Data Communication Group http :// networks f.ufrgs.br/dcg

`

Unstructured Supplementary

Service Data (USSD)

Aula 4: Questões de Segurança

Porto Alegre, setembro de 2013

Data Communication Grouphttp://networks.inf.ufrgs.br/dcg/

http://labcom.inf.ufrgs.br/dcg/




Agenda

① Segurança na Rede GSM

② Segurança no Gateway USSD

③ Segurança entre Gateway USSD e

Aplicação

④ Estudo de Caso

2Unstructured Supplementary Service Data (USSD)


Necessidades de Segurança na Rede GSM



Das operadoras Cobrar por serviços Evitar fraudes Proteger os serviços prestados

Dos clientes Privacidade Anonimato Segurança mínima igual ao de uma Rede Pública de

Telefonia Comutada (RPTC)

Objetivos de Segurança na Rede GSM

Confidencialidade e Anonimato no rádio

Autenticação forte contra repúdio de cobranças (fraudes)

Prevenir relacionamento entre operadoras Sem advertência Por competição



Requisitos de um Mecanismo de Segurança em Redes GSM

Não deve: Adicionar significante sobrecarga na

chamada Aumentar o tráfego do canal Aumentar a taxa de erros Adicionar complexidade custosa aos

sistemas Deve:

Ser eficiente com baixos custos Ser capaz de identificar acesso de

equipamentos suspeitos5

Unstructured Supplementary Service Data (USSD)Porto Alegre, setembro de 2013

6

Arquitetura GSM

MS - Mobile StationBSS - Base Station SubsystemBTS - Base Transceiver StationBSC - Base Station ControllerNSS - Network Station SubsystemMSC - Mobile Services Switching CenterVLR - Visitior Location RegisterHLR - Home Location RegisterAuC - Autentiction CenterEIR - Equipment Identitty RegisterSMSC - Short Message Service CenterGMSC – Gateway MSC

6

MS

BTS

BTS

BSC

BSC

EIR

SMSCAuC

BSS NSS

BTSHLR

MSC

VLR

GMSC

Segurança em Redes GSM

SIM Card possui 4 informações de segurança: International Mobile Subscriber Identity

(IMSI) Authentication Key (Ki) O algoritmos de autenticação A3 O algoritmo de criação da chave cifrada

A8

Equipamento Móvel (ME) possui mais uma informação de segurança O algoritmo de criptografia A5 7


8

International Mobile Subscriber Identity

Identifica o usuário e operadora

Usuário pode “passar” seus dados para diferentes dispositivos móveis


MCC – Mobile Country codeMCN - Mobile Network CodeMSIM – Mobile Station Identification Number

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

MCC MCN MSIN

Authentication Key (Ki)

Chave de 128 bits É a semente utilizada para a

criação de todas as chaves e desafios na rede GSM

Armazenada no SIM e no AuC i.e. cada SIM possui um Ki único



A3

Algoritmos A3



Ki (128 bits)SRES (32 bits)

RAND (128 bits)

RAND – Desafio randômico gerado pelo AuCKi – Authentication KeySRES – Signed Response

Confidencialidade da identidade do usuário

Algoritmos A8



A8Ki (128 bits)Kc (64 bits)

RAND (128 bits)

RAND – Desafio randômico gerado pelo AuCKi– Authentication keyKc – Ciphering Key – Chave de cifra

Confidencialidade de dados (SMS, voz, etc.)

Mobile Station (MS)

MS = SIM + ME O SIM pode ser protegido com um

Personal Identification Number (PIN) gerado pelo usuário O PIN é armazenado no cartão Quando digitado incorretamente três

vezes bloqueia o mesmo Para o desbloqueio utiliza-se o Personal

Unblocking Key (PUK), que também é armazenado no cartão e pode ser obtido com a operadora



Criptografia no ME



A5Fn (22 bits)Texto criptografado(114 bits)

Kc (64 bits)(produzido pelo A8)

Dado (plaintext)

Kc – Ciphering Key – Chave de cifraFn– Número do Quadro

A5/0, A5/1, A5/2 e A5/3

A5/0 Não possui criptografia

A5/1 Mais forte e pode ser utilizado por países filiados

ao CEPT (European Conference of Postal and Telecommunications)

A5/2 Mais fraco que o A5/1

A5/3 Baseado no algoritmo Kasumi (3GPP 2002) Suportado em redes 2G e 3G



Segurança em Redes GSM

Mobile Switching Center (MSC) Responsável por realizar

redirecionamentos, autenticação, registro (auditoria) e criação das ligações entre os dispositivos de uma rede GSM

Home Location Register (HLR) Responável pelo registro da localização

de cada usuário da rede GSM. Informação importante para evitar fraudes (auditoria)



Authentication Centre (AuC)

Utilizado pelo HLR para gerar desafios randômicos (RAND)

Pode ser integrado com outras funções da rede, e.g. com o HLR O banco de dados do AuC contém:

IMSI Temporary Mobile Subscriber Identity

(TMSI) Location Area Identity (LAI) Ki



17

International Mobile Station Equipment Identity (IMEI)

Identificação exclusiva do dispositivo

Utilizado para identificação de dispositivos válidos (autorizados). Ex: *#06#


CC: Country CodeFAC: Final Assembly CodeMC: Manufacturer CodeSN: Serial NumberU: Unused

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

CC FAC MC SN U

Equipment Identity Register (EIR)

Armazena as listas de acesso sobre os IMEIs, que pode ser : Preta: bloqueados Branca: liberados Cinza: suspeitos

EIR impede o acesso de dispositivos com IMEIs inválidos/bloqueados



Segurança no GSM



SIMMERede GSM

3. Envia TMSI

4. Estabelecimento do canal

5. REQUISIÇÃO DE AUTENTICAÇÃO (RAND)

8. RESPOSTA DE AUTENTICAÇÃO (SRES)

6. EXECUTA ALGORITMOGSM (RAND)

7. RESPOSTA (SRES, Kc)

1. Envia IMSI

2. Repassa IMSI

Operadora GSMME

SIM

Esquema de Autenticação e Criptografia



A3

A8

A5

Ki

KcFn

mi

A3

A8

A5

Kc Fn

mi

Signed Response (SRES)

Desafio RAND

Dado Criptografado

Ki

Desafio RAND

Autenticação: Valores de SRES são iguais?

mi– Mensagem

Agenda


② Segurança no Gateway Gateway


Aplicação

④ Estudo de Caso



Requisitos para um Gateway USSD



Gateway USSD deve: Repassar informações da rede GSM

para a aplicação Traduzir protocolos Interconectar redes Diminuir ao máximo o transporte de

informações não criptografadas

Segurança no Gateway Público



Compartilhado com diferentes aplicações USSD terceirizadas

Localizados na operadora

Acesso físico de estranhos: Gateways podem ser modificados por

diferentes operadores que podem ver mensagens confidenciais

Segurança no Gateway Público



Mistura de conteúdo: Não confiável Confiável

Cobrança dos usuários: Pela conta telefônica das operadoras

Ausência de auditoria

Segurança no Gateway Privado



Uso exclusivo por aplicações USSD específicas

Localização: Local restrito na operadora No próprio serviço terceirizado

Cobrança: Pode ser cobrado na conta bancária

Permite auditoria

Gateway USSD Seguro

Segurança no Gateway



Hardware SS7

HSM

Gateway Banco

Tráfego Seguro

Interface de Rádio e SS7

HSM: Hardware Securiy Model

Agenda


② Segurança no Gateway USSD


Aplicação

④ Estudo de Caso



Segurança entre Gateway e Aplicação

Grande maioria dos Gateways criptografa a comunicação com o servidor

Algoritmos mais utilizados: RSA (Rivest, Shamir & Adleman)

Chave assimétrica AES (Advanced Encryption Standard)

Chave simétrica



RSA

Algoritmo de chave assimétrica Trabalha com duas chaves

Privada (ou secreta) e pública Embora diferentes, estão matematicamente

ligadas

Proposto por Ron Rivest, Adi Shamir e Leonard Adleman em 1977

Tamanho das chaves: 512, 1024 ou 2048 (tipicamente)



RSA – Geração das chaves

Chave1 = {e,n} (privada)

Chave2 = {d,n} (pública)

Plaintext (M) e texto criptografado (C) são inteiros entre 0 e n-1, onde n é o tamanho do dado e da chave Criptografia:

C = Me mod n De-criptografia:

M = Cd mod n



RSA – Geração das chaves

Seleciona dois números primos grandes p q, onde p ≠ q

n = p * q

Calcula Φ = (p-1)(q-1)

Seleciona e, tal que mmc(Φ,e)=1; 0 < e < Φ

Calcula d, tal que d * e mod Φ = 1



AES

Algoritmo de chave simétrica Mesma chave utilizada para criptografar e

de-criptografar

Baseado no cifrador de Rijndael (Rijndael cipher)

Amplamente adotada pelo governo dos EUA

Considerada “quebrável” via força bruta Não existe capacidade computacional

suficiente para quebra-la hoje 32Unstructured Supplementary Service Data (USSD)


AES

Trabalha com 3 tamanhos de chaves 128, 192 e 256

Aplica o conceito de rede de permutação e substituição

Aplica um número de ciclos (rounds) de transformação do dado de entrada (plaintext), de acordo com o tamanho da chave 10 ciclos para chaves de 128 bits 12 ciclos para chaves de 192 bits 14 ciclos para chaves de 256 bits



AES - Detalhes

Entrada (plaintext) é transforada em uma matriz, chamada de estado

Chave de criptografia também é transformada em uma matriz São geradas sub-chaves utilizadas em cada round

Rounds = número de ciclos

http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf





RSA x AES



Ambos possuem implementação relativamente simples

RSA é computacionalmente mais caro do que AES Trata-se de matemática com números muito

grandes Não há necessidade de compartilhamento de

chaves privadas

AES pode ser implementado com operações entre bits relativamente simples Ambos os lados da comunicação devem compartilhar a

mesma chave

Quanto maior o volume de dados, mais perceptível a diferencia entre complexidade de cada um

Qual Utilizar?



