Análise de vulnerabilidades dos sistemas gsm/gprs por meio de recursos complementares de hardware e software

Transcrição

1 Universidade Federal do ABC Pós-graduação em Engenharia Elétrica Daniel Pinheiro Carlésimo Análise de vulnerabilidades dos sistemas gsm/gprs por meio de recursos complementares de hardware e software Dissertação Santo André - SP 2013

2 Daniel Pinheiro Carlésimo Análise de vulnerabilidades dos sistemas gsm/gprs por meio de recursos complementares de hardware e software Dissertação Dissertação apresentada ao Curso de Pós-graduação da Universidade Federal do ABC, como requisito parcial para obtenção do grau de Mestre em Engenharia Elétrica Orientador: Prof. Dr. Carlos Eduardo Capovilla Coorientador: Prof. Dr. Ivan Roberto Santana Casella Santo André - SP 2013

3

4

5 i Dedicado a Jayme Rocha Pinheiro, o formidável.

6 Agradecimentos Agradeço, ao Prof. Carlos E. Capovilla por ter acreditado neste trabalho, abrindo-me novamente as portas do mundo acadêmico com maestria e muita dedicação. ao Prof. Ivan R. S. Casella e sua valiosa coorientação. aos prezados Alexsander Loula, André Bassoli, Arnaldo Clemente e João Machado da NI do Brasil. ao Prof. Dr. Francisco Müller e alunos Edgleyson Dias, Jeferson Leite e Andrey Silva, estimados colegas da Universidade Federal do Pará. ii

7 Uma viajem de mil milhas inicia-se com o movimento de um pé. LaoTzu iii

8 Resumo Concebido para ser seguro e confiável, o sistema de telefonia móvel de segunda geração conhecido como GSM (Global System for Mobile Communication) teve com o passar dos anos sucessivas fragilidades identificadas. Com a eliminação gradativa de fatores que indiretamente contribuíam para sua robustez (como o elevado custo da infraestrutura de hardware, softwares proprietários e informações protegidas), observou-se a criação de diferentes frentes de estudo que culminaram no surgimento de técnicas de ataque ao sistema. Tendo sua contemporaneidade assegurada através da associação com o GPRS (General Packet Radio Service), o sistema ainda vigora entre as diversas frentes de serviço da atualidade, tais como transações financeiras, rastreamento veicular, sensoriamento e monitoramento em redes inteligentes de energia elétrica (Smart Grids) e até mesmo conexão alternativa para aparelhos celulares de terceira geração. Em particular, o presente trabalho visa retratar a real segurança dos sistemas GSM/GPRS, explorando lacunas conceituais que permitam contornar o modelo de segurança em vigor. Para tal, os capítulos seguintes descrevem as principais características do GSM/GPRS, seguido pelo estudo e identificação de vulnerabilidades inerentes aos próprios requisitos que o originaram e, finalmente, a comprovação experimental de suas fragilidades com o auxilio de hardware e softwares abertos ao público em geral. Palavras-chave: GSM. GPRS. Segurança. Vulnerabilidade. iv

9 Abstract Designed to be safe and reliable, the second-generation mobile phone system known as GSM (Global System for Mobile Communication) had some weaknesses identified over the years. The gradual elimination of factors that indirectly contributed to its robustness (like the high cost of hardware infrastructure, proprietary software and protected information) has considerably simplified the researches, consequently allowing the creation of different system attack techniques. Lately associated to the GPRS (General Packet Radio Service), the system still prevails in different contemporary applications, such as financial transactions, vehicle tracking, smart grids systems and even alternative connection to third-generation handsets. In particular, this master thesis aims to reveal the actual security of GSM/GPRS by exploring conceptual gaps that may be used to bypass the security model in place. To this end, the following chapters describe the main GSM/GPRS characteristics, the requirements gap and its resulting vulnerabilities, finally followed by some experimental practice making use of open-hardware and open-software. Key-words: GSM. GPRS. Security. Vulnerability. v

10 Lista de Figuras 2.1 Arquitetura simplificada GSM Arquitetura simplificada GPRS Interfaces entre os elementos de rede Modelo de camadas da interface Um Canais físicos versus canais lógicos Alocação do espectro segundo FDD Acesso múltiplo por divisão de tempo e frequência Tipos de burst e suas características Classificação geral dos canais lógicos Diagrama sequencial de autenticação e encriptação Algoritmo de autenticação A Diagrama sequencial de encriptação Algoritmo calculador de chave de seção, A Algoritmo COMP128 de autenticação e cálculo de chave de seção Algoritmos-cifra de encriptação pertencentes à família A Arquitetura GSM com hardware e softwares abertos Visão geral sobre a USRP Leitores e programadores de SIM card Derivação do Ki de SIM cards contendo o COMP128v1- SIM Easy V Testes com USRP1 na câmara anecóica da UFABC Registro de falhas, OpenBTS P Tentativas e incompatibilidades observadas durante etapa de integração Registro de falhas, OpenBTS-UHD Obtenção do IMSI em cleartext Atribuição de TMSI ao IMSI capturado Leitura dos identificadores de rede através da MS Handover inesperado do iphone Configurações do Galaxy SIII referentes à conexão GSM Spoofing de rede em ambiente controlado (câmara anecóica) Envio de SMS através do OpenBTS-UHD Recebimento do SMS transmitido vi

11 Lista de Tabelas 2.1 Faixas de Frequência GSM Cálculo de impactos do clock sobre as faixas de frequência GSM Frequências de trabalho das antenas quad-band vii

12 Lista de Acrônimos 3GPP AB ADC AP ARFCN AuC BCCH BN BSC BSIC BSS BTS CA CBCH CC CC CCCH CCH CIA CPU DAC DB DCCH DoS EEPROM EIR ERB ETSI FAC FACCH FB FCCH FDD FDMA FN 3rd Generation Partnership Project Access burst Analog to Digital Converter Access Point Absolute Radio Frequency Channel Number Authentication Center Broadcast Control Channel Bit Number Base Station Controller Base Transceiver Station Identity Code Base Station Subsystem Base Transceiver Station Cell Allocation Cell Broadcast Channel Call Control Country Code Common Control Channel Control Channels Confidentiality, Integrity and Availability Central Processing Unit Digital to Analog Converter Dummy burst Dedicated Control Channel Denial of Service Electrically Erasable Programmable Read-Only Memory Equipment Identity Register Estação Radio Base (vide BTS) European Telecommunications Standards Institute Final Assembly Code Fast Associated Control Channel Frequency correction burst Frequency Correction Channel Frequency Division Duplexing Frequency Division Multiple Access Frame Number viii

13 GEA GGSN GMSC GMSK GPRS GSM GSN GTP HLR HTTP ICCID IMEI IMSI IP ISDN ISM ITU Kc Ki LA LAC LAI LCH LMSI MA MCC ME MITM MM MNC MS MS-DOS MSC MSIN MSISDN MSK NB NDC NMSI NSAPI NSS OCXO OSI OSS PBX GPRS Encryption Algorithm Gateway GPRS Support Node Gateway Mobile Switching Center Gaussian Minimum-Shift Keying General Packet Radio Service Global System for Mobile Communications GPRS Support Nodes GPRS Tunneling Protocol Home Location Register Hyper Text Transfer Protocol Integrated Circuit Card ID International Mobile Equipment Identity International Mobile Subscriber Identity Internet Protocol Integrated Services Digital Network Instrumentation, Scientific and Medical International Telecommunication Union Chave de encriptação ou chave de seção (Ciphering Key / Session Key) Chave de autenticação do assinante (Subscriber Authentication Key) Location Area Location Area Code Location Area Identification Logical Channel Local Mobile Station Identity Mobile Allocation Mobile Country Code Mobile Equipment Man-In-The-Middle Mobility Management Mobile Network Code, ou código de operadora Mobile Station MicroSoft Disk Operating System Mobile Switching Center Mobile Subscriber Identification Number Mobile Subscriber Integrated Services Digital Network Number Minimum Shift Keying Normal Burst National Destination Code National Mobile Subscriber Identity Network Layer Service Access Point Identifier Network and Switching Subsystem Oven-Controlled Crystal Oscillator Open Systems Interconnection Operations Suport System Private Branch Exchange ix

14 PCH PDN PIN PLMN ppm PSTN P-TMSI PUK RACH RAM RAND RF ROM RPTC RR SACCH SB SCH SDCCH SDR SGSN SIM SIP SMS SMS-G SN SNR SRES SS7 TAC TCH TDMA TID TLLI TMSI TN TS TTL Um UMTS USB USRP VCTCXO VLR VoIP Physical Channel Paket Data Network Personal Identification Number Public Land Mobile Network parts per million Public Switched Telephone Network Packet Temporary Mobile Subscriber Identity Personal Unblocking Key Random Access Channel Random Access Memory Random Challenge Radiofrequência Read Only Memory Rede Publica de Telefonia Comutada (vide PSTN) Radio Resource Slow Associated Control Channel Synchronization burst Synchronization Channel Standalone Dedicated Control Channel Software-Defined Radio Serving GPRS Support Node Subscriber Identity Module Session Initiation Protocol Short Message Service Short Message Service Gateway Subscriber Number Serial Number Signed RESponse Signalling System No.7 Type Approval Code Traffic Channel Time Division Multiple Access Tunnel Identifier Temporary Logical Link Identity Temporary Mobile Subscriber Identity Timeslot Number Timeslot Transistor-Transistor Logic Interface aérea de radiofrequência entre MS e BTS Universal Mobile Telecommunications System Universal Serial Bus Universal Software Radio Peripheral Voltage Controlled, Temperature Compensated Crystal Oscillators Visitor Location Register Voice over Internet Protocol x

