domingo, agosto 09, 2015

Clonado de SIMs utilizando técnicas de Differential Power Analysis en algoritmos MILENAGE de 3G & 4G

Ayer viernes noche, revisando las charlas de BlackHat USA 2015 topé con una que me llamó la atención más que las demás. Tal vez no ha tenido tanta repercursión en los medios de comunicación como el caso del bug de Stagefright en Android, el control remoto del Jeep Cherokee o la modificación del disparo de un rifle mediante una conexión remota, pero que quizá vaya a tener mucho impacto en el futuro de nuestras vidas. Se trata del trabajo de extracción de datos de la zona segura de las USIM (Universal SIMs) utilizadas hoy en día aprovechándose de la implementación de algoritmos para 3G y 4G, utilizando para ello un side-channel, lo que abre nuevos ataques a sistemas de comunicaciones móviles.

Figura 1: Clonado de SIMs utilizando técnicas de Differential Power Analysis
en algoritmos MILENAGE de 3G & 4G

El trabajo, que ha sido titulado "Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards" lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise que se han hecho en las antiguas SIM basadas en COMP128(v1).

Figura 2: clonadores de SIM COMP128(v1)

Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM.  Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES 128, para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.

Figura 3: Paper que explica cómo extraer la información privada de la SIM con un DPA

En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bits de las claves K, OPc inicialmente.

Figura 4: Equipo de laboratorio. Un lector de SIM creado por ellos y un osciloscopio.

Una vez conseguido sacar la Master Key K y el Secreto de Operador OPc, sacar el resto de los secretos de realiza de forma análoga, tal y como se puede ver en las diapositivas de la presentación que han dado.

Figura 5: Explicación de la fase 2 del algoritmo para recuperar K y OPc

En sus pruebas de laboratorio, con SIMs de 8 diferentes operadores y de distintos fabricantes, fueron capaces de extraer los datos en tiempos inferiores a menos de hora y media, debido a la ausencia de protecciones contra la medición externa de la energía.

Figura 6: Resultados de experimentación con USIMs de varios fabricantes y operadores

Con este trabajo se abre una puerta a que aparezcan los famosos clonadores de tarjetas SIM que tan populares se hicieron con las SIM antiguas que utilizaban Comp128v1, pero ahora para cualquier tarjeta que no tenga una protección extra contra la medición de este side-channel. Según los investigadores, esto está comunicado a los fabricantes de tarjetas SIM y puede que alguna haya empezado a aplicar medidas de protección y mitigación, pero por supuesto, todas las SIMs desplegadas seguirán siendo vulnerables a estos ataques durante años, así que habrá que vigilar el acceso físico a tu SIM en todo momento.

Saludos Malignos!

7 comentarios:

  1. Muy interesante aunque no controlo vuestro lenguaje ni se mucho de esto. pero entiendo la síntesis que es posible sacar duplicados de tarjetas, supongo para hacer mal, estafas etc... Bueno me gustaría que con una tarifa contratada pueda tener uso en barios terminales sin pagar mas por ello. si trabajo de obrero en el bolsillo llevo un 2G pequeño. en casa y el resto del día tengo un 5" android. y una tableta. mi uso no es menos de 3G y no quiero cometer delitos. pero seria interesante poder tener tres tarjetas y una sola tarifa. ya que de otra manera es un lujo. Un saludo moreno1971@hotmail.es no seáis malos con mi cuenta jeje, si entráis quitarme todo el spang jeje lo dicho creo que seria un gran paso para que las operadoras lo dieran de serie sin coste Un abrazo

    ResponderEliminar
  2. Hola de nuevo, Un día solicite que me indicaran como proteger mi móvil android sin estar roteado como en Windows con un cortafuegos que me limite lo que entra y sale de mi teléfono. creo que el no saber que pasa quien se conecta. dime paranoico pero no lo veo seguro. hay otra forma? Un saludo de un admirador.

    ResponderEliminar
  3. yo Mismo:

    mejor no te compliques con soluciones caseras, muchas operadoras te facilitan dos (o más) SIMs con el mismo número, ejemplos
    http://www.movistar.es/particulares/movil/servicios/ficha/res-multisim
    http://movil.orange.es/planes-de-ahorro/contrato/tarjeta-eco/

    JB

    Ps. para el artista del captcha: croissant =/= pan!

    ResponderEliminar
  4. Oh, y para el tema de firewall en Android sin ser root, ¿ya miraste en la tienda de aplicaciones? Así a primera vista me sale https://play.google.com/store/apps/details?id=app.greyshirts.firewall

    ResponderEliminar
  5. Me pregunto ahora si el Differential Power Analysis púdiera aplicarse a otro tipo de chips y pudieran aparecer nuevas vulnerabilidades...

    ResponderEliminar
  6. Muy buen articulo, muy bien explicado en español. gracias. http://www.sdrlatino.wordpress.com

    ResponderEliminar
  7. La figura 2 (clonador de sim v1) no corresponde a un clonador de sim-s sino a un aparatito que solamente servía para copiar los números de teléfono de una sim a otra. Con el añadido de que, para que funcionara, la sim tenía que tener quitado el número pin.

    ResponderEliminar