Mobilní zločiny: jak odposlechnout mobil, část první

V poslední době se opět vynořily náznaky, že mobilní telefony je možno bez problémů odposlouchávat. Protože nic není takové, jak to na první pohled vypadá, podíváme se na problematiku odposlechů GSM poněkud blíže. Je to opravdu tak jednoduché, jak se nám někdo snaží namluvit?
Mobilní zločiny: jak odposlechnout mobil, část první

Co je to odposlech telefonu? V nejjednodušším případě můžeme hovořit o dvou základních druzích. Jednak lze odposlouchávat hovory, které jsou s pomocí daného telefonu prováděny, jednak lze využít telefon jako speciální bezdrátovou štěnici. V tomto článku se zaměříme na první skupinu odposlechů.

Jak je to s pevnými linkami

Abychom nezačali hned zostra, podíváme se na to, jak jsou zabezpečeny obyčejné pevné linky. Možná pro někoho bude šok, že nejsou zabezpečeny prakticky nijak. Telefonní přístroje jsou připojeny k místním ústřednám jednotlivých operátorů. Pokud uskutečníte hovor, je tento přenesen nejdříve n ústřednu, teprve poté pomocí sítě operátora (či více operátorů) přenesen na místo určení, poté opět předán na telefon cílového zákazníka.

Bez ohledu na to, zda jednotliví operátoři šifrují data přenášená mezi ústřednami, minimálně hovory od zdrojového telefonu k nejbližší ústředně a od poslední ústředny k cílovému telefonu jsou nešifrované a tudíž absolutně nezabezpečené. Pokud se komukoliv podaří napojit se na tuto část přenosové linky, má možnost vaše hovory odposlouchávat.

Nutno ovšem poznamenat, že odposlech pevné linky je sice mnohem pochopitelnější (pro většinu lidí), je však snadněji prokazatelný (vidíme připojený drát) a složitěji proveditelný (drát je nutno připojit).

Mobily jsou na tom lépe

Oproti tomu mobilní telefony pracující v sítích GSM jsou proti odposlechu na první pohled dostatečně chráněny. Veškerá přenášená data – hovory, SMS zprávy, GPRS přenosy a podobně – jsou totiž šifrována. Pokud už se tedy útočníkovi podaří odposlechnout komunikaci vašeho telefonu s příslušnou BTS stanicí (do jisté míry obdoba ústředny v pevných telefonních sítích), což není zase tak jednoduché, musí ještě rozlomit šifru.

Samozřejmě, nic není ponecháno náhodě. Mobilní telefon je totiž zařízení inteligentní, při své komunikaci v síti přechází víceméně nepředvídatelně mezi různými BTS stanicemi, podle toho, která má zrovna nejkvalitnější signál, největší volnou kapacitu a podobně. K přecházení dochází i v průběhu hovoru. Aby toho nebylo málo, používá se technologie nazvaná frequence hopping. Telefon přenáší data postupně na různých frekvencích, opět podle toho, na které frekvenci se mu to daří nejkvalitněji. I k tomuto poskakování po frekvencích se nijak nerozpakuje – klidně si přeskočí několikrát během jednoho hovoru.

Je samozřejmé, že výše popsané vlastnosti byly použity především kvůli příznivému vlivu na kvalitu GSM přenosů. Ztížení odposlechu a z toho vyplývající zvýšení bezpečnosti je jen příjemným vedlejším produktem. Pokud totiž chcete odposlechnout probíhající spojení, musíte se připravit nejen na to, že spojení probíhá postupně na řadě frekvencí, ale je prováděno s více různými BTS stanicemi. Prostě zmatek.

Co se stane, když zapnu telefon

Nyní se podíváme, jak funguje zabezpečení mobilního telefonu. Jak už jste se dozvěděli minule, obsahuje karta SIM mimo jiné tajný šifrovací klíč Ki. Tento klíč využívá algoritmus nazvaný A38 (spíš dvojice algoritmů A3 a A8, ale to už zabíháme příliš do detailů), ve většině případů je ekvivalentní s algoritmem COMP128 či jeho vylepšenou verzí COMP128/2.

Když zapnete telefon, ten se pokusí přihlásit do sítě. Vybere si vhodnou BTS stanici a odešle jí identifikační číslo své SIM karty (IMSI). GSM síť si následně vymyslí náhodné číslo, které pošle telefonu zpět. Telefon pomocí svého tajného klíče a algoritmu A3 toto číslo zašifruje a pošle zpět na BTS. Ta si ovšem stejný výpočet udělala také a získané číslo teď porovná se svým výsledkem. Pokud čísla souhlasí, považuje se SIM karta za autentizovanou.

Nyní přichází ke slovu druhá část šifry A38 - algoritmus A8. Obě strany (karta i BTS) vypočítají z daného náhodného čísla pomocí další šifrovací klíč. Ten bude od nynějška používán pro šifrování veškeré komunikace mezi telefonem a sítí. No, abychom byli přesní, po nějaké době si telefon a síť ustanoví z bezpečnostních důvodů nový klíč. Postup je ale stejný a odstup mezi ustavením jednotlivých klíčů dostatečně dlouhý na to, abychom mohli tuto skutečnost velkoryse přehlédnout. K šifrování se používá šifra A5.

