SEGURIDAD EN REDES GSM

Anuncio
SEGURIDAD EN REDES GSM
GSM SECURITY
Sándor Otero Rodríguez1 Maykel Molina Sotolongo2
1 Etecsa, Cuba, sandor.otero@cubacel.cu
2 Etecsa, Cuba, maykel.molina@cubacel.cu
RESUMEN: Los servicios móviles han experimentado de manera violenta un incremento de su demanda, traducido en un aumento del número de usuarios móviles, siendo las redes GSM las más densas y por tanto las
más expuestas a intentos de vulnerar su seguridad. A pesar de las funciones de seguridad que intentan salvaguardar la integridad de la información de los suscriptores y los algoritmos de cifrado y encriptación de los datos
implementados en estas redes, son conocidas fallas de seguridad en GSM. Existen en la actualidad soluciones
que disminuyen la probabilidad de que estas redes sean transgredidas intencionalmente conservando así la
información que es manejada. La protección ante ciertas vulnerabilidades tiene un impacto económico y van
desde la mejora de la seguridad de la infraestructura hasta proporcionar la seguridad extremo a extremo. GSM
se considera el estándar inalámbrico público más seguro del mundo.
Palabras Clave: Seguridad, algoritmos, encriptación.
ABSTRACT: Mobile services have experienced an increase in violent demand, resulted in an increase in the
number of mobile users. GSM networks are denser and therefore more exposed to attempts to undermine its
security. Despite the security features that are intended to safeguard the integrity of the subscriber information
and the encryption algorithms and data encryption implemented in these networks, there are security flaws in
GSM. There are now solutions that reduce the likelihood that these networks are intentionally transgressed thus
preserving the information that is handled. Protection against certain vulnerabilities has an economic impact,
ranging from improving the infrastructure's security to provide end-to-end security. GSM is considered the most
secure public wireless standard in the world.
KeyWords: Security, algorithms, encryption.
1. INTRODUCCIÓN
El Sistema Global para Comunicaciones Móviles
(GSM), es el sistema de telefonía móvil más popular del mundo, que representa el 72,4% de los teléfonos móviles del mundo. De acuerdo con un comunicado de prensa de la Asociación GSM en
2010, existían más de cinco mil millones de teléfonos móviles GSM en uso en más de 168 países. El
éxito en las telecomunicaciones móviles se debe en
gran medida a GSM. Una de sus fortalezas es su
capacidad de roaming internacional, ofreciendo a
los consumidores un servicio sin fisuras en más de
168 países [1].
En 1982, la Conferencia Europea de Administraciones de Correos y Telecomunicaciones (CEPT) formó un grupo llamado Grupo Spéciale Mobile (GSM)
para desarrollar un sistema celular paneuropeo que
reemplazaría los en Europa.
En 1987, un hito fue alcanzado con la firma del
Memorando GSM de Entendimiento (MoU) por operadores GSM, acordando implementar redes celulares, con base en las especificaciones GSM. Si bien
estaba claro desde el principio que GSM sería un
sistema digital, se anunció oficialmente en 1987.
El servicio GSM se inició en 1991. En el mismo año,
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
GSM fue rebautizado con el nombre Sistema Global
para Comunicaciones Móviles.
Aunque GSM se desarrolló inicialmente como un
estándar de comunicación digital europea para
permitir a los usuarios utilizar sus dispositivos móviles sin problemas en toda Europa, rápidamente se
convirtió en un estándar con un crecimiento sin
precedentes a nivel mundial.
Las claves fundamentales de GSM son:
•
Roaming internacional- un único número de
móvil en todo el mundo.
•
Alta calidad de voz- mejor que los sistemas
analógicos celulares anteriores.
•
Alto nivel de seguridad- la información de
usuario a salvo y segura.
•
Terminales móviles universales y baratos.
•
Conveniencia digital- tiempo de habla es el
doble por vida de la batería y en redes digitales la
posibilidad de manejar mayores volúmenes de llamadas al mismo tiempo que en los sistemas analógicos.
•
Nuevos servicios- llamada en espera, desvío de llamadas, SMS, GPRS.
•
Compatibilidad digital- facilidad de interfaces con las redes digitales actuales, ejemplo IDSN.
2. ARQUITECTURA GSM
2.1.1
Estación Móvil
Cada teléfono móvil GSM tiene un módulo de identidad de abonado (SIM). La SIM proporciona al móvil una identidad única a través del uso de la Identidad de Abonado Móvil Internacional (IMSI). La SIM
es como una llave, sin la que el teléfono móvil no
puede funcionar. En la SIM es posible almacenar
números de teléfonos personales y mensajes cortos
[2]. También se almacena información relacionada
con la seguridad, tales como el algoritmo de autenticación A3, el algoritmo de generación de claves de
cifrado A8, la clave de autenticación (KI) y el IMSI.
