hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
19 marca 2018

Podatności w sieci LTE – badania, czy zagrożenie?

Na początku marca przez specjalistyczne media przetoczyła się informacja o badaniach naukowców z Uniwersytetu Purdue i University of Iowa, sugerujących, iż odkryte przez nich nowe podatności w sieciach 4G LTE mogą stanowić duże ryzyko dla bezpieczeństwa przeprowadzanych przez nią połączeń. Kluczowym dla większości użytkowników ryzykiem miałaby być możliwość podsłuchiwania rozmów i SMSów.

Czy to ma sens, czy to się opłaca?

Jak wyglądają faktycznie ryzyka, wynikające z badań amerykańskich naukowców? Na szczęście nie jest tak źle, jak mogłyby sugerować alarmistyczne tytuły. Przede wszystkim dlatego, że 9 spośród 10 opisanych scenariuszy ataków wymaga, by ofiara znajdowała się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, zaś efektem udanych ataków mogą być w znacznej większości różne warianty DoS – które faktycznie utrudniają (a czasami chwilowo uniemożliwiają) skorzystanie z urządzenia, nie ma jednak mowy o podsłuchiwaniu.

Jedyny opisany zdalny atak [A-1] też skutkuje problemami w połączeniu się z siecią na skutek utraty synchronizacji, z dużym prawdopodobieństwem jednak większość atakowanych nawet nie zwróci na to uwagi. Inne skutki opisanych ataków to: fałszywa lokalizacja UE ofiary zarejestrowana przez sieć, fałszywe ostrzeżenia o zagrożeniu, czy wreszcie potwierdzenie przez atakującego informacji, że ofiara znajduje się w zasięgu kontrolowanej przezeń stacji eNodeB. Koszt przeprowadzenia opisanych ataków uzależniony jest od liczby niezbędnych do zrealizowania danego scenariusza urządzeń USRP (Universal Software Radio Peripherial) i ceny pojedynczego USRP – obecnie to ok. 1300 USD.

Czy można podsłuchać rozmowę w 4G?

W przypadku ataku [A-4] badaczom faktycznie udało się podsłuchać komunikację ofiary w jednej z czterech komercyjnych sieci na terenie Stanów Zjednoczonych, było to jednak głównie efektem… skandalicznego błędu w konfiguracji tej sieci – jej operatorów nie uruchomił szyfrowania na interfejsie radiowym LTE. Błąd został już naprawiony i stawiamy bitcoiny przeciwko orzechom, że długo się nie powtórzy…

W kwestii podsłuchiwania komunikacji 4G przytoczone badania nie odkryły zatem żadnej nowej słabości. Co więcej, artykuły opisujące w sensacyjnym tonie „nowe odkrycia, umożliwiające podsłuchiwanie komunikacji 4G” należy traktować jako niefachową nadinterpretację, bądź sposób na przyciągnięcie klików. Albo jedno i drugie.

