Atacul ToRPEDO: o privire detaliată asupra vulnerabilităţilor din reţelele de nouă generaţie

Atacul ToRPEDO: o privire detaliată asupra vulnerabilităţilor din reţelele de nouă generaţie

23

Cercetători în cadrul Universităţii Purdue și Iowa au publicat o lucrare ştiinţifică care demonstrează noi vulnerabilităţi descoperite în reţelele 4G şi 5G. Documentul a fost prezentat pentru prima dată în cadrul simpozionului pe tema „Network and Distributed System Security” care a avut loc în San Diego, California.

Vulnerabilitatile prezentate arată că reţelele 4G şi 5G pot fi exploatate pentru a compromite intimitatea utilizatorilor care le folosesc. Cercetătorii afirmă că oricare persoană cu puţine cunoştinţe despre protocoalele reţelelor celulare poate să iniţieze un astfel de atac dacă deţine şi uneltele necesare.

Noile vulnerabilităţi descoperite folosesc un atac numit „Torpedo”, care apelează şi anulează apelul către ţintă de mai multe ori consecutiv, ducând astfel către o vulnerabilitate în sistemul de paginare al reţelei. Practic, iniţiatorul atacului poate trimite un mesaj către dispozitivul ţintei, fără ca acesta să înregistreze un apel. De aici, poate fi cu uşurinţă urmărit apelul şi pot fi trimise mesaje noi false chiar şi prin intermediul sistemului de alerte Amber, sau blocate alte mesaje care ar putea să vină.

Atacul Torpedo deschide apoi calea către alte două tipuri de atacuri. Piercer, care poate fi folosit pentru a detecta identitatea dispozitivului prin dezvăluirea codului unic IMSI, atac valabil doar pe reţele 4G şi IMSI-Cracking, care poate să afle codul IMSI prin „forţă brută” (adică încearcă mai multe combinaţii până când cel corect este aflat) atât pe reţele 4G, cât şi pe cele 5G, în ciuda faptului că acesta este criptat pe ambele tipuri de reţele.

Astfel, în ciuda faptului că reţelele 5G ar trebui să fie mult mai bine securizate decât cele 4G, acestea sunt în continuare vulnerabile la atacuri. Practic, dispozitivele Stingray ar putea fi cu uşurinţă adaptate pentru atacuri pe reţele 5G, forţele de ordine care le folosesc putând astfel afla geolocaţia utilizatorilor de telefoane sau alte echipamente 5G. Problema care se pune este că aceeaşi tehnologie poate fi accesibilă şi utilizatorilor rău intentionaţi.

Întrucât aceste vulnerabilităţi sunt foarte importante, a fost informată GSMA, alianţa mondială care reprezintă operatorii de telefonie mobilă. GSMA a recunoscut aceste probleme, însă nu este clar dacă vor fi sau nu rezolvate. Întrucât reţelele 5G încă nu sunt pornite, există şansa ca acestea să poată fi modificate înainte de lansarea oficială. Conform declaraţiilor cercetătorilor, un dispozitiv capabil să opereze aceste atacuri costă aproximativ 200 de dolari americani.

În timp ce IMSI-Cracking şi Torpedo pot fi rezolvate exclusiv de GSMA, vulnerabilitatea care duce la atacul Piercer poate fi „reparată” exclusiv de către operatori.

În continuare sunt detaliate aspecte tehnice legate de vulnerabilități, modul de atac și contramăsuri

De ce este posibil?

Protocolul de paginare (difuzare) încearcă să menţină echilibrul dintre consumul de energie al unui dispozitiv celular și calitatea serviciului, permiţând dispozitivului să efectueze doar un sondaj periodic pentru serviciile în așteptare în starea sa inactivă, cu putere redusă. Pentru un dispozitiv celular și reţeaua sa, perioadele de timp exacte când dispozitivul interoghează pentru informaţii relative la serviciile disponibile (numite ocazie de paginare) sunt stabilite prin proiectare în protocolul celular 4G / 5G. Natura fixă a acestor intervale (a ocaziilor de paginare) poate fi exploatată de un adversar din vecinătatea unei victime prin asocierea identităţii software a victimei (de exemplu, numărul de telefon, cont Twitter) cu „oportunitatea de paginare” .

