Veille Technologique Scurit

Extrait du Rapport Mensuel N145

AOUT 2010
Les informations fournies dans ce document ont t collectes et compiles partir de sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis vis de l'exactitude, de la prcision ou de la qualit de l'information. Les URL associes certains thmes sont valides la date de la rdaction du document.

Les marques et les produits cits dans ce rapport sont la proprit des dpositaires respectifs.

CONNECTING BUSINESS & TECHNOLOGY

CERT-DEVOTEAM 1, rue GALVANI 91300 Massy Palaiseau CERT-DEVOTEAM - Tous droits rservs Pour tous renseignements: Offre de veille http://www.cert-devoteam.com/ Informations vts-info@cert-devoteam.com

AOUT 2010

CHRIS PAGET OPENBTS SUR DROID La dmonstration dun procd permettant dintercepter des communications GSM effectue par Chris Paget loccasion de la confrence Defcon a conduit la publication darticles sans grandsfondement technique. Na-t-on pas vu fleurir des titres annonant lattaque du GSM par une antenne moins de $1500 . Il nous apparat en consquence primordial de resituer cette dmonstration dans le contexte technique et conomique ayant conduit au dveloppement de cette technologie bien mise mal depuis quelques temps par la presse et les chercheurs. Par GSM, et sans autres prcisions, nous entendrons ici la seconde gnration de ce systme de communication cellulaire, numrique et mobile conu en Europe dont la conception remonte la fin des annes 80 (spcifications adoptes en 1987). Un systme qui est n lapoge du modle de communication en couche de lOSI, et des protocoles dchange structurs telle la famille des protocoles LAP (Link Access Protocole) dont la version dite LAPD utilise dans le RNIS ft adapte en LAPDm pour devenir le protocole de liaison de donnes entre un mobile GSM et sa base. Le choix dun systme de communication purement numrique, un choix os lpoque sagissant dun systme mobile grand public, a permis datteindre un degrs de compacit du terminal jamais atteint alli un niveau de scurit remarquable pour lpoque et volutif. Rappelons qu la mme poque, le rseau analogique Radiocom 2000 cellulaire noffrait quasiment aucun protection contre lcoute et ncessitait des terminaux certes mobiles mais dont le poids minimal avoisinait les 800g pour les plus lgers. Ladoption de ce systme par les oprateurs europens aura dnormes retombes en permattant notamment datteindre des volumes de production autorisant la conception de composants de plus en plus intgrs, de plus en plus performants ouvrant ainsi la porte grande lmergence de nouvelles technologies de communication sans fils: Bluetooth, Wifi, Wimax Ces technologies auraient certes, tt ou tard, vu le jour mais le dploiement grande chelle du GSM aura acclr leur dveloppement tant sur le plan de la technologie que de la capacit de production. Entre autres choix techniques fondamentaux, celui davoir simplifi lextrme larchitecture de la chane dmission et de rception du mobile en numrisant le signal au plus prs de la source, lantenne, les problmes inhrents cette extrme simplification tant grs par des fonctions purement numriques de traitement du signal. Une approche dsormais dsigne par le sigle SDR Software Defined Radio fort la mode ces derniers temps. Encore fallait-il pouvoir embarquer dans un volume rduit la puissance de calcul ncessaire au traitement du signal, la protection des communications et la gestion du mobile en maximalisant la qualit de service. Les algorithmes de scurit ont ainsi t slectionns pour offrir un niveau de scurit raisonnable au regard des capacits de traitement disponibles mais aussi des capacits de calcul accessibles un tiers; le dbit binaire ncessaire pour transporter une communication vocale, et les donnes de service, a t rduit au maximum par le biais de lutilisation dun encodeur vocal relativement performant (22.8Kbs). Une modulation performante (GMSK), simple gnrer numriquement, a t retenue pour la transmission des donnes. Autant de choix techniques permettant de faire fonctionner le systme dans le contexte de lpoque sans fragiliser outre-mesure celui-ci; choix qui dsormais, ranon du succs du systme, permettent de sinterfacer avec celui-ci moindre frais. A la fin des annes 90, lquipement dinterface radio dit BTS ou Base Transceiver Station occupait une, voire deux baies 19 pleine hauteur. De nos jours, et fonctionnalits suprieures, un tel quipement occupera moins du tiers de la hauteur de ces mmes baies. Lvolution des composants utiliss dans les chanes de traitement du signal dont des convertisseurs AD (analogique/digital) atteignant des frquences de plusieurs dizaines, voire centaines de millions dchantillons par seconde et des FPGA embarquant des dizaines de processeurs de signal dans une surface infrieure celle de longle du pouce permet dembarquer les fonctions de gestion du canal radio dune BTS dans une carte de quelques dizaines de cm2 pour un cot infrieur 2000. La carte USRP2 utilise par Chris Paget dans son dmonstrateur en est un exemple parmi bien dautres. Elle a pour avantages dtre dun cot encore abordable lamateur (1500$ nue auquel il faut rajouter le cot des cartes radio), dintgrer un transceiver Ethernet et de pouvoir tre pilote par le logiciel en source ouverte GNU-Radio. Ce dmonstrateur naurait pu voir le jour sans un fabuleux projet engag il y a maintenant plus de deux ans: OpenBTS. Ce projet ouvert visait ni plus ni moins fournir un environnement daccs GSM minimaliste mais fonctionnel. Trois quipements participent normalement ltablissement dune communication entre un abonn mobile et un tiers, mobile ou fixe: la BTS (Base Transceiver Station) en charge de la gestion du lien radio, la BSC (Base Station Contrleur) qui contrle une ou plusieurs BTS et gre les flux de donnes, et le MSC (Mobile Service Switching) en charge de la gestion du rseau, et de linterconnexion avec les autres rseaux, le rseau tlphonique commut (RTC) par exemple.

Veille Technologique Scurit N145

CERT-DEVOTEAM - Tous droits rservs

Page 2/4

AOUT 2010
Lutilisation dune liaison diffusion le lien radio - pose un problme de scurit classique li labsence de confidentialit des communications et dans une moindre mesure, de la signalisation. Pour parer ce problme, le systme GSM offre la possibilit de chiffrer les communications sur le lien radio, c--d entre le mobile et la BTS. Il sagit toutefois dun mcanisme optionnel dont lutilisation est laisse la discrtion de loprateur du rseau, et non de lusager.
CM Gestion appels et services MM Gestion mobilit et scurit RR Gestion signalisation et ressources radio RR RR LADPm Radio Um BTSM LADP Link Abis BTSM LADP Link BSS MAP SCCP MTP Link A CM MM BSS MAP SCCP MTP Link RTC

LADPm Couche liaison Radio Couche Physique

Mobile

BTS

BSC

MSC

USRP2 RFX900 Lide gniale du projet OpenBTS est davoir remplac ces trois quipements par une astucieuse combinaison de logiciels et matriels. Une carte USRP2 dote de deux modules dinterface RFX900 (un pour lmission, lautre pour la rception) assure ltablissement du lien radio: rception des paquets de donnes transmis par le mobile, transmission des donnes destination de celui-ci. Cette carte est pilote par un logiciel OpenBTS qui embarque les fonctions de la BTS, de la BSC et pour partie de la MSC. Le raccordement avec les rseaux tlphoniques tiers est confi au commutateur logiciel IP Asterisk, et au protocole SIP, lequel pourra tablir tous les liens ncessaires avec des fournisseurs daccs tiers, et ainsi router les appels entrants et sortants.

CM Gestion appels et services MM Gestion mobilit et scurit RR Gestion signalisation et ressources radio OpenBTS ASTERISK SIP IP USB Radio Couche Physique Um USRP Radio Ethernet Internet RTC

LADPm Couche liaison

Mobile

Emulation BTS + BSC + MSC

Il est ainsi possible de disposer dun accs GSM 2G faible cot et dun dploiement ais qui, sil noffre pas toutes les performances, et fonctionnalits dune infrastructure classique peut rendre bien des services, notamment dans le domaine de lhumanitaire et de la mise en place de structures de communication alternatives. Ecrit en langage C++, et tirant parti de toutes les subtilits de ce langage, OpenBTS propose une implmentation minimaliste mais fonctionnelle des spcifications GSM 2G permettant ainsi ltablissement de communications vocales depuis, et partir, dun tlphone mobile ainsi que lenvoi de SMS. La dernire version supporte les modes GSM900 et GSM1800 (bande des 900MHz et des 1800Mhz en usage en Europe) et variantes GSM850 et PCS1900 (bande des 850MHz et des 1900Mhz en usage au USA). Seule ombre au tableau, la version actuelle nintgre pas encore le support du chiffrement des communications, et impose donc le mode A5/0 aucun chiffrement - aux mobiles se connectant. On imagine maintenant parfaitement lintrt de ce projet pour tous ceux qui envisagent dintercepter les communications GSM, et la relative facilit du mode opratoire. Quun tel dispositif soit configur pour annoncer un rseau existant, et grandes sont les chances quun mobile configur pour la 2G passant proximit slectionne notre accs en lieu et place dune BTS officielle. Lappel pourra alors tre

Veille Technologique Scurit N145

CERT-DEVOTEAM - Tous droits rservs

Page 3/4

AOUT 2010
simplement termin aprs avoir enregistr les paramtres du mobile dont le numro IMSI, ou achemin (et ventuellement enregistr) en toute transparence enfin quand tout se passe bien vers le numro appel. Que lon ne se fasse aucune illusion, ce procd est lun de ceux employs depuis bien longtemps par des quipements spcialiss dans la mesure et linterception lgale dont certains tiennent dans une simple Samsonite. La seule diffrence rside dsormais dans le cot du matriel ncessaire puisque lon passe dquipements professionnels gnralement lous au regard du cot dacquisition un matriel damateur que tout un chacun pourra se procurer. En compilant GnuRadio, OpenGPS et Asterisk sur une plateforme Mobile Drod, et en interconnectant celui-ci en USB avec une carte USRP2, Chris Paget est all un cran plus loin dans la facilit de mise en uvre. Outre la rduction consquence du volume de lensemble, la connexion data 3G du tlphone peut tre mise profit pour assurer le pontage des appels vers un fournisseur daccs SIP, Verizon en loccurrence. On peut encore aller plus loin, comme la dmontr The Grugg durant la confrence BlackHat avec sa communication Base Jumping: Attacking GSM Base Station Systems & mobile phone Base Bands. Celuici propose dutiliser lenvironnement OpenBTS comme outil dinjection de squences alatoires Fuzzing dans le jargon - destination des mobiles intelligents passant porte. Dans le meilleur des cas lusager constatera un simple dysfonctionnement passager, dans le pire des cas lattaque aura permis de prendre le contrle de lenvironnement avec tous les risques qui sen suivent. Cette mme communication dtaille quelques techniques susceptibles de saturer les ressources des quipements daccs, et par extension de provoquer un dysfonctionnement gnralis de linfrastructure GSM. POUR PLUS DINFORMATION
http://openbts.sourceforge.net/ https://media.blackhat.com/bh-us-10/presentations/Grugq/BlackHat-USA-2010-Gurgq-Base-Jumping-slides.pdf

Veille Technologique Scurit N145

CERT-DEVOTEAM - Tous droits rservs

Page 4/4