Szczegóły opisywanych podatności w sieciach LTE
# Procedura Atak Nazwa Lokalny? Niezbędne dane Budżet Opis Skutek
1 ATTACH A-1 Authentication sync failure N znajomość IMSI ofiary, UE pozwalający wysyłać złośliwe pakiety 2600 USD wysłanie za pomocą UE serii pakietów ATTACH_REQUEST (z różnymi konfiguracjami bezpieczeństwa) podpisanych IMSI ofiary UE ofiary doświadcza problemów z podłączeniem się do sieci
2 A-2 Traceability T przechwycone SECURITY_MODE_COMMAND wysłane do ofiary na interfejsie radiowym podczas ostatniego ATTACH, fałszywa stacja eNodeB 2600 USD jeśli ofiara jest w zasięgu fałszywej eNodeB to odpowie SECURITY_MODE_COMPLETE na wysłaną przez eNodeB kopię SECURITY_MODE_COMMAND możliwość weryfikacji czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB
3 A-3 Numb T ofiara łączy się do kontrolowanej przez atakującego fałszywej stacji eNodeB 1300 USD wysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB AUTH_REJECT do UE ofiary UE ofiary nieaktywny dopóki nie zostanie zrestartowany
4 A-4 Authentication relay T znajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, UE pozwalający kontrolować komunikację na poziomie pakietów na interfejsie radiowym połaczony z fałszywą eNodeB 3900 USD 1. odłączenie UE ofiary od sieci za pomocą wysłania z kontrolowanej fałszywej eNodeB wiadomości pagingowej z IMSI ofiary [atak P-2]; 2. podłączenie do sieci fałszywego UE, podczas gdy UE ofiary próbuje podłączyć się do sieci poprzez fałszywą eNodeB man-in -the-middle, ale w przypadku prawidłowo szyfrowanego ruchu pomiędzy UE i siecią nie można go ani zdeszyfrować ani zmodyfikować; całkowity lub selektywny DoS na nieświadomej ofierze, fałszywa lokalizacja UE ofiary zarejestrowana przez sieć
5 PAGING P-1 Paging channel hijacking T fałszywa stacja eNodeB kontrolowana przez atakującego działająca na tej samej częstotliwości co stacja obsługująca ofiarę nadająca wiadomości pagingowe w tym samym czasie to stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary 1300 USD wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB pustych wiadomości pagingowych które „zagłuszają” te nadawane przez prawdziwa stację eNodeB brak połączeń przychodzących do ofiary przez czas trwania ataku
6 P-2 Stealthy kicking-off T fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary, znajomość IMSI ofiary 1300 USD wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z IMSI ofiary DoS przez czas trwania ataku
7 P-3 Panic T fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary 1300 USD wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB fałszywych ostrzeżeń o zagrożeniu (poprzez SYSTEM_INFORMATION_BLOCK + włączony bit ETWS w wiadomościach pagingowych) fałszywe ostrzeżenia o zagrożeniu odebrane przez UE
8 P-4 Energy depletion T fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary; znajomość GUTI ofiary 1300 USD wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z GUTI ofiary na które UE ofiary wysyła zaszyfrowaną wiadomość SERVICE_REQUEST szybsze zużycie baterii w UE (ok. 8 krotnie przy wysyłaniu wiadomości pagingowej z GUTI ofiary co 3 s)
9 P-5 Linkability T znajomość IMSI ofiary, fałszywa stacja eNodeB 1300 USD jeśli ofiara jest w zasięgu fałszywej stacji eNodeB to odpowie ATTACH_REQUEST na wysłaną przez eNodeB wiadomość pagingową z IMSI ofiary możliwość weryfikacji, czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB
10 DETACH D-1

Detach
/Downgrade

 T znajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB 1300 USD wysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB DETACH_REQUEST do UE ofiary w wyniku tego, że część terminali niezgodnie ze specyfikacją 3GPP nie weryfikuje integralności DETACH_REQUEST: DoS lub przejście na 2G/3G

Słowniczek:

  • IMSI: International Mobile Subscriber Identifier, unikalny dla każdej karty SIM numer, składający się z MCC (kod kraju, 260 dla Polski), MNC (kod sieci, 03 dla Orange Polska) i MSIN (numer identyfikacyjny abonenta ruchomego, identyfikujący go w danej sieci)
  • UE: User Equipment, urządzenie końcowe
  • eNodeB: stacja bazowa dla sieci 4G
  • DoS: Denial of Service, uniemożliwienie abonentowi korzystania z usług
  • GUTI: Globally Unique Temporary Identifier stosowany zamiast IMSI celem zapewnienia większego bezpieczeństwa

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

14 listopada 2024
Jak (nie) działają hacki do gier z Youtube’a?
Dowiedz się więcej
7 listopada 2024
(nie)Bezpieczna Sieć wraca!
Dowiedz się więcej
6 listopada 2024
OhMyHack coraz bliżej – mamy kod zniżkowy
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas