Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Γ.Κ.:Απρίλιος 2006

Transcript

1 Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Κινητές Επικοινωνίες Μέρος ΙI Slide: 1/39

2 Περιεχόμενα UMTS Προστασία της ακεραιότητας (σηματοδοσία) Αδυναμίες, Ελλείψεις και κενά Ασφαλείας Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS Σύστημα νομίμων συνακροάσεων (Lawful Interception) Slide: 2/39

3 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /1 Σκοπός της υπηρεσίας ακεραιότητας του UMTS είναι η αυθεντικοποίηση του κάθε μηνύματος ελέγχου (σηματοδοσίας, signaling). Αυτό κρίνεται απαραίτητο διότι ο AKA μηχανισμός από μόνος του δεν είναι επαρκής για να εξασφαλίσει τις πραγματικές ταυτότητες των επικοινωνούντων μερών μετά τη λήξη της διαδικασίας αυθεντικοποίησης. Παραδείγματος χάριν, σε μια επίθεση τύπου MITM, ο επιτιθέμενοςμπορείμενκατά τη διάρκεια του AKA να μεταβιβάζει τα μηνύματα μεταξύ UE και RNC απαράλλαχτα, αλλά με τη λήξη της αυθεντικοποίησης θα ήταν ικανός να τα μεταβάλλει (manipulate) κατά το δοκούν. Σε αυτή την περίπτωση ο επιτιθέμενος μπορεί να έχει στη διάθεσή του έναν ψεύτικο σταθμό βάσης (fraud base station) και έτσι να μπορεί να μεταβάλλει τα δεδομένα σηματοδοσίας και ακολούθως να τα προωθεί σε UEs και πραγματικούς σταθμούς βάσης. Σε περίπτωση όμως που κάθε μήνυμα προστατεύεται από κάποιο MAC, τότε είναι δυνατή η αναγνώριση των πλαστών ή αλλαγμένων μηνυμάτων και κατ επέκταση η άμεση απόρριψή τους. Σημειώστε ότι ο κύριος όγκος της σηματοδοσίας λαμβάνει χώρα μεταξύ UE και RNC. Επίσης, τα μηνύματα σηματοδοσίας ανταλλάσσονται στα επίπεδα RRC, RLC και MAC. Όμως, τα περισσότερο σημαντικά και κατ επέκταση ευαίσθητα είναι αυτά του RRC επιπέδου και γι αυτό το λόγο η ακεραιότητά τους προστατεύεται. Slide: 3/39

4 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /2 Όπως περιγράφεται στο σχήμα που ακολουθεί το κλειδί IK, το οποίο είναι σε γνώση τόσο της USIM, όσο και του RNC (μεταφέρεται σε αυτό από το SGSN με χρήση της εντολής security mode command), μαζί με τη μονόδρομη συνάρτηση f9 είναι υπεύθυνα για την εξασφάλιση της ακεραιότητας των μηνυμάτων σηματοδοσίας του RRC επιπέδου. Στο πλαίσιο της 3GPP έχει ήδη ξεκινήσει προσπάθεια ανάπτυξης προδιαγραφών για μια ακόμα παρόμοια συνάρτηση, η οποία ενδέχεται να αντικαταστήσει την f9, εφόσον προκύψει ανάγκη. Ησυνάρτησηf9 παράγει ως έξοδο ένα MAC-I μήκους 32 bits, που επισυνάπτεται σε κάθε RRC μήνυμα. Αντίστοιχα, στονδέκτητοίδιοmac-i υπολογίζεται για ακόμα μια φορά και ακολούθως συγκρίνεται με αυτό που έχει επισυναφθεί στο μήνυμα. Υπονοείται ότι οποιαδήποτε αλλαγή στο αρχικό μήνυμα επηρεάζει το MAC-I με αποτέλεσμα ο επιτιθέμενος που δεν έχει στη διάθεσή του το IK να μη μπορεί να το υπολογίσει εκ νέου πριν αυτό φτάσει στο δέκτη. Slide: 4/39

5 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /3 Εκτός του IK, οι υπόλοιπες είσοδοι στη συνάρτηση f9, που στην πραγματικότητα αποτελεί μια παραλλαγή του KASUMI είναι: η παράμετρος COUNT-I (αντίστοιχη με τη COUNT-C), το bit κατεύθυνσης (downlink / uplink) και μια τυχαία ακολουθία bits που ονομάζεται FRESH. Slide: 5/39

6 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /4 Πιο συγκεκριμένα, η παράμετρος COUNT-I χωρίζεται σε δύο μέρη. Το περισσότερο σημαντικό της τμήμα (most significant part) είναι ένα HFN μήκους 28 bits (αριθμός μετρητής, Hyper Frame Number). ενώ τα τέσσερα λιγότερο σημαντικά ψηφία της απαρτίζουν ένα μετρητή RRC (RRC sequence number). Η COUNT-I χρησιμοποιείται για προστασία από επανεκπομπή (replay) προηγούμενων μηνυμάτων σηματοδοσίας, που αφορούν όμως την ίδια συνεδρία (same session), εξασφαλίζοντας ότι οι τιμές εισόδου στη συνάρτηση f9 είναι διαφορετικές κάθε φορά που αυτή εκτελείται. Slide: 6/39

7 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /5 Επιπλέον, η παράμετρος FRESH επιλέγεται από το υπεύθυνο RNC και ακολούθως μεταδίδεται στο UE. Σημειώστε επίσης ότι η συγκεκριμένη παράμετρος παραμένει ίδια καθ όλη τη διάρκεια μιας σύνδεσης. Είναι δε απαραίτητη προκειμένου να προστατευτεί το δίκτυο από κακοβούλως (maliciously) επιλεγμένες αρχικές τιμές για την παράμετρο COUNT- I. Όπως είδαμε, το περισσότερο σημαντικό τμήμα του HFN αποθηκεύεται πάντα στη USIM διαδοχικών συνδέσεων (παράμετρος START). Το γεγονός αυτό θα έδινε τη δυνατότητα σε ένα επιτιθέμενο να υποδυθεί (masquerade) τη USIM και ακολούθως να αποστείλει μια πλαστή τιμή στο δίκτυο, με σκοπό να το αναγκάσει να θέσει μια πολύ μικρή αρχική τιμή για την παράμετρο HFN. Με αυτό τον τρόπο, αν η διαδικασία αυθεντικοποίησης δεν εκτελεστεί και το παλιό IK χρησιμοποιηθεί για την προστασία της σηματοδοσίας, ο επιτιθέμενοςμπορείνα επανεκπέμψει παλιά μηνύματα σηματοδοσίας, προσαρτώντας MAC-I που έχει προηγουμένως καταγράψει (με την έννοια ότι η παράμετρος FRESH είναι πολύ μικρή και δεν επηρεάζει την έξοδο της συνάρτησης f9. Ομοίως, από την πλευρά του τερματικού του χρήστη είναι αναγκαίο οι τιμές της παραμέτρου COUNT-I να μην επαναλαμβάνονται ακόμα και μεταξύ διαφορετικών συνεδριών. Αν αυτό συμβεί τότε ο επιτιθέμενος, υποδυόμενος το δίκτυο, μπορεί να στείλει μια παλιά FRESH τιμή στο UE με σκοπό να επανεκπέμψει μηνύματα σηματοδοσίας στο κανάλι καθόδου (downlink). Slide: 7/39

8 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /6 Ο προσεκτικός αναγνώστης θα παρατηρήσει ότι αν και η παράμετρος BEARER χρησιμοποιείται ως είσοδος της συνάρτησης f8 (εμπιστευτικότητα), δεν συμβαίνει το ίδιο και για τη συνάρτηση f9. Λαμβάνοντας υπόψη ότι μπορούν να υπάρξουν αρκετά ταυτόχρονα radio bearers για τη σηματοδοσία, ο επιτιθέμενοςθα μπορούσε να επανεκπέμψει μηνύματα ελέγχου που ναι μεν καταγράφηκαν κατά την ίδια RRC σύνοδο, αλλά σε διαφορετικό radio bearer. Προκειμένου να αντιμετωπιστεί αυτού του είδους η αδυναμία, οι σχεδιαστές επέλεξαν μια διαφορετική προσέγγιση. Η ταυτότητα του ραδιο-φορέα (radio bearer identity) προσαρτάται πάντοτε στο RRC μήνυμα προτού υπολογιστεί το αντίστοιχο MAC-I, αν και τελικά δεν αποστέλλεται μαζί με το αρχικό RRC μήνυμα. Με αυτό τον τρόπο επιτυγχάνεται προστασία από επανεκπομπή μηνυμάτων που αφορούν όχι μόνο το ίδιο radio bearer αλλά και μεταξύ διαφορετικών bearers. Slide: 8/39

9 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /7 Παρόλα τα παραπάνω αντίμετρα υπάρχουν μηνύματα σηματοδοσίας RRC, τα οποία δεν είναι δυνατό να προστατευθούν. Παραδείγματος χάριν, τα σχετικά μηνύματα που αποστέλλονται πριν από τη δημιουργία του κλειδιού IK εντάσσονται σε αυτή την κατηγορία. Μια λίστα με τα σημαντικότερα μηνύματα επιπέδου RRC που δεν προστατεύονται είναι: RRC connection request, RRC connection set-up, RRC connection reject, RRC connection release, RRC connection set-up complete, system information (broadcast information), system information change indication, handover to UTRAN complete, paging type 1, physical shared channel allocation. Slide: 9/39

