Често Задавани Въпроси

Интересно демострационно видео, което описва възможностите и функционалността на “Dominator” – система за прехващане и записване на GSM разговори, като поддържа по-сигурният А5/1. Не е ясно дали системата работи като брутфорсва криптирането ( например с DSP-та ) или просто инструктира телефона да превключи на не-криптиран режим. Подобен род системи струват 100 000+ долара/евро/паунда и за да работят трябва да са относително близо до жертвата, защото системата трябва да се обяви като клетката с най-добра връзка на телефона, който трябва да е подслушан. Според видеото има опция, която поддържа до 2 км, но това би трябвало силно да зависи от конкретното местоположение на жертвата и дали се движи – напълно е възможно при движение, подслушваният телефон да се доближи до истинска клетка на оператора и да превключи към нея, като по този начин престава да може да бъде подслушван.

Frank A. Stevenson, разработчик в A5/1 Security Project наскоро обяви публикуването на Kraken – софтуер с отворен код, който е способен да използва rainbow таблиците, генерирани в края на миналата година. С неговото използване е възможно разкриптирането на А5/1 криптиран GSM разговор в рамките на няколко минути върху комерсиално достъпен хардуер – в момента изискванията са Linux, 3 Gb RAM, 2 Tb дисково пространство.  Участниците в проекта работят по ускоряването на работата на софтуера и добавянето на поддръжка на ATI GPU.

С това в публичното пространство се появява още едно парченце от пъзела “направи си сам подслушване на GSM”. Другите парченца касаят прехващането на самият GSM криптиран разговор от ефира – пример тук са OsmocomBB, който използва евтини телефони базирани на Ti Calypso/Iota/Rita чипсетите¹ и Airprobe, който пък използва USRP². В настоящят момент е напълно във възможностите на по-напредналите в технологично отношение престъпници ( или престъпни групи, както е модерно напоследък ) да се обзаведат със подслушвачка за GSM-и, която да може да прехваща разговори и текстови съобщения. Подобно устройство би струвало под 10 000 долара и спокойно би се поместило в багажника на по-голяма кола. Разбира се, подобно подслушване изисква “подслушвачката” да е близо до жертвата, за да могат да се прехванат всички пакети, което е доста амбициозна задача, особено в по-гъсто населен градски център, осеян с микро-клетки. Въпреки това е напълно възможно. Моля почитателите на конспирационни теории да изхвърлят GSM-ите си в тоалетната и да нахлупят шапките от алуминиево фолио.

И едно важно уточнение – усилията в момента са за разкриптиране на GSM. GPRS и 3G ползват различни крипто алгоритми и за момента са по-сигурни. Разбира се, това не е защита при използването на този метод.

1. в момента се поддържат Моторола C115/117/118/123/140/155, V171, Sony Ericsson J100i, Openmoko Neo 1973, Freerunner [обратно ↩]
2. Universal Software Radio Peripheral – софтуерно радио с отворен код [обратно ↩]

Една малко закъсняла новина, но ми беше интересно накъде ще се развият събитията…
Миналата година Karsten Nohl - експерт от американската компания H4RDW4RE и член на Chaos Computer Club (CCC), обяви амбициозен проект с отворен код за съставянето на rainbow таблици за А5/1,  с използването на повече от 80 машини и nVidia CUDA. Проекта трябва да приключи с компресирането на 128 петабайтовата теоретична таблица до 2 или 3 терабайта, което ще позволи смислена от инженерна гледна точка употреба на rainbow таблицата при разбиване на А5/1 криптиране ( напомням, то се използва за GSM криптиране, не при 3G ). А5/1 по замисъл е 64 битов, но десет от тези бита са фиксирани към нула, така че ефективно е 54 бита. В момента А5/1 се използва от близо 80% от GSM мрежите по света. С използването на подобна таблица  ще позволи разкриптирането на гласова комуникация в GSM  и SMS-ите да става за часове, а не за месеци, като това е при сегашното състояние на софтуера/хардуера. Подобни системи са комерсиално достъпни за силовите агенции и министерства ( твърдят, че се продават само на тях ) и вървят по стотина хиляди долара на свободния пазар.

В края на декември, в последните дни на 2009-та,  на конференцията 26C3 беше презентиран статуса на проекта – с помощта на доброволци са изчислени големи части от таблиците, постигнат е напредък в алгоритмите на разкриптиране, което ги прави по-ефективни и теоретично вече е възможно да се сглоби цялостна система с отворен код от достъпни компоненти с отворен код за не повече от $1500 ( като USRP2 и OpenBTS). В момента на писането на това, средно се постига скорост от около 350 кодови вериги на секунда, а до момента са компилирани 450 млн кодови вериги. Слайдовете и  видеото от презентацията на 26C3 описват няколко типа атаки и дават добра идея за постиженията, а самите таблици са достъпни чрез торент на страницата на проекта.

В средата на януари беше обявена нова атака срещу 128-битовия А5/3, известен още като Kasumi, често използван за криптиране в 3G мрежите. Атаката изпозва related-key тактика и е наречена “сандвич атака” от създателите си – Orr Dunkelman, Nathan Keller и  Adi Shamir ( да, същият Шамир ). За разлика от предишният проект, тази атака е напълно практична:

In this paper we describe a new type of attack called a sandwich attack, and use it to construct a simple distinguisher for 7 of the 8 rounds of KASUMI with an amazingly high probability of 2^14. By using this distinguisher and analyzing the single remaining round, we can derive the complete 128 bit key of the full KASUMI by using only 4 related keys, 2^26 data, 2^30 bytes of memory, and 2^32  time. These complexities are so small that we have actually simulated the attack in less than two hours on a single PC, and experimentally verified its correctness and complexity. Interestingly, neither our technique nor any other published attack can break MISTY in less than the 2^128 complexity of exhaustive search, which indicates that the changes made by the GSM Association in moving from MISTY to KASUMI resulted in a much weaker cryptosystem.

Според Брус Шнайер, атаката не е напълно приложима, защото получаването на ключ + комплиментата му е доста трудно по начало.
Публикацията е достъпна в PDF и BibTeX Citation.

…но този път от всички. В своята лекция на конференцията Hacking at Random 2009 в Холандия, Karsten Nohl подема инициативата да се изчислят т.нар. Rainbow таблици, които ще позволят лесно разкриптиране на A5/1 алгоритъма, който се използва от GSM. С това той се надява най-накрая мобилните оператори да се размърдат и да вземат да оправят алгоритъма, който е хакнат теоритично още през 1997 г, Въпросните таблици ще позволят да се прави бързо разпознаване на използвания ключ и съответно лесно разкриптиране на разговори, при използването на скромен хардуер. Подобно подслушване е комерсиално достъпно и в момента, на цена от 100 000 до 250 000 евро, като въпросните таблици вече са били смятани веднъж – през 2008-ма, но никога не са публикувани ( става въпрос за едни 128 Петабайта ). Самото изчисляване на таблиците също не е тривиално, но като се използва CUDA и оптимизации, може да се постигне от 80 работни станции за 3 месеца.

Повече подробности в слайдовете от презентацията, сайта на проекта и в записа от лекцията, който за момента са достъпни само в суров вид.

Technorati : a5, gsm, rainbow table, хак