LUK
18-08-2015, 12:46
Ayer viernes noche, revisando las charlas de BlackHat USA 2015 topé con una que me llamó la atención que quizá vaya a tener mucho impacto en el futuro de nuestras vidas. Se trata del trabajo de extracción de datos de la zona segura de lasUSIM (Universal SIMs) utilizadas hoy en día aprovechándose de la implementación de algoritmos para 3G y 4G, utilizando para ello un side-channel, lo que abre nuevos ataques a sistemas de comunicaciones móviles.
El trabajo, que ha sido titulado "Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security-wp.pdf)" lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise (http://www.stuartwray.net/comp128-a-birthday-surprise-rev.pdf) que se han hecho en las antiguas SIM basadas en COMP128(v1).
http://3.bp.blogspot.com/-Bgz7GRZ7XEM/U0xbI01HaQI/AAAAAAAAT4E/5neWCq9wQHQ/s1600/SIMClonner.png (http://www.elladodelmal.com/2014/04/suplantar-un-contacto-de-whatsapp.html)
Figura 2: clonadores de SIM COMP128(v1)
Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM. Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES (http://www.3gpp.org/specifications/60-confidentiality-algorithms), para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.
http://3.bp.blogspot.com/-FA-jeJGdFjc/VcYSuYLglCI/AAAAAAAAc_o/vHEEEbSg1MM/s640/SIM1.jpg (http://3.bp.blogspot.com/-FA-jeJGdFjc/VcYSuYLglCI/AAAAAAAAc_o/vHEEEbSg1MM/s1600/SIM1.jpg)
Figura 3: Paper que explica cómo extraer la información privada de la SIM con un DPA
En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bitsde las claves K, OPc inicialmente.
http://2.bp.blogspot.com/-uaTsGoEO1Hg/VcYSuY72OkI/AAAAAAAAc_k/fsCVy5kVhqs/s640/SIM2.jpg (http://2.bp.blogspot.com/-uaTsGoEO1Hg/VcYSuY72OkI/AAAAAAAAc_k/fsCVy5kVhqs/s1600/SIM2.jpg)
Figura 4: Equipo de laboratorio. Un lector de SIM creado por ellos y un osciloscopio.
Una vez conseguido sacar la Master Key K y el Secreto de Operador OPc, sacar el resto de los secretos de realiza de forma análoga, tal y como se puede ver en lasdiapositivas de la presentación que han dado (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security.pdf).
http://2.bp.blogspot.com/-aizK7SAeqi4/VcYSuEP82WI/AAAAAAAAc_8/WgCprsDUolE/s640/SIM3.jpg (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security.pdf)
Figura 5: Explicación de la fase 2 del algoritmo para recuperar K y OPc
En sus pruebas de laboratorio, con SIMs de 8 diferentes operadores y de distintos fabricantes, fueron capaces de extraer los datos en tiempos inferiores a menos de hora y media, debido a la ausencia de protecciones contra la medición externa de la energía.
http://2.bp.blogspot.com/-Kp_wdLsUL_4/VcYSu-DDDPI/AAAAAAAAdAA/luxOCnXhzTg/s640/SIM4.jpg (http://2.bp.blogspot.com/-Kp_wdLsUL_4/VcYSu-DDDPI/AAAAAAAAdAA/luxOCnXhzTg/s1600/SIM4.jpg)
Figura 6: Resultados de experimentación con USIMs de varios fabricantes y operadores
Con este trabajo se abre una puerta a que aparezcan los famosos clonadores de tarjetas SIM que tan populares se hicieron con las SIM antiguas que utilizaban Comp128v1, pero ahora para cualquier tarjeta que no tenga una protección extra contra la medición de este side-channel. Según los investigadores, esto está comunicado a los fabricantes de tarjetas SIM y puede que alguna haya empezado a aplicar medidas de protección y mitigación, pero por supuesto, todas las SIMsdesplegadas seguirán siendo vulnerables a estos ataques durante años, así que habrá que vigilar el acceso físico a tu SIM en todo momento.
