18.7.2012 20:02 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Je jen otázka času, kdy se na černém trhu začnou objevovat hotové krabičky na odstavení levných GSM zabezpečovaček.
    To zní jako zajímavý podnikatelský záměr :)
    19.7.2012 22:16 Trident
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Dedikovany radiospoj v licencovanem pasmu k bezpecnostni agenture myslis? To neni zas az tak nedosazitelne. Kazdopadne vim o dvou nemovitostech kde majitele penize maji, ale proste toto reseni nelze pouzit. Jedna nemovitost v udoli a slozitem terenu, a druha nemovitost u letiste.

    Fiknout pevnou u novych zemnich instalaci sice nelze vubec snadno, nicmene zamek ve venkovnim uraku je pomerne jednoduse pokoritelny. Velmi stare rozvadece(jeste od komancu) na sloupech se daji otevrit i beznymi nastroji. Vsechna dvirka se daji otevrit i hrubou silou a pak vytrhat dratky ze zarezu. A to nehovorim o tom ze stara zastavba ma vnitrni rozvadece v budovach tak uboze zabezpecene, ze odpojit dratky zvladne i male dite.

    Vse toto je otazkou zda-li se vyplati zlodeji riskovat flastr z poskozeni telekomunikacniho zarizeni/obecne prospesneho zarizeni. To je trestny cin. Tam si ho O2 usmazi svymi pravniky. To je mnohem horsi nez obycejna vykradacka.
    19.7.2012 23:42 sigma
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Používají se radiové sítě v pásmech cca 144 - 500 MHz. Nejsou tam velké datové toky, takže pro stovky stanic stačí jeden úzký kanál, třeba 50 kHz.

    Buď si je buduje příslušná bezpečnostní agentura, PČR takovou síť má (technologie RADOM, minimálně na části území), hasiči mají obdobnou síť po jednotlivých krajských ředitelstvích, nebo třeba firma RACOM má vlastní celoplošnou síť na jejich technologii, kterou je možné využít. To, co má PČR a hasiči se používá právě pro hlášení poplachových stavů z objektů, ale obvykle na to připojují jen veřejné instituce (úřady, školy). Zarušit to jde stejně jako GSM, ale na to by správně měli okamžitě reagovat výjezdem.
    18.7.2012 11:00 Ivan
    Rozbalit Rozbalit vše Diky za clanek
    S tim XORovanim je vzdycky problem. Pridavate totiz predpokled, ze utocnik nezna ani cast prenaseneho textu. MS kdyz sifroval svoje office dokumenty taky XORem. Bohuzel hlavicka dokumentu vzdy na 16 bajtu obsahovala slovo "Microsoft", a tak zase nebylo tezky uhadnout jakym ze klicem se to XORuje.
    Jendа avatar 18.7.2012 12:46 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Diky za clanek
    Problémem není samotné XORování (keystream se jeví náhodným, takže z toho taky lezou náhodná data), ale spíš to, že v dnešní době už je dostupný hardware na to, aby se spočítaly rainbow tabulky pro 64 bitů.
    18.7.2012 12:02 Martin Hruška
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Nějaká kombinace aktivní / pasivní by nešla?

    Tj. v okamžiku kdy BTS řekne "zapni šifrování", tak to pirátský vysílač přebije svým silným "pojedem bez šifrování"

    Může třeba mobil říct "šifrování nepodporuju, musíme nešifrovaně"?
    Jendа avatar 18.7.2012 12:48 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Tj. v okamžiku kdy BTS řekne "zapni šifrování", tak to pirátský vysílač přebije svým silným "pojedem bez šifrování"
    EE, BTS pak už očekává šifrovaná data a protože útočník nezná klíč, tak je ani nemůže transparentně dešifrovat.