15 VPN XO Virtual Private Network Crystal Oscillator xi

16 Sumário 1 Introdução 1 2 GSM/GPRS: Uma visão geral INTRODUÇÃO GSM GPRS ARQUITETURAS DE REDE Arquitetura GSM Identificação do assinante móvel Mobile Station Base Station Subsystem Network and Switching Subsystem Operations Support System Arquitetura GPRS INTERFACES GSM Considerações iniciais Interfaces APROFUNDAMENTO NA INTERFACE Um Considerações iniciais Canais Físicos Canais Lógicos GPRS MODELO DE SEGURANÇA Conceitos de Segurança GSM: Funções e Serviços de Segurança Autenticação Encriptação Considerações adicionais para o GPRS Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade INTRODUÇÃO ELEMENTOS DA ARQUITETURA Equipamentos e periféricos utilizados xii

17 3.2.2 Software VULNERABILIDADES IMSI Catcher MITM CONSIDERAÇÕES FINAIS Espectro de Radiofrequência Clock Identificadores da Rede Câmara Anecóica - UFABC Análise Técnica por meio de Recursos de Hardware e Software FASE DE INTEGRAÇÃO FASE DE VERIFICAÇÃO IMSI Catcher Conclusões e Perspectivas Futuras CONSTATAÇÕES E CONCLUSÕES RECOMENDAÇÕES PARA TRABALHOS FUTUROS Bibliografia 73 Apêndices 80 A Tutorial de Instalação e Configuração - GNU Radio 81 A.1 Introdução A.2 Instalação das dependências A.3 Instalação das bibliotecas boost A.4 Edição dos paths A.5 Instalação do GNU Radio A.6 Adição de permissão de usuário A.7 Teste de interface com a USRP A.8 Upgrade para GNU B Tutorial de Instalação e Configuração - USRP Hardware Driver (UHD) 91 B.1 Introdução B.2 Library Path C Tutorial de Utilização - pysim 95 C.1 Introdução C.2 Download da ferramenta C.3 Compreendendo o pysim C.4 Exemplos de Escrita e Leitura xiii

18 xiv D Tutorial de Instalação e Configuração - OpenBTS 99 D.1 Introdução D.2 Instalação das Bibliotecas D.3 Construção e Instalação do OpenBTS-UHD D.4 Outras versões de OpenBTS D.4.1 Versão P D.4.2 Variante GPRS baseada no P D.4.3 OpenBTS-OSMO D.4.4 OpenBTS D.4.5 Versões anteriores E Tutorial de Instalação - Asterisk 107 E.1 Introdução E.2 Instalação - Asterisk v E.3 Possíveis Erros E.4 Configuração

19 Capítulo 1 Introdução Os sistemas analógicos de telefonia móvel marcaram o início de uma grande revolução no campo das telecomunicações. Conhecidos como sistemas de primeira geração (1G), a telefonia móvel analógica caracterizava-se pela baixa qualidade de voz, pela facilidade de interceptação das chamadas e pela ausência de um padrão internacional, impedindo que um único aparelho móvel fosse utilizado em diferentes países. Sobretudo no continente europeu, onde as fronteiras territoriais sobressaem com maior frequência, notava-se claramente em meados dos anos 80 problemas derivados da incompatibilidade entre as diferentes tecnologias 1G. Sob o ponto de vista do usuário, os sistemas eram limitados tanto em qualidade quanto em segurança, confidencialidade e abrangência dos serviços. Sob o ponto de vista dos desenvolvedores, a incompatibilidade entre tecnologias restringia os ganhos de produção em larga escala, encarecendo o produto final e consequentemente reduzindo os lucros. Não menos importante observar que os telefones celulares analógicos eram grandes e necessitavam de recargas constantes de bateria. Neste contexto, criou-se no início dos anos 80 o GSM (Groupe Spécial Mobile) para endereçar justamente os problemas e limitações observados na época. Posteriormente chamado de Global System for Mobile Communications, o GSM tornou-se rapidamente o padrão de telefonia móvel mais utilizado no mundo. Dentre as características que potencializaram este rápido crescimento, destacam-se a melhor qualidade de voz, o aumento da capacidade de tráfego dos sistemas, a vasta gama de serviços (como acesso à Internet e envio de SMS, Short Message Service), a implementação de algoritmos de autenticação e encriptação de dados, a maior robustez do canal e finalmente a padronização internacional que tornou possível utilizar um único número de telefone e/ou um único aparelho celular em todo o mundo (roaming internacional). Posteriormente, o aumento na demanda por serviços de dados como SMS e Internet marcou a transição para os sistemas conhecidos como 2.5G. Caracterizado por uma arquitetura sobreposta à rede GSM (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002), o GPRS (General Packet Radio Service) é um sistema 2.5G que reutiliza grande parte da infraestrutura anteriormente implantada nas redes GSM, adicionando os novos nós SGSN (Serving GPRS Support Node) e GGSN (Gateway GPRS Support Node) responsáveis pelo 1

20 Capítulo 1. Introdução 2 fornecimento de serviços de comutação de pacotes. Desta forma, o GPRS possui taxas de transmissão que podem variar de 14.4 kbps (utilizando apenas um timeslot) até 115kbps (múltiplos timeslots) (USHA COMMUNICATIONS TECHNOLOGY, 2000; ALMEIDA, 2010), sendo que diferentes BTSs (Base Transceiver Station) podem ser utilizadas para o envio de pacotes (PESONEN, 1999). Os pacotes transmitidos são finalmente reconstruídos na SGSN, garantindo assim uma vantagem frente às transmissões alocadas em um único canal. Apesar de ter sido superado pelas tecnologias mais modernas da terceira geração (3G), as vantagens descritas anteriormente não apenas garantiram uma sobrevida ao GSM/G- PRS como também proporcionaram a ampliação da gama de possíveis aplicações fora a tradicional telefonia celular, consolidando definitivamente sua ampla área de cobertura. Seja pela infraestrutura já instalada, seja pela qualidade de serviços e relativa robustez que o sistema demonstrou até então, emprega-se esta solução 2.5G em transações financeiras, rastreamento veicular (CONTRAN, 2007), sensoriamento e monitoramento em redes inteligentes de energia elétrica (Smart Grids) e até mesmo como conexão alternativa para aparelhos celulares 3G. Porém, estudos recentes apontam que esta relativa harmonia pode estar chegando ao fim. Fragilidades e técnicas de ataque previamente identificados por PESONEN ganharam fortes aliados após a maior exposição do tema dentro da comunidade científica, aumentando a severidade dos ataques e criando novas frentes antes não exploradas (PERKOV; KLISURA; PAVKOVIé, 2011; PAGET, 2010b). O vazamento de algoritmos (MEYER; WETZEL, 2004), a compilação dos resultados de pesquisas correlacionadas ao tema e a realização de engenharia reversa culminaram na simplificação da infraestrutura necessária para estudar e interagir com a rede. A possibilidade de combinar hardwares menos complexos com softwares abertos e gratuitos viabilizou o surgimento de alternativas de baixo custo em relação à arquitetura GSM tradicional, tornando público o que antes estava restrito à poucas empresas do ramo. Com relação à privacidade do assinante, tem-se no IMSI (International Mobile Subscriber Identification) um dos grandes alvos de ataque. Correspondendo ao identificador exclusivo de cada assinante, verifica-se que o sigilo do IMSI possui relação direta com a privacidade do usuário, e por este motivo, define-se que sua transmissão pela rede deve ser evitada a todo custo. Para tal, cada assinante recebe também uma identidade temporária chamada TMSI (Temporary Mobile Subscriber Identity), a qual efetivamente identifica o usuário na rede. A relação entre TMSI e IMSI é mantida apenas em determinados elementos de rede, os quais serão abordados ao longo do presente trabalho. A eficácia desta função parte do pressuposto que o IMSI não deve ser transmitido de forma corriqueira (ETSI, 1996b), porém brechas foram criadas para o caso de MSs que acabam de ser ligadas, ou casos em que a MS não consegue se conectar ao HLR (Home Location Register). Por não conseguir reconhecer a identidade do usuário, a rede consequentemente não consegue estabelecer uma encriptação, dando margem à hipótese de transmissão do IMSI em cleartext (ERIKSSON, 2005; OLAWSKI, 2011) pela rede.