Saludos Malignos! @ http://www.elladodelmal.com/2015/08/clonado-de-sims-utilizando-tecnicas-de.html
El trabajo, que ha sido titulado "Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security-wp.pdf)" lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise (http://www.stuartwray.net/comp128-a-birthday-surprise-rev.pdf) que se han hecho en las antiguas SIM basadas en COMP128(v1).
http://3.bp.blogspot.com/-Bgz7GRZ7XEM/U0xbI01HaQI/AAAAAAAAT4E/5neWCq9wQHQ/s1600/SIMClonner.png (http://www.elladodelmal.com/2014/04/suplantar-un-contacto-de-whatsapp.html)
Figura 2: clonadores de SIM COMP128(v1)
Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM. Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES (http://www.3gpp.org/specifications/60-confidentiality-algorithms), para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.
http://3.bp.blogspot.com/-FA-jeJGdFjc/VcYSuYLglCI/AAAAAAAAc_o/vHEEEbSg1MM/s640/SIM1.jpg (http://3.bp.blogspot.com/-FA-jeJGdFjc/VcYSuYLglCI/AAAAAAAAc_o/vHEEEbSg1MM/s1600/SIM1.jpg)
Figura 3: Paper que explica cómo extraer la información privada de la SIM con un DPA
En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bitsde las claves K, OPc inicialmente.
http://2.bp.blogspot.com/-uaTsGoEO1Hg/VcYSuY72OkI/AAAAAAAAc_k/fsCVy5kVhqs/s640/SIM2.jpg (http://2.bp.blogspot.com/-uaTsGoEO1Hg/VcYSuY72OkI/AAAAAAAAc_k/fsCVy5kVhqs/s1600/SIM2.jpg)
Figura 4: Equipo de laboratorio. Un lector de SIM creado por ellos y un osciloscopio.
Una vez conseguido sacar la Master Key K y el Secreto de Operador OPc, sacar el resto de los secretos de realiza de forma análoga, tal y como se puede ver en lasdiapositivas de la presentación que han dado (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security.pdf).
http://2.bp.blogspot.com/-aizK7SAeqi4/VcYSuEP82WI/AAAAAAAAc_8/WgCprsDUolE/s640/SIM3.jpg (https://www.blackhat.com/docs/us-15/materials/us-15-Yu-Cloning-3G-4G-SIM-Cards-With-A-PC-And-An-Oscilloscope-Lessons-Learned-In-Physical-Security.pdf)
Figura 5: Explicación de la fase 2 del algoritmo para recuperar K y OPc
En sus pruebas de laboratorio, con SIMs de 8 diferentes operadores y de distintos fabricantes, fueron capaces de extraer los datos en tiempos inferiores a menos de hora y media, debido a la ausencia de protecciones contra la medición externa de la energía.
http://2.bp.blogspot.com/-Kp_wdLsUL_4/VcYSu-DDDPI/AAAAAAAAdAA/luxOCnXhzTg/s640/SIM4.jpg (http://2.bp.blogspot.com/-Kp_wdLsUL_4/VcYSu-DDDPI/AAAAAAAAdAA/luxOCnXhzTg/s1600/SIM4.jpg)
Figura 6: Resultados de experimentación con USIMs de varios fabricantes y operadores
Con este trabajo se abre una puerta a que aparezcan los famosos clonadores de tarjetas SIM que tan populares se hicieron con las SIM antiguas que utilizaban Comp128v1, pero ahora para cualquier tarjeta que no tenga una protección extra contra la medición de este side-channel. Según los investigadores, esto está comunicado a los fabricantes de tarjetas SIM y puede que alguna haya empezado a aplicar medidas de protección y mitigación, pero por supuesto, todas las SIMsdesplegadas seguirán siendo vulnerables a estos ataques durante años, así que habrá que vigilar el acceso físico a tu SIM en todo momento.
Saludos Malignos! @ http://www.elladodelmal.com/2015/08/clonado-de-sims-utilizando-tecnicas-de.html