Alfonso Maruccia

GSM, il crack che fa discutere

L'algoritmo di protezione della maggioranza delle comunicazioni mobili mondiali è saltato. Ancora una volta. I produttori fanno spallucce mentre i white hat promettono intercettazioni per tutti nel giro di pochi mesi

Roma - Dal punto di vista della sicurezza delle comunicazioni, l'anno 2009 si è concluso con quello che in molti hanno definito un autentico botto: un hacker "white hat" tedesco, tale Karsten Nohl, ha annunciato al mondo di aver sviluppato un metodo per crackare le chiamate su rete cellulare GSM, chiamando in causa la scarsa considerazione dei carrier per la sicurezza e prevedendo la disponibilità di hardware e software appropriato nel giro di poco tempo.

Nohl ha presentato il suo progetto alla conferenza Chaos Communication Congress tenutasi a Berlino negli ultimi giorni dell'anno: grazie al lavoro indipendente (benché focalizzato sullo stesso obiettivo) di 24 membri del Chaos Computer Club tedesco, l'hacker ha messo insieme abbastanza informazioni per abbattere il meccanismo di cifratura usato per l'80 per cento delle comunicazioni cellulari in tutto il mondo. L'algoritmo incriminato si chiama A5/1, è a 64 bit ed è considerato obsoleto in relazione al più recente A5/3 a 128 bit (impiegato sui network 3G).

L'algoritmo A5/1, che rappresenta solo una parte dei meccanismi di protezione delle chiamate GSM (essendo la seconda caratterizzata dall'offuscamento dei pacchetti di dati su frequenze differenti), è stato attaccato grazie all'impiego di una rainbow table da 2 Terabyte, un array di dati per calcolare il quale Nohl ha usato software per schede GPGPU e processori Cell (in sostanza PlayStation 3) eseguito in parallelo dai suoi collaboratori.
La messe di dati risultante, già disponibile su rete BitTorrent per chiunque fosse interessato, può secondo Nohl e colleghi servire a ridurre drasticamente i tempi necessari alla decifrazione delle chiamate GSM. Siamo molto vicini alla praticità di un metodo "tutto compreso" e a basso costo con cui intercettare i cellulari del vicino di casa nel giro di 15 minuti, dice l'hacker, secondo la cui opinione questo "dimostra che la sicurezza esistente su rete GMS è inadeguata".

"Secondo il parere scritto dei nostri avvocati la nostra ricerca rientra nella sfera legale", precisa Nohl, anche se "ovviamente i dati che abbiamo prodotto potrebbero comunque essere usati per scopi illegittimi". Di parere nettamente contrario è la GSM Association, l'organizzazione mondiale dell'industria cellulare che parla invece di attività "parecchio illegali".

"Consideriamo questa ricerca, che appare in parte motivate da considerazioni commerciali, molto lontana dall'essere un attacco praticabile al GSM" ha detto il portavoce dell'associazione Claire Cranton. "Fare una cosa del genere mentre si è apparentemente preoccupati della privacy - ha continuato il portavoce - è al di là della mia possibilità di comprensione".

L'industria sceglie di ridimensionare l'importanza di un attacco che è solo l'ultimo di una lunga serie e riafferma la validità di un meccanismo di protezione che risale al 1988 e che è già stato superato tecnologicamente da sistemi maggiormente al passo coi tempi. In attesa che i player del mercato GSM decidano di aggiornare la rete e passare ad A5/3, però, gli esperti di sicurezza avvertono: la rete 2G non ha forse ancora fatto la fine della vecchia TACS (dove bastava origliare per intercettare) e chi ha la necessità di proteggere le proprie comunicazioni cellulari farà bene ad adottare misure adeguate. Per tutti gli altri non cambia granché, almeno per il momento.

Alfonso Maruccia
Notizie collegate
  • AttualitàNuovi crack sul GSMUn ricercatore israeliano ha superato gli algoritmi di sicurezza utilizzati dalle reti cellulari sfruttando alcune falle che potrebbero consentire ascolto delle chiamate e identificazione degli interlocutori
  • AttualitàReti GSM e GPRS a prova di crackerSi è concluso lo sviluppo di un nuovo algoritmo crittografico che avrà il compito migliorare la sicurezza delle reti mobili di seconda generazione
  • SicurezzaCraccate le protezioni dei GSMDue ricercatori israeliani affermano di aver infranto un noto algoritmo crittografico utilizzato nella telefonia cellulare. Quali rischi per gli utenti?
9 Commenti alla Notizia GSM, il crack che fa discutere
Ordina
  • C'è evidentemente un sacco di hype in questo annuncio. Purtroppo P.I. ci va a nozze acriticamente. Comunque andiamo con ordine.