10 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /8 Προκειμένου να γίνουν περισσότερο ξεκάθαρα τα παραπάνω, σκεφθείτε την περίπτωση όπου το UE επιθυμεί να εγκαθιδρύσει μια σύνδεση με το δίκτυο. Αρχικά, όπως περιγράφεται στο παρακάτω σχήμα μια δήλωση της κλάσης της συσκευής (classmark) αποστέλλεται στο δίκτυο, υποδεικνύοντας σε αυτό τις δυνατότητες της συσκευής. Μεταξύ αυτών των δυνατοτήτων περιλαμβάνεται η υποστήριξη για διαφορετικούς αλγορίθμους για υπηρεσίες εμπιστευτικότητας και ακεραιότητας. Λόγω του ότι οι παράμετροι αυτές μεταδίδονται κατά την έναρξη της σύνδεσης, δεν είναι δυνατόν να προστατευτούν κατ οιονδήποτε τρόπο. Το πρόβλημα αυτό αντιμετωπίζεται σε μεταγενέστερο στάδιο της διαδικασίας, επανελέγχοντας το classmark της συσκευής. Επιπλέον, όπως είναι φανερό από το παρακάτω σχήμα, το πρώτο κρυπτογραφημένο μήνυμα που αποστέλλεται uplink είναι αυτό μετά την εντολή security mode complete στο βήμα 10. Αντίθετα, το πρώτο κρυπτογραφημένο μήνυμα που αποστέλλεται downlink είναι αυτό μετά την ολοκλήρωση της εντολής RANAP security mode complete στο βήμα 11. Slide: 10/39

11 Προστασία της ακεραιότητας σηματοδοσίας επιπέδου RRC /9 Slide: 11/39

12 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /1 Αρκετά γνωστά προβλήματα και αδυναμίες του μηχανισμού αυθεντικοποίησης του GSM φαίνεται ότι έχουν λυθεί ή επαρκώς καλυφθεί στον αντίστοιχο του UMTS. Παρόλα αυτά, όπως είναι φανερό από τα παραπάνω υπάρχουν ακόμη ορισμένα κενά ασφαλείας ή αδυναμίες, τιςοποίεςοιεπιτιθέμενοι μπορούν να εκμεταλλευτούν. Οι αδυναμίες αυτές περιγράφονται σε συντομία στα παρακάτω: Α. Επιτιθέμενοι, που εφαρμόζουν παθητικές (passive) ή ενεργητικές(active) μεθόδους, μπορούν να υποκλέψουν διανύσματα (vectors) αυθεντικοποίησης είτε από τα SGSN, HSS είτεαπότοδίαυλοεπικοινωνίαςμεταξύαυτών. Το πρόβλημα απαιτεί ιδιαίτερη προσοχή στην περίπτωση που ένας συνδρομητής περιάγει μεταξύ διαφορετικών PLMNs. Τότε, το HN είναι υποχρεωμένο να αποστείλει στο SN διανύσματα αυθεντικοποίησης προκειμένου το τελευταίο να μπορεί να αυθεντικοποιήσει το συνδρομητή. Σε τέτοιες περιπτώσεις τα διανύσματα μεταφέρονται μεταξύ των διαφορετικών δικτύων των παρόχων (οι οποίοι μπορεί να εφαρμόζουν διάφορες πολιτικές ασφαλείας) και έτσι είναι περισσότερο πιθανό να υποκλαπούν ή να καταστραφούν. Σε κάθε περίπτωση, όπως συνέβαινε και στο GSM, οι χρήστες πρέπει να εμπιστεύονται το SN και τις πολιτικές ασφάλειας που αυτό εφαρμόζει. Slide: 12/39

13 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /2 Β. Σε ορισμένες περιπτώσεις, το σύστημα επιτρέπει την εκπομπή του IMSI του χρήστη από το UE στοδίκτυοσε μορφή καθαρού κειμένου (clear-text) με σκοπό αυτός να αυθεντικοποιηθεί. Η συγκεκριμένη διαδικασία μπορεί να ξεκινήσει από το HN ή το SN στις ακόλουθες περιπτώσεις: (α) Όταν ο συνδρομητής εγγράφεται για πρώτη φορά στο δίκτυο ή μετά από μεγάλο διάστημα κατά το οποίο διατηρούσε τη συσκευή του εκτός λειτουργίας και (β) Όταν το δίκτυο δεν μπορεί να ανακτήσει το IMSI του συνδρομητή. Όπως για παράδειγμα, σε περιπτώσεις μεταβίβασης κλήσης ή συνεδρίας (session) από κυψέλη σε κυψέλη ή από δίκτυο σε δίκτυο (handover), όπου το ζευγάρι IMSI, (P)-TMSI μεταδίδεται από το προηγούμενο SGSN στο νέο και η διεύθυνση (LAI/RAI) του προηγουμένου SGSN δεν μπορεί να επιλυθεί (resolved). Επίσης, σε περιπτώσεις κατά τις οποίες η βάση δεδομένων ενός SGSN παρουσιάζει βλάβη. Slide: 13/39

14 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /3 Β (συνέχεια). Η διαδικασία αυτή είναι ανοικτή σε παθητικού τύπου επιθέσεις, όπου ο επιτιθέμενος περιμένει για πιθανές εκπομπές απροστάτευτων IMSI ή σεεπιθέσειςτύπουman-in-the-middle (MITM). ΗεκπομπήτουIMSI αποτελεί κυρίως απειλή εναντίον της εμπιστευτικότητας της ταυτότητας του χρήστη (identity confidentiality) και της θέσης που αυτός κινείται (location privacy). Επιπλέον, όμως, η γνώση του IMSI μπορεί να επιτρέψει την πλαστογράφηση της ταυτότητας του χρήστη. Δεν είναι βέβαια σαφές το πώς ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτή τη δυνατότητα πλαστογράφησης, εκτός από το να προκαλέσει γενική αναστάτωση (commotion) στο σύστημα. Γενικότερα, υπάρχουν τοποθεσίες ή σημεία στα οποία πολλά IMSIs εκπέμπονται συνεχώς. Τέτοιες τοποθεσίες περιλαμβάνουν αεροδρόμια, λιμάνια, κλπ, όπου οι χρήστες ανοίγουν τα κινητά τους μετά την πτήση ή γενικότερα το ταξίδι τους. Αυτό σημαίνει ότι ο επιτιθέμενος που γνωρίζει το IMSI κάποιου ή κάποιων συνδρομητών είναι σε θέση να τους αναγνωρίσει. Από την άλλη πλευρά αυτό είναι επίσης δυνατό απλώς παρατηρώντας ποιοι κατεβαίνουν π.χ. από το πλοίο. Slide: 14/39

