hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Podatności w sieci LTE – badania, czy zagrożenie?

Na początku marca przez specjalistyczne media przetoczyła się informacja o badaniach naukowców z Uniwersytetu Purdue i University of Iowa, sugerujących, iż odkryte przez nich nowe podatności w sieciach 4G LTE mogą stanowić duże ryzyko dla bezpieczeństwa przeprowadzanych przez nią połączeń. Kluczowym dla większości użytkowników ryzykiem miałaby być możliwość podsłuchiwania rozmów i SMSów.

Czy to ma sens, czy to się opłaca?

Jak wyglądają faktycznie ryzyka, wynikające z badań amerykańskich naukowców? Na szczęście nie jest tak źle, jak mogłyby sugerować alarmistyczne tytuły. Przede wszystkim dlatego, że 9 spośród 10 opisanych scenariuszy ataków wymaga, by ofiara znajdowała się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, zaś efektem udanych ataków mogą być w znacznej większości różne warianty DoS – które faktycznie utrudniają (a czasami chwilowo uniemożliwiają) skorzystanie z urządzenia, nie ma jednak mowy o podsłuchiwaniu.

Jedyny opisany zdalny atak [A-1] też skutkuje problemami w połączeniu się z siecią na skutek utraty synchronizacji, z dużym prawdopodobieństwem jednak większość atakowanych nawet nie zwróci na to uwagi. Inne skutki opisanych ataków to: fałszywa lokalizacja UE ofiary zarejestrowana przez sieć, fałszywe ostrzeżenia o zagrożeniu, czy wreszcie potwierdzenie przez atakującego informacji, że ofiara znajduje się w zasięgu kontrolowanej przezeń stacji eNodeB. Koszt przeprowadzenia opisanych ataków uzależniony jest od liczby niezbędnych do zrealizowania danego scenariusza urządzeń USRP (Universal Software Radio Peripherial) i ceny pojedynczego USRP – obecnie to ok. 1300 USD.

Czy można podsłuchać rozmowę w 4G?

W przypadku ataku [A-4] badaczom faktycznie udało się podsłuchać komunikację ofiary w jednej z czterech komercyjnych sieci na terenie Stanów Zjednoczonych, było to jednak głównie efektem… skandalicznego błędu w konfiguracji tej sieci – jej operatorów nie uruchomił szyfrowania na interfejsie radiowym LTE. Błąd został już naprawiony i stawiamy bitcoiny przeciwko orzechom, że długo się nie powtórzy…

W kwestii podsłuchiwania komunikacji 4G przytoczone badania nie odkryły zatem żadnej nowej słabości. Co więcej, artykuły opisujące w sensacyjnym tonie „nowe odkrycia, umożliwiające podsłuchiwanie komunikacji 4G” należy traktować jako niefachową nadinterpretację, bądź sposób na przyciągnięcie klików. Albo jedno i drugie.