El móvil almacena el algoritmo de cifrado A5.
La SIM es extraíble, lo que permite a los usuarios
viajar al extranjero llevando consigo sólo su tarjeta
SIM. Se tendría que informar al proveedor local los
países que estarían visitando, antes de su partida.
En su destino, pueden simplemente conectar la
tarjeta SIM en un teléfono celular y hacer uso del
móvil. La SIM puede estar protegida con un Número
de Identificación Personal (PIN) elegido por el abonado. El PIN se almacena en la tarjeta y si se introduce incorrectamente tres veces, se bloquea la
tarjeta. En este punto, habrá que ponerse en contacto con su proveedor de telefonía móvil que puede desbloquear su teléfono móvil, mediante la introducción de un código de ocho dígitos o Clave de
desbloqueo personal (PUK), que también se almacena en la tarjeta.
2.1.2
Subsistema de Estación Base (BSS)
El papel del subsistema de estación base (BSS)
consiste en conectar al usuario de un teléfono móvil
con otro teléfono fijo o usuarios móviles. La estación
transceptora base (BTS) es el contacto indirecto
entre los teléfonos móviles a través de la interfaz
aire y puede ser pensado como un módem de radio
complejo. El controlador de estación base (BSC) es
responsable del control de las BTS. Supervisa cada
llamada y decide cuándo entrega la llamada de una
BTS a otra, así como gestiona las frecuencias de
radio asignadas para las llamadas a través de la
BTS.
2.1.3
Subsistema de Red (NSS)
Es un intercambio completo, capaz de encaminar
llamadas desde una red fija a través del BSC y BTS
a una estación móvil. El Centro de Conmutación de
Servicios Móviles (MSC) interconecta la red celular
con la red telefónica pública conmutada (PSTN). El
MSC sirve también para coordinar el establecimiento de llamadas hacia y desde usuarios de GSM.
El Home Location Register (HLR) almacena información de todos los abonados pertenecientes a una
zona atendida por un MSC. Se almacenan los datos
permanentes, tales como el IMSI, servicios suscritos por el usuario, el número de abonado de una
red pública, KI y algunos otros datos temporales. El
HLR tiene que proporcionar al MSC toda la información necesaria cuando la llamada proviene de una
red pública.
El Visitor Location Register (VLR) contiene información relevante de todos los móviles actualmente
servidos por un MSC. Los datos permanentes almacenados en el VLR también se almacenan en el
HLR. Además, también se almacena la Identidad de
Abonado Móvil Temporal (TMSI), que se utiliza en
intervalos limitados para evitar la transmisión de la
IMSI a través de la interfaz aérea. El VLR tiene que
apoyar al MSC durante el establecimiento de llamada y la autenticación cuando la llamada se origina
en una estación móvil.
El Registro de Identidad de Equipo (EIR) almacena
todos los datos de IMEI (Identidad Internacional de
Equipo Móvil) de equipos móviles y sus derechos en
la red. El EIR mantiene una lista blanca, gris y negra. Los que están en la lista blanca se permiten en
la red, mientras que los de la lista negro están bloqueados desde la red. La lista gris se compone de
un equipo defectuoso que puede ser un problema
en la red, pero todavía están autorizados a participar en la red. El IMEI revela el número de serie de
la estación, el fabricante, la homologación de tipo
móvil y el país de producción.
El centro de autenticación (AUC) es una base de
datos de protección que alberga el KI, el algoritmo
de autenticación A3, el algoritmo de cifrado A5 y el
algoritmo de generación de claves de cifrado A8. Es
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
responsable de crear los conjuntos de números
aleatorios (RAND), respuesta firmada (SRES) y la
clave de cifrado (KC), aunque los conjuntos creados
se almacenan en el HLR y VLR.
2.2 SEGURIDAD GSM
Como todas las comunicaciones celulares se envían a través de la interfaz aérea, es menos segura
que una red cableada, ya que abre la puerta a los
intrusos con receptores adecuados. Varias funciones de seguridad se construyeron en GSM para
salvaguardar la privacidad del suscriptor [3]. Estas
Incluyen:
•
Autenticación solo de los usuarios registrados.
•
Datos seguros transferidos a través del uso
de encriptación.
•
Protección de la identidad del suscriptor.
•
Los teléfonos móviles son inoperables sin la
SIM.
•
Las SIM duplicadas no están permitidas en
la red.
•
Almacenamiento seguro de KI.