    Primo, sono anni che svariati gruppi tentano di crackare l'A5/1 ed era solo questione di tempo. C'era chi lo aveva annunciato fin dalla prima metà del 2008 (anche se probabilmente era un bluff: http://www.theregister.co.uk/2008/04/22/heathrow_c.../).

    Per inciso: non c'è alcun problema nel crakkare l'algoritmo in sé. Il problema è ricostruire una comunicazione, che non è affatto così semplice, perché non c'è in gioco soltanto la criptazione della comunicazione, ma molti altri fattori, come il frequency hopping. In effetti l'attacco dimostrato è un "man-in-the-middle" dove l'attaccante si "spaccia" per base station.

    Secondo, chi l'ha detto che l'80% degli operatori usa l'A5/1? da dove viene questa percentuale? a me risulta molto diversamente. L'upgrade ad A5/3 è facilissimo, probabilmente solo un cambio di configurazione, sicuramente nessun costo in termini di licenze software per le base stations. L'unica cosa che può tenere a freno un upgrade è la compatibilità con telefoni molto, molto vecchi, si parla di 10 anni.

    Terzo, siamo ancora molto lontani dall'intercettazione passiva e dalla decodifica in real time. Questo è molto chiaro nelle slides, molto meno nell'articolo.

    Quarto ed ultimo, mancano ancora le chiavi di criptazione... senza quelle anche una eventuale intercettazione è molto complessa.

    In pratica, un attaccante dovrebbe:

    1) installare una base station
    2) costringere i telefoni ad usare la sua base station, fingendo di essere un operatore piuttosto che un altro - chiaro che non catturerebbe i telefoni degli altri operatori
    3) decriptare tutte le comunicazioni su tutte le frequenze - fin qua ci siamo ed è quello che è stato dimostrato. Ci manca la ricostruzione delle conversazioni sulle varie frequenze post-criptazione

    Il prossimo passo sarebbe quello di creare un sistema totalmente passivo, a cui i telefoni NON debbano connettersi. In ogni caso, un bel risultato, ma molto lontano da quello che l'articolo, così come è stato presentato da P.I., lascia supporre.


    Cordiali saluti
  • Grazie per l'ottima delucidazione.Occhiolino
    non+autenticato
  • Stessa cosa dei bug hunter che rendono pubbliche le falle di sicurezza dei software più famosi per costringere chi li distribuisce, producendoci quattrini, a tapparle, anche se questi vorrebbero fossero tenute nascoste per lavorarci "con calma".
    Inoltre, senz'altro attualmente chi ha il potere sufficiente può intercettare "alla sorgente" il traffico telefonico GSM, il rilascio di queste informazioni non fa che estendere il potenziale bacino d'utenza delle intercettazioni.
  • mi sa un incentivo al rilascio delle licenze wcdma 900
    non+autenticato
  • ma no, tranquilli, nessun bug e nessuna intercettazione
    semplicemente questa è la security moderna, si pubblica una banalità e la si fa passare per qualcosa di mistico
    il tizio in questione ha soltanto generato delle rainbow tables, sapete cosa sono? tabelle di hash...servono solo a ridurre i tempi di brute force e funzionano solo su chiavi di cifratura prese in considerazione durante la generazione dell'hash...
    è come dire che faccio un hash di 4 miliardi di chiavi private rsa e dico che ho crackato l'algoritmo, non funziona esattamente cosìSorride
    infatti esistono pure rainbow tables per md5 e non sono mai state usate per niente, visto che non servono a niente se non a riprodurre hash di dati gia noti in partenza e preparati allo scopo per una dimostrazione, cioè un caso diverso dalla realtàSorride
    non+autenticato
  • Ehm...r.t. per MD5 MAI USATE???
    Uhm...Sorride
    non+autenticato
  • si e che ci fai? le usi per crackare gli stessi dati usati nella demo, stop
    non puoi usarle per altro di utile se non piccole quantità di byte
    md5 è stato crackato VERAMENTE, perché è stata trovata una debolezza nell'effetto valagna dell'algoritmo ed è possibile costruire 2 blocchi di dati con lo stesso hash, oppure costruire un hash uguale ad un altro hash, partendo da dati diversi, tutto ciò non richiede nessuna rainbow table, solo molta potenza di calcolo
    usare le rainbow tables equivale a fare bruteforce, non è una debolezza dell'algoritmo... (premesso che l'algoritmo gsm è effettivamente una chiavica, ma non certo per colpa delle rainbow tables)
    non+autenticato
  • > usare le rainbow tables equivale a fare
    > bruteforce, non è una debolezza dell'algoritmo...
    > (premesso che l'algoritmo gsm è effettivamente
    > una chiavica, ma non certo per colpa delle
    > rainbow
    > tables)

    Si però a velocità 1000 volte superiori
    non+autenticato
  • Lascia stare, tante volte è inutile parlare quando non c'è l'intenzione di voler intavolare una discussione.
    non+autenticato