On 25/gen/10, at 19:10, Marco Ermini wrote:
No :-)
Il metodo di Karsten Nohl semplicemente attacca l'algoritmo Kasumi. Ho
già spiegato questa cosa in lista. Il fatto che Karsten o chiunque
altro confondano Kasumi tout-court con A5/1 e peggio A5/3, non
significa che siano la stessa cosa. Per favore rileggi quello che ho
già postato alcuni giorni fa.
Credo che stiamo facendo confusione o forse semplicemente usando punti
di vista differenti ma dicendo la stessa cosa.
Dal punto di vista della sicurezza non importa se un "algoritmo" è
sicuro o meno, ma se il sistema è sicuro nel suo complesso anche
perchè dal punto di vista dell'attacker si attacca l'anello più debole
della catena.
Attacco semi-active ad A5/3 alla slide dal titolo "A5/3 can be cracked
in a semi-active attack""
http://www.cecm.sfu.ca/~lisonek/cryptography/Karsten.Nohl.GSM.pdf
http://www.mail-archive.com/[email protected]/msg00329.html
Dal punto di vista delle capability di un attacker anche in caso di
utilizzo di A5/3 sia su rete GSM che su rete UMTS è possibile portare
a termine un attacco con successo che compromette la confidenzialità
dei della comunicazione.
Non stiamo parlando dell'attacco diretto a Kasumi descritto su http://eprint.iacr.org/2010/013
(fatto da autorevoli ricercatori e che sta creando non poca maretta
in ambito 3GPP e agli operatori, ma su cui possiamo permetterci il
"finchè non vedo non credo") ma di un attacco al sistema di
comunicazione nel suo complesso.
Poi all'attacker che gliene frega se Kasumi è matematicamente bucato o
meno, gli interessa attaccare il suo target e farsi la sua bella
intercettazione.
Quindi con gli attacchi usciti di recente, Kasumi itself è rotto in
modo pratico o solo teorico?
Chi se ne importa ti dirà l'attacker e chi se ne importa ti dirò chi
dovrà valuare le security policy di una azienda per controspionaggio
in relazione a un contesto di rischio reale.
Comunque un modo per intercettarti ce lo ho lo stesso facendo un
protocol downgrade per rubarti la chiave che tanto poi riutilizzerai
in A5/3.
Per usare una definizione più generalmente accettabile potremmo dire
che:
"un attacker può sfruttare delle vulnerabilità presenti nel complesso
del sistema di comunicazione e sicurezza sfruttando behaviour
comportamentali della rete e degli handset che portano alla
compromissione della confidenzialità, indipendentemente dall'utilizzo
di algoritmi considerati rotti solo teoricamente come A5/3".
Quindi un utente mobile è generalmente intercettabile
indipendentemente da quello che usa, almeno in configurazione standard
di rete "Dual Mode" (mentre un cellulare configurato in UMTS only ad
oggi non sarebbe attaccabile con strumenti in commercio o opensource).
Quindi l'efficacia dell'attacco e il contesto di rischio sono
comunque reali
e "il protocollo ? rotto".
Nella realtà è ancora meno applicabile che sulla carta.
Non condivido, sono pratici sia con tool opensource che disponibili in
commercio.
Quando parliamo di reti mobili l'unica realtà è che l'accesso
all'hardware e software di comunicazione layer1 e layer2 è tenuto
chiuso dalla "big lobby" della telefonia mobile di tutto il mondo.
Poi c'è chi ha abbastanza soldi da reimplementarselo il layer1 e
layer2. (ma poi vendono i prodotti solo a servizi segreti, agenzie di
spionaggio privato e criminalità organizzata visto il costo e il tipo
di utilizzo)
Poi c'è chi è abbastanza smart da usare hardware da 2000 USD e fare
implementazioni OSS del layer1 e layer2.
Ma il vero fattore limitante è solo l'accesso all'hardware e software,
che ora con le software radio del progetto gnuradio.org sta creando
grande destabilizzazione nell'ambiente degli operatori mobili.
Sistemi che dichiarano di craccare GSM A5/3 e UMTS (in realtà usano la
tecnica descritta sopra) li vendono già:
http://eurologix.eu/pdfs/ds_specialist_semi-active%20GSM.pdf
I cellulari seguono le specifiche TLS molto più pedissequamente di un
browser, che si mangia qualsiasi certificato proveniente da tutte le
CA che ritiene valide. Ancora, non sono sicuro di come funzioni
esattamente, ma so che i cellulari funzionano meglio dei browser.
Guarda, con i cellulari ci lavoro facendoci sviluppo software e sono
delle chiaviche costrette a funzionare con apparati broken di ogni
genere, prodotti da manufacturer di ogni genere.
La sicurezza è l'ultimo degli interessi di qualunque manufacturer o
operatore.
