Vigilancia total: hackeando redes GSM por aire

En uno de los posts anteriores de nuestra saga de GSM, mencionamos la leyenda urbana sobre el robo de claves de cifrado. Esta presupone que alguien puede clonar tu tarjeta SIM sin ning√ļn tipo de manipulaci√≥n f√≠sica, incluso si es un clon temporal. Sin embargo, la clave Ki est√° almacenada localmente en una tarjeta SIM y en la base de datos de la compa√Ī√≠a telef√≥nica, por lo que ni siquiera tiene que abandonar su casa. Entonces, ¬ŅCu√°l es el truco?

gsm-eavesdropping-featured

En teor√≠a, cualquier enemigo puede establecer una estaci√≥n base pirata emitiendo una se√Īal fuerte e imitando solicitudes leg√≠timas a SRES (Informe Especial sobre Escenarios de Emisi√≥n), enviando solicitudes RAND aleatorias (si no est√°s seguro de saber de qu√© hablo, es momento de leer la primera parte de la historia). Utilizando este m√©todo, un hacker es capaz de calcular la Ki con ayuda del an√°lisis de cifrado, al igual que si tuvieran acceso f√≠sico a la tarjeta SIM.

Sin embargo, este m√©todo es algo complejo: el an√°lisis de cifrado lleva tiempo y requiere de muchas solicitudes falsas. Mientras el atacante est√° ocupado bombardeando a la v√≠ctima con RANDs, el propietario del tel√©fono objetivo podr√≠a dejar el √°rea de cobertura de la estaci√≥n base pirata, y el adversario tendr√≠a que seguir a la v√≠ctima con el equipo. Si hablamos de un ataque dirigido bien planificado, el equipo tendr√≠a que implementarse desde alguna parte de la casa. El √©xito del ataque depende del algoritmo de cifrado: si la compa√Ī√≠a telef√≥nica utiliza COMP128v2, es posible que el hackeo no funcione.

De hecho, los ataques por aire son dise√Īados principalmente para permitir que un adversario esp√≠e las conversaciones del suscriptor. Como ya sabemos, la comunicaci√≥n a√©rea est√° cifrada (excepto en casos especiales, cuando el cifrado se desactiva para operaciones de las fuerzas de seguridad), por esta principal raz√≥n: para restringir la habilidad de escuchar conversaciones privadas. El cifrado utiliza un algoritmo A5 con una clave de 64 bits. El A5 tiene dos versiones: la m√°s sustentable A5/1 y la menos resistente la A5/2, la cual es enviada sin restricciones a todos los pa√≠ses con ‚Äúenemigos potenciales‚ÄĚ.

Para hacerle justicia, ni siquiera un algoritmo A5/1 es de 64 bits, sino de 54 bits: los primeros diez bits son ‚Äúbits bajos‚ÄĚ, que existen por mera simplicidad. El A5/2 est√° dise√Īado para facilitar la tarea de los servicios secretos trabajando en el extranjero.

Antes, el m√©todo de para hackear el A5/1 se basaba en aplicar la fuerza bruta en los datos almacenados localmente y requer√≠a tanto tiempo que la informaci√≥n en cuesti√≥n perd√≠a su relevancia antes de que el ataque se completara. Pero a d√≠a de hoy los PCs (vale, no hoy, ya que la prueba de concepto se demostr√≥ en 2010) son f√°ciles de hackear en segundos y se calcula la clave con la ayuda de las llamadas ‚Äútablas arco√≠ris‚ÄĚ. El conjunto de cuadros 1,7 TB puede ser almacenado en discos duros de alta capacidad que son relativamente econ√≥micos y est√°n disponibles por doquier.

El adversario act√ļa pasivamente y no emite nada por aire, por lo que es casi imposible encontrarles. El juego de herramientas completo para hackear una clave solo incluye el software Kraken con tablas arco√≠ris y un tel√©fono ligeramente ‚Äúmodificado‚ÄĚ del estilo del Nokia con l√°mpara. Una vez teniendo estos recursos, el atacante puede espiar e interceptar las conversaciones y bloquear o alterar los mensajes de texto (as√≠ que, no consideres la autenticaci√≥n de dos factores como una ‚Äúfortaleza digital‚ÄĚ para tu banca online).