21 Capítulo 1. Introdução 3 Sob o ponto de vista da transmissão de dados, o GSM utiliza algoritmos-cifra de encriptação pertencentes à família A5, onde o A5/0 representa a ausência de encriptação (cleartext), A5/1 constitui a encriptação padrão, A5/2 estabelece uma versão mais fraca do A5/1 e finalmente o A5/3 implementa uma encriptação semelhante ao algoritmo KASUMI utilizado no UMTS (Universal Mobile Telecommunications System). Enquanto (EKDAHL; JOHANSSON, 2003; GOLIC, ; BIHAM; DUNKELMAN, ; S.PETROVIC; FUSTER-SABATER, 2000; BIRYUKOV; SHAMIR; WAGNER, 2001; GOLDBERG; WAGNER; GREEN, 1999) apresentam técnicas de criptoanálise para decodificar e decifrar dados com o auxílio de recursos computacionais, temos em (PAGET, 2010b; MEYER; WETZEL, 2004) relatos que indicam a possibilidade de simplesmente desabilitar a encriptação de dados entre a BTS e a estação móvel (MS, Mobile Station). Justamente por se tratar de uma solução global, o GSM prevê a transmissão em cleartext como uma condição válida para atender países nos quais a encriptação de dados é proibida (PAGET, 2010b). Durante o processo de Security Setup que ocorre imediatamente após a autenticação, a BTS define qual algoritmo criptográfico deverá será utilizado. Neste momento, a hipótese de seleção do A5/0 (cleartext) acaba por dispensar qualquer esforço posterior de criptoanálise. A terceira hipótese fundamental do trabalho reside no processo de autenticação, no qual determina-se que a MS precisa ser autenticada para ganhar acesso à rede, porém o contrário não se verifica (XENAKIS et al., 2008; MEYER; WETZEL, 2004; STROBEL, 2007; ERIKSSON, 2005; OLAWSKI, 2011). A hipótese da rede GSM não precisar ser autenticada perante a MS constitui uma das principais vulnerabilidades do modelo de segurança GSM, sendo este o ponto de partida para a etapa exploratória do presente trabalho. Em particular, pretende-se com esta dissertação aprofundar nos conceitos de vulnerabilidade dos sistemas GSM/GPRS, utilizando recursos complementares de hardware e software para comprovar a pertinência e veracidade das fragilidades identificadas. Para tal, a verificação das hipóteses de autenticação unilateral, transmissão do IMSI em cleartext e seleção do A5/0 constituem os pontos chave do estudo visto a sua grande pertinência e relativa simplicidade perante os demais métodos que envolvem criptoanálise. Desta forma, a dissertação segue uma modalidade de pesquisa aplicada e exploratória, visando investigar, comprovar ou rejeitar hipóteses sugeridas, ao mesmo tempo em que proporciona maior familiaridade com o problema. A estrutura geral do trabalho toma a forma de cinco capítulos, incluindo este capítulo introdutório. O capítulo II começa estabelecendo as dimensões teóricas da pesquisa, apresentando uma visão geral das arquiteturas de rede GSM/GPRS e correlacionando seus principais elementos com o modelo de segurança adotado nos sistemas. O terceiro capítulo aprofunda no estudo das vulnerabilidades e no detalhamento do hardware e software selecionados para a comprovação prática. O capítulo IV apresenta os resultados da etapa experimental de comprovação das hipóteses e fragilidades identificadas. Finalmente, o Capítulo V apresenta as conclusões e fechamento do trabalho, contextualizando a real segurança dos sistemas GSM/GPRS e identificando futuras oportunidades de pesquisa sobre o tema.

22 Capítulo 1. Introdução 4

23 Capítulo 2 GSM/GPRS: Uma visão geral 2.1 INTRODUÇÃO O GSM continua sendo o sistema de telefonia móvel mais utilizado na atualidade. Complementado pelo GPRS que oferece uma alternativa viável para transmissão de dados, o sistema conhecido como 2.5G ainda vigora e inclusive expande para novas aplicações, na medida em que a conectividade e o monitoramento ganham maiores proporções em nosso cotidiano. No entanto, algumas fragilidades recém exploradas pela comunidade científica colocam em dúvida os limites e a robustez dos modelos de segurança dos sistemas. Antes de abordar este assunto, torna-se necessário conhecer um pouco mais sobre ambos os sistemas GSM O Global System for Mobile Communications (originalmente Group Speciale Mobile) é o padrão de telefonia móvel mais utilizado no mundo (PERKOV; KLISURA; PAVKOVIé, 2011; NATALIZIO et al., 2010). Assim como outras tecnologias, o GSM assegura a criação de uma rede de telefonia móvel celular ao agregar múltiplas células com diferentes áreas de cobertura. Porém, seus diferenciais em relação às tecnologias da primeira geração se tornam evidentes ao avaliar, por exemplo, sua melhor qualidade de voz e sua padronização internacional, fatores primordiais que justificaram seu rápido crescimento e aceitação em todas as regiões do mundo. Possuidor de uma tecnologia estável e geograficamente consolidada na atualidade, o GSM continua sendo amplamente empregado mesmo diante de tecnologias mais modernas. De tão significativo, o GSM estabelece uma interessante alternativa para a ampliação da área de cobertura de tecnologias sucessoras: Se por um lado isto constitui uma vantagem para o usuário final sob o ponto de vista da abrangência dos serviços, por outro a compatibilidade se torna um problema ao considerar o fator segurança da informação. Tendo suas principais bandas definidas em 850MHz, 900MHz, 1800MHz e 1900MHz, o padrão foi projetado para ser um sistema de telefonia móvel seguro contendo autenticação de assinante e criptografia para transmissão de dados aéreos. Controlado pelo 3GPP (3rd Generation Partnership Project) do ETSI (European Telecommunications Standards 5

24 Capítulo 2. GSM/GPRS: Uma visão geral 6 Institute), o GSM possui grande parte de suas especificações publicadas no site do próprio Instituto (ETSI, 2013). Para evitar sua exposição, algumas informações referentes ao modelo de segurança e seus respectivos algoritmos foram desenvolvidos e mantidos em segredo (security by obscurity), o que não se mostrou ser suficiente para prevenir o vazamento de informações e/ou quebras gradativas do segredo por criptoanálise GPRS Com o passar do tempo, o aumento na demanda por serviços de dados como SMS e Internet marcou a transição para os sistemas conhecidos como 2.5G. Caracterizado por uma arquitetura sobreposta à rede GSM (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002), o GPRS é um sistema 2.5G que reutiliza grande parte da infraestrutura anteriormente implantada nas redes GSM, adicionando os novos elementos responsáveis pelo fornecimento de serviços de comutação de pacotes. Desta forma, o GPRS atinge maiores taxas de transmissão que seu antecessor, ao mesmo tempo em que expande a gama de serviços ao viabilizar o acesso à Internet, , transferência de arquivos e aplicativos em geral (gerenciamento de clima, notícias, entre outros). Mesmo diante de tecnologias modernas 3G (amplamente empregados nos telefones celulares recentes), ainda encontramos algumas frentes de serviço onde os sistemas GSM/G- PRS são extremamente atrativos e competitivos, tais como rastreamento veicular e transações financeiras envolvendo compras com cartão de crédito e débito. 2.2 ARQUITETURAS DE REDE Arquitetura GSM Uma rede GSM é composta por diferentes elementos com funções e interfaces específicas. Podemos dividi-la basicamente em três partes, conforme Figura 2.1: a MS, o BSS (Base Station Subsystem) e o NSS (Network and Switching Subsystem). A MS é formada pela união do ME (Mobile Equipment) com um módulo de identificação do assinante (cartão SIM, Subscriber Identity Module), sendo que cada cartão possui um número permanente de identificação do usuário no mundo, chamado IMSI. As MSs se comunicam com o BSS através da interface de RF (radiofrequência) conhecida como Um. O BSS é formado por BTSs e um BSC (Base Station Controller). As BTSs realizam a interface propriamente dita com a MS, enquanto o BSC agrupa diferentes BTSs para formar um BSS e a espinha dorsal da rede. O NSS (PAGET, 2010b; KAHABKA, 2004) constitui o núcleo da arquitetura, sendo formado por diversos subcomponentes dentre os quais se destacam o AuC (Authentication Center), o HLR e o MSC (Mobile Switching Center). No NSS, adota-se o SS7 (Signalling System No.7 ) como protocolo de sinalização, o mesmo adotado na grande maioria das

25 Capítulo 2. GSM/GPRS: Uma visão geral 7 PSTN (Public Switched Telephone Network) para estabelecimento de chamadas telefônicas. AuC Authentication Center BSC Base Station Controller BSS Base Station Subsystem BTS Base Transceiver Station EIR Equipment Identity Register HLR Home Location Register ISDN Integrated Services Digital Network ME Mobile Equipment MS Mobile Station MSC Mobile Switching Center NSS Network and Switching Subsystem OSS Operations Support System PLMN Public Land Mobile Network PSDN Public Switched Data Network PSTN Public Switched Telephone Network SIM Subscriber Identity Module VLR Visitor Location Register Figura 2.1: Arquitetura simplificada GSM As seções seguintes irão abordar maiores detalhes sobre cada um dos elementos que integram a arquitetura de rede Identificação do assinante móvel International Mobile Subscriber Identification Cada assinante na rede GSM é identificado por seu IMSI. Trata-se de um número exclusivo de 15 dígitos armazenado no SIM card, sem o qual nenhuma MS consegue acessar os serviços GSM. O IMSI é composto por três partes distintas (ETSI, 1996a): MCC (Mobile Country Code), correspondente a identificação do país de origem do usuário (3 dígitos); MNC (Mobile Network Code), que identifica a PLMN (Public Land Mobile Network) de origem do assinante (2 dígitos); MSIN (Mobile Subscriber Identification Number), o qual identifica o usuário móvel dentro de determinada PLMN (até 10 dígitos). Tipicamente, atribui-se o nome de NMSI (National Mobile Subscriber Identity) ao conjunto formado pelos identificadores MNC e MSIN. Como exemplo, o IMSI pode ser decomposto em:

26 Capítulo 2. GSM/GPRS: Uma visão geral 8 MCC = 724 (Brasil); MNC = 05 (Claro BR); MSIN = Embora seja um tema a ser discutido nos próximos capítulos, vale observar que a privacidade do assinante está fortemente atrelada ao sigilo do IMSI. Como uma tentativa de proteger o IMSI, o padrão GSM criou uma identidade temporária chamada TMSI. Em alguns países como os Estados Unidos, o IMSI guarda uma estreita relação com o IC- CID (Integrated Circuit Card ID), sendo este último o número de série impresso no SIM card. Neste caso, pode-se facilmente obter o IMSI a partir do ICCID (PAGET, 2010b). Temporary Mobile Subscriber Identity Visando garantir a confidencialidade do assinante, o VLR (Visitor Location Register, banco de dados do MSC cujos detalhes serão abordados posteriormente) atribui um número temporário exclusivo para cada assinante móvel dentro da área controlada por seu MSC. Além de atualizá-lo sempre que necessário, o VLR detém a importante tarefa de correlacionar o IMSI do assinante com o respectivo TMSI. O TMSI constitui desta forma o identificador temporário do assinante utilizado em todos os segmentos da rede GSM, minimizando desta forma as chances do usuário ser identificado ou rastreado. Com o advento do TMSI, verifica-se que o IMSI é transmitido na rede apenas em algumas condições especificas, como por exemplo, quando o telefone é ligado pela primeira vez. Vale antecipar que os próximos capítulos abordarão formas de se obter o IMSI dos assinantes utilizando recursos conhecidos como IMSI Catchers. Constituído por quatro octetos (32 bits), o TMSI é um número válido apenas dentro de determinada Location Area (LA) (ERIKSSON, 2005), que por sua vez pode ser interpretado como um conjunto de células geograficamente reunidas. Por este motivo, o TMSI está sempre associado à determinada LAI (Location Area Identification), e requer atualização sempre que o assinante móvel se desloca para uma nova região (novo MSC). Visando garantir que os dados não serão perdidos ao se desligar o aparelho, a MS armazena o TMSI e o LAI na memória não volátil do SIM card Mobile Station A MS representa o conjunto formado pelo ME (tipicamente um aparelho telefônico celular) e o SIM card, o qual pode ser removido e inserido em aparelhos diversos. ME e IMEI O ME constitui o dispositivo móvel utilizado para acessar a rede GSM, tipicamente (mas não necessariamente) um aparelho telefônico celular. Cada ME é identificado por um único IMEI (International Mobile Equipment Identity), número este que permite bloquear o acesso à rede em caso de aparelhos roubados (basta digitar * 06 para obter o IMEI de um ME). O IMEI é composto por 15 dígitos decimais, subdivididos em (ETSI, 1996a):

27 Capítulo 2. GSM/GPRS: Uma visão geral 9 TAC (Type Approval Code), um código de 6 dígitos; FAC (Final Assembly Code), com 2 dígitos, identificando o local de manufatura; SNR (Serial Number), com 6 dígitos, representando cada equipamento produzido em um TAC e FAC; Dígito de verificação, sendo este o dígito final. Como exemplo, o IMEI pode ser decomposto em: TAC = ; FAC = 55; SNR = ; Dígito de verificação = 7. SIM Card O termo SIM card refere-se ao cartão inteligente utilizado nos sistemas GSM para armazenamento de informações importantes na MS. Por se tratar de um cartão removível, o SIM card desvincula definitivamente o usuário do aparelho. O SIM é composto por um único chip contendo sistema operacional, arquivos de sistema e aplicativos. Uma configuração típica segundo STEPANOV inclui uma CPU (Central Processing Unit) de 8 bits, 16K de memória ROM (Read Only Memory), 256 bytes de RAM (Random Access Memory) e 4K de EEPROM (Electrically Erasable Programmable Read-Only Memory). Suas demais características (tamanho, contatos elétricos, protocolos de I/O, etc) são padronizadas segundo ISO/IEC. O SIM é responsável por armazenar: o IMSI; o TMSI; o PIN (Personal Identification Number); o LAI; o MSISDN (Mobile Subscriber Integrated Services Digital Network Number), que nada mais é do que o numero de telefone propriamente dito, sendo este conhecido pelos usuários e formado pela união do CC (Country Code), NDC (National Destination Code) e o SN (Subscriber Number); os algoritmos A3 e A8 (que serão estudados ao longo dos próximos capítulos); a chave de autenticação do usuário, Ki, com 128 bits.

28 Capítulo 2. GSM/GPRS: Uma visão geral 10 Cada assinante contém uma chave de autenticação Ki armazenada em seu SIM card, sendo esta informação compartilhada única e exclusivamente com o AuC (Authentication Center) de sua rede de origem. Esta chave é utilizada para autenticar o usuário na rede, sendo esta a base para o modelo de segurança do GSM. O acesso ao SIM card é controlado por um código de 4 dígitos denominado PIN, sendo que em caso de perda ou esquecimento, o usuário ainda conta com o recurso do PUK (Personal Unblocking Key) para reset do PIN. Tipicamente, inutiliza-se o SIM card caso o PUK seja digitado incorretamente por 10 vezes consecutivas durante tentativas de desbloqueio (CLAROCHIP, 2012) Base Station Subsystem O BSS é responsável por integrar as MSs ao NSS. Basicamente, o BSS é composto por: BTS, também conhecida no Brasil como ERB (Estação Rádio Base); BSC. Base Transceiver Station A BTS constitui o conjunto rádio transmissor que realiza a conexão entre a MS e o MSC, transmitindo e recebendo dados de forma a suportar a demanda por chamadas em determinada região. A área de cobertura total de uma rede GSM é composta por diversas células, cujas áreas de cobertura variam conforme a densidade populacional e (consequentemente) a quantidade de chamadas simultâneas a ser suportada. Cada célula contém ao menos uma BTS, sendo comum encontrar múltiplas BTSs em setores de uma mesma célula. Além de viabilizar a conectividade, as BTSs também participam do processo de codificação e decodificação do canal. Diversas BTSs podem ser gerenciadas por um único BSC. Base Station Controller O BSC gerencia os recursos de diversas BTSs através da interface Abis, tais como o frequency hopping, controle de potência, sincronismo de clocks e handover (ALMEIDA, 2010). Além disso, o BSC também proporciona interconexão com o OSS (Operations Support System). Apesar de abordar estas funções em capítulos posteriores, vale ressaltar especificamente que o handover ocorre sempre que uma MS se desloca de uma célula para outra, porém nos casos em que o deslocamento se dá entre BTSs não subordinadas a um mesmo BSC, a responsabilidade pelo processo acaba sendo escalada para o MSC (STROBEL, 2007) Network and Switching Subsystem Mobile Switching Center Constituindo o elemento central de um NSS, o MSC atua como comutador da rede fixa ao mesmo tempo em que fornece as funcionalidades necessárias para lidar com um

29 Capítulo 2. GSM/GPRS: Uma visão geral 11 assinante móvel (registro, autenticação, atualização de localização, cobranças, handovers e roteamento de chamada para usuários em roaming). Caso o MSC também contenha a função gateway para comunicar com outras redes, costuma-se classificá-lo como GMSC (Gateway MSC ). Cada MSC é responsável por gerenciar um grupo de células geograficamente relacionadas, denominadas Location Area. Por sua vez, cada LA possui seu respectivo Location Area Identity, número este formado pela união de (ETSI, 1996a): MCC (Mobile Country Code); MNC (Mobile Network Code); LAC (Location Area Code), um código de 16 bits que identifica as LAs dentro de uma PLMN GSM. Dá-se o nome de home network às redes originalmente atribuídas aos assinantes móveis. Porém, conforme dito anteriormente, tais assinantes GSM são livres para trafegar por diferentes regiões, incluindo cidades, estados e até mesmo países. Sempre que os limites de sua home network são extrapolados, os assinantes precisam se conectar a outras redes denominadas visited networks pelo padrão GSM. Além disso, sabe-se que o TMSI está sempre associado à determinada LAI, necessitando de atualização sempre que o assinante móvel se deslocar para uma nova região (novo MSC). Para lidar com estas condições, cada MSC conta com o auxílio de 4 bases de dados importantes, as quais serão apresentadas a seguir: HLR; VLR; AuC; EIR (Equipment Identity Register). Home Location Register Como o próprio nome sugere, o HLR é a base de dados utilizada para guardar as informações de seus respectivos assinantes móveis, tais como o IMSI, o MSISDN e o último LA visitado pelo assinante. A cópia dos dados para o HLR é feita no momento em que a operadora GSM associa um SIM card à determinado assinante e, a partir de então, seus dados são mantidos em segurança. Visitor Location Register Sempre associado a um MSC, o VLR é o banco de dados que mantém o registro de todos os usuários (seja proveniente de redes externas, seja de sua própria rede) que por ventura adentrarem a LA de seu MSC. Estes registros são temporários e devem durar apenas enquanto o usuário estiver dentro da LA. Neste período, o VLR irá armazenar os

30 Capítulo 2. GSM/GPRS: Uma visão geral 12 números de identificação do assinante, seus respectivos serviços autorizados e os dados de segurança necessários para autenticar o usuário e criptografar a interface aérea (PERKOV; KLISURA; PAVKOVIé, 2011). A busca por determinado assinante pode ser acelerada pelo VLR ao criar uma correlação entre o TMSI e o IMSI do usuário. Neste contexto, um número de 32 bits denominado LMSI (Local Mobile Station Identity) pode ser criado pelo VLR (ETSI, 1996a). Equipment Identity Register O EIR é a base de dados que detém uma lista de todos os equipamentos válidos dentro de uma rede, lembrando que cada estação móvel é identificada por seu respectivo IMEI. O EIR por sua vez é composto por 3 bases de dados: Lista Branca: contendo os IMEIs sem restrições; Lista Cinza: para aparelhos/imeis sob suspeita; Lista Negra: para aparelhos roubados ou não conformes. Authentication Center O AuC é uma base de dados protegida que grava uma cópia da chave secreta Ki armazenada em cada SIM card dos assinantes, a qual é utilizada para autenticação do usuário e encriptação do canal de rádio. O AuC provê segurança adicional contra fraudes ao gerar os vetores de autenticação previstos no modelo de segurança GSM. Normalmente, o AuC está integrado ao HLR nas redes GSM Operations Support System O OSS é um sistema de gerenciamento que supervisiona os blocos funcionais da rede GSM. Ele auxilia os operadores de rede na manutenção do sistema, implementando redundâncias de hardware e mecanismos inteligentes de detecção de erros que ajudam a prevenir o downtime da rede (KAHABKA, 2004). O OSS é responsável por controlar e manter o MSC, BSC e BTS. Ele pode ser responsável por uma PLMN inteira ou apenas partes de uma PLMN Arquitetura GPRS A arquitetura GPRS consiste de uma rede sobreposta à rede GSM, reutilizando a maioria de seus elementos porém adicionando alguns novos nós responsáveis pelo fornecimento de serviços de comutação de pacotes (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002). Os nós de apoio GPRS, ou simplesmente GSNs (do inglês GPRS Support Nodes), são responsáveis pelo roteamento e entrega de pacotes de dados das MSs para a rede PDN (Paket Data Network), e vice-versa.