Atunci când un dispozitiv celular nu comunică în mod activ cu o staţie de bază, intră într-un mod inactiv, cu energie redusă. Când există un apel telefonic sau un SMS pentru dispozitiv, acesta trebuie să fie notificat. Acest lucru este realizat prin protocolul de paginare, care se străduiește să obţină un echilibru corect între consumul de energie al dispozitivului și livrarea la timp a unor servicii, cum ar fi apelurile telefonice. Când există este unul sau mai multe servicii în așteptare pentru un dispozitiv, sistemul MME – Mobile Management Entity al reţelei solicită staţiei de bază să transmită un mesaj de paginare, care include TMSI – Temporar Mobile Subscriber Identiy (identitatea temporară a dispozitivului). TMSI este aleatoriu atribuit de MME dispozitivului, și este recomandat ca TMSI al unui dispozitiv să fie schimbat frecvent.

Kune și colab. [1] au arătat că prezenţa unui utilizator într-o anumită zonă geografică poate fi identificată printr-un atac sniffing care exploatează faptul că în practică TMSI este schimbat rar. Un atacator plasează mai multe apeluri telefonice către dispozitivul victimă într-o perioadă scurtă de timp și interceptează mesajele de paginare. Dacă TMSI apare suficient de frecvent între mesajele de paginare atunci atacatorul concluzionează că dispozitivul victimă este prezent.

Shaik și colab. [2] au constatat că acest lucru poate fi realizat și cu ajutorul SMS-urilor precum și prin notificările de la instant messenger. În consecinţă, același atac descris mai sus poate fi pus în scenă și cu aceste mijloaceAceste atacuri exploatează slăbiciunea de implementare care presupune schimbarea rară a TMSI.

Hong și colab. [3] au mers mai departe și au arătat că unele implementări deși presupun schimbări mai dese la TMSI, aleg noul TMSI previzibil, chiar și atunci când este schimbat. În plus, astfel de atacuri pot fi făcute ascunse în sensul că atacatorul poate efectua apeluri telefonice și trimite mesaje SMS care declanșează paginarea fără a notifica dispozitivului victimă, utilizatorul neavând cum să bănuiască ceva.

În mod natural apare ideea că o cale de a face ineficiente aceste atacuri este schimbarea frecventă a TMSI cu valori aleatorii imprevizibile pentru noul TMSI. Totuși, cercetătorii au arătat că este posibil, chiar și în condiţiile în care TMSI diferite sunt utilizate la fiecare mesaj de paginare consecutiv, să fie pus în practică, eficient, un atac de tipul celui de mai sus, pentru a afla dacă un dispozitiv se află într-o anumită zonă geografică.

Modul de atac

Atacul ToRPEDO (TRacking via Paging mEssage DistributiOn, este capabil să verifice dacă dispozitivul victimă este prezent într-o celulă geografică cu mai puţin de 10 apeluri, chiar presupunând că TMSI se schimbă după fiecare apel. În plus, în acest proces, atacatorul învaţă exact când un dispozitiv „se trezește” pentru a verifica mesajele de paginare și cei 7 biţi de informaţii despre IMSI (International Mobile Subscriber Identity). Aceaste informaţii duc mai departe la recuperarea completă a codului IMSI al dispozitivului prin alte două tipuri de atac.

Atunci când TMSI este schimbat de fiecare dată, nu mai este posibil a se face legătura între un apel efectuat de către atacator și mesajul de paging. Însă principiul noului tip de atac constă în faptul că protocolul de paging necesită sincronizarea între staţia de bază și dispozitiv. Protocolul de paginare / paging LTE folosește un ciclu de paging de T cadre fiecare dintre ele având o lungime de 10 ms. Valoarea implicită valoarea lui T este 128.

Fiecare dispozitiv are un index PFI (Paging Frame Index), care este determinat de IMSI-ul propriu, iar dispozitivul „se trezește” o singură dată în timpul unui ciclu de paginare, la cadrul indicat de PFI. Staţia de bază transmite mesajul de paginare pentru dispozitiv la aceste cadre. Atunci când se efectuează mai multe apeluri pentru un dispozitiv, mesajele de paginare corespunzătoare vor apărea în cadre indexate de același PFI. Atunci când base-rate-ul mesajelor de paginare mesajele este scăzut, adică mesajele de paginare apar doar fracţiune mică din toate cadrele, atacatorul poate identifica care anume PFI este «prea ocupat» și, prin urmare, PFI al dispozitivului victimă.