Al tener la clave, el atacante tambi√©n puede interceptar llamadas y hacerse pasar por la v√≠ctima. Otra capacidad puede ser la clonaci√≥n din√°mica. El atacante efect√ļa una solicitud de llamada saliente a la red celular mientras que la v√≠ctima tambi√©n se encuentra comprometido en la sesi√≥n. Cuando la red env√≠a de vuelta la solicitud de autorizaci√≥n, el atacante la intercepta y se la reenv√≠a a la v√≠ctima, obteniendo la clave Kc. Y eso es todo, la sesi√≥n con la v√≠ctima ha terminado y el atacante comienza su nueva sesi√≥n con la red, tomando el lugar de la v√≠ctima.

Esto permite iniciar llamadas y otras cosas a expensas de la v√≠ctima, como enviar mensajes de texto a n√ļmeros premium y desviar dinero a trav√©s de programas de socios de proveedores de contenidos. Este m√©todo fue utilizado en Mosc√ļ: un grupo de personas conduc√≠a una furgoneta alrededor de lugares llenos de gente clonando tarjetas SIM y cargando peque√Īas cantidades en los tel√©fonos de la gente.

kasper

Los criminales lograron pasar desapercibidos por un largo per√≠odo de tiempo: las operaciones deshonestas parec√≠an provenir de los usuarios leg√≠timos. Lo √ļnico que ayud√≥ a identificar la estrategia de fraude era la enorme y sospechosa cantidad de solicitudes similares a cierto proveedor de contenido premium en una misma estaci√≥n base.

Para cifrar paquetes de tr√°fico (GPRS/EDGE), se utiliza otra clave Kc. Esta clave difiere de la clave Kc utilizada para el tr√°fico de voz, es calculada utilizando el mismo algoritmo ‚Äď GPRS-A5, tambi√©n conocido como GEA (Algoritmo de cifrado GPRS), que existe en GEA1, GEA2, y GEA3. Esto significa que uno puede incluso interceptar el tr√°fico de Internet m√≥vil. Bueno, actualmente el tr√°fico de Internet suele ser a trav√©s de 3G o LTE, por lo que ya no es un problema tan grave. Por otro lado, la transmisi√≥n de datos 2G a√ļn sigue utiliz√°ndose en sistemas telem√°ticos como cajeros autom√°ticos, dat√°fonos y similares.

Esta es una forma de prevenir este tipo de ataques: utilizando el algoritmo A5/3 m√°s actualizado y resistente, que no es posible hackear con la ayuda de tablas arco√≠ris. Sin embargo, las compa√Ī√≠as telef√≥nicas son un poco reacias a implementar una nueva tecnolog√≠a: en primer lugar, por los costes de migraci√≥n, que no a√Īaden un beneficio adicional (esto quiere decir que la inversi√≥n se gasta en algo que no es muy rentable, y esto es un fastidio para el operador mundial). En segundo lugar, la mayor√≠a de tel√©fonos no soportan el algoritmo A5/3 o al menos no apropiadamente, lo que puede causar interrupciones.

En tercer lugar, el A5/3 no detendr√° a los atacantes de espiar suscriptores: si los criminales utilizan una estaci√≥n base que no es real, esta est√° capacitada para disminuir el algoritmo de cifrado utilizado por el tel√©fono, b√°sicamente, ayudando a los hackers a obtener la clave (¬°y la clave es la misma en todos los algoritmos!). Si la amenaza sigue ah√≠, ¬Ņcu√°l es el objetivo de invertir m√°s dinero y esfuerzo en migrar a un mejor algoritmo de cifrado? En cuarto lugar, es caro. Y, en quinto lugar, es insufriblemente caro.

El lado positivo de la situación es que los ataques que cubrimos hoy en día, están a punto de volverse obsoletos. La era de las tarjetas SIM virtuales y las eSIMS ya ha comenzado, y estos nuevos enfoques de tarjetas SIM solucionarán, por lo menos, algunos errores de seguridad que existen en las SIM actuales.

Fuente:https://blog.kaspersky.es

 

Tags: