Università degli Studi di Perugia Facoltà di Scienze Matematiche Fisiche e Naturali Corso di Laurea Specialistica in Informatica Seminario del corso di Sicurezza Sicurezza nei sistemi mobile Studente: Docente: Ambus Giuliano Stefano Bistarelli
Sicurezza delle reti mobile - Ambus Giuliano AGENDA Sicurezza delle reti GSM Sicurezza delle reti UMTS Sicurezza del Mobile IPv6 Sicurezza delle reti WLAN Bluetooth
Sicurezza delle reti mobile - Ambus Giuliano TECNOLOGIA MOBILE E SISTEMA GSM Esigenza da sempre richiesta specie in ambiti militari 1935 modulazione delle frequenze da parte di E.H. Armstrong (canale FM) Fine anni 40 primi sistemi di comunicazione mobile analogici Suddivisione del sistema in celle (Sistema cellulare) Primi sistemi intorno agli anni 80 (TACS 1985) ma con molte limitazioni
Sicurezza delle reti mobile - Ambus Giuliano NASCE IL GSM 1982 Group Special Mobile (GSM) definizione nuovo standard mobile digitale Assicurare una buona comunicazione audio Bassi costi per terminali e gestione del servizio Possibilità di roaming internazionale Introduzione di nuovi servizi Maggiore sicurezza nelle comunicazioni Compatibilità col servizio ISDN > L'ETSI definì le specifiche del GSM (che diviene General Mobile Service)
Sicurezza delle reti mobile - Ambus Giuliano STRUTTURA DEL GSM
Sicurezza delle reti mobile - Ambus Giuliano SICUREZZA NEL GSM Gli algoritmi usati per la sicurezza del GSM sono L'algoritmo A3 per l'autenticazione dell'utente L'algoritmo A5 per la cifrature dei messaggi L'algoritmo A8 per la generazione della chiave da usare
Sicurezza delle reti mobile - Ambus Giuliano AUTENTICAZIONE ogniqualvolta la MS riceve o effettua una chiamata, ogniqualvolta venga effettuato l'aggiornamento della posizione della Mobile Station (Location Updating), ogniqualvolta venga effettuata l'attivazione, disattivazione o interrogazione dei servizi supplementari Tramite l'algoritmo A8 che ha sempre in input il RAND e la Ki si genera la chiave di sessione Kc
Sicurezza delle reti mobile - Ambus Giuliano CIFRATURA L'algoritmo è l'algoritmo A5, uno stream-cipher
Sicurezza delle reti mobile - Ambus Giuliano Problemi e attacchi GSM La comunicazione è cifrata fino alla BTS ma dopo i messaggi viaggiano in chiaro Algoritmi di facile rottura Attacco Brute-Force Accesso ai segnali dalla Rete Recupero della chiave dalla SIM (accesso fisico) Recupero della chiave via Etere (sostituzione alla BTS) Possibilità di frodi (finti servizi, deviazione della chiamata)
Sicurezza delle reti mobile - Ambus Giuliano Tecnologia UMTS Terza generazione della telefonia Mobile Inizio lavori prime specifiche da parte del 3GPP Sistema più sicuro del GSM Commutazione di pacchetto Prevede un mutua autenticazione: AUTENTICAZIONE RETE VERSO TERMINALE AUTENTICAZIONE TERMINALE VERSO RETE
Sicurezza delle reti mobile - Ambus Giuliano Funzioni Crittografiche 1 L'UMTS fa uso di una serie di funzione crittografiche per l'autenticazione e la cifratura dei messaggi f0: Funzione per la generazione del numero (pseudo) casuale RAND. f1: Funzione per l'autenticazione della rete. Genera un codice MAC f1*: Funzione per l'autenticazione del messaggio di ri-sincronizzazione f2: Funzione per l'autenticazione dell'utente. Genera un codice RES f3: Funzione per la generazione della chiave CK (Cipher Key) data poi in input alla funzione f8 f4: Funzione per la generazione della chiave IK (Integrity Key) passata in input alla funzione f9
Sicurezza delle reti mobile - Ambus Giuliano Funzioni Crittografiche 2 f5: Funzione per la generazione della chiave AK (Anonymity Key) usata nelle normali operazioni f5*: Funzione per la generazione della chiave AK (Anonymity Key) usata nei messaggi di ri-sincronizzazione f8: Funzione per la riservatezza dei dati. Genera una keystream f9: Funzione per l'integrità dei dati. Genera un codice MAC-I (Message Authentication Code -Integrity).
Sicurezza delle reti mobile - Ambus Giuliano Confidenzialità (f8) All'interno del sistema UMTS la funzione f8 è quella definita per garantire la confidenzialità CK, la chiave di cifratura generata tramite le altre funzioni algoritmiche; un contatore COUNT-C per impedire ripetizioni della chiave un identificatore BearerID, di 5 bit, che indica il canale aperto un bit di direzione, che indica il tipo di flusso (up-link o down-link) la lunghezza dei blocchi di cifratura, indicata con 16 bit.
Sicurezza delle reti mobile - Ambus Giuliano Integrità (f9) La funzione f9 è quella definita per l'integrità dei dati tramite l'uso di un codice che garantisce l'integrità dei messaggi IK, la chiave d'integrità appositamente generata un FRESH, un numero di nonce che viene mandato dalla rete al terminale mobile, prima che inizi la cifratura dei dati, per prevenire replay attack Se MAC e XMAC-I coincidono il messaggio è rimasto integro
Sicurezza delle reti mobile - Ambus Giuliano Autenticazione AKA Realizzare una mutua autenticazione tra rete e utente Generare le chiavi per confidenzialità e integrità PASSI: 1) Il terminale invia una richiesta all'MSC/VLR che risponde richiedendo l'IMSI 2)Quindi inizia il protocollo AKA 3)Se il terminale si sposta di zona il VLR deve sapere l'IMSI dell'utente richiedendolo all'HLR
Sicurezza delle reti mobile - Ambus Giuliano AKA Autenticazione rete Autenticazione terminale
Sicurezza delle reti mobile - Ambus Giuliano AKA (Generazione del vettore) L'AUC quando riceve una richiesta di autenticazione genera prima un RAND e poi un vettore di autenticazione AV Quindi l'AUC genera il numero AUTN=SQN xor AK,AMF,MAC e poi il vettore da passare alla VLR=
Sicurezza delle reti mobile - Ambus Giuliano AKA (Autenticazione della rete) Il terminale quindi da prima confronta il suo XMAC con il MAC della VLR poi invia il suo RES che la VLR confronterà con il suo XRES
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 Standard dell'IETF per i dispositivi mobile (laptop) Permette all'utente di spostarsi da una rete a un'altra e restare comunque raggiungibile tenendo un indirizzo IP Quando l'utente si sposta su un'altra rete è necessario assegnargli un nuovo IP o non sarà più raggiungibile In sostanza consente a un terminale mobile di essere sempre raggiungibile, pur questo spostandosi tra le varie reti
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (sicurezza) Quando un device si sposta come fanno gli altri a essere sicuri della sua nuove posizione dichiarata Un nodo può cosi mentire sia circa la sua identità sia circa la sua posizione Ad esempio Alice dichiara di trovarsi nella posizione di Bob e far si che tutti i pacchetti indirizzati a Bob siano girati a lei. Ordina un grande quantità di dati che poi però gira verso Bob (Bombing Attack)
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (componenti) subnet prefix (64 bit) for location interface ID (64 bit) for identity Home Adress : L'indirizzo IPv6 del nodo nella sua Home Network Home Agent : router responsabile dell'inoltro dei pacchetti ai nodi Quando un nodo si trova nella sua Home Network può essere raggiungibile direttamente tramite il suo Home Address altrimenti gli viene assegnato un nuovo IP Care of Address: L'indirizzo IPv6 del nodo al di fuori della Home Network
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (componenti) Binding : L'associazione tra Home Address e Care of address Ogni nodo possiede quindi una cache con una tabella di binding correntemente aggiornata con un operazione detta binding update Problema : e se uno riesce a compromettere la binding cache o passa informazioni errate ?
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (sicurezza) E' necessario quindi un meccanismo per rendere sicura l'autenticazione di un nodo e il binding update proteggendo i messaggi di binding tra Mobile Network e Home Agent tramite l'uso di IPSEC (che richiede una mutua autenticazione) tra Mobile Network e Corrisponden Node usando un protocollo di tipo return routability che assicura quest'ultimo che chi ha inviato il BU sia chi dichiara di essere RETURN ROUTABILITY
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (Return Routability)
Sicurezza delle reti mobile - Ambus Giuliano Mobile IPv6 (rischi) L'attacco più pluasibile è l'intercettazione delle comunicazioni tra i CN non via etere I nodi devono generare ogni volta chiavi diverse usando una chiave condivisa Kcn K 0 :=HMAC_SHA1(K cn, HoA || nonce[i] | 0) 64 K 1 :=HMAC_SHA1(K cn, CoA || nonce[j] | 1) 64
Sicurezza delle reti mobile - Ambus Giuliano WLAN security Standard per la comunicazione senza fili Necessario proteggere accesso alla rete,integrità e confidenzialità dei dati trasemessi. Vari metodi: SSID non in broadcast (sniffing dei pacchetti → intercetto SSID) MAC address
Sicurezza delle reti mobile - Ambus Giuliano WLAN security Autenticazione tramite protocollo UAM (Universal Access Mechanism) Mobile terminal Acces Point Acces Point controller UMA Internet Radius
Sicurezza delle reti mobile - Ambus Giuliano WLAN-wep Un protocollo realizzato per la sicurezza delle reti WLAN è il protocollo WEP chiave segreta a 40 bit a cui viene aggiunta un vettore (IV) di 24 bit RC4 per eseguire la criptazione Chiave_Intermedia = Chiave_WEP ∪ IV Chiave_Cifratura = RC4(Chiave_Intermedia) I messaggi sono poi divisi in blocchi a ciascuno del quale viene poi aggiunto un CheckSum a 32 bit tramite l'algoritmo CRC 32 La CHECK-SUM più il blocco formano il PLAIN-TEXT
Sicurezza delle reti mobile - Ambus Giuliano WLAN-wep Con la chiave generata in precedenza si esegue poi uno XOR con il teso in chiaro e si cifra il messaggio. La decifrazione avviene eseguendo l'operazione inversa ============================= Plain Text | blocco testo | CRC 32 | | chiave cifratura | Xor ============================= | testo cifrato |
Sicurezza delle reti mobile - Ambus Giuliano WLAN-wep (problemi)WLAN-wep Vettore IV troppo piccolo (dopo circa 5 ore si ripetono o anche se cade una connessione a causa di una collisione) Basta uno sniffing dei pacchetti per identificare le informazioni di cifratura (AirSnort, WepCrack)
Sicurezza delle reti mobile - Ambus Giuliano WLAN-wep (attacchi) Known PlainText Attack -> Facendo lo Xor di due pacchetti cifrati con stessa chiave WEP e IV è possibile ottenere lo XOR dei testi in chiaro quindi conoscendo un testo in chiaro si puo ricavare l'altro o ancora conoscendo il testo in chiaro e il relativo cifrato si ottiene la Key Stream
Sicurezza delle reti mobile - Ambus Giuliano WLAN-wep (attacchi) Packet injection -> Facendo lo Xor tra il testo in chiaro e quello cifrato si ottine la key stream Se poi si recupera l'IV del testo C1 si riesce a generare un paccchetto valido per l'AP con la possibilità di innondare la rete di pacchetti.