2.2.1
Autenticación
El procedimiento de autenticación comprueba la
validez de la tarjeta SIM del abonado y después
decide si está permitida la estación móvil en una red
particular. La red autentica al abonado mediante el
uso de un método de desafío-respuesta.
En primer lugar, un número aleatorio de 128 bits
(RAND) se transmite a la estación móvil a través de
la interfaz aire. El RAND se pasa a la tarjeta SIM, el
que se envía a través del algoritmo de autenticación
A3 junto con la KI. La salida del algoritmo A3, la
respuesta firmada (SRES) se transmite a través de
la interfaz aire desde la estación móvil de vuelta a la
red. En la red, el AUC compara su valor de SRES
con el valor de SRES que ha recibido desde la estación móvil. Si los dos valores de SRES coinciden,
la autenticación es exitosa y el abonado se une a la
red. El AUC en realidad no almacena una copia de
SRES pero consulta el HLR o el VLR para ello, según sea necesario.
Fig. 1. Procedimiento de autenticación.
2.2.2
fono por primera vez, su IMSI se transmite al AUC
de la red. Después de lo cual, una Identidad de
Abonado Móvil Temporal (TMSI) le es asignada. El
IMSI se transmite raramente después de este punto
a menos que sea necesario. Esto evita que un intruso pueda identificar a un usuario GSM por su
IMSI. El usuario continúa utilizando el mismo TMSI,
dependiendo de con qué frecuencia se producen
actualizaciones de ubicación. Cada vez que se produce una actualización de ubicación, la red asigna
un nuevo TMSI al teléfono móvil. La TMSI se almacena junto con el IMSI en la red. La estación móvil
utiliza el TMSI para informar a la red o durante el
inicio de la llamada. Del mismo modo, la red utiliza
el TMSI, para comunicarse con la estación móvil. El
Visitor Location Register (VLR) realiza la asignación, la administración y la actualización del TMSI.
Cuando está apagado, el móvil almacena el TMSI
en la tarjeta SIM para asegurarse de que está disponible al conectarse nuevamente.
2.2.3
GSM hace uso de una clave de cifrado para proteger los datos de usuario y señalización en la interfaz
aire. Una vez que el usuario está autenticado, el
RAND (suministrado desde la red) junto con el KI
(de la SIM) se envía a través del algoritmo de generación de claves de cifrado A8, para producir una
clave de cifrado (KC). El algoritmo A8 se almacena
en la tarjeta SIM. El KC creado por el algoritmo A8,
entonces se utiliza con el algoritmo de cifrado A5
para cifrar o descifrar los datos. El algoritmo A5 se
implementa en el hardware del teléfono móvil, ya
que tiene que cifrar y descifrar datos sobre la marcha.
Fig. 2. Cifrado de datos.
2.3 Algoritmos GSM
Una consecuencia del roaming internacional es el
intercambio de información entre los proveedores
en diferentes países. Todos los países tienen regulaciones estrictas en contra de la exportación de los
algoritmos de cifrado y, por tanto GSM funciona en
torno a ellas. Cuando un usuario intenta utilizar su
teléfono en otro país por ejemplo, las redes locales
solicitan al HLR de la red local del abonado la
RAND, SRES y KC, que es suficiente para la autenticación y el cifrado de datos. Así, la red local no
necesita saber nada acerca de los algoritmos A3 o
A8 almacenados en la tarjeta SIM.
2.3.1
Anonimato
Cuando un nuevo abonado GSM enciende su telé-
Cifrado y descifrado de datos
Algoritmo de Autenticación A3
Es dependiente del operador y es una opción del
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
operador. El algoritmo A3 es una función unidireccional. Esto significa que es fácil de calcular los
parámetros de salida SRES utilizando el algoritmo
A3 pero muy compleja para recuperar los parámetros de entrada (RAND y KI) del parámetro de salida. Recuerde que la clave para la seguridad de
GSM está en mantener KI desconocido. Si bien
puede sonar extraño que cada operador puede
optar por utilizar A3 independiente, era necesario
para cubrir el caso del roaming internacional.
2.3.2
Algoritmo de cifrado A5
Actualmente, existen varias implementaciones de
este algoritmo, aunque los más comúnmente utilizados son A5/0, A5/1 y A5/2. La razón de las diferentes implementaciones se debe a restricciones en
la exportación de tecnologías de cifrado. A5/1 es la
versión más fuerte y se utiliza ampliamente en Europa Occidental y América, mientras que el A5/2 es
de uso común en Asia. Los países bajo sanciones
de la ONU y algunos países del tercer mundo utilizan el A5/0, que viene sin cifrado.
