Podatności w sieci LTE – badania, czy zagrożenie?
Na początku marca przez specjalistyczne media przetoczyła się informacja o badaniach naukowców z Uniwersytetu Purdue i University of Iowa, sugerujących, iż odkryte przez nich nowe podatności w sieciach 4G LTE mogą stanowić duże ryzyko dla bezpieczeństwa przeprowadzanych przez nią połączeń. Kluczowym dla większości użytkowników ryzykiem miałaby być możliwość podsłuchiwania rozmów i SMSów.
Czy to ma sens, czy to się opłaca?
Jak wyglądają faktycznie ryzyka, wynikające z badań amerykańskich naukowców? Na szczęście nie jest tak źle, jak mogłyby sugerować alarmistyczne tytuły. Przede wszystkim dlatego, że 9 spośród 10 opisanych scenariuszy ataków wymaga, by ofiara znajdowała się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, zaś efektem udanych ataków mogą być w znacznej większości różne warianty DoS – które faktycznie utrudniają (a czasami chwilowo uniemożliwiają) skorzystanie z urządzenia, nie ma jednak mowy o podsłuchiwaniu.
Jedyny opisany zdalny atak [A-1] też skutkuje problemami w połączeniu się z siecią na skutek utraty synchronizacji, z dużym prawdopodobieństwem jednak większość atakowanych nawet nie zwróci na to uwagi. Inne skutki opisanych ataków to: fałszywa lokalizacja UE ofiary zarejestrowana przez sieć, fałszywe ostrzeżenia o zagrożeniu, czy wreszcie potwierdzenie przez atakującego informacji, że ofiara znajduje się w zasięgu kontrolowanej przezeń stacji eNodeB. Koszt przeprowadzenia opisanych ataków uzależniony jest od liczby niezbędnych do zrealizowania danego scenariusza urządzeń USRP (Universal Software Radio Peripherial) i ceny pojedynczego USRP – obecnie to ok. 1300 USD.
Czy można podsłuchać rozmowę w 4G?
W przypadku ataku [A-4] badaczom faktycznie udało się podsłuchać komunikację ofiary w jednej z czterech komercyjnych sieci na terenie Stanów Zjednoczonych, było to jednak głównie efektem… skandalicznego błędu w konfiguracji tej sieci – jej operatorów nie uruchomił szyfrowania na interfejsie radiowym LTE. Błąd został już naprawiony i stawiamy bitcoiny przeciwko orzechom, że długo się nie powtórzy…
W kwestii podsłuchiwania komunikacji 4G przytoczone badania nie odkryły zatem żadnej nowej słabości. Co więcej, artykuły opisujące w sensacyjnym tonie „nowe odkrycia, umożliwiające podsłuchiwanie komunikacji 4G” należy traktować jako niefachową nadinterpretację, bądź sposób na przyciągnięcie klików. Albo jedno i drugie.
| # | Procedura | Atak | Nazwa | Lokalny? | Niezbędne dane | Budżet | Opis | Skutek |
| 1 | ATTACH | A-1 | Authentication sync failure | N | znajomość IMSI ofiary, UE pozwalający wysyłać złośliwe pakiety | 2600 USD | wysłanie za pomocą UE serii pakietów ATTACH_REQUEST (z różnymi konfiguracjami bezpieczeństwa) podpisanych IMSI ofiary | UE ofiary doświadcza problemów z podłączeniem się do sieci |
| 2 | A-2 | Traceability | T | przechwycone SECURITY_MODE_COMMAND wysłane do ofiary na interfejsie radiowym podczas ostatniego ATTACH, fałszywa stacja eNodeB | 2600 USD | jeśli ofiara jest w zasięgu fałszywej eNodeB to odpowie SECURITY_MODE_COMPLETE na wysłaną przez eNodeB kopię SECURITY_MODE_COMMAND | możliwość weryfikacji czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB | |
| 3 | A-3 | Numb | T | ofiara łączy się do kontrolowanej przez atakującego fałszywej stacji eNodeB | 1300 USD | wysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB AUTH_REJECT do UE ofiary | UE ofiary nieaktywny dopóki nie zostanie zrestartowany | |
| 4 | A-4 | Authentication relay | T | znajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, UE pozwalający kontrolować komunikację na poziomie pakietów na interfejsie radiowym połaczony z fałszywą eNodeB | 3900 USD | 1. odłączenie UE ofiary od sieci za pomocą wysłania z kontrolowanej fałszywej eNodeB wiadomości pagingowej z IMSI ofiary [atak P-2]; 2. podłączenie do sieci fałszywego UE, podczas gdy UE ofiary próbuje podłączyć się do sieci poprzez fałszywą eNodeB | man-in -the-middle, ale w przypadku prawidłowo szyfrowanego ruchu pomiędzy UE i siecią nie można go ani zdeszyfrować ani zmodyfikować; całkowity lub selektywny DoS na nieświadomej ofierze, fałszywa lokalizacja UE ofiary zarejestrowana przez sieć | |
| 5 | PAGING | P-1 | Paging channel hijacking | T | fałszywa stacja eNodeB kontrolowana przez atakującego działająca na tej samej częstotliwości co stacja obsługująca ofiarę nadająca wiadomości pagingowe w tym samym czasie to stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary | 1300 USD | wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB pustych wiadomości pagingowych które „zagłuszają” te nadawane przez prawdziwa stację eNodeB | brak połączeń przychodzących do ofiary przez czas trwania ataku |
| 6 | P-2 | Stealthy kicking-off | T | fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary, znajomość IMSI ofiary | 1300 USD | wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z IMSI ofiary | DoS przez czas trwania ataku | |
| 7 | P-3 | Panic | T | fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary | 1300 USD | wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB fałszywych ostrzeżeń o zagrożeniu (poprzez SYSTEM_INFORMATION_BLOCK + włączony bit ETWS w wiadomościach pagingowych) | fałszywe ostrzeżenia o zagrożeniu odebrane przez UE | |
| 8 | P-4 | Energy depletion | T | fałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary; znajomość GUTI ofiary | 1300 USD | wysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z GUTI ofiary na które UE ofiary wysyła zaszyfrowaną wiadomość SERVICE_REQUEST | szybsze zużycie baterii w UE (ok. 8 krotnie przy wysyłaniu wiadomości pagingowej z GUTI ofiary co 3 s) | |
| 9 | P-5 | Linkability | T | znajomość IMSI ofiary, fałszywa stacja eNodeB | 1300 USD | jeśli ofiara jest w zasięgu fałszywej stacji eNodeB to odpowie ATTACH_REQUEST na wysłaną przez eNodeB wiadomość pagingową z IMSI ofiary | możliwość weryfikacji, czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB | |
| 10 | DETACH | D-1 | Detach | T | znajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB | 1300 USD | wysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB DETACH_REQUEST do UE ofiary | w wyniku tego, że część terminali niezgodnie ze specyfikacją 3GPP nie weryfikuje integralności DETACH_REQUEST: DoS lub przejście na 2G/3G |
Słowniczek:
- IMSI: International Mobile Subscriber Identifier, unikalny dla każdej karty SIM numer, składający się z MCC (kod kraju, 260 dla Polski), MNC (kod sieci, 03 dla Orange Polska) i MSIN (numer identyfikacyjny abonenta ruchomego, identyfikujący go w danej sieci)
- UE: User Equipment, urządzenie końcowe
- eNodeB: stacja bazowa dla sieci 4G
- DoS: Denial of Service, uniemożliwienie abonentowi korzystania z usług
- GUTI: Globally Unique Temporary Identifier stosowany zamiast IMSI celem zapewnienia większego bezpieczeństwa
