Scusatemi il ritardo nella risposta. Damn busy...
2010/1/28 Fabio Pietrosanti: [...] > Credo che stiamo facendo confusione o forse semplicemente usando punti di > vista differenti ma dicendo la stessa cosa. La prima che hai detto :-) > Dal punto di vista della sicurezza non importa se un "algoritmo" è sicuro o > meno, ma se il sistema è sicuro nel suo complesso anche perchè dal punto di > vista dell'attacker si attacca l'anello più debole della catena. Sono d'accordo con questo, ed è per questo che l'attacco di Karsten Nohl è pura teoria. > Attacco semi-active ad A5/3 alla slide dal titolo "A5/3 can be cracked in a > semi-active attack"" > http://www.cecm.sfu.ca/~lisonek/cryptography/Karsten.Nohl.GSM.pdf > http://www.mail-archive.com/[email protected]/msg00329.html > > Dal punto di vista delle capability di un attacker anche in caso di utilizzo > di A5/3 sia su rete GSM che su rete UMTS è possibile portare a termine un > attacco con successo che compromette la confidenzialità dei della > comunicazione. No. Questo è quello che dice Karsten Nohl, ma è un inguaribile ottimista che ha fatto i conti senza l'oste, e sopravvaluta decisamente il suo attacco. Primo. Il suo attacco non è "semi-attivo" ma è totalmente attivo, e funziona soltanto facendo un jam totale delle comunicazioni e downgrade del protocollo A5/3 ad A5/1, che è di per sé uno scenario poco pratico. Secondo, in alternativa implica la registrazione totale delle comunicazioni UMTS e successiva decriptazione, entrambe sono praticamente impossibili, devi necessariamente avere apparecchiature che sono decisamente più costose di un jammer, essere posizionato strategicamente. , avere elaboratori estremamente potenti e comunque decripteresti soltanto una chiave temporanea (ma ancora, come detto, attaccare Kasumi non è attaccare A5/1 o A5/3). L'unica alternativa è appunto creare una fake BTS, jammare il segnale e costringere i telefoni a collegarsi alla fake BTS. Ma poi da questa devi collegarti ad una vera BTS se vuoi fare da MIM e sniffare il traffico... > Non stiamo parlando dell'attacco diretto a Kasumi descritto su > http://eprint.iacr.org/2010/013 (fatto da autorevoli ricercatori e che sta > creando non poca maretta in ambito 3GPP e agli operatori, ma su cui possiamo > permetterci il "finchè non vedo non credo") ma di un attacco al sistema di > comunicazione nel suo complesso. Stiamo parlando di entrambe le cose. Sono entrambe collegate. Utilizzeresti l'attacco a Kasumi nel caso (come descritto sopra) che tu abbia registrato passivamente le comunicazioni UMTS. (comunque non basta, come detto: A5/x != Kasumi) Comunque, questo attacco non sta portando un gran chè di "maretta" nella GSMA. Sicuramente alcuni dei ricercatori che hanno elaborato Kasumi (tra cui ovviamente alcuni che lavorano nella R&D della mia azienda) hanno dovuto ricrersi circa alcune assunzioni fatte (diversi!) anni fa. Non posso dire di più perché è confidenziale, ma credetemi: questi autorevolissimi ricercatori hanno scritto un bel pezzo di criptoanalisi, ma la cosa finisce qua. > Poi all'attacker che gliene frega se Kasumi è matematicamente bucato o meno, > gli interessa attaccare il suo target e farsi la sua bella intercettazione. Gliene frega, se vuole sniffare passivamente. E comunque l'attacker è molto, molto lontano anche soltanto di poterla organizzare, una intercettazione. > Quindi con gli attacchi usciti di recente, Kasumi itself è rotto in modo > pratico o solo teorico? Kasumi non è rotto, e tanto meno lo è A5/3. E nemmeno A5/1, se è per questo. > Chi se ne importa ti dirà l'attacker e chi se ne importa ti dirò chi dovrà > valuare le security policy di una azienda per controspionaggio in relazione > a un contesto di rischio reale. Se valutiamo i rischi reali e non stiamo discutendo di pura criptoanalisi o di scenari da MI5, allora puoi ancora dormire sonni tranquilli. Sicuramente le telco devono iniziare a svegliarsi e dove ancora non è in auge A5/3 devono iniziare a pianificare un upgrade. Ma non c'è un pericolo immediato di alcun genere, né credo che questo debba influenzare in alcun modo le policy di una qualsiasi azienda _oggi_. C'è *ben altro* di cui preoccuparsi *adesso*. > Comunque un modo per intercettarti ce lo ho lo stesso facendo un protocol > downgrade per rubarti la chiave che tanto poi riutilizzerai in A5/3. Peccato che ti manchi l'altra chiave, quella nell'HLR della telco. E peccato che le chiavi siano solo temporanee e rinegoziate continuamente, come Ruggero ti ha spiegato... > Per usare una definizione più generalmente accettabile potremmo dire che: > "un attacker può sfruttare delle vulnerabilità presenti nel complesso del > sistema di comunicazione e sicurezza