2.3.3
Algoritmo de Cifrado de Generación
de Clave
Es dependiente del operador. En la mayoría de los
proveedores los algoritmos A3 y A8 se combinan en
una sola función hash conocida como COMP128. El
COMP128 crea KC y SRES, en una sola instancia.
2.4 RETOS DE SEGURIDAD EN GSM
La apertura de las comunicaciones inalámbricas
hace que las partes que se comunican sean más
vulnerables a las amenazas de seguridad. Aunque
GSM trató de complicar la intercepción mediante el
uso de varias técnicas tales como el salto de frecuencia, la intercepción en tiempo real de la información intercambiada es completamente posible
[4]. Actualmente, hay equipos comerciales capaces
de interceptar simultáneamente varios abonados.
GSM fue pensado para ser un sistema inalámbrico
seguro para la autenticación de usuarios y el cifrado
sobre-el-aire. Sin embargo es completamente vulnerable a varios ataques. A continuación, se enumeran brevemente los fallos de seguridad más importantes de GSM.
2.4.1
Autenticación unilateral y la vulnerabilidad al ataque man-in-themiddle
La red autentica a los usuarios. El usuario no autentica la red por lo que el atacante puede utilizar una
BTS falsa con el mismo código de red móvil y hacerse pasar por el usuario y realizar un ataque manin-the-middle. El atacante puede implementar varios
escenarios para modificar o fabricar los datos intercambiados. En la fase de diseño de los protocolos
GSM, este tipo de ataque parecía poco práctico
debido a los costosos equipos necesarios. En la
actualidad, este tipo de ataque es completamente
aplicable debido a los costos disminuidos.
2.4.2
Los defectos en la implementación
de los algoritmos A3 / A8
Aunque la arquitectura GSM permite al operador
elegir cualquier algoritmo para A3 y A8, muchos
operadores utilizan COMP128 (o COMP128-1) que
se desarrolló en secreto por la asociación GSM. La
estructura de COMP128 finalmente fue descubierta
por ingeniería inversa y algunas documentaciones
reveladas, esto hizo que muchos fallos de seguridad fueran posteriormente descubiertos. Además
del hecho de que COMP128 hace posible en revelado de Ki, especialmente cuando son introducidos
algunos desafíos, establece deliberadamente diez
bits de la derecha de Kc igual a cero lo que hace
que los algoritmos criptográficos desplegados sean
1.024 veces más débiles y más vulnerables, debido
a la disminución del espacio de clave. Algunos operadores de red GSM intentaron otro nuevo algoritmo
para el A3 / A8, llamado COMP128-2. COMP128-2
también fue diseñado en secreto y heredó el problema de la disminución del espacio de claves. A
pesar de tal problema, no hay otros problemas reportados hasta ahora. Sin embargo, esperamos
nuevas vulnerabilidades descubiertas en el futuro ya
que está diseñado en secreto. También se propone
una versión mejorada de COMP128-2, llamado
COM128-3, que genera 64 bits de clave de sesión y
se resuelve el problema de la disminución del espacio de claves.
2.4.3
Clonado de la SIM card
Otro reto importante es derivar la clave raíz de KI de
SIM del abonado. En abril de 1998, la SDA y el grupo de investigación ISAAC pudieron encontrar una
vulnerabilidad importante en el algoritmo COMP128
que les ayudó a extraer Ki en ocho horas mediante
el envío de muchos retos a la SIM. Posteriormente,
se propusieron algunos otros regímenes que se
basan en los desafíos escogidos y fueron capaces
de extraer KI en un menor número de veces. En
última instancia, un ataque de canal lateral, llamado
ataque de partición fue propuesto por los investigadores de IBM que fueron capaces de extraer KI si
podía acceder a la SIM del abonado sólo por un
minuto [5]. El atacante puede clonar la tarjeta SIM y
utilizarla para sus fines fraudulentos. El algoritmo
COMP128 necesita grandes tablas de búsqueda
para filtrar información importante a través de los
canales laterales cuando se implementa en una
pequeña SIM.
2.4.4
Cracking Over-the-air
Es posible hacer mal uso de la vulnerabilidad de
COMP128 para extraer el KI del usuario de destino
sin ningún acceso físico a la SIM. Esto se puede
lograr mediante el envío de varios retos a través del
aire a la SIM y el análisis de las respuestas. Sin
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
embargo, este enfoque puede llevar varias horas. El
atacante también puede extraer el IMSI utilizando
un enfoque que se explicará más adelante. Después de encontrar el KI y el IMSI del abonado de
destino, el atacante puede clonar la tarjeta SIM y
hacer y recibir llamadas y otros servicios como el
SMS en nombre del suscriptor víctima. Sin embargo, el atacante se encontrará con un pequeño problema, la red GSM permite sólo una SIM para tener
acceso a la red en un momento dado, si el atacante
y el suscriptor víctima tratan de acceder desde diferentes ubicaciones, la red se dará cuenta de la existencia de las tarjetas duplicadas y deshabilita la
cuenta afectada.
