26C3: найдена уязвимость в алгоритме A5/1, позволяющая прослушивать мобильные телефоны

[h1-tek_deamon]

В Берлине на хакерской конференции Chaos Communication Congress 27 декабря был представлен проект, позволяющий осуществить прослушивание любого мобильного телефона.

Эксперты по информационной безопасности Карстен Нол (Karsten Nohl) и Крис Пейджет (Chris Paget) опубликовали инструкции по взлому алгоритма шифрования мобильной связи A5/1 и создания IMSI устройства, способного перехватить трафик с мобильного телефона. Криптографам удалось взломать секретный код, который используется для предотвращения перехвата радиосигналов между конечным устройством и базовой станцией оператора. Код используется для предотвращения перехвата звонков путем частой смены радиочастот в спектре 80 каналов. Без знания точной последовательности переключений существует возможность перехватить только некоторые отрывки разговора.

Исследователям удалось взломать алгоритм определения случайного номера канала и создать практическое средство перехвата звонков на оборудовании стоимостью в $4000.

Исследование основывается на пассивной распределенной атаке на алгоритм A5/1. Этот криптоалгоритм считается небезопасным экспертами уже давно, т.к. использует короткие ключи. Для уменьшения времени, требуемого для атаки, Нол разработал программное обеспечение, которое находится в свободном доступе по адресу https://reflextor.com/trac/a51 . Это программное обеспечение использует графический адаптер с поддержкой CUDA для осуществления вычислений и распределяет задачи между различными компьютерами в сети. Для осуществления атаки также понадобится 2 USRP2 передатчика. В обычных условиях потребуется несколько минут, чтобы собрать достаточно данных для взлома шифра, но, поскольку звонки записываются и повторяются позже, возможно восстановить все содержимое разговора. По расчетам, полная таблица ключей A5/1 в упакованном виде будет занимать 128 петабайт и распределенно храниться на множестве компьютеров в сети. Для ее расчета потребуется около 80 компьютеров и 2-3 месяца работы.

«Мы знаем, что это возможно», - сказал в интервью 28-летний криптограф Карстен Нол. Он планирует произвести живую демонстрацию перехвата телефонного разговора в среду на конференции Chaos Communication Congress.
По данным исследователей 80% мобильных операторов используют уязвимый алгоритм.

Представительница Ассоциации GSM, которая представляет 800 операторов в 219 странах сообщила, что они не видели данных исследования:«Сети GSM используют шифрование, что усложняет процесс перехвата и прослушивания разговоров мошенниками», - сообщила она в письме, «Отчеты о возможном прослушивании GSM появляются часто».

Выходом из данной ситуации является использование операторами алгоритма A5/3, но он поддерживается только на 40% мобильных телефонов, но по данным исследователей ни один оператор не начал переход на этот алгоритм.

Полный доклад доступен по адресу: https://events.ccc.de/congress/2009/...s/3654.en.html

По материалам securitylab.ru

P.S. Неизбежность вскрытия алгоритма A5/1 заставила организацию, стоящую за продвижением стандарта GSM - GSMA разработать план действий на случай возникновения подобного события. Непонятно почему, но изучая подробности этого вопроса GSMA сделала вывод, что основную угрозу защищенности каналов представляет алгоритм перехода с частоты на частоту, а не сам A5/1. Видимо предпосылкой этому послужило отсутствие у хакеров необходимого оборудования и программного обеспечения, что в условиях существования OpenBTS, явилось серьезным просчетом ассоциации. (прочитал на opennet.ru)

Добавлено через 334 часа 46 минут
Прошла информация о том, что хакерам удалось взломать Kasumi, он же А5/3, алгоритм шифрования, используемый в 3G GSM сетях. Не знаю, насколько реально, пока нет документа, описывающего атаку, для ознакомления новость на английском. А вот новость и на русском.

Добавлено через 47 часов 41 минуту
Новая схема шифрования, предназначенная для защиты 3G сетей, взломана израильскими учеными.

Исследователи Орр Данкельман (Orr Dunkelman), Натан Келлер (Nathan Keller) и Ади Шамир (Adi Shamir) опубликовали во вторник документ, в котором показали, что шифр Касуми (A5/3) может быть взломан с помощью атаки связанного ключа (related-key attack). Сами авторы назвали свою атаку «методом сэндвича», поскольку он состоит из трех слоев – два толстых слоя сверху и снизу, а еще один «тонкий» слой посередине.

Авторы исследования утверждают, что с помощью связанных ключей и анализа последнего остающегося результата им удалось получить полный 128-битный ключ алгоритма Kasumi, используя всего 4 связанных ключа. Дополнительно для взлома нужно 226 единиц данных, 230 байт памяти и 232 единицы времени. Требования оказались настолько малы, что в ходе эксперимента успешная эмуляция атаки на ПК заняла менее 2 часов.

Для практической атаки на сети 3G необходимо выполнение большого количества условий. Например, атакующий должен сначала собрать несколько миллионов заведомо известных сообщений, зашифрованных с помощью A5/3. Тем не менее, появление теоретических работ, описывающих уязвимость самого стойкого из механизмов шифрования сотовых сетей, доказывает, что потребность в создании новых систем стала актуальной, как никогда.

Доклад доступен по адресу: eprint.iacr.org/2010/013.pdf

[h1-tek_deamon]

Самый популярный стандарт мобильной связи GSM, используемый большинством сотовых аппаратов в мире, получил очередной и довольно серьезный удар по безопасности. Группа разработчиков открытого программного обеспечения представила программную систему Kraken, взламывающую алгоритм шифрованная A5/1, используемый в некоторых GSM-сетях.