sfruttando behaviour comportamentali > della rete e degli handset che portano alla compromissione della > confidenzialità, indipendentemente dall'utilizzo di algoritmi considerati > rotti solo teoricamente come A5/3". Un attacker può teoricamente ed in condizioni molto ottimistiche, sfruttare delle vulnerabilità in modo estremamente invasivo e rumoroso - anche il singolo utonto si accorge di aver cambiato operatore :-) E tornato ad usare una BTS "regolare" e non quella fake, l'attacker non può fare un bel nulla, tanto più riuscire ad intercettare un segnale in mezzo ad un oceano di frequency hopping e rinegoziazione di chiavi. > Quindi un utente mobile è generalmente intercettabile indipendentemente da > quello che usa, almeno in configurazione standard di rete "Dual Mode" > (mentre un cellulare configurato in UMTS only ad oggi non sarebbe > attaccabile con strumenti in commercio o opensource). Quindi un utente mobile è molto difficilmente intercettabile, tanto che all'atto pratico l'attacco è impossibile. [...] >> Nella realtà è ancora meno applicabile che sulla carta. > > Non condivido, sono pratici sia con tool opensource che disponibili in > commercio. Per esempio? OpenBTS - LOL :-) Apparecchi disponibili in commercio? Jammer forse. Ma molti supplier ti richiederanno una licenza/autorizzazione. > Quando parliamo di reti mobili l'unica realtà è che l'accesso all'hardware e > software di comunicazione layer1 e layer2 è tenuto chiuso dalla "big lobby" > della telefonia mobile di tutto il mondo. Perché lobby? è un mercato libero che opera su licenze governative. L'infrastruttura è fornita da aziende comunissime, Alcatel Lucent, Huawei, Ericcsson... mica è la massoneria :-) > Poi c'è chi ha abbastanza soldi da reimplementarselo il layer1 e layer2. (ma > poi vendono i prodotti solo a servizi segreti, agenzie di spionaggio privato > e criminalità organizzata visto il costo e il tipo di utilizzo) > Poi c'è chi è abbastanza smart da usare hardware da 2000 USD e fare > implementazioni OSS del layer1 e layer2. Ma non replica manco il 5% delle funzionalità presenti negli apparati delle aziende suddette > Ma il vero fattore limitante è solo l'accesso all'hardware e software, che > ora con le software radio del progetto gnuradio.org sta creando grande > destabilizzazione nell'ambiente degli operatori mobili. Sarà, io non mi sento così instabile :-) > Sistemi che dichiarano di craccare GSM A5/3 e UMTS (in realtà usano la > tecnica descritta sopra) li vendono già: > http://eurologix.eu/pdfs/ds_specialist_semi-active%20GSM.pdf I primi a dichiarare di aver "crakkato" l'A5/3 guarda caso hanno fatto un sacco di rumore, acquisendo notevole popolarità e poi si sono fatti "sequestrare" il materiale in aereoporto, LOL. Ne ricevo ogni giorno di telefonate di gente che cerca di vendermi l'ultimo incredibile apparato di sicurezza, ormai ho il bullshit detector acceso di default. [...] > Guarda, con i cellulari ci lavoro facendoci sviluppo software e sono delle > chiaviche costrette a funzionare con apparati broken di ogni genere, > prodotti da manufacturer di ogni genere. Stai parlando di un livello un po' diverso. Tu non vedi cosa sta facendo il firmware del telefono. [...] > Per di più le funzionalità di sicurezza di cui parliamo in questo thread non > sono neanche nei sistemi operativi dei cellulari ma bensì dei loro baseband > processor dove il phone manufacturer normalmente non ci mette molto becco. Appunto, ed è dove lavoriamo noi invece. [...] > Concordo, stiamo dicendo la stessa cosa. > > Possiamo dire che A5/3 è craccato? > Diciamo di no. Diciamo proprio no. E nemmeno A5/1. > Ma un cellulare collegato a una rete GSM o a una rete UMTS (configurato di > default in "dual mode") che anche usi A5/3 è ad oggi *praticamente* e > *realmente* intercettabile sia con apparati di intercettazione tattica in > commercio che con tool opensource e adeguata attività di system integration. Non lo è. È jammabile, che è molto diverso. È jammabile come tutte le comunicazioni via radio. [...] > Sono la stessa cosa "dal punto di vista del contesto di rischio reale". Non sono d'accordo. [...] > Kasumi è sicuro su UMTS Kasumi non è usato né in A5/1 né in A5/3. È la base matematica su cui sono stati elaborati questi algoritmi, che nell'implementazione sono qualcosa di più complesso, come ho già spiegato io ed ha spiegato Ruggero. > ma ci sono attacchi che portano a downgrade in GSM e > con attacco semi-active, anche in caso di uso di A5/3, sono in grado di > ottenere una chiave. Con cui puoi pulirtici allegramente... la BTS :-) Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Dusseldorf, NW, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