2.4.5
Fallos en los algoritmos criptográficos
Tanto el algoritmo A5/1 como A5/2 fueron desarrollados en secreto. La salida del A5/1 es el XOR de
tres LFSRs. Un ataque eficiente para A5/1 utilizado
por un criptoanalista en tiempo real en una PC puede ser de dos maneras: primero se requiere que
con los dos primeros minutos de conversación cifrada espiados sea capaz de extraer la clave de
cifrado en aproximadamente un segundo, mientras
que el segundo sólo necesita dos segundos de conversación cifrada para extraer la clave de cifrado en
varios minutos [6]. A5/2 es la variante debilitada de
A5/1. Un ataque eficiente para A5/2 requiere menos
de un segundo de conversación cifrada para extraer
la clave de cifrado en menos de un segundo en una
PC [7].
2.4.6
Rango corto de protección
El cifrado sólo ocurre entre el móvil y la BTS. No
hay ninguna protección sobre otras partes de la red
y la información se envía claramente sobre las partes fijas. Esta es una gran exposición para GSM,
especialmente cuando se realiza la comunicación
entre BTS y BSC en los enlaces inalámbricos que
tienen vulnerabilidades potenciales para ser intercedidos. En algunos países, el cifrado en la interfaz
aire no se habilita. También hay problemas de seguridad en backbone GSM. El despliegue de SS7
tiene también varias vulnerabilidades de seguridad.
Los mensajes en SS7 pueden ser modificados o
incluso fabricados en el sistema global SS7 de una
manera incontrolada. SS7 incorpora procedimientos
de autenticación muy limitados ya que fue diseñado
originalmente para las comunidades de telecomunicaciones cerradas. La interconexión con Internet
también puede tener sus posibles vulnerabilidades.
Vulnerabilidades adicionales han surgido luego de
que los sistemas SS7 fueran interconectados usando Internet. La administración remota de los elementos troncales GSM que se pueden realizar mediante la conexión a las redes IP también puede
introducir vulnerabilidades adicionales. Si el HLR y
el AUC se separan físicamente, puede ser un nuevo
punto de vulnerabilidad ya que los tripletes de au-
tenticación se pueden obtener de AUC haciéndose
pasar por otra entidad del sistema, por ejemplo, un
HLR. Accesos no autorizados a HLR, AUC, y el
MSC también puede causar problemas [8].
2.4.7
Falta de visibilidad del usuario
El cifrado se controla por la BTS. El usuario no recibe una alerta cuando el modo de cifrado está desactivado. Un falso BTS también puede desactivar el
modo de cifrado y forzar a la MS para enviar datos
de forma no cifrada.
2.4.8
Fugas en el anonimato del usuario
Cuando un abonado entra en un área de ubicación
por primera vez o cuando la tabla de asignación
entre TMSI del abonado y la IMSI se pierde, la red
pide al abonado declarar claramente la IMSI. Esto
puede hacer peligrar el anonimato del usuario y se
puede lograr mediante el envío de un comando de
solicitud identidad de una falsa BTS a la MS del
usuario de destino para encontrar el IMSI correspondiente.
2.4.9
La vulnerabilidad a los ataques DoS
Un solo atacante es capaz de desactivar toda una
célula GSM a través de una (DoS) ataque de denegación de servicio. El atacante puede enviar el
mensaje PETICIÓN DE CANAL al BSC varias veces, pero él / ella no completan el protocolo y pide
otro canal de señalización. Dado que el número de
canales de señalización está limitado, esto conduce
a un ataque DoS. Es factible ya que el protocolo de
establecimiento de llamada realiza las asignaciones
de recursos sin una adecuada autenticación. Este
ataque es económico ya que no tiene ningún cargo
para el atacante. También se puede utilizar para
muchas situaciones prácticas, tales como ataques
terroristas [9].
2.4.10 La ausencia de protección de la integridad
Aunque la arquitectura de seguridad GSM considera
autenticación y confidencialidad, no existe ninguna
disposición para cualquier protección de la integridad de la información. Por lo tanto, el destinatario
no puede verificar que un determinado mensaje no
se ha alterado.
2.4.11 La vulnerabilidad a los ataques de
repetición
El atacante puede abusar de los mensajes intercambiados previamente entre el abonado y la red
con el fin de realizar los ataques de repetición.