15 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /4 Β (συνέχεια). Οπωσδήποτε όμως, ο μηχανισμός αυθεντικοποίησης του UMTS δεν προσφέρει πολύ καλή προστασία από ένα ενεργό επιτιθέμενο, ο οποίος μπορεί να προσποιηθεί (masquerade) το δίκτυο εξυπηρέτησης (false base station - RNC attack) με αποτέλεσμα να καταφέρει σχετικά εύκολα να αποκτήσει το IMSI του χρήστη θύματος. Η κατάσταση αυτή περιγράφεται στο παρακάτω σχήμα. Slide: 15/39

16 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /5 Γ. Το μήκος των κλειδιών και οι αλγόριθμοι κρυπτογράφησης / αποκρυπτογράφησης είναι σταθερά (fixed), με αποτέλεσμα o μηχανισμός AKA να θεωρείται δύσκαμπτος (inflexible) και λιγότερο ασφαλής. Αυτό είναι ιδιαίτερα εμφανές σε περιπτώσεις όπου ανακαλύπτεται μια ευπάθεια (vulnerability) σε κάποιον αλγόριθμο ή διαδικασία, όπως στην περίπτωση του αλγορίθμου GSM A5/1. Αντίθετα, μεγαλύτερη ευελιξία θα ήταν δυνατόν να επιτευχθεί, έχοντας ένα δυναμικό μηχανισμό AKA, ο οποίος είναι ικανός να διαπραγματεύεται και να ενσωματώνει νέα στοιχεία (modules) ασφαλείας σε πραγματικό χρόνο και ανάλογα με τις συνθήκες (ondemand). Slide: 16/39

17 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /6 Μία από τις βελτιώσεις ασφαλείας στο UMTS είναι η συμπερίληψη της δυνατότητας προστασίας της ακεραιότητας. Όμως, η προστασία της ακεραιότητας είναι εγγυημένη μόνο για τη σηματοδοσία μεταξύ UE και RNC. Όπως είδαμε, σταδεδομένατωνχρηστών(u-plane) δεν προσαρτάται Message Authentication Code (MAC- Ι) για λόγους απόδοσης (performance reasons) και γι αυτό το λόγο παραμένουν ευαίσθητα σε παραποιήσεις (manipulation). Slide: 17/39

18 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /7 Παρόλα αυτά υπάρχει μια συγκεκριμένη διαδικασία, η οποία καλείται περιοδική αυθεντικοποίηση (periodic authentication) καιμπορείενδυνάμειναπαράσχει κάποιου είδους προστασία της ακεραιότητας του U-plane. Σύμφωνα με αυτή τη διαδικασία, το ποσό (amount) των δεδομένων που στάλθηκαν κατά τη διάρκεια μιας RRC σύνδεσης ελέγχεται. Αυτό έχει ως αποτέλεσμα τα δεδομένα των χρηστών να προστατεύονται περιοδικά όσο αφορά το μέγεθός τους (volume), παράλληλα με τη διαδικασία επανάληψης της αυθεντικοποίησης. Όπως περιγράφεται στο παρακάτω σχήμα, η διαδικασία ξεκινάει από το υπεύθυνο RNC, αμέσως μόλις η παράμετρος COUNT-C φτάσει κάποιο προ-διευθετημένο όριο. UE RNC Counter check Σύγκριση Μετρητών Counter check response IF NULL Διακοπή σύνδεσης ΟΧΙ Slide: 18/39

19 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /8 Τότε το RNC στέλνει ένα counter check μήνυμα, το οποίο περιέχει το περισσότερο σημαντικό τμήμα όλων των COUNT-C που αντιστοιχούν σε κάθε ενεργό ραδιο-φορέα (radio bearer). Από την άλλη μεριά το UE συγκρίνει όλες τις λαμβανόμενες τιμές με τις αντίστοιχες δικές του. Τυχόν διαφορές αναφέρονται πίσω στο RNC με ένα μήνυμα counter check response. UE RNC Counter check Σύγκριση Μετρητών Counter check response IF NULL Διακοπή σύνδεσης ΟΧΙ Slide: 19/39

