> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Marco Ermini > >Inviato: venerdì 22 gennaio 2010 11.16 > >A: [email protected] > >Oggetto: Re: R: [ml] intercettazioni 2.0 e reale apporto di sicurezza > >
> >[...] > > > >Se ho capito bene, il problema è che la base station a cui > >ti colleghi si "spaccia" per una legittima, per cui non > >esiste un problema di decriptazione del tunnel - l'end point > >del tunnel è l'attaccante. Tu scambi le chiavi con l'attaccante... > > Quello che continua a non essermi chiaro e' che quanto riportato nel paper mal si concilia, per quanto di mia conoscenza, con quello cheho sempre trovato su tutti i documenti che parlavano di UMTS, ovvero : "UMTS uses mutual authentication which means the mobile user and the serving network authenticate each other, providing security against false base stations." Sono andato a prendere l'ultima versione della TS33.102 (la 9.1.0 del 18 dicembre 2009), per capire cosa c'e' quindi dietro l'attacco descritto... Partendo da quanto riportato nella norma succitata e nella TS 22.101: 1) UMTS security context: a state that is established between a user and a serving network domain as a result of the execution of UMTS AKA as a result of inter RAT mobility from E-UTRAN [28] to UTRAN or GERAN. . At both ends "UMTS security context data" is stored, that consists at least of the UMTS cipher/integrity keys CK and IK and the key set identifier KSI. One is still in a UMTS security context, if the keys CK/IK are converted into Kc to work with a GSM BSS." (NON E' CHIARO COSA C'E' DIETRO LA CONVERSIONE di CK/IK nel Kc) 2) Quintet, UMTS authentication vector: temporary authentication and key agreement data that enables an VLR/SGSN to engage in UMTS AKA with a particular user. A quintet consists of five elements: a) a network challenge RAND, b) an expected user response XRES, c) a cipher key CK, d) an integrity key IK and e) a network authentication token AUTN. (VIENE INVIATO PIU' DI UN AUTHENTICATION VECTOR, il SGSN NE SCEGLIE UNO e SUCCESSIVAMENTE invia il RAND ed il TOKEN di AUTENTICAZIONE, ECCO I MIEI DUBBI SUL RAND nel PAPER SOPRA CITATO, il FAKE BTS DOVREBBE SAPERE QUALE AV HA UTILIZZATO L'OPERATORE) 3) Triplet, GSM authentication vector: temporary authentication and key agreement data that enables an VLR/SGSN to engage in GSM AKA with a particular user. A triplet consists of three elements: a) a network challenge RAND, b) an expected user response SRES and c) a cipher key Kc. 4) Re-use and re-transmission of (RAND, AUTN) : The verification of the SQN by the USIM will cause the MS to reject an attempt by the VLR/SGSN to re-use a quintet to establish a particular UMTS security context more than once. In general therefore the VLR/SGSN shall use a quintet only once. When the ME receives an authentication request and discovers that a RAND is repeated, it shall re-transmit the response. (FORSE E' QUA l'INGHIPPO SUL RAND RIPETUTO, MA NON CAPISCO COME POSSA VENIRNE A CONOSCENZA L'ATTACCANTE) 5) The ME shall delete the stored values RAND, RES and SRES (if they exist) as soon as the 3G security mode command or the GSM cipher mode command is received by the ME or the connection is aborted. (QUINDI NON LA RECUPERI DAL TERMINALE TALE INFO) 6a) indication of the level of security: the property that the user is informed on the level of security that is provided by the visited network, in particular when a user is handed over or roams into a network with lower security level (3G * 2G). 6b) The ciphering indicator feature allows the UE to detect that the 3GPP radio interface ciphering (user plane) is not switched on and to indicate this to the user. The ciphering indicator feature may be disabled by the home network operator setting data in the SIM/USIM. (ANCOR MEGLIO DEL TROVARE LA CHIAVE DI CIFRATURA, SI FA PRIMA, MA QUA DI NUOVO E' LA TESI DI MARCO ERMINI, "se sei un operatore fai quello che vuoi o quasi") 7) The default terminal behaviour shall be to take into account the operator setting data in the SIM/USIM. However, terminals with a user interface that can allow it, shall offer the possibility for the user to configure the terminal to ignore the operator setting data in the SIM/USIM. If this feature is not disabled by the SIM/USIM or if the terminal has been configured to ignore the operator setting data in the SIM/USIM, then whenever a user plane connection is in place, which is, or becomes un-enciphered, an indication shall be given to the user. In addition, if this feature is not disabled by the SIM/USIM or if the terminal has been configured to ignore the operator setting data in the SIM/USIM, then additional information may also be provided about the status of the ciphering. Ciphering itself is unaffected by this feature, and the user can choose how to proceed; (ABILITARE L'INDICATORE POTREBBE ESSERE UNA CONTROMISURA PER ACCORGERSI DI QUESTO TIPO DI ATTACCHI) > >È in pratica un attacco molto, molto brutale, non ancora > >realmente applicabile, ma sicuramente si sta abbassando > >notevolmente la "soglia" > >entro cui possiamo considerare ancora sicure le comunicazioni GSM > > Come tutto quanto concerne il mondo dei bit...le contromisure da adottare si spostano di conseguenza riportando l'asticella in alto. Per quanto nelle mie (scarse) capacita', non ho trovato elementi tangibili per non concordare sul discorso della reale applicabilita'. Scusate la prolissita' ma e' un tema che mi e' sempre stato a cuore ________________________________________________________ Ruggero Rissone T.IT.TS.SOC - Technical Security - Security Operation Center Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