2.4.12 Aumento de la redundancia debido a
la preferencia de codificación
El Forward Error Corrección (FEC) se lleva a cabo
antes del cifrado así que hay una redundancia que
aumenta las vulnerabilidades de seguridad de los
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
algoritmos criptográficos desplegados.
ponibles a precios muy bajos.
2.5 SOLUCIONES A FALLAS DE SEGURIDAD EN GSM
2.5.2
Las especificaciones GSM han sido revolucionadas
durante tiempo. En 2002, varios esfuerzos fueron
hechos para diseñar nuevos algoritmos criptográficos para GSM, ECSD, GPRS y EGPRS que han
sido implementados en teléfonos de modo dual. En
última instancia, A5/3 para GSM y ECSD/EDGE,
GEA3 para GPRS, y f8 para UMTS han sido las
propuestas, teniendo todos una estructura similar.
Los mecanismos de seguridad de GPRS son similares a GSM. Sin embargo, en lugar de utilizar el algoritmo A5, GPRS utiliza el algoritmo de cifrado GPRS
(GEA) que en la actualidad cuenta con tres versiones: GEA1, GEA2 y GEA3. En GPRS, el cifrado del
terminal lejano se mueve hacia un punto más profundo en la red, es decir, el SGSN. Aunque el cifrado se realiza en la capa física de GSM, este se lleva
a cabo en la capa de Control de Enlace Lógico
(LLL) de GPRS. El UMTS, además de sus nuevas
aplicaciones que ofrece, ha analizado los problemas
de seguridad GSM y ha resuelto la mayoría de ellos.
La razón principal de los problemas de seguridad
GSM es debido al hecho de que su seguridad fue
proporcionada por la oscuridad de sus algoritmos.
Los algoritmos de UMTS fueron diseñados abiertamente. En consecuencia, sus algoritmos no presentan problemas graves. Aunque se proponen algunos
ataques teóricos, no son viables en la práctica con
la tecnología actual. Sin embargo, también hay algunos otros problemas relacionados con los protocolos desplegados.
Independientemente de mejoras de la seguridad en
las redes superiores, es necesario proporcionar
soluciones para mejorar la seguridad de los sistemas 2G actualmente disponibles. A continuación, se
proponen algunas soluciones prácticas para este
fin.
Los operadores pueden utilizar nuevos y más seguros algoritmos, como A5/3, siempre que dichas
mejoras sean permitidas por el consorcio GSM. Los
algoritmos criptográficos desplegados deben aplicarse en la BTS y el móvil. Cualquier cambio en los
algoritmos criptográficos requiere el acuerdo y la
cooperación de los fabricantes de software y hardware, ya que deben realizar los cambios apropiados
para sus productos. Dado que los algoritmos criptográficos deben aplicarse en los teléfonos celulares,
también se requiere el acuerdo de los fabricantes
de teléfonos móviles. Sin embargo, una modernización de los algoritmos criptográficos desplegados no
es tan útil. A pesar de que los algoritmos de cifrado
se reemplazan con los más fuertes, el atacante
puede simplemente hacerse pasar por la red real y
forzar al MS para desactivar el modo de cifrado por
lo que también es necesario modificar los protocolos de autenticación.
2.5.1
Usando implementaciones seguras
para algoritmos A3/A8
Esto puede frustrar el peligro de ataque de clonado
de la SIM. Esta solución es rentable ya que los operadores de red pueden realizar tales mejoras sin
necesidad de acudir a los fabricantes de software y
hardware. Sin embargo, esta solución requiere el
suministro y la distribución de nuevas tarjetas SIM y
la modificación del software del HLR. Actualmente,
tanto COMP128-2 como COMP128-3 impiden la
clonación de tarjetas SIM y el robo over-the-air de
Ki. COMP128-3 aumenta la longitud efectiva de la
clave haciendo uso de los 10 bits, permitiendo al
algoritmo criptográfico desplegar su seguridad nominal. Aunque es pronto para juzgar sobre la seguridad real de COMP128-2 y COMP128-3, tienen
evidentes ventajas sobre el tradicional COMP128-1
donde los aparatos de clonación de SIM están dis-
2.5.3
Usando algoritmos seguros de cifrados
Asegurar el tráfico de red troncal
Cifrar el tráfico de red troncal entre los componentes de la red puede impedir que un atacante pueda
espiar o modificar los datos transmitidos. Aunque
esta solución se puede implementar sin las bendiciones del consorcio GSM, todavía se requiere la
cooperación de los fabricantes de hardware.