20 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /9 Σε περίπτωση που το συγκεκριμένο μήνυμα είναι κενό, τότε η διαδικασία ολοκληρώνεται με επιτυχία. Σε αντίθετη περίπτωση, το RNC ενδέχεται να διακόψει τη σύνδεση. Όπως είναι φυσικό, η διαδικασία αυτή έχει ως στόχο να εμποδίσει επιτιθέμενους να εισάγουν ή να διαγράψουν πακέτα δεδομένων και προς τις δύο κατευθύνσεις (uplink / downlink). Από την άλλη μεριά, ο επιτιθέμενος μπορεί να προσπαθήσει να εισάγει ή και να διαγράψει τον ίδιο ακριβώς αριθμό πακέτων προκειμένου να μη γίνει αντιληπτός. Slide: 20/39

21 Αδυναμίες, Ελλείψεις και κενά Ασφαλείας /10 Δ. Επίσης, προστασία στο επίπεδο εφαρμογής, όπου αυτή απαιτείται, παρέχεται από το πρωτόκολλο WTLS. Είναι γνωστό πως το WTLS, τουλάχιστον μέχρι την έκδοση 2.0, χρησιμοποιεί WAP πύλη (gateway), η οποία θεωρείται γενικά ανασφαλής και σίγουρα δεν εξασφαλίζει end-to-end επικοινωνία. Επιπλέον, επιτρέπει τη χρησιμοποίηση «αδύνατων» (weak) αλγορίθμων κρυπτογράφησης και διαθέτει χαρακτηριστικά, τα οποία επιτρέπουν την ανάπτυξη επιθέσεων του τύπου επιλεγμένου αρχικού κειμένου (chosen-plaintext) και εξαντλητικής αναζήτησης (brute force). Σε κάθε περίπτωση, η διαδικασία αυθεντικοποίησης του WTLS είναι συχνά ανώνυμη, ενώ ακόμη και όταν αυτή εκτελείται κανονικά, γίνεται μόνο μια φορά (έναντι της WAP πύλης) σε όλη τη διάρκεια χρησιμοποίησης της πύλης. Slide: 21/39

22 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /1 Η ανταλλαγή των μηνυμάτων σηματοδοσίας μεταξύ των στοιχείων του κεντρικού δικτύου στα συστήματα GSM και UMTS έκδοσης 4 βασίζεται στο πρωτόκολλο Mobile Application Part (MAP). Για παράδειγμα, τα στοιχεία (profiles) των συνδρομητών, οι διαδικασίες αυθεντικοποίησης, και η διαχείριση της κινητικότητας (mobility) των χρηστών διεκπεραιώνονται μέσω του MAP. Τυπικά, το πρωτόκολλο MAP εκτελείται πάνω από τη στοίβα (stack) πρωτοκόλλων SS7. Για παράδειγμα, η σηματοδοσία μεταξύ του SGSN, του GGSN, της βάσης με τα στοιχεία των συνδρομητών (Home Subscriber Server, HSS) αλλά και του κέντρου διεκπεραίωσης SMS, βασίζεται αποκλειστικά σε SS7. Η 3GPP έχει ορίσει ένα μηχανισμό για την προστασία του MAP πρωτοκόλλου στο επίπεδο εφαρμογής (application layer). Το πρωτόκολλο MAP μπορεί επίσης να προστατευτεί στο επίπεδο δικτύου (network layer), όταν η μεταφορά των δεδομένων βασίζεται στο πρωτόκολλο IP. Όμως, η προστασία του MAP στο επίπεδο εφαρμογής είναι υποχρεωτική, όταν απαιτείται δια-δικτύωση (interworking) με δίκτυα που βασίζονται σε SS7. Slide: 22/39

23 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /2 Για την προστασία των MAP λειτουργιών έχει αναπτυχθεί μια νέα επικεφαλίδα πρωτοκόλλου (protocol header). Η λειτουργία της μοιάζει με αυτή του μηχανισμού Encapsulating Security Payload (ESP) του πρωτοκόλλου IPsec. Το νέο αυτό πρωτόκολλο ονομάζεται MAPsec και λειτουργεί σε τρεις καταστάσεις (modes). Στην κατάσταση 2, το MAPsec προστατεύει τόσο την εμπιστευτικότητα όσο και την ακεραιότητα των μηνυμάτων, ενώ στην κατάσταση 1 διασφαλίζεται μόνον η ακεραιότητα. Κανενός είδους προστασία δεν παρέχεται στην κατάσταση λειτουργίας 0. Η δομή των μηνυμάτων MAPsec παρουσιάζεται στο ακόλουθο σχήμα. Slide: 23/39

24 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /3 Πιο συγκεκριμένα, και στις τρεις καταστάσεις ασφαλείας η επικεφαλίδα μεταδίδεται απροστάτευτη (cleartext). Η κατάσταση ασφαλείας 2 (protection mode 2) παρέχει εμπιστευτικότητα και ακεραιότητα. Τα περιεχόμενα του αρχικού MAP μηνύματος κρυπτογραφούνται σχηματίζοντας το protected payload τμήμα του τελικού MAPsec μηνύματος. Η κατάσταση ασφαλείας 1 (protection mode 1) παρέχει υπηρεσίες ακεραιότητας και αυθεντικότητας του αρχικού μηνύματος (integrity and authenticity). Για το σκοπό αυτό, ένας κωδικός αυθεντικοποίησης μηνύματος (MAC) υπολογίζεται σε ολόκληρο το αρχικό MAP μήνυμα (original message) συμπεριλαμβανομένης της επικεφαλίδας ασφαλείας και κατόπιν συμπεριλαμβάνεται στο protected payload τμήμα του τελικού μηνύματος MAPsec. Slide: 24/39