Szczegóły opisywanych podatności w sieciach LTE
#ProceduraAtakNazwaLokalny?Niezbędne daneBudżetOpisSkutek
1ATTACHA-1Authentication sync failureNznajomość IMSI ofiary, UE pozwalający wysyłać złośliwe pakiety2600 USDwysłanie za pomocą UE serii pakietów ATTACH_REQUEST (z różnymi konfiguracjami bezpieczeństwa) podpisanych IMSI ofiaryUE ofiary doświadcza problemów z podłączeniem się do sieci
2A-2TraceabilityTprzechwycone SECURITY_MODE_COMMAND wysłane do ofiary na interfejsie radiowym podczas ostatniego ATTACH, fałszywa stacja eNodeB2600 USDjeśli ofiara jest w zasięgu fałszywej eNodeB to odpowie SECURITY_MODE_COMPLETE na wysłaną przez eNodeB kopię SECURITY_MODE_COMMANDmożliwość weryfikacji czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB
3A-3NumbTofiara łączy się do kontrolowanej przez atakującego fałszywej stacji eNodeB1300 USDwysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB AUTH_REJECT do UE ofiaryUE ofiary nieaktywny dopóki nie zostanie zrestartowany
4A-4Authentication relayTznajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB, UE pozwalający kontrolować komunikację na poziomie pakietów na interfejsie radiowym połaczony z fałszywą eNodeB3900 USD1. odłączenie UE ofiary od sieci za pomocą wysłania z kontrolowanej fałszywej eNodeB wiadomości pagingowej z IMSI ofiary [atak P-2]; 2. podłączenie do sieci fałszywego UE, podczas gdy UE ofiary próbuje podłączyć się do sieci poprzez fałszywą eNodeBman-in -the-middle, ale w przypadku prawidłowo szyfrowanego ruchu pomiędzy UE i siecią nie można go ani zdeszyfrować ani zmodyfikować; całkowity lub selektywny DoS na nieświadomej ofierze, fałszywa lokalizacja UE ofiary zarejestrowana przez sieć
5PAGINGP-1Paging channel hijackingTfałszywa stacja eNodeB kontrolowana przez atakującego działająca na tej samej częstotliwości co stacja obsługująca ofiarę nadająca wiadomości pagingowe w tym samym czasie to stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary1300 USDwysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB pustych wiadomości pagingowych które „zagłuszają” te nadawane przez prawdziwa stację eNodeBbrak połączeń przychodzących do ofiary przez czas trwania ataku
6P-2Stealthy kicking-offTfałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę ale z wyższym poziomem sygnału dla ofiary, znajomość IMSI ofiary1300 USDwysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z IMSI ofiaryDoS przez czas trwania ataku
7P-3PanicTfałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary1300 USDwysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB fałszywych ostrzeżeń o zagrożeniu (poprzez SYSTEM_INFORMATION_BLOCK + włączony bit ETWS w wiadomościach pagingowych)fałszywe ostrzeżenia o zagrożeniu odebrane przez UE
8P-4Energy depletionTfałszywa stacja eNodeB kontrolowana przez atakującego, działająca na tej samej częstotliwości co stacja obsługująca ofiarę, nadająca wiadomości pagingowe w tym samym czasie co stacja obsługująca ofiarę, ale z wyższym poziomem sygnału dla ofiary; znajomość GUTI ofiary1300 USDwysyłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB wiadomości pagingowych z GUTI ofiary na które UE ofiary wysyła zaszyfrowaną wiadomość SERVICE_REQUESTszybsze zużycie baterii w UE (ok. 8 krotnie przy wysyłaniu wiadomości pagingowej z GUTI ofiary co 3 s)
9P-5LinkabilityTznajomość IMSI ofiary, fałszywa stacja eNodeB1300 USDjeśli ofiara jest w zasięgu fałszywej stacji eNodeB to odpowie ATTACH_REQUEST na wysłaną przez eNodeB wiadomość pagingową z IMSI ofiarymożliwość weryfikacji, czy ofiara znajduje się w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB
10DETACHD-1

Detach
/Downgrade

Tznajomość IMSI ofiary, ofiara w zasięgu kontrolowanej przez atakującego fałszywej stacji eNodeB1300 USDwysłanie z kontrolowanej przez atakującego fałszywej stacji eNodeB DETACH_REQUEST do UE ofiaryw wyniku tego, że część terminali niezgodnie ze specyfikacją 3GPP nie weryfikuje integralności DETACH_REQUEST: DoS lub przejście na 2G/3G

Słowniczek:

  • IMSI: International Mobile Subscriber Identifier, unikalny dla każdej karty SIM numer, składający się z MCC (kod kraju, 260 dla Polski), MNC (kod sieci, 03 dla Orange Polska) i MSIN (numer identyfikacyjny abonenta ruchomego, identyfikujący go w danej sieci)
  • UE: User Equipment, urządzenie końcowe
  • eNodeB: stacja bazowa dla sieci 4G
  • DoS: Denial of Service, uniemożliwienie abonentowi korzystania z usług
  • GUTI: Globally Unique Temporary Identifier stosowany zamiast IMSI celem zapewnienia większego bezpieczeństwa

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także