Table Of ContentUniversidade Federal do ABC
Po´s-gradua¸ca˜o em Engenharia El´etrica
Daniel Pinheiro Carl´esimo
Ana´lise de vulnerabilidades dos sistemas gsm/gprs
por meio de recursos complementares de hardware
e software
Disserta¸ca˜o
Santo Andr´e - SP
2013
Daniel Pinheiro Carl´esimo
Ana´lise de vulnerabilidades dos sistemas gsm/gprs
por meio de recursos complementares de hardware
e software
Disserta¸ca˜o
Disserta¸ca˜o apresentada ao Curso de Po´s-gradua¸ca˜o da
Universidade Federal do ABC, como requisito parcial
para obten¸ca˜o do grau de Mestre em Engenharia
El´etrica
Orientador: Prof. Dr. Carlos Eduardo Capovilla
Coorientador: Prof. Dr. Ivan Roberto Santana Casella
Santo Andr´e - SP
2013
Dedicado a Jayme Rocha
Pinheiro, o formida´vel.
i
Agradecimentos
Agrade¸co,
ao Prof. Carlos E. Capovilla por ter acreditado neste trabalho, abrindo-me novamente as
portas do mundo acadˆemico com maestria e muita dedica¸ca˜o.
ao Prof. Ivan R. S. Casella e sua valiosa coorienta¸ca˜o.
aos prezados Alexsander Loula, Andr´e Bassoli, Arnaldo Clemente e Joa˜o Machado da NI
do Brasil.
ao Prof. Dr. Francisco Mu¨ller e alunos Edgleyson Dias, Jeferson Leite e Andrey Silva,
estimados colegas da Universidade Federal do Par´a.
ii
Uma viajem de mil milhas inicia-se com
o movimento de um p´e.
LaoTzu
iii
Resumo
Concebido para ser seguro e confia´vel, o sistema de telefonia m´ovel de segunda
gera¸c˜aoconhecidocomoGSM(Global System for Mobile Communication)teve
com o passar dos anos sucessivas fragilidades identificadas. Com a eliminac¸˜ao
gradativa de fatores que indiretamente contribu´ıam para sua robustez (como
o elevado custo da infraestrutura de hardware, softwares proprieta´rios e in-
forma¸c˜oes protegidas), observou-se a criac¸˜ao de diferentes frentes de estudo
que culminaram no surgimento de t´ecnicas de ataque ao sistema. Tendo sua
contemporaneidade assegurada atrav´es da associa¸ca˜o com o GPRS (General
Packet Radio Service), o sistema ainda vigora entre as diversas frentes de
servi¸co da atualidade, tais como transa¸co˜es financeiras, rastreamento veicu-
lar, sensoriamento e monitoramento em redes inteligentes de energia el´etrica
(Smart Grids) e at´e mesmo conex˜ao alternativa para aparelhos celulares de
terceira gera¸ca˜o. Em particular, o presente trabalho visa retratar a real segu-
ranc¸adossistemasGSM/GPRS,explorandolacunasconceituaisquepermitam
contornar o modelo de seguran¸ca em vigor. Para tal, os cap´ıtulos seguintes
descrevem as principais caracter´ısticas do GSM/GPRS, seguido pelo estudo e
identifica¸ca˜o de vulnerabilidades inerentes aos pro´prios requisitos que o origi-
naram e, finalmente, a comprova¸ca˜o experimental de suas fragilidades com o
auxilio de hardware e softwares abertos ao pu´blico em geral.
Palavras-chave: GSM. GPRS. Seguran¸ca. Vulnerabilidade.
iv
Abstract
Designed to be safe and reliable, the second-generation mobile phone system
known as GSM (Global System for Mobile Communication) had some weaknes-
ses identified over the years. The gradual elimination of factors that indirec-
tly contributed to its robustness (like the high cost of hardware infrastructure,
proprietary software and protected information) has considerably simplified the
researches, consequently allowing the creation of different system attack tech-
niques. Lately associated to the GPRS (General Packet Radio Service), the
system still prevails in different contemporary applications, such as financial
transactions, vehicle tracking, smart grids systems and even alternative con-
nection to third-generation handsets. In particular, this master thesis aims
to reveal the actual security of GSM/GPRS by exploring conceptual gaps that
may be used to bypass the security model in place. To this end, the following
chapters describe the main GSM/GPRS characteristics, the requirements gap
and its resulting vulnerabilities, finally followed by some experimental practice
making use of open-hardware and open-software.
Key-words: GSM. GPRS. Security. Vulnerability.
v
Lista de Figuras
2.1 Arquitetura simplificada GSM . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Arquitetura simplificada GPRS . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3 Interfaces entre os elementos de rede . . . . . . . . . . . . . . . . . . . . . 14
2.4 Modelo de camadas da interface Um . . . . . . . . . . . . . . . . . . . . . 15
2.5 Canais f´ısicos versus canais lo´gicos . . . . . . . . . . . . . . . . . . . . . . 16
2.6 Aloca¸ca˜o do espectro segundo FDD . . . . . . . . . . . . . . . . . . . . . . 17
2.7 Acesso mu´ltiplo por divisa˜o de tempo e frequˆencia . . . . . . . . . . . . . . 19
2.8 Tipos de burst e suas caracter´ısticas . . . . . . . . . . . . . . . . . . . . . . 20
2.9 Classifica¸ca˜o geral dos canais lo´gicos . . . . . . . . . . . . . . . . . . . . . 22
2.10 Diagrama sequencial de autentica¸ca˜o e encripta¸ca˜o . . . . . . . . . . . . . 28
2.11 Algoritmo de autentica¸ca˜o A3 . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.12 Diagrama sequencial de encripta¸c˜ao . . . . . . . . . . . . . . . . . . . . . . 31
2.13 Algoritmo calculador de chave de se¸c˜ao, A8 . . . . . . . . . . . . . . . . . 32
2.14 Algoritmo COMP128 de autentica¸ca˜o e c´alculo de chave de sec¸˜ao . . . . . 32
2.15 Algoritmos-cifra de encripta¸ca˜o pertencentes `a fam´ılia A5 . . . . . . . . . . 33
3.1 Arquitetura GSM com hardware e softwares abertos . . . . . . . . . . . . . 39
3.2 Vis˜ao geral sobre a USRP1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3 Leitores e programadores de SIM card . . . . . . . . . . . . . . . . . . . . 45
3.4 Deriva¸ca˜o do Ki de SIM cards contendo o COMP128v1- SIM Easy V8.20 . 48
3.5 Testes com USRP1 na caˆmara anec´oica da UFABC . . . . . . . . . . . . . 56
4.1 Registro de falhas, OpenBTS P2.8 . . . . . . . . . . . . . . . . . . . . . . . 58
4.2 Tentativas e incompatibilidades observadas durante etapa de integra¸c˜ao . . 59
4.3 Registro de falhas, OpenBTS-UHD . . . . . . . . . . . . . . . . . . . . . . 60
4.4 Obten¸c˜ao do IMSI em cleartext . . . . . . . . . . . . . . . . . . . . . . . . 61
4.5 Atribui¸c˜ao de TMSI ao IMSI capturado . . . . . . . . . . . . . . . . . . . . 62
4.6 Leitura dos identificadores de rede atrav´es da MS . . . . . . . . . . . . . . 62
4.7 Handover inesperado do iPhone . . . . . . . . . . . . . . . . . . . . . . . . 64
4.8 Configurac¸˜oes do Galaxy SIII referentes a` conexa˜o GSM . . . . . . . . . . 64
4.9 Spoofing de rede em ambiente controlado (cˆamara aneco´ica) . . . . . . . . 66
4.10 Envio de SMS atrav´es do OpenBTS-UHD . . . . . . . . . . . . . . . . . . 66
4.11 Recebimento do SMS transmitido . . . . . . . . . . . . . . . . . . . . . . . 67
vi
Description:foi encontrada para auxiliar no contorno de tal entrave. git clone git://git.osmocom.org/pysim.git /pentest/usrp/sim. C.3 Compreendendo o pySim.