31 Capítulo 2. GSM/GPRS: Uma visão geral 13 A SGSN (Serving GSN ) encaminha os pacotes de/para determinada MS dentro de sua área de cobertura, enquanto a GGSN (Gateway GSN ) faz a interface entre a rede GPRS principal (backbone) e as redes PDNs externas como a Internet (pública) ou redes privadas (VPNs). A comunicação entre GSNs é feita através do protocolo de encapsulamento GTP (GPRS Tunneling Protocol). A arquitetura de rede GPRS segue ilustrada na Figura 2.2: GPRS backbone Internet Pública Figura 2.2: Arquitetura simplificada GPRS Na prática, o GPRS atinge maiores taxas de transmissão ao permitir que uma MS envie pacotes utilizando múltiplos timeslots que por fim serão reconstruídos na SGSN, o que constitui uma vantagem frente às transmissões alocadas em um único canal. 2.3 INTERFACES GSM Considerações iniciais Em uma rede GSM, diferentes protocolos são necessários para habilitar o fluxo de dados e sinalização entre os subsistemas e seus componentes (partindo da interface Um entre MS e BTS, passando pela interface Abis entre BTS e BSC, seguido pela interface A entre BSC e MSC, e assim por diante, conforme ilustrado na Figura 2.3).

32 Capítulo 2. GSM/GPRS: Uma visão geral Interfaces Figura 2.3: Interfaces entre os elementos de rede - Interface Um: Interface de RF que utiliza uma combinação de FDMA (Frequency Division Multiple Access) e TDMA(Time Division Multiple Access), conforme detalhes abordados mais adiante. Para fins introdutórios, considera-se que o FDMA permite dividir a banda de frequência em diversas portadoras, separadas em 200KHz uma da outra. Por sua vez, o TDMA permite segmentar cada uma das portadoras em 8 canais separados no tempo, multiplicando desta forma o número de canais disponíveis. - Interface Abis: Responsável por realizar operações entre BTS e BSC, tais como a transmissão de canais de tráfego e o gerenciamento dos canais de rádio. - Interface A: Interface de comunicação entre MSC e BSC. - Interface B: Interface entre MSC e VLR, sendo utilizada sempre que o MSC precisa acessar os dados sobre uma MS localizada em sua área de cobertura. Emprega um protocolo conhecido como MAP/B. Como a maioria dos VLRs está inserida no próprio hardware do MSC, isto faz com que a interface seja meramente uma interface interna. - Interface C: Interface entre HLR e GMSC ou um SMS-G (chamadas feitas de uma rede externa). - Interface D: Interface entre VLR e HLR, executa a troca de dados relacionados à localização do ME e o gerenciamento do assinante. - Interface E: Interface entre duas MSCs. - Interface F: Interface entre MSC e EIR. - Interface G: Interconexão entre duas VLRs de diferentes MSCs. - Interface H: Interconexão entre MSC e SMS-G.

33 Capítulo 2. GSM/GPRS: Uma visão geral APROFUNDAMENTO NA INTERFACE Um Considerações iniciais Conforme o padrão GSM, a interface Um refere-se à interface de RF utilizada para unir os subsistemas MS e BSS. Conforme observa-se na Figura 2.4, a interface Um engloba as três camadas inferiores referenciadas no modelo OSI (Open Systems Interconnection) (BURGESS; SAMRA, 2008): Camada Física, responsável pela transmissão propriamente dita da informação; Camada de Enlace (Data Link Layer), cuja função é segmentar as mensagens de camadas superiores em frames ordenados para transmissão. A camada de enlace GSM é chamada de LAPDm (Link Access Protocol on the D-Channel); Camada de Rede (L3), que permite o gerenciamento das conexões da Interface Um, a identificação do assinante e o gerenciamento de serviços adicionais como SMS e encaminhamento de chamadas. Existem três subdivisões da camada L3, sendo elas o RR (Radio Resource, responsável pelo gerenciamento dos canais de rádio), MM (Mobility Management, com foco na autenticação de usuário e roteamento de chamadas para áreas geográficas específicas) e o CC (Call Control, gerenciamento de conexão para telefonia de voz). Figura 2.4: Modelo de camadas da interface Um Como uma visão geral introdutória das principais características da Interface Um, pode-se dizer que a transmissão do sinal emprega o formato de modulação digital 0,3GMSK (Gaussian Minimum-Shift Keying). Cada canal de rádio possui uma largura de banda de 270,833KHz, sendo suas portadoras espaçadas de 200KHz. Para evitar a sobreposição de frequências (overlap), o padrão GSM não permite que canais adjacentes sejam utilizados em uma mesma célula (BURGESS; SAMRA, 2008). Como o espectro de frequência constitui um recurso limitado, a interface Um emprega uma combinação de FDMA e TDMA para compartilhar a banda disponível com o máximo número de usuários, sendo esta a base

34 Capítulo 2. GSM/GPRS: Uma visão geral 16 da estrutura dos canais físicos previstos no modelo. Empregando a técnica de FDD (Frequency Division Duplexing), cada canal possui um par de frequências (uma para uplink e a outra para downlink) identificados por seu respectivo ARFCN (Absolute Radio Frequency Channel Number). Por sua vez, cada canal físico acaba sendo multiplexado em canais lógicos (traffic channels e control channels), permitindo desta forma separar as informações do usuário das informações de gerenciamento. A Figura 2.5 elucida a diferente natureza dos canais: Figura 2.5: Canais físicos versus canais lógicos Canais Físicos Conforme visto anteriormente, os canais GSM são divididos em canais físicos (PCH, do inglês Physical Channel) e canais lógicos (LCH, do inglês Logical Channel). Os canais físicos resultam da combinação da frequência dos canais de rádio ARFCN com os TS (timeslots) gerados pela subdivisão TDMA, possibilitando a criação de 8 canais físicos por portadora com duração de 576,9 µs cada. Maiores detalhes serão abordados ao longo dos próximos tópicos. Modulação 0,3GMSK A modulação adotada pelo padrão GSM foi a GMSK, um tipo de modulação por chaveamento de frequência onde os bits são representados por deslocamento na frequência de portadora em aproximadamente 67,708 khz. Constituindo um tipo especial de MSK (Minimum Shift Keying), o GMSK reduz a interferência entre canais adjacentes ao ter seus sinais binários formatados por um filtro Gaussiano antes de sofrer a modulação MSK propriamente dita. Desta forma, garante-se que 95% da energia do sinal modulado estará contida dentro da banda de 200kHz (CASELLA, 2012). Ao respeitar a correlação de 1 bit por símbolo, o GMSK proporciona uma taxa de símbolos total de 270,833ksímbolos/s. A taxa de símbolos GSM será visitada novamente ao longo do próximo capítulo, junto ao tema clock de rede. Frequency Division Duplexing FDD é a técnica na qual uma banda de frequência é utilizada para transmitir e outra para receber informações. Conforme mostra a Figura 2.6, um bloco de espectro eletromagnético é alocado para o uplink carregando dados das MSs para as BTSs, enquanto outro bloco do espectro é alocado para downlink carregando dados das BTSs para as MSs.