25 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /4 Σημειώστε, ότι το MAC στην κατάσταση ασφαλείας 2 υπολογίζεται στην επικεφαλίδα ασφαλείας και στο ήδη κρυπτογραφημένο περιεχόμενο του αρχικού MAP μηνύματος πριν συμπεριληφθεί στο protected payload τμήμα του τελικού MAPsec μηνύματος. Αντίθετα, η κατάσταση ασφαλείας 0 (protection mode 0) δεν προσφέρει κανενός είδους προστασία και κατά συνέπεια, το protected payload τμήμα του MAPsec μηνύματος είναι ακριβώς ίδιο με το αρχικό MAP μήνυμα. Παρόλα τα παραπάνω είναι αναγκαίο να υπογραμμιστεί ότι θα πρέπει να παρέλθει σημαντικό χρονικό διάστημα πριν όλοι οι πάροχοι υπηρεσιών ενσωματώσουν το συγκεκριμένο πρωτόκολλο ασφαλείας στο δίκτυο κορμού τους. Στο ενδιάμεσο, οι επιτιθέμενοι θα έχουν την ευκαιρία να εκμεταλλευτούν το γεγονός ότι το MAPsec δεν μπορεί να εφαρμοστεί όταν και οι δύο πάροχοι δεν το υποστηρίζουν στα στοιχεία του δικτυακού τους κορμού. Επιπλέον, για λόγους απόδοσης, μόνο οι σημαντικότερες MAP λειτουργίες (μηνύματα) προστατεύονται, όπως για παράδειγμα, η μεταφορά δεδομένων αυθεντικοποίησης (authentication data transfer). Διαφορετικά επίσης στοιχεία μιας MAP λειτουργίας μπορεί να προστατεύονται από διαφορετικές MAP καταστάσεις ασφαλείας (protection modes). Slide: 25/39

26 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /5 Slide: 26/39

27 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /6 Slide: 27/39

28 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /7 Επιπλέον, ενώ τυπικά το MAP εκτελείται πάνω από το SS7, το MAPsec και το πρωτόκολλο Internet Key Exchange (IKE) εκτελούνται πάντα πάνω από το IP, όπως φαίνεται στο παρακάτω σχήμα. Είναι λοιπόν προφανές ότι οι δικτυακοί κόμβοι (nodes) που υποστηρίζουν το MAPsec, διατηρούν πάντα εκτός από SS7 και συνδεσιμότητα (connectivity) επιπέδου IP. MAPsec Key management over IP Node or Network A MAP over SS7 Node or Network B Slide: 28/39

29 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /8 Στη 3GPP αρχιτεκτονική, το MAPsec τυπικά εκτελείται μεταξύ των δικτύων δύο διαφορετικών παρόχων και όχι μεταξύ MAP οντοτήτων. Οι απαραίτητες MAPsec-SAs μεταξύ δικτύων διαφορετικών παρόχων είναι προϊόν διαπραγμάτευσης μεταξύ των αντίστοιχων Κέντρων Διαχείρισης Κλειδιών (Key Administration Centers, KAC) των δικτύων, όπως παρουσιάζεται στο παρακάτω σχήμα. Σημειώστε, ότι οι ίδιες συσχετίσεις ασφαλείας (Security Associations, SA), δηλαδή τα προϊόντα διαπραγμάτευσης μεταξύ των αντίστοιχων KACs, χρησιμοποιούνται από όλες τις MAP οντότητες των δύο δικτύων. Slide: 29/39

30 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /9 Από την άλλη πλευρά, για τις IP δικτυακές οντότητες, όπως είναι ο κορμός (backbone) του GPRS, οι μηχανισμοί ασφαλείας παρέχονται στο επίπεδο δικτύου. Τα πρωτόκολλα που θα χρησιμοποιηθούν είναι αυτά της σουίτας πρωτοκόλλων IPsec. Τα όρια (borders) μεταξύ των 3GPP δικτύων διαφορετικών παρόχων θα προστατεύονται από Πύλες Ασφαλείας (Security Gateways, SEG), όπως περιγράφεται στο παρακάτω σχήμα. PLMNA SEG A Za PLMNB SEG B Zb Zb Zb Zb NE1 A Zb NE2 A NE1 B Zb NE2 B Τα Ζa & Zb αναπαριστούν IKE και ESP SAs μεταξύ των στοιχείων του δικτύου Slide: 30/39