2.5.4
Seguridad extremo a extremo
La mejor, más fácil y más rentable solución es implementar la seguridad de extremo a extremo en la
capa de aplicación. La mayoría de las vulnerabilidades de seguridad GSM (excepto clonación SIM y
ataques DoS) no se orientan a la gente común, sus
objetivos son generalmente restringidos a grupos
especiales por lo que es razonable y económico que
estos grupos realicen sus comunicaciones seguras
basadas en la seguridad de extremo a extremo. El
establecimiento de encriptación se realiza en las
entidades finales, no se requerirá ningún cambio en
el hardware GSM. De esta manera, incluso si la
conversación es espiada por las organizaciones
policiales o jurídicas, no pueden descifrar los datos
transmitidos sin tener la clave de cifrado verdadera,
siempre que un algoritmo criptográfico lo suficientemente seguro sea desplegado. Por lo tanto, con el
fin de evitar las actividades ilegales, debe ser transparente tanto para el operador GSM y proveedores
de servicios. También puede ser necesario encontrar soluciones para una interceptación legal.
La seguridad extremo a extremo tiene una flexibilidad completa a los algoritmos implementados donde las actualizaciones se pueden lograr fácilmente
cuando sea necesario. Generalmente, la seguridad
de extremo a extremo se puede proporcionar en los
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
sistemas celulares siguiendo uno o algunos de los
siguientes enfoques:
La explotación de las capacidades de procesamiento de teléfonos móviles que utilizan los lenguajes de
programación como J2ME (Java 2 Mobile Edition):
Con el apoyo de los más recientes teléfonos celulares y asistentes digitales personales (PDA) con la
capacidad de procesamiento mejorada.
La explotación de las capacidades de procesamiento de la tarjeta SIM utilizando el Kit de herramientas
de aplicaciones SIM (SAT) [10]: No es compatible
con todas las tarjetas SIM; Se requieren tarjetas
SIM especiales; los recursos de procesamiento
todavía limitados; y las operaciones pueden tardar
mucho tiempo.
La explotación de las capacidades de procesamiento de una tarjeta inteligente adicional, por ejemplo,
Java Card: No es compatible con los teléfonos habituales; requiere teléfonos celulares de doble ranura
costosos.
La explotación de las capacidades de procesamiento de un ordenador portátil (laptop) conectado a la
ME: adecuado para mecanismos de seguridad con
grandes requisitos de procesamiento y de memoria,
por ejemplo, comunicaciones de voz en tiempo real
de extremo a extremo seguras a través del canal de
voz GSM.
La explotación de las capacidades de procesamiento de un procesador criptográfico que está incrustado en el ME: Debe ser realizado por el fabricante de
móviles; no puede ser cambiado o manipulado por
el usuario; y puede ser un objeto de control de exportaciones.
Los primeros cuatro enfoques tienen una ventaja
inherente debido a su capacidad de ser manipulado
simplemente por las entidades finales. Sin embargo,
se debe elegir el método más rentable en función
de algunos parámetros tales como memoria y recursos de procesamiento requeridos para una aplicación determinada. Por ejemplo, si la voz es cifrada extremo a extremo sobre el canal de datos, puede ser implementado por una aplicación de software
que está instalada en un teléfono celular avanzado.
Por otro lado, para el cifrado sobre el canal de voz
que es difícil de ser rastreado y tan atractiva para
las actividades terroristas e ilegales, el cuarto enfoque puede ser adecuado [11].
La seguridad de extremo a extremo puede ser establecida tanto para el cifrado simétrico como asimétrico. El cifrado asimétrico es usualmente demasiado lento para ser utilizado en aplicaciones en
tiempo real y puede ser utilizado para el establecimiento de claves de un algoritmo de cifrado simétrico.
Las claves públicas son generalmente articuladas
con los certificados. Las claves privadas y los certificados se pueden almacenar de forma segura en
cualquiera de las tarjetas SIM, una tarjeta inteligente
adicional (para los teléfonos de dos slots), o un
hardware de seguridad en el teléfono. Existen también propuestas para la infraestructura inalámbrica
de clave pública (WPKI).
3. CONCLUSIONES
En este trabajo, se evalúa la seguridad de la red
GSM, y se realiza una revisión de sus problemas de
seguridad.
Está demostrado que la red GSM tiene muchas
fallas de seguridad inherentes que pueden ser mal
utilizadas con fines fraudulentos o engañosos para
los usuarios.
Han sido expuestas algunas soluciones prácticas
para mejorar la seguridad de las redes 2G disponibles actualmente.
Algunas soluciones incluyen la mejora de la seguridad de la infraestructura, mientras que otras tienden
a proporcionar la seguridad extremo a extremo.