35 Capítulo 2. GSM/GPRS: Uma visão geral 17 Figura 2.6: Alocação do espectro segundo FDD Frequency Division Multiple Access O FDMA é uma técnica que nos permite dividir a banda alocada (recurso limitado) em múltiplos canais físicos de RF, previamente denominados ARFCNs, cada um com uma largura de 200 khz conforme adotado no padrão GSM. Cada célula GSM recebe um determinado subconjunto de canais de RF, sendo este processo conhecido como CA (Cell Allocation). Obrigatoriamente, um dos canais alocados à célula será utilizado para carregar informações de sincronização e BCCH (Broadcast Control Channel) (ETSI, 1996f), os quais serão apresentados mais adiante. Dentro de cada célula realiza-se ainda o MA (Mobile Allocation), sendo este a alocação de alguns canais da célula à determinada MS. - Radio frequency channel sequence: Corresponde ao mapeamento do FN (Frame Number) TDMA com o canal de RF alocado à determinada MS dentro da célula. Por este motivo, a relação entre FN e ARFCN é única dentro de cada célula (ETSI, 1996f). Por sua vez, cada MS possui um algoritmo que viabiliza a transmissão no correto timeslot do canal. - Frequency Hopping: A técnica de salto de frequências constitui uma alternativa para aumentar a eficiência da codificação e do entrelaçamento dos dados (interleaving). Com ela, verifica-se que os timeslots utilizados por uma MS durante processo de recepção ou transmissão estarão vinculados a uma sequência específica de frequências, e não mais a uma frequência fixa. Desta forma, uma vez encerrada a transmissão em um TS (duração de 576,9 µs), a MS precisa primeiramente executar o salto de frequência antes de utilizar o próximo frame TDMA (ETSI, 1996d). Questionavelmente, pode-se considerar o frequency hopping como sendo uma camada adicional no modelo de segurança GSM. Vale ressaltar, porém, que sua eficácia no campo da segurança restringe-se apenas a poucos passos adicionais, como o monitoramento dos parâmetros transmitidos no momento do MA e a execução adequada do salto de frequências. - Aparelhos Multibanda: As diferentes bandas de frequências criadas pelo ITU (International Telecommunication Union) para operação de sistemas GSM foram adotadas

36 Capítulo 2. GSM/GPRS: Uma visão geral 18 por cada região, segundo suas necessidades específicas. Costuma-se nomear o sistema segundo sua banda de frequência, como, por exemplo, o GSM-900 que opera na faixa próxima aos 900MHz conforme indicado na Tabela 2.1. Dentre as diferentes soluções existentes, os sistemas GSM-900 e GSM-1800 constituem os de maior disseminação em escala global. Para que os usuários do sistema possam tirar vantagem do roaming oferecido pelo GSM, os aparelhos precisam estar aptos para trabalhar nas diferentes bandas disponíveis em cada país. Por este motivo, não é difícil encontrar aparelhos celulares que suportam múltiplas bandas de frequência, como por exemplo os aparelhos dual-band (GSM900 e 1800), tripleband ou quadri-band (suportando na maioria das vezes GSM-850, GSM-900, GSM-1800 e GSM-1900, como no caso do mercado Brasileiro). Tabela 2.1: Faixas de Frequência GSM TDMA, Time Division Multiple Access Conforme observamos na Figura 2.7, o TDMA é uma técnica que nos permite dividir cada canal de RF em 8 intervalos de tempo (timeslots), sendo que cada um dos 8 intervalos será associado a um usuário do sistema.

37 Capítulo 2. GSM/GPRS: Uma visão geral 19 Tempo Figura 2.7: Acesso múltiplo por divisão de tempo e frequência - TS e Frame TDMA: Conforme introduzido anteriormente, o TS constitui o recurso básico para transmissão no canal de RF. Com duração de 576,9 µs, verifica-se que cada TS comporta 156,25 bits em sua duração (multiplicando-se os 576,9 µs por 270,833 kbps). O conteúdo físico de um TS é chamado de burst, termo em inglês referente a rajada. ETSI define um burst como sendo um período de portadora RF modulado por uma sequência de dados. Diferentes tipos de bursts podem trafegar em um TS (ETSI, 1996d), conforme ilustra a Figura 2.8: NB (Normal burst): contendo 116 bits criptografados, o NB transporta informações sobre canais de tráfego e controle, exceto pelo RACH (Random Access Channel) que será estudado mais adiante; FB (Frequency correction burst): rajadas visando a correção de frequência na MS. Costuma-se classificar a repetição de FBs como sendo o FCCH (Frequency Correction Channel) do padrão GSM; SB (Synchronization burst): transmitido junto com o FB, tem a função de sincronização da MS. Costuma-se classificar a repetição de SBs como sendo o SCH (Synchronization Channel) do padrão GSM; AB (Access burst): rajadas de acesso aleatório empregadas no RACH por MSs efetuando seu primeiro acesso, MSs em handover ou MSs em disputa pelo uplink; DB (Dummy burst): rajadas falsas. Oito timeslots formam um frame TDMA, com duração aproximada de 4,62ms. - Timeslot Number: Dentro de cada frame TDMA, os TS são identificados pelos respectivos TN (Timeslot Number), uma numeração crescente que varia de 0 a 7. Na prática, o TN é utilizado para assegurar que um determinado canal físico sempre irá utilizar o mesmo TN nos diferentes frames TDMA (ETSI, 1996e) empregados na comunicação. - Bit Number: Conforme mencionado anteriormente, cada TS comporta até 156,25 bits em seu período. Por este motivo, cada bit também recebe um identificador chamado BN (Bit Number), sendo este uma numeração que varia de 0 a 156.

38 Capítulo 2. GSM/GPRS: Uma visão geral 20 - TDMA Frame Number: Cada frame TDMA recebe uma numeração crescente e cíclica, partindo do 0 e excursionando até , tendo seu incremento computado ao término de cada frame (ETSI, 1996e). Este identificador é conhecido como FN (Frame Number). - Multiframes: Atribui-se o nome de multiframe ao conjunto formado por 26 frames TDMA. Desta forma, cada multiframe possui duração aproximada de 120ms. - Superframes: Atribui-se o nome de superframe ao conjunto formado por 51 frames TDMA. Desta forma, cada superframe possui duração aproximada de 235,4ms. - Hyperframes: Hyperframe foi o nome criado para representar o ciclo completo de frames TDMA, ou seja, de 0 a , conforme visto anteriormente. TB 3 Bits Encriptados 58 Sequência De Treinamento 26 Bits Encriptados 58 TB 3 GP 8,25 TB 3 Bits Fixos 142 TB 3 GP 8,25 TB 3 Bits Encriptados 39 Sequência De Sincronismo 64 bits encriptados Bits Encriptados TB 3 GP 8,25 TB 8 Sequência De Sincronismo 41 Bits Encriptados 36 TB 3 GP 68,25 AB Access Burst FB Frequency Correction Burst GP Guard period NB Normal Burst SB Synchronization Burst TB Tail bits Figura 2.8: Tipos de burst e suas características Canais Lógicos Embora a seção anterior tenha tratado em sua grande maioria dos PCHs, alguns momentos apropriados foram utilizados para antecipação de termos de natureza lógica, tais como o RACH, FCCH e SCH. Esses canais exemplificam a existência de LCHs (Logical Channels) nas redes GSM, sendo os mesmos nada mais do que a multiplexação no tempo

39 Capítulo 2. GSM/GPRS: Uma visão geral 21 dos canais físicos comandada pelo clock da BTS (BURGESS; SAMRA, 2008). Enquanto os PCHs são descritos no domínio da frequência e do tempo, os LCHs são mapeados nos canais físicos tendo funções diferentes em cada instante de tempo. Em outras palavras, o canal lógico mostra a função que um canal físico está assumindo em um determinado momento. Diferentes tipos de canais lógicos podem existir no subsistema de rádio. forma, os LCHs podem ser divididos em duas categorias principais: De toda TCH (Traffic Channels), sendo estes os canais utilizados para transmissão de dados e voz; CCH (Control Channels), utilizados como canais de sinalização e sincronização de dados. Traffic Channels A transmissão de dados e voz do usuário ocorre nos TCHs, segundo um dos formatos abaixo (ETSI, 1996e): TCH/H (Half Rate Traffic Channel), com taxas de transmissão na ordem de 11,4 Kbits/s para voz e de 2,4 a 4,8 Kbits/s para dados do usuário; TCH/F (Full Rate Traffic Channel), com taxas de transmissão na ordem de 22,8 Kbits/s para voz e de 2,4 a 9,6 Kbits/s para dados do usuário. Control channels Os CCHs são utilizados como meio de garantir a sinalização e o sincronismo de dados na rede GSM. Os canais de controle podem ser agrupados em três categorias: Canais de difusão, ou Broadcast channels, dentre os quais se destacam: FCCH (Frequency Correction Channel), responsável pela difusão de informações que possibilitam a correção de frequência da MS; SCH (Synchronization Channel), responsável por difundir informações que possibilitam a sincronização da MS e a identificação da BTS (através do parâmetro BSIC, do inglês Base Transceiver Station Identity Code); BCCH (Broadcast Control Channel), que transmitem informações gerais que variam conforme as BTSs envolvidas. Canais de Controle Comum, ou CCCH (Common Control Channels), sendo os principais: PCH (Paging Channel), um canal apenas de downlink utilizado para chamar as MSs;

40 Capı tulo 2. GSM/GPRS: Uma visa o geral 22 RACH (Random Access Channel ), canal apenas de uplink utilizado para solicitar a alocac a o de um SDCCH (Stand-alone Dedicated Control Channel ); AGCH (Access Grant Channel ), um canal apenas de downlink utilizado alocar um SDCCH ou diretamente um TCH; NCH (Notification Channel ), um canal apenas de downlink utilizado para notificar as MS sobre chamadas de voz. Canais dedicados, ou DCCH (Dedicated control channel ), tal como o SDCCH que constitui um canal bidirecional ponto-a-ponto usado para servic os de SMS, registro e controle de sinalizac a o quando uma chamada ainda na o foi estabelecida. A Figura 2.9 apresenta um resumo dos conceitos abordados acima. Correção de Frequência Sincronização Broadcast Paging Acesso Aleatório Acesso Permitido Dedicado Stand alone Slow Associated Fast Associated Figura 2.9: Classificac a o geral dos canais lo gicos Seque ncia Tı pica de Acesso Visando encerrar este apanhado geral sobre os LCHs, segue abaixo o descritivo de uma seque ncia tı pica de acesso partindo do momento em que uma suposta MS e ligada (BURGESS; SAMRA, 2008; ALMEIDA, 2010): 1. Como primeiro passo, a MS inicia a avaliac a o dos ARFCNs disponı veis em busca do canal com sinal mais forte; 2. Ao selecionar o ARFCN, a MS procura obter a sincronizac a o com a BTS atrave s da decodificac a o do SCH em questa o. Caso na o encontre o SCH neste canal, a MS seleciona outro ARFCN com pote ncia imediatamente inferior ao anterior;