Folosind această perspectivă, cercetătorii au proiectat mai întâi două atacuri simple. Un atac bazat pe filtrare exclude în mod incremental valorile PFI candidat în cazurile în care nu au fost primite mesaje de paginare. Acest atac este ineficient atunci când mesajele de paginare așteptate sunt absente sau întârziate, cum se poate întampla în cazul congestiilor de reţea sau în cazul erorilor de sniffing (interceptare). Un atac bazat pe contorizarea eventualelor mesaje de paginare absente sau întârziate prin eliminarea treptată a valorilor PFI care au fost „văzute” în prea puţine mesaje de paginare. Deși precizia este mai crescută decât în cazul abordării bazate pe filtrare, numărul apelurilor telefonice necesare pentru a calcula în mod credibil PFI-ul dispozitiv victimă este încă relativ ridicat (aprox 15), iar precizia scade atunci când rata absenţei pentru mesajele de paginare crește. Acest lucru duce către proiectarea completă a versiunii finale și eficiente a atacului TORPEDO care utilizează toate resursele și infomaţiile disponibile, inclusiv întârzierea exactă dintre momentul în care se face apelul și momentul în care este observat mesajul de paginare, precum și numărul exact de înregistrări de paginare în fiecare cadru. ToRPEDO calculează probabilitatea apariţiei și observării mesajelor de paginare atunci când PFI-ul dispozitivului victimă ia orice valoare în 0, 1, · · ·, T – 1, precum și atunci când dispozitivul victimei nu este prezent. Dacă raportul dintre primele două probabilităţi depășește un prag predefinit, putem să concluzionăm că utilizatorul este prezent în celula curentă și PIF-ul utilizatorului este candidatul cu cea mai mare probabilitate. Această abordare oferă cea mai mare precizie (100%) necesitând doar opt apeluri telefonice în medie.

Impactul TORPEDO

ToRPEDO este posibil nu numai relativ la reţelele 4G, ci și la versiunea curentă de 5G. Odată ce atacatorul știe de „oportunitatea de paging” a victimei, poate deturna canalul de paging al victimei [4]. Acest lucru permite atacatorului să deruleze un atac de tip Denial of Service injectând mesaje de paginare fabricate, goale, blocând astfel victima să recepţioneze orice alte servicii în așteptare (de exemplu, SMS). Atacatorul poate de asemenea injecta mesaje de urgenţă fabricate (de exemplu, avertizare Amber) utilizând deturnarea canalului de paginare [4]. Prin ToRPEDO, atacatorul poate detecta prezenţa victimei în orice zonă celulară cu condiţia ca atacatorul să aibă un sniffer în acea zonă. În plus, pentru un atac targetat / ţintit, dacă atacatorul deţine informaţii despre locaţiile vizitate des de către victimă, poate instala sniffere în acele locaţii pentru a crea profilul de mobilitate la nivel de celulă al victimei. ToRPEDO poate de asemenea permite atacatorului să detecteze starea conexiunii (adică, inactiv / conectat) dispozitivului victimei inducând totodată, astfel, probleme de confidenţialitate. În cele din urmă, ToRPEDO poate fi utilizat pentru a derula alte atacuri, de exemplu, PIERCER și IMSICracker discutate în continuare.

Atacul PIERCER în reţelele 4G. Investigaţiile desfășurate asupra protocolului de paging au arătat că în unele cazuri excepţionale, contrar convenţiilor și recomandărilor 3GPP, unii furnizori de servicii folosesc IMSI în loc de TMSI în mesajele de paging pentru identificarea dispozitivelor cu servicii în așteptare. O simplă testare manuală a arătat că este posibil să se provoace un astfel de caz astfel încât să se dea impresia furnizorului de servicii că se află într-un astfel de caz excepţional, iar sistemele furnizorului vor dezvălui codul IMSI al victimei. Această vulnerabilitate exploatată conduce la atacul PIERCER (Persistent Information ExposuRe by the CorE netwoRk), care permite unui atacator ce cunoaște numărul de telefon al victimei, are un sniffer și o staţie de bază falsă în celula victimei, să asocieze codul IMSI al dispozitivului victimă cu numărul său de telefon, iar acest lucru este perfect posibil utilizând ToRPEDO ca un pas intermediar de atac. Pericolul reprezentat de PIERCER este ușor de anticipat și cunoscut. Mai exact, PIERCER poate potenţa alte atacuri care necesită cunoașterea IMSI a victimei, ducându-le la un nivel în care doar știind numărul de telefon al victimei este suficient pentru realizarea scopului hacker-ului [2], [4].