Prima di tutto viene la "compatibilità".
Dal punto di vista della sicurezza, ipotizziamo la "fake BTS" e la
possibilità di detection:
Quanto è visibile il "lucchettino" sui telefoni Nokia che ti dice se
c'è l'encryption sulla rete o meno?
Quanto un utente mobile potrà realmente riuscire a rilevare un
collegamento a una "Fake BTS" (GSM) per qualche secondo?
Quando MCC e MNC, sono uguali la cifratura viene negoziata in A5/2 o
A5/1 (per poi rilasciare il cellulare e decifrare con la stessa
l'A5/3) come fà l'utente ad accorgersene?
I cellulari sono brutte bestie e già che funzionano è una gran cosa.
Volerli sicuri è chiedere troppo, forse forse ci vuole da aspettare
che le reti 4G saranno diffuse e inizieranno a uscire dei cellulari
"dual mode" 3G/4G che non parlano proprio 2G/GSM.
Per di più le funzionalità di sicurezza di cui parliamo in questo
thread non sono neanche nei sistemi operativi dei cellulari ma bensì
dei loro baseband processor dove il phone manufacturer normalmente non
ci mette molto becco.
Apple non mette becco su cosa faccia e come funzioni il sistema
operativo NucleOS che gira nel basebandprocessor dell'iPhone,
tantomeno altri produttori.
E' robba estremamente embedded, tipicamente a risparmio del 1kb di RAM
per usare un chip più piccolo che faccia risparmiare 0.15$ per chip ma
che su produzione su scala industriale fa' guadagnare qualche decina o
centinaia di milioni in più alla bradcom o texas instrument di turno.
Kasumi lo hanno rotto
Ancora, non esattamente: hanno sviluppato un attacco interessante, ma
non significa che Kasumi di per sé sia stato rotto. E quindi tanto
meno che A5/3 sia in pericolo.
L'attacco di per sé fa delle supposizioni estremamente ottimistiche
che nella realtà non si verificano con Kasumi. Ripeto ho già scritto
questo in un precedente post.
Concordo, stiamo dicendo la stessa cosa.
Possiamo dire che A5/3 è craccato?
Diciamo di no.
Ma un cellulare collegato a una rete GSM o a una rete UMTS
(configurato di default in "dual mode") che anche usi A5/3 è ad oggi
*praticamente* e *realmente* intercettabile sia con apparati di
intercettazione tattica in commercio che con tool opensource e
adeguata attività di system integration.
[...]
Considerato che quella ricerca (sul kasumi) ? stata fatta nel 2005
e la
hanno pubblicata solo oggi, c'? una certa probabilit? che in casa
abbiamo
tutto il necessario di apparecchiature...
[...]
Non confondiamo lo studio matematico sul protocollo con l'attacco
attivo con OpenBTS ed i jammer, sono due cose diverse.
Sono la stessa cosa "dal punto di vista del contesto di rischio reale".
Sono una cosa completamente diversa dal punto di vista
scientificamente matematico.
SSH2 è sicuro ma con un protocol downgrade si faceva MITM.
SSH2 è sicuro, ma exploit in passato usavano fare downgrade a SSH1 per
exploitare il codice.
SSLv3 e TLSv1 sono "sicuri" ma in passato c'erano attacchi che
facevano protocol downgrade a SSLv2 e attaccavano questo.
Ugualmente alle situazioni succitate.
Kasumi è sicuro su UMTS ma ci sono attacchi che portano a downgrade in
GSM e con attacco semi-active, anche in caso di uso di A5/3, sono in
grado di ottenere una chiave.
Ciò che ci frega è sempre l'esigenza di "compatibilità".
Non voglio sembrare eccessivamente ottimista ma per il momento si sta
soltanto abbassando leggermente la soglia. Questo è il livello esatto
a cui siamo. Non ci sono attacchi passivi funzionanti
(intercettazioni) né per il momento ve ne sono all'orizzonte di
intravedibili.
Attenzione.
Attacco passivo = intercettazione. (100% stealth)
Attacco semi-attivo = intercettazione. (99% stealth?)
Attacco attivo = intercettazione. (poco stealth)
Il risultato è lo stesso, cambia solo la metodologia.
Dove devo sniffare in modo passivo per riuscire a intercettare la
trasmissione in frequenza, posso anche fare un attacco semi-attivo
perchè devo comunque essere nell'area di copertura.
Logisticamente i 2 attacchi sono identici.
Viene da se che il contesto di rischio "reale" di un attacco semi-
attivo è "sostanzialmente" il medesimo di un attacco passivo.
Certo, quello passivo è potenzialmente più stealth benchè la
possibilità di detection di quello semi-attivo sia molto bassa (mentre
di uno interamente attivo con MitM è molto più alta).
Fabio Pietrosanti (naif)________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