También se deduce que la seguridad extremo a
extremo a nivel de aplicación es la mejor y más
rentable solución para los sistemas 2G disponibles
actualmente.
A pesar de las violaciones de seguridad expuestas,
GSM es más seguro que los sistemas celulares
analógicos anteriores y sigue siendo el estándar
inalámbrico público más seguro del mundo.
4. REFERENCIAS BIBLIOGRÁFICAS
[1]
[1] «GSM World News - Statistics,» 01 2013. [En línea].
Available:
http://www.gsmworld.com/news/statistics/index.shtml.
[2] [2] a. W. E. W. Rankl, “Smart Card Handbook,” 3rd ed.,
John Wiley and Sons, 2003.
[3] [3] a. Y.-J. C. C-C Lo, «“Secure Communication Mechanisms for GSM Networks,”,» IEEE Transactions on Consumer Electronics, vol. 45, nº 4, pp. 1074-1080, 1999.
[4] [4] J. V.-A. J. P. F. d. V. a. M. F.-I. F.J. GonzalezCastano, «“Real-Time Interception Systems for the GSM
Protocol,”,» IEEE Transactions on Vehicular Technology,
vol. 51, nº 5, pp. 904-914, 2002.
[5] [5] P. R. H. a. S. T. J.R. Rao, «“Partitioning Attacks: Or
How to Rapidly Clone Some GSM Cards,”,» IEEE Symposium on Security and Privacy (S&P'02), pp. 31-41, 2002.
[6] [6] A. S. a. D. W. A. Biryukov, «“Real Time Cryptanalysis
of A5/1 on a PC,”,» Fast Software Encryption Workshop,
pp. 1-18, 2010.
[7] [7] E. B. a. N. K. E. Barkan, «“Instant Ciphertext-Only
Cryptanalysis of GSM Encrypted Communication,”,»
CRYPTO, pp. pp.600-616, 2003.
[8] [8] T. M. G. M. J. H. a. S. S. G. Lorenz, «“Securing SS7
Telecommunications Networks,”,» IEEE Workshop on Information Assurance and Security, pp. 273-278, 2011.
[9] [9] a. V. C. V. Bocan, «“Mitigating Denial of Service
Threats in GSM Networks,”,» de 1st IEEE International
Conference on Availability, Reliability and Security, 2006.
[10] [10] E. T. S. Institute., «Security mechanisms for the SIM
Application,» de Digital cellular Telecommunications system, 2008.
[11] [11] K. A.-N. S. V. a. A. K. N.N. Katugampala, «“Real-time
End-to-end Secure Voice Communications Over GSM
Voice Channel,”,» de 13th European Signal Processing
Conference (EUSIPCO'05), Turkey, 2005.
[12] [12] A. A. B. Mohsen Toorani, «Solutions to the GSM
Security Weaknesses,» de 2nd International Conference on
Next Generation Mobile Applications, Services, and Tech-
“VII Simposio de Telecomunicaciones”
Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM”
nologies (NGMAST'08), pp.576-581, University of Glamorgan, Cardiff, UK, 2008.
[13] P. Chandra, «Bulletproof Wireless Security, GSM, UMTS,
802.11 and Ad hoc Security,» Elsevier, 2010.
5. SÍNTESIS CURRICULARES DE LOS AUTORES
Sándor Otero Rodríguez, nací el 18 de septiembre de 1983 en
Ciego de Ávila. Inicié mis estudios primarios en 1989. En el año
1996 estando en séptimo grado fui al Segundo Congreso
Nacional de los Pioneros. Durante los tres años de secundaria
fui jefe de colectivo y participé en concursos provinciales y
nacionales. En noveno pasé a formar parte de las filas de la
UJC. En 1998 inicié el preuniversitario en el IPVCE Ignacio
Agramonte.
En el año 2002 matriculo en la Universidad Central Martha
Abreu de Las Villas en la Facultad de Eléctrica la carrera de
Ingeniería en Telecomunicaciones y Electrónica. Me gradué en
el año 2007 con título de oro siendo el graduado más integral de
la Facultad de Ingeniería Eléctrica en el año 2007.
Comencé mi vida laboral en el 2007 en MoviTel. En 2012
participo en un entrenamiento de tecnología digital móvil en la
Universidad de ZTE en China. En 2014 matriculo en la 5ta
edición de la Maestría en Telemática en la UCLV. En septiembre
de 2014 comienzo a trabajar como Especialista “C” en
Telemática en el Departamento de Servicios Móviles, Etecsa
Ciego de Ávila. Investigo actualmente sobre seguridad en redes
móviles y optimización en redes móviles 3G. Participé como
ponente en el CIE 2015.
“VII Simposio de Telecomunicaciones”
Descargar