Atacul IMSI-Cracking în rețelele 4G/5G. A fost observat faptul că ToRPEDO permite unui atacator ce cunoaște numărul de telefon al victimei să regăsească codul IMSI al acesteia prin lansarea unui atac de tip bruteforce. Codul IMSI este reprezentat în majoritatea cazurilor pe 49 de biţi. Primii 18 biţi, codul ţării și codul reţelei mobile, pot fi aflaţi pe baza numărului de telefon utilizând servicii plătite de localizare, Internet – based, a locaţiei de bază / home location. Utilizând și ToRPEDO se pot afla următorii 7 biţi, lăsând doar 24 de biţi necesari a fi „găsiţi” de hacker. Utilizând un atac de tip bruteforce și două „dicţionare” (unul pentru 4G și celălalt pentru 5G) atacatorul poate găsi IMSI-ul victimei în mai puţin de 13 ore.

Contramăsuri

Din moment ce ToRPEDO este precursorul lui PIERCER și atacurile IMSI-Cracking, concentrarea trebuie să fie în primul rând pe proiectare și evaluarea posibilelor apărări contra lui ToRPEDO ţinând cont totuși și de abordări suplimentare pentru celelalte două atacuri. Pentru apărarea împotriva ToRPEDO, este propusă o contramăsură care adaugă zgomot sub forma mesajelor false de paginare pentru a perturba distribuţia adiacentă a mesajelor de paginare. Evaluările duc la concluzia că această măsură poate face ca ToRPEDO să devină un atac prohibitiv de scump în timp ce presupune o creștere moderată a consumului de energie a dispozitivelor, prin urmare se justifică și se constituie intr-o metodă de aplicat.

Autor: Virgilius Stanciulescu

BIO

Cu o experiență de 20 de ani IT&C, consiliază conducerea ANCOM cu spirit analitic și managerial încercând să ducă ANCOM pe drumul transformării digitale. Atent la trend-urile și provocările de ordin strategic și tehnic pe care evoluția digitală le impune, viziunea sa este un ANCOM digital, cu sisteme informatice distribuite, interdepartamentale, interoperabile, sigure, pentru aceasta contribuind cu experiența de dezvoltare software, networking și management acumulata în domeniul proiectării sistemelor informatice. Virgilius deține un doctorat Magna cum Laude, a avut colaborări cu Universitatea Tehnică, este certificat în ethical hacking, expert în competitive/ business intelligence, securitatea infrastructurilor critice și a managementului informațiilor de securitate națională. Este membru în proiectul Sistemul Național pentru Combaterea Criminalității Informatice, a participat la mai multe exerciții de cooperare in vederea detecției, investigării, răspunsului la incidente de tip cyber. Deasemenea este speaker la evenimente internaționale și naționale de profil și autor al mai multor articole de actualitate pe teme de securitate cibernetică.

Bibliografie

1. D. F. Kune, J. Koelndorfer, and Y. Kim, „Location Leaks on the GSM Air Interface,” in NDSS, 2012.

2. A. Shaik, J. Seifert, R. Borgaonkar, N. Asokan, and V. Niemi, „Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems,” in 23nd Annual Network and Distributed System Security Symposium, NDSS, CA, USA, February 21-24, 2016.

3. B. Hong, S. Bae, and Y. Kim, „GUTI Reallocation Demystified: Cellular Location Tracking with Changing Temporary Identifier,” in 25th Annual Network and Distributed System Security Symposium, NDSS, San Diego, CA, USA, February 18-21, 2018.

4. S. R. Hussain, O. Chowdhury, S. Mehnaz, and E. Bertino, „LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE,” in 25th Annual Network and Distributed System Security Symposium, NDSS, San Diego, CA, USA, February 18-21, 2018.

5. Privacy Attacks to the 4G and 5G Cellular Paging Protocols Using Side Channel Information, Syed Rafiul Hussain*, Mitziu Echeverria†, Omar Chowdhury†, Ninghui Li* and Elisa Bertino** Purdue University, † The University of Iowa

6. Virgilius Stanciulescu – Cybersecurity Forum: 5G beneficii si vulnerabilitati

7. Virgilius Stanciulescu – Cybersecurity Congress, Sibiu & Porentruy, 2018: 5G vulnerabilities and new attack strategies and countermeasures

8. 5G Security: Analysis of Threats and Solutions

9. https://www.go4it.ro/telefoane-mobile/au-fostdescoperite-noi-vulnerabilitati-in-retelele-4g-si-5g.toate-dispozitivele-pot-fi-accesate-de-catre-hackeri