Kůň na A5

Začínáte se v jednotlivých pojmech ztrácet? Pokusím se o stručnou rekapitulaci. Algoritmus A38 se skládá z algoritmů A3, který slouží k autentizaci SIM karty vůči síti a algoritmu A8, který umí vygenerovat takzvaný relační klíč. Relační klíč používá šifra A5, která se stará o veškeré další šifrování. A právě o této šifře bude nyní řeč trochu podrobněji.

Tato šifra byla vyvinuta ve třech modifikacích, přičemž všechny mobilní telefony by měly podporovat všechny tyto varianty. Nejméně používanou verzí je A5/0, která prostě nešifruje. Určena je pro problematické země, například Irák. Naopak nejkvalitnější šifrování nabízí verze A5/1, se kterou se běžně setkáte například v České republice. Poslední verze, A5/2 je docela oslabená varianta A5/1 – některé bity klíče jsou záměrně ignorovány, čímž se snižuje jeho efektivní délka. Tato verze byla v době vzniku standardu GSM určena původně pro země bývalého východního bloku.

Jako perličku je nutno uvést, že A5 patřil dlouho mezi přísně utajované algoritmy. Každý smrtelník, který se s touto šifrou měl seznámit, musel předem podepsat smlouvu o doživotní mlčenlivosti. Jednalo se mimo jiné o vývojáře mobilních telefonů, vědce, inženýry, a tak dále. Na veřejnost se dostala, jak jinak, lidským lajdáctvím. V roce 1994 totiž britská společnost BTT zapomněla dát podepsat tuto smlouvu doktoru Shepherdovi. Ten toho okamžitě využil a algoritmus představil na své přednášce. Než stačila britská tajná služba uvalit na přednášku informační embargo, objevil se popis algoritmu na internetu.

Hrajeme si na pionýry

Pionýři na svých letních táborech odjakživa louskali jednoduché šifry. Algoritmus A5 je poněkud propracovanější, průměrný pionýr by si s ním jistě neporadil. Přesto byl v roce 2000 prolomen. Jak to tedy s bezpečností „á pětky“ je?

Verze A5/0 je samozřejmě čitelná přímo, bez jakéhokoliv lámání. To bylo ovšem jejím účelem a proto se tomu nemůžeme divit (mimochodem, když nahlédnete do manuálu svého mobilu, možná tam objevíte zmínku o tom, jak mobil indikuje síť, která nepodporuje šifrování). Pokročilejší A5/2 je čitelná víceméně online, A5/1 s mírným zpožděním také, rozhodně však bez problémů ze záznamu.

Šifra A5 byla pokořena odborníky z Weizmannova institutu v Izraeli, kteří k tomu použili běžné PC se 128 MB paměti a dvěma pevnými disky, každý s kapacitou 73 GB. Základem je získání dvouminutového záznamu stejných dat v zašifrované i nezašifrované podobě. Počítač pak v době kratší než jedna sekunda (údaj z roku 2001, nyní to bude pravděpodobně mnohem méně) najde útokem hrubou silou klíč, který používá algoritmus A5. To samozřejmě umožní automatické dešifrování všech následně přenášených dat – hovorů, SMS, datových přenosů, …

Kde vzít a nekrást?

Dovolím si další malé shrnutí. K získání relačního šifrovacího klíče potřebujeme patřičně vybavený počítač (není problém) a dvě minuty dat. Kde je ale vzít?

Data v nezašifrované podobě nejsou zase takový problém. Pokud se nám podaří donutit potenciální oběť, aby si stáhla náš javový program, který je dostatečně velký a jeho stáhnutí trvá alespoň dvě minuty, máme otázku nezašifrovaných dat vyřešenu. Pokud se nám toto nepodaří, neměl by být problém nahrávat s dotyčným člověkem běžný hlasový hovor. Stačí zavolat a zkusit fintu typu „děláme průzkum“, „vyhrál jste“, „tady je politik X.Y.“ a podobně. Udržet pak člověka na lince alespoň dvě minuty, to snad zvládne každý.

Větší problém je ale se získáním zašifrovaných dat – tedy odposlechnutí komunikace mezi telefonem a BTS stanicí. Odposlech je sice proveden nenápadně – nikde se nic nepřipojuje, nemusíme se k telefonu přiblížit na příliš nízkou vzdálenost, … Oproti tomu se ale musíme vyrovnat s přeskakováním mezi různými frekvencemi a BTS stanicemi. Na trhu se ovšem objevily speciální GSM scannery, které se o všechny tyto záležitosti postarají za nás a na svém výstupu produkují čistá data.

Dá se nějak bránit?

Vybavení pro tento druh odposlechu je docela nákladné, navíc jsou vyžadovány relativně hluboké znalosti dané problematiky. Většina uživatelů se proto nemusí odposlechu bát, hovory běžného člověka nemají takovou cenu, aby se někomu vyplatilo takovými věcmi zabývat.

Kromě toho, existují mnohem jednodušší metody, jak odposlechnout mobilní hovory. Abych zabránil mohutným diskuzím, uvádím předem, že jednodušším (a pravděpodobně mnohem používanějším) metodám se budu věnovat v dalším díle seriálu Mobilní zločiny.

Témata článku: Operátoři, Ostatní, Mobil, Odposlech