31 Περιγραφή των δια-δικτυακών και ενδο-δικτυακών μηχανισμών ασφαλείας του UMTS /10 Με αυτόν τον τρόπο, όλη η κίνηση δεδομένων και σηματοδοσίας μεταξύ διαφορετικών IP υποσυστημάτων θα διέρχεται μέσω μιας SEG πριν εισέλθει ή εγκαταλείψει το συγκεκριμένο τομέα ασφαλείας (security domain). Η ασφάλεια των δικτυακών IP υποσυστημάτων (Network Domain Security/IP) υποστηρίζει μόνο IPsec-SAs κατάστασης διόδου (tunnel mode), Encapsulation Security Payload (ESP) και Main mode phase I. Αντίθετα, ομηχανισμόςauthentication Header (AH) και η κατάσταση μεταγωγής (transport mode) δεν υποστηρίζονται από τις τρέχουσες προδιαγραφές της 3GPP. Όλοι οι συσχετισμοί ασφαλείας (SAs) θα αποθηκεύονται στη βάση συσχετισμών (SA Database, SAD) των KACs/SEGs, στην οποία θα έχουν πρόσβαση όλα τα MAPsec NEs. Επιπλέον, κάθε KAC/SEG διατηρεί και μια βάση πολιτικών ασφαλείας (Security Policy Database, SPD). Σύμφωνα με τις τρέχουσες προδιαγραφές της 3GPP μόνο οι Triple DES και HMAC-SHA-1 χρησιμοποιούνται αντίστοιχα ως αλγόριθμοι κρυπτογράφησης και δημιουργίας keyed-hashing MAC ενώ τα IV δημιουργούνται πάντα με τυχαίο τρόπο. Slide: 31/39

32 Μηχανισμός Αυθεντικοποίησης χρηστών στα δίκτυα 3GPP /5 Οι SEGs θα προσφέρουν δυνατότητες για ασφαλή αποθήκευση προδιευθετημένων μακροπρόθεσμων συμμετρικών κλειδιών (long-term preshared secrets) που θα χρησιμοποιούνται για αυθεντικοποίηση με βάση το πρωτόκολλο IKE, ενώ σε επόμενες εκδόσεις του UMTS πιθανώς να υπάρξει υποστήριξη για υποδομή δημόσιου κλειδιού. Επίσης, μόνον οι δια-δικτυακές IKE-SA διαπραγματεύσεις (negotiations) πάνω από τις Za διασυνδέσεις θα είναι υποχρεωτικές, ενώ για τις Zb διασυνδέσεις η ευθύνη υλοποίησης θα ανήκει στον εκάστοτε πάροχο υπηρεσιών. Ξεκάθαρα, τα στοιχεία δικτύου KAC και SEG αποτελούν σημαντικά στοιχεία του δικτύου κορμού του εκάστοτε παρόχου και πρέπει να προστατεύονται με αποτελεσματικό τρόπο. Πέραν των τυπικών αντιμέτρων π.χ. εγκατάσταση αναχωμάτων ασφαλείας (filtering /screening routers, firewalls κλπ.), ο πάροχος μπορεί να αποφασίσει να εγκαταστήσει δύο ή περισσότερα KAC/SEG στο δίκτυό του, εξισορροπώντας έτσι αποτελεσματικά το φόρτο όταν υπάρχει ανάγκη και επιπλέον αποφεύγοντας τις δυσάρεστες συνέπειες μιας φυσικής βλάβης ή μιας επίθεσης τύπου άρνησης παροχής υπηρεσιών (Denial of Service, DoS/DDoS). Slide: 32/39

33 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /1 Η νομοθεσία των περισσοτέρων χώρων υπαγορεύει ότι υπό προϋποθέσεις οι αρχές (authorities) θα έχουν τη δυνατότητα πρόσβασης σε ευαίσθητες πληροφορίες και δεδομένα των συνδρομητών των διάφορων παρόχων υπηρεσιών κινητών επικοινωνιών. Παραδείγματος χάριν, οι αστυνομικές αρχές μετά από εισαγγελική άδεια ή εντολή θα πρέπει να είναι ικανές σε συνεργασία με τον πάροχο των τηλεπικοινωνιακών υπηρεσιών να ακούν συνομιλίες υπόπτων για εγκληματικές πράξεις ή να παρακολουθούν τις κινήσεις τους. Τα στοιχεία αυτά μπορούν επιπλέον να χρησιμοποιούνται ως αποδείξεις στις δικαστικές αίθουσες. Στο σύστημα GSM, η δυνατότητα νομίμων συνακροάσεων με τη μορφή αντίστοιχου υλισμικού προστέθηκε εκ των υστέρων (add-on). Για περισσότερες πληροφορίες κάποιος μπορεί να αναφερθεί στις ακόλουθες LI προδιαγραφές: GSM 01.33: "Lawful Interception requirements for GSM", GSM 02.33: "Lawful Interception - stage 1", GSM 03.33: "Lawful Interception - stage 2", αλλά και στο ETSI TS : "Telecommunications security; Lawful Interception (LI); Requirements of Law Enforcement Agencies". Slide: 33/39