    GSM mobil podle mě šifrování podporovat musí vždy, o (ne)použití šifry rozhoduje BTS. Respektive koukáním na příchozí spojení jsem nabyl toho dojmu, když komunikaci iniciuje mobil, může to být jinak. GSM zas tak moc nerozumím :).
    19.7.2012 22:23 Trident
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Zrejme jde vypnout. V USA pred nekolika lety na mne kvakal erik vykricnikem ze spojeni neni sifrovano. Nokia ukazuje otevreny zamecek. WhyPhone neukazuje nic a androida jsem zatim nezkousel.
    Jendа avatar 20.7.2012 02:12 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Ano, BTS může šifrování vypnout (respektive nezapnout).
    Jendа avatar 18.7.2012 12:53 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Ale možná by to šlo udělat, až se začne implementovat o něco silnější šifra A5/3. To se musí navzájem dohodnout, že to umí, a když neumí, tak downgradujou na A5/1.
    18.7.2012 13:51 mad_dog
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Takze otazka znie: ak budes mat hw a pozadovanu infrastrukturu dotiahnes OSS GSM interceptor / whatever do funkcneho stavu? Ak som to spravne pochopil ide viac o aplikacnu cast.
    Jendа avatar 18.7.2012 21:02 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    V článku je odkaz na video, kde je útok předveden. Používají linkované projekty (OsmocomBB, sylvain/burst_ind, Kraken) a neveřejné věci zmíněné v článku (guesser, hopper a bižuterie okolo). Není zas taková prdel je napsat, obzvláště pokud jsi předtím s GSM nic nedělal (s paketem se dělají psí kusy, než se pošle přes Um interface), ale jsem přesvědčen, že dva hardcore linuxáci na full-time by to za měsíc dali. HW jak už jsem říkal - 8 Osmocom mobilů s elektronikou kolem (~10 kKč) a Kraken (~60 kKč).
    18.7.2012 22:13 mad_dog
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Otazka je kde zohnat dvoch HC linuxakov ktory to napisu. Ze by inspiracia pre nejaky skolsky projekt s HW sponzoringom (ano ponukam sa na sponzoring).
    Jendа avatar 18.7.2012 23:03 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Především je potřeba 1,6 TB storage s desítkami tisíc IOPS, tj. SSD nebo RAM. Pošli mi mail na jenda (na) hrach.eu.
    Bystroushaak avatar 18.7.2012 14:11 Bystroushaak | skóre: 32 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Parádní článek, díky za něj.
    18.7.2012 17:31 tom
    Rozbalit Rozbalit vše Dva mene zname
    01-03 pro známou trojku a 98 pro jednoho méně známého
    A co 99, tu ma preci CVUT FEL.
    Jendа avatar 18.7.2012 21:02 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Dva mene zname
    99 je obecně „Test Network“, má ji kdokoli, kdo má licenci pro vysílání, ale neprovozuje trvalého operátora. Třeba na VUT v Krně s tím taky vysílají.
    18.7.2012 22:10 tom
    Rozbalit Rozbalit vše Re: Dva mene zname
    Tak to je celkem novinka, protoze dlouho dobu to bylo v tabulce uvedeno jako
    230  99  Vodafone  Vodafone Czech Republic  Operational  GSM 1800  R&D Centre at FEE, CTU (educational, experimental)
    oryctolagus avatar 18.7.2012 23:33 oryctolagus | skóre: 29 | blog: Untitled
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Výborný článek, ale skoro bych se po jeho uveřejnění být tebou obával návštěvy pánů, kteří jen chtějí na něco krátce zeptat :-D
    Existuje 10 druhů lidí: Ti, co nerozumí binární soustavě, ti, co ano, a ti, kteří znají i balancovanou ternární.
    18.7.2012 23:36 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Krátce? Spíš to bude pobyt all inclusive :-D.
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    gtz avatar 19.7.2012 22:24 gtz | skóre: 27 | blog: merlins | Brno - Venkov / Rosicko
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Třeba nabídnou lukrativní business (dělat pro stát :-))
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    19.7.2012 22:56 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Jo, neodmítnutelná nabídka je neodmítnutelná nabídka :-).
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    gtz avatar 20.7.2012 12:11 gtz | skóre: 27 | blog: merlins | Brno - Venkov / Rosicko
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Buď budeš dělat pro nás nebo zamachl :-)
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    19.7.2012 13:33 panika
    Rozbalit Rozbalit vše Re: Útoky na GSM
    super clanek, diky.