Разработчики говорят, что новинка очень эффективно вскрывает исходные криптографические таблицы, которые помогают расшифровать голосовые данные, используемые в сетях GSM c системой шифрования A5/1. Разработчики говорят, что взломать алгоритм шифрования можно было и раньше, но это требовало времени. Сейчас же Kraken делает это очень быстро.

Созданное программное обеспечение определенно представляет собой шаг вперед в развитии криптографического софта, связанного с сетями GSM. Создатели Kraken говорят, что получать данные при помощи их разработки можно и в 3G-сетях, так как стандарт GSM является опорным для их работы.

Напомним, что в декабре прошлого года эта же группа разработчиков уже представила софт для работы с криптографическими таблицами, позволяющими взламывать алгоритм шифрованная A5/1, но тогда разработка была неполной. Теперь код программы завершен и скорость работы программы в разы выше, чем у декабрьского билда.

Фрэнк Стивенсон, лидер проекта A5/1 Security Project, говорит, что скорость работы для криптографической программы - это один из ключевых показателей. "Сейчас счет взлома идет на минуты, вопрос заключается в том, как сделать его делом нескольких секунд?", - говорит он.

С учетом того, что программное обеспечение доступно в открытом доступе, Стивенсон ожидает, что к совершенствованию Kraken подключатся многие другие независимые программисты. "Нашу атаку просто провести, она легка в развертывании, а потенциальные жертвы - это все пользователи сотовой связи GSM. Перехват звонков становится все более простым", - говорит Стивенсон.

Еще один разработчик Kraken Карстен Нол полагает, что ускорить работу можно будет за счет специального аппаратного обеспечения.

Напомним, что согласно официальным данным GSM Association, к концу 2009 года GSM-сетями пользовались 3,5 млрд человек. Правда, не все сети применяют A5/1, некоторые перешли на более защищенный алгоритм A5/3.

Сами разработчики говорят, что с технической точки зрения A5/1 уже устарел и операторам следует его заменить на более продвинутые системы. Система защиты GSM базируется на так называемом алгоритме A5/1, представляющем собой 64-битный двоичный код. Отметим, что на сегодня большинство современных компьютерных систем работает с ключами длиной 128-512 бит, что считается более надежным. В 2007 году Ассоциация GSM разработала стандарт A5/3, обладающий длиной ключа в 128 бит, однако лишь незначительное число операторов развернуло поддержку этой технологии.

Впрочем, эксперты говорят, что смена алгоритма - это дело не только технически сложное, но и невыгодное с точки зрения финансов. Компаниям придется менять до 60 несущих частот на всех своих станциях, а большинство сотовиков почти на 100% задействуют свой мобильный ресурс и емкость сети в разы снизится.

Добавлено через 171 час 26 минут
Независимые исследователи, выступившие на конференции Black Hat, пообещали выпустить в скором времени полный набор утилит, необходимых для перехвата и прослушивания звонков в мобильных сетях GSM.

В этот набор войдет представленная сегодня на конференции утилита Kraken, способная за 30 секунд подбирать ключи, которыми шифруются сообщения SMS и переговоры. Она была разработана норвежским программистом Фрэнком Стивенсоном, который почти десять лет назад взломал систему защиты DVD. Kraken работает с радужными таблицами общим объемом 1,7 Тб, использующимися для взлома алгоритма A5/1, который 80% операторов GSM применяют для защиты соединений. Распространять эти таблицы исследователи намерены через сети BitTorrent.

В ответ на сообщение о взломе GSM организация GSM Alliance, представляющая интересы 800 операторов из 219 стран, заявила, что представленный метод атаки является чисто теоретическим, поскольку алгоритм A5/1 – не единственное средство защиты, предотвращающее перехват переговоров в реальном времени.

Именно поэтому была разработана утилита AirProbe, обновленная версия которой также представленная сегодня на Black Hat. Эта программа работает с приемопередатчиками USRP, что позволяет записывать цифровые сигналы, поступающие от базовой станции оператора на телефон абонента. В связке с модифицированным открытым ПО под названием GNU radio программа AirProbe позволяет отфильтровать поступающий на мобильный терминал трафик, оставив только те пакеты, которые относятся к передаче голосовых данных.

Уязвимость в стандарте GSM связана в основном с использованием небезопасного алгоритма шифрования A5/1, который еще несколько лет назад был формально заменен на алгоритм A5/3. Однако, практического внедрения A5/3 почти нигде не произошло, поскольку алгоритм требует больших затрат на обновление оборудования и не совместим со старыми телефонами. Кстати сказать, во многих странах до сих пор используется алгоритм A5/0, который вообще не предлагает сколько-нибудь значимого шифрования.

Стоит также отметить, что доклад о возможности перехвата звонков не был единственным камнем, брошенным в огород стандарта GSM на конференции Black Hat. Например, в среду исследователь The Grugq рассказал о нескольких атаках, которые инициируются с обычного телефона и могут нарушить работу сотовых сетей.

Одна из таких атак, RACHell, позволяет вывести из строя ближайшую сотовую вышку путем бомбардировки ее RAC-запросами. В результате все находящиеся в округе телефоны не смогут получать SMS-сообщения. Еще одна атака позволяет отключить от базы оператора номер IMSI, заблокировав тем самым возможность приема сообщений и звонков для конкретного телефона. Все, что для этого необходимо знать – это номер сотового телефона потенциальной жертвы.

[Garry_co]

Это Украина, дебил

[reason]

По-моему, наличие такой уязвимости давно уже не секрет. Или не так? Ведь слушали же Меркель и других как-то