34 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /2 Αντιθέτως, στο UMTS η συγκεκριμένηδυνατότητα υπηρεσία απασχόλησε τουs σχεδιαστές του συστήματος εξ αρχής με αποτέλεσμα να θεσπιστούν λεπτομερείς προδιαγραφές για κάθε χαρακτηριστικό της και κάθε σημείο διεπαφής της με το υπόλοιπο σύστημα. Έτσι το συγκεκριμένο (υπο)σύστημα θεωρείται ότι αποτελεί αναπόσπαστο τμήμα του UMTS και γι αυτό το λόγο λαμβάνεται υπόψη για κάθε νέα υπηρεσία ή δυνατότητα που προστίθεται στο σύστημα. Στην περίπτωση του UMTS τα δεδομένα συνακρόασης (intercept data) μπορεί να είναι τα πραγματικά δεδομένα (Content of Communication, CC) που αποστέλλει ή / και λαμβάνει ο στόχος που παρακολουθείται, όπως για παράδειγμα το περιεχόμενο μιας συνομιλίας ή το κείμενο ενός μηνύματος SMS. Επίσης, μπορεί αφορούν πληροφορίες δικτύου (Intercept Related Information, IRI), οι οποίες αποτελούν δεδομένα σηματοδοσίας του δικτύου σε σχέση με τον στόχο παρακολούθησης, όπως για παράδειγμα η θέση που ο στόχος κινείται, ο χρόνος ενεργοποίησης ή απενεργοποίησης από το στόχο ενός PDP context (GPRS), κ.ά. Ο στόχος παρακολούθησης μπορεί να προσδιορίζεται με βάση το IMSI ή άλλη ταυτότητα (NAI, IMEI). Tο IMEI (International Mobile Equipment Identity) αντιστοιχεί στον μοναδικό αριθμό ταυτότητας της κάθε φορητής συσκευής. Συνήθως αυτός αναγράφεται σε ετικέτα στο εσωτερικό της συσκευής (πίσωαπότημπαταρία) καιέχειτημορφήnnnnnn/nn/nnnnnn/n (ή πληκτρολογώντας τον κωδικό *# 06 #). Slide: 34/39

35 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /3 Τα παρακάτω σχήματα περιγράφουν τη γενική αρχιτεκτονική του συστήματος νομίμων συνακροάσεων για το PS (GPRS), HLR/HSS και το IMS υποσύστημα αντίστοιχα. Slide: 35/39

36 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /4 Slide: 36/39

37 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /5 Οι τοπικές διαμεσολαβητικές συναρτήσεις (regional mediation functions) που αναφέρονται στα σχήματα μπορεί να είναι πλήρως διαφανείς ή να αποτελούν τμήμα των διαχειριστικών και διαβιβαστικών συναρτήσεων (Delivery Functions, DF). Οι τελευταίες χρησιμοποιούνται για τη μετατροπή των πληροφοριών που μεταβιβάζονται από τις διεπαφές HΙ1, HΙ2 και HΙ3 σε μορφή που ορίζεται από τις εκάστοτε προδιαγραφές, οι οποίες ορίζονται από τις υπεύθυνες αρχές της κάθε χώρας (national specifications). Παραδείγματος χάριν σύμφωνα με τις προδιαγραφές που ορίζονται από την ETSI (European Telecommunications Standard Institute). Σημειώστε επίσης ότι υπάρχει μόνο ένα κέντρο (συνάρτηση) διαχείρισης νόμιμων συνακροάσεων (Lawful Interception Administration Function, ADMF) στο δίκτυο του κάθε παρόχου υπηρεσιών. Slide: 37/39

38 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /6 Οι προδιαγραφές LI ορίζουν HIδιεπαφές (ΗI-interfaces ΗI1, ΗI2 και ΗI3 μεταξύ των διαμεσολαβητικών συναρτήσεων και των υπηρεσιών επιβολής του νόμου (Law Enforcement Agencies, LEAs. Οι πληροφορίες για τα LEAs μπορεί να συγκεντρώνονται σε κάποιο κέντρο διαχείρισης γνωστό ως Law Enforcement Monitoring Facility (LEMF). Οι τελευταίες αποστέλλουν αιτήσεις συνακρόασης μέσω της Ηl-1 διεπαφής στο ADMF, το οποίο με τη σειρά του ειδοποιεί σχετικά τα στοιχεία του δικτύου κορμού που εμπλέκονται (π.χ. SGSN,GGSN) μέσω των διαβιβαστικών συναρτήσεωνκαιτωνδιεπαφών X1 (Χ1_1, Χ1_2, Χ1_3). Slide: 38/39

39 Σύστημα νομίμων συνακροάσεων (Lawful Interception) /7 Έπειτα, οι διαβιβαστικές συναρτήσεις DF2 και DF3, λειτουργούν ως ενδιάμεσοι για την αποστολή των δεδομένων συνακρόασης πίσω στα LEA/LEMF. Τα CC δεδομένα παραδίδονται μέσω της διεπαφής Hl3, ενώ τα IRI δεδομένα μέσω της διεπαφής Hl2. Σημειώστε ότι για την περίπτωση του HLR/HSS και του IMS-CSCF μόνο IRI δεδομένα μπορούν να αποσταλούν. Τα στοιχεία του δικτύου κορμού που είναι δυνατό να συμμετέχουν στο σύστημα LI (3G Intercepting Control Elements, 3G ICEs) μπορεί να είναι τα παρακάτω: 3G MSC, 3G GMSC, P-CSCF, S- CSCF, SGSN, GGSN, HLR, AAA Server, PDG). Σημειώστε επίσης ότι καθένα από παραπάνω στοιχεία δικτύου διαθέτει τη δική του ξεχωριστή X1_1 διεπαφή με το ADMF. Slide: 39/39