Resposta: AMBOS!

Gateway combina os dois algoritmos de criptografia

RSA é utilizado para a troca segura de chaves Chave AES é criptografada com a chave RSA

AES é utilizado para criptografar a mensagem

Troca de Mensagens Criptografadas



Aplicação Segura Gateway USSD

RSASocket RSASocket

Connect

Gera Chaves RSA Privada/PúblicaPrivateKey = ARKPublicKey = AUK

Chave AES = AKey

Gera Chaves RSA Privada/PúblicaPrivateKey = GRKPublicKey = GUK

Chave AES = GKeyTCP/IP Connect

Envia AUK

Envia GUK

TCP/IP Accept

Envia AKey (criptografada com GUK)

Envia GKey (criptografada com AUK)

Estabelecimento de conexãoTCP/IP

Troca das chaves AES

Troca das chaves RSA Públicas





RSASocket RSASocket

USSD XML (bind)

Criptografa com a chave GKey

De-criptografa com a chave GKey

Envia XML Criptografado


USSD XML (response)

Criptografa com a chave AKey

USSD XML (response)

De-criptografa com a chave AKey

Processo de

Binding





RSASocket RSASocket

De-criptografa XML com a chave AKey

USSD XML (begin)

USSD XML (end/continue)

Criptografa XML com a chave GKey


USSD XML (begin)

Criptografa XML com AKey


De-criptografa XML com GKey

USSD XML (end/continue)

USSD Service




Demonstração de troca de pacotes no LeibICT

Análise de Desempenho



Análise sobre o Gateway LeibICT (simulador)

1000 requisições ao Gateway

Taxa de 10 requisições/segundoTamanho da chave RSA Pacotes Bytes Bytes/Pacote % Máx.

Requisições/s

Sem criptografia

3006 1105182 367,7 100,00 750+

512 3001 1328380 442,6 120,40 67-69

1024 2988 1327960 444,4 120,88 35-36

2048 2693 1459414 541,9 147,40 11-12

Agenda

① Segurança no GSM

② Segurança no Gateway

③ Segurança entre Gateway e

Aplicação

④ Estudo de Caso



Partner Matched Technology(África do Sul)



Rede Nokia/Siemens

Afirmam que não se deve utilizar Gateways públicos

Propõe uma solução para instituições financeiras, que inclui: Servidor de segurança Serviços de auditoria Pacote de integração com a prestadora de

serviços




Facility Segura

HSM

Core USSD

Banco

Banco

Dispositivo

VPN

USSDMAP

Gateway

HLR Rede GSM

Link Seguro

Infraestrutura

MNO existente

HSM: Hardware Securiy Model

Facility Segura

HSM

Core USSD

Banco

Banco

Dispositivo

VPN

USSDMAP

Gateway

HLR Rede GSM

Link Seguro

Infraestrutura

MNO existente




Pilha SS7

Pilha SS7

Hardware SS7

Hardware SS7

STP

USSDMAP

Gateway

Facility SeguraLink E1

Partner Matched Technology(África do Sul)



Garantem: Validação do SIM card Criptografia para transações financeiras,

utilizando um Hardware Security Model (HSM) Cada instituição financeira registra sua

chave criptográfica no HSM Habilita um processo de auditoria

“aceitável” Somente a instituição financeira consegue

de-criptografar Segurança física de acesso ao ambiente de

rede




Criptografia deRádio

VPN

SSL

PIN

ServidorUSSD

Gateway

RoteadorSeguro

USSD Mobile Bankin

g

Referências



Raj Jain - Advanced Topics in Networking: Wireless and Mobile Networking: Network Security Concepts (Spring 2006)

https://www.boxcryptor.com/en/aes-and-rsa-encryption LeibICT – USSD S-Gateway Documentation Desai, S. “Mitigating Security Risks in USSD-based

Mobile Payment Applications”, Aujas white paper, 2011. “Secure USSD Facility for Financial Institutions”, Pattern

Matched Technologies white paper, 2010. Korkusuz, A. “Security in the GSM Network”,

Dissertação de mestrado, Bogazici University, Turquial, 2012.

3 GPP TS 43.020 v12.0.0, 2013-03

https://www.boxcryptor.com/en/aes-and-rsa-encryption



`

Obrigado!Perguntas?

Cristiano Bonato [email protected]

Unstructured SupplementaryService Data (USSD)


http://networks.inf.ufrgs.br/dcg

Data Communication Group http :// networks f.ufrgs.br/dcg

Documents

Transcript of Data Communication Group http :// networks f.ufrgs.br/dcg