Bezpečnost komunikačních sítí v praxi: Sítě 3G (II)

Vraťme se ovšem nejdříve o krok zpět. Vzhledem k poměrně tragické penetraci UMTS sítí v našich krajích nesmíme opomenout také nástavbu na GSM sítě umožňující přenos paketových dat, tzv. GPRS. V dnešní době nalezneme často na displeji mobilního telefonu symboly označující variantu GPRS nazvanou EDGE, a to pokud mobilní terminál přenáší data na území pokrytém GSM. 

Přenosová síť GPRS je z pohledu mobilního operátora ve skutečnosti oddělena od GSM sítě s tím, že se dělí o přenosovou část rádiového rozhraní. GPRS obecně poskytuje mírně vyšší úroveň zabezpečení proti GSM, ovšem často je šifrování přenosu dat přes EDGE či GPRS vypnuto nebo je přenos šifrován pomocí slabé šifry A5/2. V případě UMTS je podpora přenosu paketových dat nedílnou součástí sítě, a tudíž bezpečnost je řádově vyšší než u GPRS v GSM síti.

Opět tedy naznačme několik strategií napadení UMTS. Cílem může být odposlouchávání hlasového hovoru či tzv. unesení hovoru neboli příchozí hovor je zodpovězen jiným terminálem.

Nesmíme ovšem zapomenout na implementaci rozhraní pro legální odposlech tzv. LI, jež existuje také v sítích UMTS. To opět umožňuje velmi komfortní možnost odposlechu pro státní moc přímo na hlavní síťové infrastruktuře operátora bez jeho nutné asistence či vědomí. 

První možností přicházející v úvahu, bez přístupu k LI rozhraní, je tzv. man-in-the-middle útok spočívající v ustavení falešného přístupového bodu do sítě. V případě UMTS je tento způsob napadení komplikován existencí rozšířené autentikační procedury, která nově zahrnuje i ověření sítě terminálem. Co se tedy stane, jestliže se pokusíme vydávat falešný UMTS přístupový bod za legální přístupový bod do sítě mobilního operátora?

Mobilní telefon se pokusí k falešnému bodu přihlásit, ale jelikož nevlastníme validní klíč mobilního operátora, přístroj se k našemu bodu odmítne přihlásit. Tedy variantou by mohl být pokus o podvržení klíče identifikující síť operátora, což je ovšem výpočetně velmi náročná operace. Další možností je využití existující kompatibility mobilních terminálů s GSM zároveň s UMTS.

Tím pádem přinucením mobilního terminálu k přihlášení k našemu GSM přístupovému bodu je možné využít bezpečnostní mezery v GSM. Odposlech hovoru směrovaného přes náš přístupový bod je triviální stejně jako únos příchozího hovoru nebo zahájení hovoru s identitou kterékoli stanice přihlášené k našemu bodu. Toto je samozřejmě nerealizovatelné, pokud je mobilní terminál kompatibilní pouze s UMTS, to je ovšem naprosté minimum.

Odposlechové prostředky dostupné na současném trhu pracují na podobném principu, kdy nutí mobilní telefon přihlásit se k falešnému přístupovému bodu. Jak se tedy bránit podobnému typu odposlechu? Jednou z možností obrany je volit typ mobilního terminálu, který nabízí variantu připojení pouze do UMTS sítě.

Jak se bránit?
Zkusme se pozastavit u varianty odposlechu přímo na rádiovém rozhraní, tedy odposlechu informací, které proudí vzduchem a kdokoli je může zachytit. Zde narážíme na několik přístupových úrovní, které musíme řešit. Nejprve se můžeme pokusit přinutit mobilní stanici užívat pouze GSM část sítě a ideálně i slabší šifru A5/2. Tím pádem jsme schopni poměrně rychle rozkódovat obsah odposlouchávaných kanálů. Jestliže nejsme schopni stanici nutit zůstat pouze v GSM nebo UMTS síti, nezbývá než sledovat, ve které síti aktuálně je daný přenos uskutečněn. Vzhledem k tomu, že mobilní terminál může volně přecházet mezi definovanými sítěmi UMTS a GSM, nezbývá než buď sledovat řízení přenosu, nebo monitorovat celé pásmo, kde se terminál může vyskytovat, a hovor z něj postupně vykrajovat.

Pomineme-li pro zjednodušení předávání hovoru mezi GSM a UMTS a zůstaneme pouze u UMTS, pak je nutné získat kód pro digitální demodulátor, jelikož v UMTS je použita kódová modulace. Dále musíme vzít v potaz různé varianty vysokorychlostních přístupů k UMTS sítím, jelikož odposlechové zařízení je musí zvládat dekódovat.

Pochopitelně je nutno dekódovat šifrování v UMTS síti, které je nepoměrně bezpečnější než to v GSM. Zde je nutné podotknout, že jak mobilní terminál, tak mobilní síť musí z důvodů zpětné kompatibility podporovat i starou šifru A5/2. Tedy existuje možnost vynucení použití šifry A5/2 a tudíž usnadnění luštění. Nepříjemností, na kterou budeme narážet, je sledování mobilní stanice, jelikož jednoznačný identifikátor IMSI je pro účely komunikace nahrazen dočasným identifikátorem TMSI. Musíme také zjistit, co vlastně sledujeme, jde o paketová data, nebo hlasovou službu či jiný obsah?

Spousta aplikací, které nabízejí šifrování telefonních hovorů, vlastně využívá datovou službu k přenosu šifrovaných dat. Z toho plyne také potenciálně nižší kvalita takové služby. Pochopitelně jestliže je použito šifrování hovorových dat přes datovou službu, pak je komplikovaný i legální odposlech. Legální odposlech získá šifrovaná data namísto digitálního hovorového signálu. 

Elegantní forma útoku na mobil
Vzhledem k tomu, že technologie se vyvíjela od doby vzniku standardu zabezpečení, nabídla se v průběhu poslední doby elegantní díra do mobilní bezpečnosti.

V okamžiku, kdy existuje přístup do interních funkcí mobilního terminálu, nemusíme lámat kódy na rádiovém rozhraní nebo konfigurovat falešné přístupové body. Stačí napadnout software v telefonu a nechat jej dělat věci, které požadujeme. V době, kdy software do mobilního telefonu byl výhradně zodpovědností výrobce, bylo komplikované jej napadnout hlavně kvůli nedostupnosti zdrojového kódu atd.

Ovšem dnes je na trhu přehršel mobilních telefonů s otevřenými operačními systémy a ve spoustě případů jsou uživatelé ochotni odposlechovou aplikaci nainstalovat sami. Zde přichází do hry sociální inženýrství a další techniky známé z internetu. Ovšem předpokládáme-li znalého uživatele dbalého bezpečnostních zásad práce se smartphonem, není možné se cítit v bezpečí ani tak.

Instalace upraveného softwaru pro odposlech či obecně napadení softwaru telefonu je otázkou mála minut, na které pustíme telefon z dohledu. Nainstalovaná úprava může například jednoduše odposlouchávat přímo mikrofon a sluchátko a data ukládat či odesílat zájemci.Co tedy s tím? Jestliže chceme maximálně bránit odposlechu, pak nezbývá než pořídit co nejuzavřenější mobilní platformu nebo ideálně jednoúčelový mobilní telefon s šifrováním hovorů.