    19.7.2012 14:48 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Další z důvodů, proč používat šifrované opensource VoIP (SIP + ZRTP) a IM (XMPP + OTR). Nejen že to vyjde levněji než naši předražení operátoři, ale ani vás nikdo nemůže odposlouchávat. Na Androidu cSipSimple a Beem (nebo GibberBot).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    gtz avatar 19.7.2012 22:23 gtz | skóre: 27 | blog: merlins | Brno - Venkov / Rosicko
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Super článek. Díky.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    20.7.2012 09:29 lmb
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Opravdu zajímavý a přínosný článek až jsem se musel opakovaně ujišťovat, že je to skutečně na AbcLinuxu ;-)
    20.7.2012 10:50 Slimak
    Rozbalit Rozbalit vše Re: Útoky na GSM
    A nešlo by zamezit hopingu, tak že zarušíš všechny přednastavené kanály sledované BTS a nechal bys jen jediný volný? Vzhledem k tomu, k že kanály dávají dost od sebe, tak stačí si vybrat první krajní a ostatní z pásma (pod nebo nad) zarušit. Sice článek popisuje, jak je složité rozkódovat přenášená data, ale jeden by pomalu raději rozšlapal hned svou "příušnici". A co metoda aktualizace SIM pomocí falešné BTS? Stejně si myslím, že bezpečnostní výzkum má už problematiku vyřešenou a v případě potřeby by provedl úpravu HW/SW příušnice sledované osoby, protože jak už z televize víme, někteří komunikují po GSM v kryptované podobě, kterou operátor ani PCR zatím nerozkódují. Ještě že řeším po telefonu jen instrukce typu "kup máslo" ... ;-)
    Jendа avatar 20.7.2012 14:08 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Útoky na GSM
    A nešlo by zamezit hopingu, tak že zarušíš všechny přednastavené kanály sledované BTS a nechal bys jen jediný volný?
    Hopping se neinicializuje dynamicky podle zarušených pásem, ale prostě nějak a když to pak nevyjde, tak smůla.
    A co metoda aktualizace SIM pomocí falešné BTS?
    Ono „se“ hlavně tvrdí, že mobil lze kombinací úmyslných backdoorů a děr donutit na dálku zapnout mikrofon a poslouchat.
    a v případě potřeby by provedl úpravu HW/SW příušnice sledované osoby, protože jak už z televize víme, někteří komunikují po GSM v kryptované podobě
    Tak doufejme, že u normálních chytrých telefonů (hmm, v současnosti asi jenom věci z OpenMoko a N900) se nedá exploitem GSM napadnout zbytek systému - AT rozhraní pro komunikaci s modemem je tak jednoduché, že tam snad nikdo žádný buffer overflow nezapomněl :). A protože šifrované hovory jsou data (normální SIP přes SSL a šifrované RTP), dá se ze strany operátora udělat tak maximálně DoS.
    20.7.2012 17:41 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Ono „se“ hlavně tvrdí, že mobil lze kombinací úmyslných backdoorů a děr donutit na dálku zapnout mikrofon a poslouchat.
    Můj ne, teda pokud neobjevili způsob jak obejít zákony termodynamiky a zabránit mému mobilu, aby se soustavným vysíláním za pár minut vybil :-D.
    AT rozhraní pro komunikaci s modemem je tak jednoduché, že tam snad nikdo žádný buffer overflow nezapomněl :)
    To by ses možná (u non open výrobků) divil :-D.
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    21.7.2012 10:54 zxtlpn | skóre: 8 | blog: zxtlpn
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Ono „se“ hlavně tvrdí, že mobil lze kombinací úmyslných backdoorů a děr donutit na dálku zapnout mikrofon a poslouchat.

    Něco na tohle téma bych strašně rád viděl, nedá se na to moc nic pořádně vypátrat.

    23.7.2012 16:20 r23
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Popravdě bych se dost divil, baseband je dost oddělený a jeko firmware běží na samostatném procesoru. Museli by se probourat jak modemem, tak aplikačním sw, což se mi nezdá moc pravděpodobné. Min. u smartphone bych to vyloučil, i když tam se zase naskýtá možnost malware...
    26.7.2012 11:21 pjoter
    Rozbalit Rozbalit vše Re: Útoky na GSM
    "I found that at least the nexus S(and the galaxy S has the same problem too) modem could spy at least on 80M main memory of the main CPU."

    http://redmine.replicant.us/projects/replicant/wiki/SamsungModemIssues
    20.7.2012 15:00 Andrej | skóre: 8
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Moxie's RedPhone, aj ked to nie je zase pre kazdy telefon.
    Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
    22.7.2012 08:17 Pavel
    Rozbalit Rozbalit vše Re: Útoky na GSM
    Moc pekny clanek. Diky

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.