Sicurezza delle reti mobile - Ambus Giuliano WLAN-WPA Nuovo protocollo con lo scopo di sostituire WEP Nuovo metodo di autenticazione EAP (kerberos, radius) Sostituzione del CRC-32 con un codice di autenticazione MIC Vettore IV più grande
Sicurezza delle reti mobile - Ambus Giuliano WLAN-WPA 1. La lunghezza del vettore IV è stata raddoppiata (da 24 bit a 48 ) portando le combinazioni da 16,7 mln a circa 281'475 Miliardi. 2. L'IV in WPA è usato come un contatore, chiamato TSC previene la ripetizione del keystream; 3. La chiave viene calcolata ad ogni pacchetto (per packet) usando il vettore IV. 4. La chiave “Master” PMK (Pairwise Master Key) non viene MAI usata direttamente. Viene ricavata sempre una nuova chiave PTK (PairwiseTransient Key) usando la PMK. 5. Il cambiamento di chiave è una caratteristica integrata nel WPA, nonostante si possa scegliere una chiave condivisa WEP chiamata PSK (Pre-Shared Key)
Sicurezza delle reti mobile - Ambus Giuliano WLAN-WPA
Sicurezza delle reti mobile - Ambus Giuliano WLAN-WPA (problemi) WPA-PSK (WPA può lavorare usando una sola chiave PSK condivisa) Conoscendo la PSK è possibile ricavare la PTK e tutta la gerarchia delle chiavi. Un utente che già conosce la PSK perchè magari è autorizzato ad accedere alla rete, può calcolare la chiave utilizzata da tutte le altre stazioni wireless presenti semplicemente “sniffando” i pacchetti del four-way handshake che contengono le nonces. Se invece una stazione non conosce la PSK, può romperla mediante un attacco offline (sniffando i pacchetti).
Sicurezza delle reti mobile - Ambus Giuliano Bluetooth Standard per la comunicazione tra reti senza fili del WPAN (Wireless Personale Area Network) Basso raggio d'azione Inizilamente usato per collegare periferiche dei pc In seguito usato per mettere in comunicazione telefonini palmari ecc..
Sicurezza delle reti mobile - Ambus Giuliano Bluetooth problemi Nel corso degli anni sono state scoperte varie problematiche di sicurezza realtive a delle falle nel protocollo che consentivano l'accesso al dispositivo. Quando il telefono è in stato “visibile” possibili rischi (furto PIN) Strumenti per la sicurezza: Indirizzo BT_ADDR,chiavi di cifratura (SAFER+) e collegamento,algortimi di cifratura,numeri casuali Uso di una chiave a 48 bit e procedura di autenticazione di tipo challenge-response
Sicurezza delle reti mobile - Ambus Giuliano Bluetooth possibili attacchi Bluejacking: un malintenzionato invia dei messaggi fasulli ai dipositivi associati invitandoli a digitare un codice. In realtà per associarli al suo dispositivo e prelevarne dai. Discovery-mode abuse: Si esegue un brute force alla ricerca di dispositivi nascosti. (RedFang). Blue-bug e blue-snarf: sfruttare bug del sistema per rendere il dispositivo capace di non solo ricevere ma anche trasmettere. (OBEX)
Sicurezza delle reti mobile - Ambus Giuliano Bluetooth (consigli) Scegliere codici PIN non banali e lunghi. Evitare il pairing tra dispositivi Bluetooth in ambienti affollati o poco sicuri Utilizzare il dispositivo in modalità nascosta o invisibile per Evitare di memorizzare dati riservati, come il codice fiscale, il numero di carta di credito e le password, sui dispositivi wireless. Installare un buon antivirus.
Sicurezza delle reti mobile - Ambus Giuliano Fine