| После выступления Карстена Нола (или Ноля? в оригинале он Karsten Nohl) на конференции 26C3 я получил множество писем и комментариев с просьбой его прокомментировать. Так как выступление было 30-го декабря, сделать я это могу только сейчас. Исходные материалы: Что я думаю по поводу их исследования в целом - я уже писал раньше. Короткий пересказ: " чтобы реально слушать разговоры, нужно помимо собственно нахождения уязвимостей в A5/1 решить еще ряд сугубо инженерных проблем (например, радиоперехват, frequency hopping), до которым криптографам нету дела, вот и нету публичных демонстраций работающих решений. [...] Пока что мне кажется, что Карстен сотоварищи [...] рассчитывают rainbow tables для алгоритма, [...], работающего на "идеальном шифропотоке"". Каково мое мнение теперь, после просмотра выступления: если коротко, оно не изменилось. Пруфлинки из mailing-list проекта о том, что дела обстоят именно так: раз, два, три, и в особенности тред, начинающийся с этого сообщения (кстати - я был не прав, помехи они у себя учитывают, но пока делают относительно них достаточно оптимистичные предположения). Дальше - мои мысли-комментарии по самому выступлению.Что рассказывали докладчики (тезисы):- Как использовать OpenBTS, airdump и wireshark для создания IMSI catcher-а
- Как они рассчитывают rainbow tables, как именно выглядит их атака, и каких успехов на поприще рассчетов они достигли
- Как (теоретически) все это можно использовать для прослушивания разговоров
Что вызвало у меня удивление:- Говоря об аутентификации абонента в сети, несколько раз повторялась фраза "GSM really has lots and lots of layers of registration, it's really complicated". Непонятно, о чем это они
- Докладчики утверждают, что SIM-карта легко может запретить телефону показывать, что он работает в режиме шифрования A5/0 (т.е. без шифрования вообще) и что большинство SIM-карт в обороте - именно такие. Им, мол-де, стоило больших трудов найти и купить на eBay SIM-карту, которая "не такая". Я не дам зуб, что этого сделать нельзя, но тщательное грепанье текста GSM 11.11/GSM 11.14/GSM 03.20 (и более новых их версий для 3G) не дает даже намеков на подобную функциональность. Поиск на сайте 3gpp.org тоже не дал ничего. Мне кажется, что товарищи "несколько преувеличивают". Кто может прокомментировать?
UPD: это действительно возможно, я написал отдельный пост на эту тему. - У докладчиков вызвывает удивление то, что телефон кеширует имя оператора, передаваемое в рамках cell broadcast. В то время как эта функциональность хорошо описана в GSM-спеках. Соответственно, у меня вызывает удивление то, что это вызывает удивление у них :)
- Докладчики сетуют: "наша OpenBTS имела баг, и вместо сообщения "в регистрации в сети отказано" сначала посылала сообщение "этот телефон украден", после чего телефоны отключались, некоторые не включались потом до хард-ресета снятием батарейки". А что это за такое сообщение? И как SIM выключает телефон, если в GSM 03.20/GSM 11.11/GSM 11.14 нет описания интерфейса для этого?
- Докладчики говорят: "мы настроили нашу базовую на частоты GSM-900, который вообще не должен использоваться в Северной Америке, и - прикиньте! - iPhone все равно приконнектился к нашей базовой (смех в зале)". Да-да, лучше прошить в телефон сведения о том, где какие диапазоны используюся, и через год разгребать проблемы с роумингом.
После этих пассажей у меня возникло впечатление, что авторы читали GSM-спеки в чьем-то неполном пересказе. Что вызвало удивление у докладчиков, но имеет хоть какое-то объяснение с моей точки зрения:- Докладчики говорят: "вот, когда мы тестировали свой IMSI-catcher (я писал про это тут и тут), был какой-то чужой соседский iPhone, который как прицепился один раз к нашей фейковой базовой, так и продолжал к ней цепляться, что бы мы не делали. Мы не можем это объяснить, имхо это баг в айфоне". Докладчики настраивали свою базовую так, чтобы она использовала MCC=01 и MNC=01 (тестовая страна, тестовая сеть). Могло ли быть такое, что этот айфон - в роуминге, с manual carrier selection, и его пользователь случайно подтвердил выбор сети (01, 01), когда айфон первый раз к ней подключился? Если так, то это объясняет, почему потом этот айфон ломился в эту сеть, как заведенный.
- Докладчики сетуют, что прошивки телефонов тестируются "for compliance to GSM specs, and are not tested for failure", соответственно, в случае глючной базовой (например, OpenBTS, которую они допиливали для своих нужд) телефоны, бывают, вешаются. Мне же кажется, что такое положение вещей - это распространенная практика (смотрим на Wifi, Bluetooth и - в меньшей мере, конечно - на TCP/IP), и ничего такого архиужасного или GSM-специфичного в этом нет
С чем я могу согласится:- Докладчики сетуют на то, что, хоть телефон и может по косвенным признакам определить, что он с большой вероятностью "обрабатывается" IMSI catcher-ом, никакой индикации пользователю не делается, а можно было бы.
Часть рассказа, посвященная rainbow tables, была традиционно хороша. Если коротко, то все у них хорошо :) Далее, докладчики сказали, что всего за $1500 можно из USRP, OpenBTS, asterisk и airprobe собрать готовый комплект для прослушивания разговоров. Деталей не было, обещали сделать наглядную демонстрацию. Демонстрация не состоялась. Я намерено не буду комментировать заявление о том, почему она не состоялась. Соотвественно, с моей точки зрения, со времени последнего заявления товарища Нола продемонстрированный (а не заявленный-теоретический) прогресс заключается в том, что они просчитали здоровый кусок rainbow tables. Про проблемы с frequency hopping-ом, мониторингом полного диапазона частот, и т.п. никто пока не думает. Ну, можно и дальше ждать спек программно-аппаратного комплекса для прослушивания :) Но, думается мне, не в этом году ... |
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1){kind=small}
_adept_'s journal
![[info]](http://l-stat.livejournal.com/img/openid-profile.gif?v=92.1){kind=small}
Могу только предположить, что имелась ввиду все таки 3G сеть, где алгоритм аутентификации является Milenage. В этом случае да, аутентификация производится не только сетью карты, а также картой сети.
"Докладчики утверждают, что SIM-карта легко может запретить телефону показывать, что он работает в режиме шифрования A5/0 (т.е. без шифрования вообще) и что большинство SIM-карт в обороте - именно такие."
С моей точки зрения довольно бредовое заявление. Возможно они имели ввиду следующее:
В спецификации 51.011 в описании файла EF Kc, который хранит ключ шифрования и его порядкоый номер есть следующее замечание по поводу 9го байта:
TS 24.008 [47] defines the value of n=111 as "key not available". Therefore the value '07' and not 'FF' should be present following the administrative phase.
Но 24.008 четко это определяет как:
Ciphering Key Sequence Number
The purpose of the Ciphering Key Sequence Number information element is to make it possible for the network to identify the ciphering key Kc which is stored in the mobile station without invoking the authentication procedure. The ciphering key sequence number is allocated by the network and sent with the AUTHENTICATION REQUEST message to the mobile station where it is stored together with the calculated ciphering key Kc
То есть файл является только хранилищем.