41 Capítulo 2. GSM/GPRS: Uma visão geral Através da decodificação do SCH, a MS consegue ajustar seu clock interno com o clock da BTS; 4. De forma semelhante, as correções de frequência são realizadas pela MS através da verificação do canal lógico FCCH; 5. Com os devidos ajustes estabelecidos, a MS consegue iniciar a verificação do BCCH, de onde obtém informações sobre os serviços disponibilizados na rede e as configurações do CCCH; 6. Nesta etapa, a MS é capaz de decodificar o CCCH e solicitar o acesso à rede utilizando o RACH; 7. A MS envia o primeiro RACH para a BTS, contendo um número aleatório como identificador. Enquanto a confirmação não chega através do CCCH, a MS pode encaminhar até 8 bursts de RACH respeitando um espaçamento da ordem de 1 a 2 segundos entre cada transmissão; 8. Ao receber o RACH da MS, a BTS utiliza o CCCH para encaminhar uma mensagem de associação de canal, no caso um SDCCH; 9. A MS muda para o SDCCH atribuído pela BTS e encaminha uma solicitação de atualização de localidade (Location Update Request). Neste momento, a MS compartilha informações com a BTS com o intuito de identificar-se; 10. De posse destas informações, o sistema GSM tem condições de verificar se a MS pode ou não ser aceita; 11. Considerando que a operação pode prosseguir, a BTS responde com um Location Update Accept, encerrando logo em seguida o canal SDCCH utilizado até então; 12. Cumprindo com o procedimento de associação à BTS, seja em sua rede preferencial ou em roaming, a MS passa a partir de então a monitorar o canal PCH na espera do recebimento de chamadas ou SMS; 13. Caso a MS deseje iniciar uma chamada ou transmitir um SMS, torna-se necessário iniciar um novo RACH junto à BTS. Mediante ao recebimento de uma permissão de acesso através do AGCH, a MS poderá enfim utilizar um TCH para transmissão de dados de voz, por exemplo GPRS Como visão complementar do que foi discutido até então, torna-se apropriado mencionar que o GPRS pode atingir taxas de transmissão de até 115 kbps contando com a alocação de todos os 8 TS de forma exclusiva. Na prática, porém, a banda precisa ser compartilhada entre o tráfego de voz e a transmissão de dados. A estratégia de alocação de TS pode variar de operadora para operadora, de uplink para downlink, conforme horários e/ou datas com maior demanda. Diante de uma redução na demanda pelo tráfego de

42 Capítulo 2. GSM/GPRS: Uma visão geral 24 voz, o sistema pode dinamicamente optar por alocar maior capacidade para a transmissão de dados (UNIVERSITY OF MORATUWA, a). 2.5 MODELO DE SEGURANÇA O modelo de segurança dos sistemas tem por objetivo evitar o acesso não autorizado à rede e proteger a privacidade dos usuários móveis. As principais funções que os sistemas oferecem incluem (XENAKIS et al., 2008) o módulo de identidade do assinante, o sigilo de identidade do assinante, a autenticação do assinante e a proteção dos dados do usuário e de sinalização. Cada assinante móvel utiliza um cartão SIM, o qual contém um número permanente e único de identificação do usuário no mundo, o IMSI. Além disso, o cartão SIM contém uma chave secreta Ki de 128 bits utilizada para autenticação do usuário, um algoritmo de autenticação (denominado A3) e um algoritmo gerador de chaves de seção Kc (conhecido como A8). A privacidade do assinante está atrelada ao sigilo do IMSI e da localização do usuário. Tal sigilo é atingido através de uma identidade temporária chamada TMSI, o qual efetivamente identifica o usuário na rede. A relação entre TMSI e IMSI é conhecida apenas pelo MS, VLR e SGSN. A conexão da MS à determinada PLMN se dá através de um processo de challengeresponse, onde um número aleatório RAND (Random Challenge) é produzido para desafiar a MS, que por sua vez consegue computar a resposta SRES (Signed RESponse) correta através de uma chave secreta Ki de 128 bits, compartilhada entre MS e AuC. Por este motivo, define-se Ki como sendo a chave de autenticação do assinante (Subscriber Authentication Key). Mais adiante serão apresentados os detalhes envolvidos neste processo, assim como o algoritmo de autenticação conhecido como A3. Para complementar as bases do modelo de segurança GSM, outra chave de 64 bits denominada Kc (Ciphering Key, também conhecida como Session Key) foi criada para criptografar as informações que trafegam pela interface Um. A chave Kc é gerada pelo algoritmo A8 descrito mais adiante. Finalmente, a proteção dos dados na interface Um (XENAKIS et al., 2008) é dada pela família de algoritmos GSM A5/x, onde A5/0 constitui o algoritmo sem nenhuma encriptação. Nomenclaturas de A5/1 em diante identificam os algoritmos com graus diferentes na complexidade da encriptação. Fazendo uma referência rápida à arquitetura de rede descrita anteriormente, têm-se que as seguintes entidades estão envolvidas no armazenamento de informações de segurança (ETSI, 1996b):

43 Capítulo 2. GSM/GPRS: Uma visão geral 25 HLR e VLR, onde, para cada IMSI, são armazenados os respectivos conjuntos de Kc, RAND e SRES; AuC, contendo a chave Ki de cada IMSI (base de cálculo para os algoritmos A3 e A8, do lado da rede); MSC e BTS, onde se executa o algoritmo de encriptação A5; MS, contendo as chaves Ki e Kc, assim como os algoritmos A3, A5 e A Conceitos de Segurança Tendo como guia o modelo CIA (Confidentiality, Integrity and Availability) (PRASAD, 2011), torna-se interessante abordar alguns conceitos de segurança antes de aprofundar na aplicação GSM propriamente dita: - Confidencialidade: A confidencialidade pode ser definida como sendo a capacidade do sistema em restringir o acesso à informação apenas aos usuários autorizados. Em um sistema ideal, nenhuma entidade ou pessoa seria capaz de acessar uma informação confidencial sem a devida autorização. No caso do GSM/GPRS, onde as informações trafegam em um meio físico aberto, a confidencialidade pode ser obtida através do uso de criptografia na interface Um. - Integridade: A integridade constitui a capacidade do sistema em evitar que as informações sejam alteradas indevidamente. Desta forma, assegura-se que a informação original chegará a seu destino sem nenhum comprometimento. - Disponibilidade: A disponibilidade pode ser descrita como sendo a capacidade de pronto acesso às informações em todos os momentos, considerando que os princípios de confidencialidade e integridade também sejam satisfeitos. - Criptografia: A criptografia constitui técnica utilizada para eliminar a inteligibilidade da informação trafegando no meio, fazendo uso de uma codificação regida por chaves secretas conhecidas apenas pelos agentes autorizados a participar da comunicação. Implementada através de algoritmos criptográficos, tem-se que o grau de segurança da criptografia está diretamente relacionado ao (ERIKSSON, 2005): tempo necessário para quebrar seu algoritmo; custo envolvido no processo de quebra do algoritmo; relação entre a quantidade de informação protegida versus a quantidade de dados necessários para quebrar o segredo; Quanto mais difícil de quebrar a proteção, mais eficaz será a técnica de criptografia utilizada.

44 Capítulo 2. GSM/GPRS: Uma visão geral 26 - Cleartext: Termo que se refere aos dados que foram transmitidos em seu formato original, inteligível, sem sofrer qualquer processo de encriptação. - Plaintext: Termo utilizado muitas vezes como sinônimo de cleartext, mas que na prática refere-se aos dados que serão submetidos ao algoritmo de encriptação. Por este motivo, dados em plaintext também não passaram pelo processo de encriptação. - Encriptação: Constitui o processo de transformação da mensagem plaintext em dados criptografados, inteligíveis apenas aos usuários e entidades possuidores da chave secreta para sua devida decriptação (ou àqueles cuja capacidade ofensiva exceda o grau de proteção oferecido pelo algoritmo criptográfico do sistema). - Decriptação: Processo contrário ao de encriptação, regido segundo as mesmas regras GSM: Funções e Serviços de Segurança Os serviços e funções relacionados à segurança do sistema GSM podem ser agrupados conforme abaixo(etsi, 1996b): - Identidade do assinante: A identidade do assinante é garantida pelo IMSI, um número exclusivo de 15 dígitos armazenado no SIM card, sem o qual nenhuma MS consegue acessar os serviços GSM. Conforme apresentado anteriormente, cada ME precisa estar associado à um SIM card para constituir uma MS. - Privacidade do assinante: A privacidade do assinante está atrelada ao sigilo do IMSI e da localização do usuário. Tal sigilo é atingido através da identidade temporária TMSI, o qual efetivamente identifica o usuário na rede. A relação entre TMSI e IMSI é conhecida apenas pelo MS, VLR e SGSN (XENAKIS et al., 2008), eliminando consequentemente a relação direta com os respectivos assinantes em caso de escuta inadequada dos canais de sinalização. Como resultado, tem-se o aumento da privacidade do usuário tanto no que diz respeito à confidencialidade dos dados quanto à sua localização. A eficácia desta função parte do pressuposto que o IMSI não deve ser transmitido em cleartext de forma corriqueira (ETSI, 1996b), porém brechas foram criadas para o caso de MSs que acabam de ser ligadas, ou casos em que a MS não consegue se conectar ao HLR. Por não conseguir reconhecer a identidade do usuário, a rede consequentemente não consegue estabelecer uma encriptação, sendo necessário transmitir o IMSI em cleartext (ERIKSSON, 2005; OLAWSKI, 2011). - Autenticação do assinante: A autenticação do assinante ocorre segundo processo detalhado na subseção 2.5.3, onde um número aleatório RAND é transmitido para a MS, que por sua vez utiliza o algoritmo A3 e a chave Ki armazenada no SIM card para calcular a resposta SRES. Por também conhecer a chave Ki do assinante, o sistema consegue verificar a validade da resposta SRES e consequentemente autenticar o assinante.

45 Capítulo 2. GSM/GPRS: Uma visão geral 27 - Confidencialidade na sinalização e transmissão de dados: A confidencialidade das informações que circulam nos canais GSM (como, por exemplo, dados de voz transmitidos no TCH) precisam levar em consideração os quatro fatores abaixo (ETSI, 1996b): método de encriptação; configuração da chave de segurança; início e o término do processo de decriptação; sincronização. Os mesmos serão abordados mais adiante, no tópico Encriptação Autenticação Toda MS que deseje acessar a rede GSM precisa primeiramente autenticar-se perante a rede. Supondo uma MS que acaba de ser ligada dentro de determinada visited network, temos na sequência abaixo a descrição de todos os passos envolvidos no processo de autenticação: 1. Primeiramente, a MS é induzida a transmitir seu IMSI em cleartext para o VLR da visited network, sendo este um dos bancos de dados do MSC conforme visto anteriormente; 2. O VLR da visited network encaminha o IMSI ao HLR da home network do assinante; 3. Normalmente integrado ao HLR nas redes GSM, o AuC da home network detém a chave secreta Ki do usuário. Desta forma, o AuC consegue gerar os Vetores de Autenticação GSM, muitas vezes chamados de triples por conter (ETSI, 1996c): o desafio aleatório RAND, com 128 bits, também chamado de Authentication Request; a resposta correta ao desafio aleatório, SRES, com 32 bits, também chamado de Authentication Response. O RAND e SRES definem o par challenge-response de autenticação; uma session key Kc, sendo esta a chave que será posteriormente utilizada para encriptação da interface Um; 4. O HLR encaminha os vetores de autenticação para o MSC da visited network em questão; 5. O MSC da visited network transmite o RAND à MS utilizando o subsistema BSS como interface; 6. Considerando o RAND e a chave Ki armazenada no SIM card, a MS consegue calcular o SRES através do algoritmo de autenticação A3 (este também armazenado no SIM card);

46 Capítulo 2. GSM/GPRS: Uma visão geral Uma vez calculado, a MS transmite o SRES para o VLR da visited network; 8. Caso o SRES recebido da MS seja igual ao SRES gerado pela AuC da home network, o VLR da visited network poderá dar por completa a autenticação do assinante; 9. Por medida de segurança, o VLR também atribui um TMSI à MS visando evitar a transmissão do IMSI do assinante pela rede. A Figura 2.10 compila as informações acima apresentadas, ao mesmo tempo em que antecipa os passos relativos à encriptação atribuindo uma ordem cronológica aos eventos. (Ki) Figura 2.10: Diagrama sequencial de autenticação e encriptação Algoritmo A3 O algoritmo de autenticação é responsável pelo cálculo da resposta SRES (com 32 bits) para o desafio aleatório. Conforme Figura 2.11, o valor de SRES é gerado pela combinação dos seguintes parâmetros: desafio aleatório recebido do MSC (RAND, com 128 bits); chave secreta (Ki).

47 Capítulo 2. GSM/GPRS: Uma visão geral 29 Figura 2.11: Algoritmo de autenticação A3 Quando o assinante está fora de sua rede local, como por exemplo viajando em um outro país, a Rede local solicita os triples (RAND, SRES e Kc) para o HLR da rede local do assinante Encriptação Conforme introduzido anteriormente, a criptografia constitui a técnica utilizada para eliminar a inteligibilidade da informação trafegando no meio, fazendo uso de uma codificação regida por chaves secretas, conhecidas apenas pelos agentes autorizados a participar da comunicação. A encriptação por sua vez constitui o processo de transformação da mensagem plaintext em dados criptografados, enquanto a decriptação estabelece o processo inverso. A encriptação dos dados na interface Um (transmitidos em DCCH ou TCH) ocorre após a autenticação da MS na rede. Para cada frame enviado na interface Um, uma diferente combinação de Kc e FN constitui o chamado keystream utilizado para encriptar/decriptar os dados. Como o FN varia a cada frame, temos um único keystream para cada instante de transmissão. A complexidade da encriptação varia conforme o algoritmo criptográfico negociado entre MS e BTS no momento do Security Setup, o qual será abordado mais adiante. Por demandar grande capacidade computacional, os algoritmos criptográficos GSM (pertencentes à GSM A5/x) não foram atribuídos ao SIM card (CPU de 8 bits) tal como os algoritmos A3 e A8. Ao invés disso, os algoritmos A5 foram confiados ao ME da MS. Key settings Seguindo grande sinergia com a sequência de autenticação apresentada anteriormente, a obtenção da chave Kc se dá de forma indireta na MS logo após o MSC enviar o RAND. Com o auxílio do algoritmo A8, a MS consegue deduzir o valor da chave de encriptação (também chamada chave de seção) ao combinar o conteúdo do RAND com o Ki armazenado no SIM card. O novo valor de Kc calculado a partir do challenge deve ser armazenado no SIM card antes que o SRES seja encaminhado (ETSI, 1996c). Na prática, o novo valor de Kc sobrescreve o valor da chave de seção anteriormente gravada no SIM, mantendo seu valor inalterado até que uma nova autenticação ocorra na rede. Cabe a cada operadora GSM definir sua estratégia de autenticação, contanto que atenda aos requisitos mínimos estabelecidos pelo padrão (como autenticar sempre que

48 Capítulo 2. GSM/GPRS: Uma visão geral 30 uma chamada é originada pela MS, ou sempre que ocorrer uma atualização de localização) (MEYER; WETZEL, 2004). Desta forma, o valor de Kc pode ser mantido por um longo período de tempo, mesmo em caso de diversas chamadas recebidas ou inclusive handover para uma nova célula. Do outro lado da interface Um, a BTS recebe Kc do MSC, que por sua vez obteve a informação através dos triples do HLR. A encriptação dos dados na interface Um ocorre após a autenticação da MS na rede. Ao receber o Ciphering Mode Command, a MS faz com que o valor de Kc armazenado no SIM card migre para o ME, onde o algoritmo A5 irá trabalhar. Security Setup Imediatamente após a autenticação, a MS e a BTS precisam entrar em comum acordo sobre o algoritmo de encriptação a ser utilizado. Inicia-se portanto o processo de Security Setup, onde (MEYER; WETZEL, 2004; STROBEL, 2007; ERIKSSON, 2005): 1. primeiramente a MS informa a BTS sobre as suas security capabilities. Neste momento, a MS esclarece quais algoritmos de encriptação são suportados em seu ME; 2. logo em seguida a BTS seleciona um dos algoritmos suportados pela MS; 3. finalmente, a BTS informa a MS sobre sua decisão através do Ciphering Mode Command. Tipicamente a rede GSM seleciona o algoritmo mais forte suportado pela MS. Ciphering Mode Settings Trata-se do procedimento de ajuste do modo de encriptação. Segundo este processo, a rede compartilha com a MS sua decisão com respeito ao uso de criptografia na interface Um e o algoritmo de encriptação selecionado (lembrando que A5/0 constitui uma opção válida, representando nenhuma encriptação). O processo é iniciado sempre que a rede deseja mudar o modo de atuação, de ciphered para not ciphered, e vice versa (ETSI, 1996c): 1. Através do canal de sinalização DCCH, a rede inicia o processo encaminhando uma mensagem de Ciphering Mode Command para a MS. O conteúdo da mensagem indica se a interface fará o uso de criptografia, e qual o algoritmo a ser utilizado; 2. Ao receber o Ciphering Mode Command, a MS faz com que o valor de Kc armazenado no SIM card migre para o ME, onde estão localizados os algoritmos criptográficos suportados; 3. A partir deste momento, a MS inicia a migração para o modo (ciphered ou not ciphered) definido na mensagem de Ciphering Mode Command; 4. Quando concluído o processo, a MS responde com a mensagem de Ciphering Mode Complete; 5. Ao receber a mensagem de Ciphering Mode Complete, a rede inicia a transmissão segundo o novo modo definido.

49 Capítulo 2. GSM/GPRS: Uma visão geral 31 Iniciando o processo de encriptação e decriptação Quando operando em modo ciphered, ambas MS e BTS precisam entrar em concordância sobre o momento em que a encriptação e decriptação dos dados será efetivamente iniciada. De forma semelhante ao processo de Ciphering Mode Settings, segue que (ETSI, 1996b): 1. Através do canal de sinalização DCCH, a BTS encaminha uma mensagem específica de Start Cipher para a MS; 2. Ao receber o Start Cipher, a MS imediatamente inicia o processo de encriptação dos dados; 3. Por sua vez, a BTS aguarda o recebimento do primeiro frame (ou mensagem) da MS para dar início a encriptação dos dados. A Figura 2.12 resume os passos descritos nos tópicos acima. Enviar Kc (armazenado no SIM) para o ME Enviar primeiro frame criptografado ME..... A5 Capacidades de Segurança (Security Capabilities) Encriptação Selecionada (Ciphering Mode Command) Migração para o modo ciphered ou not-ciphered, conforme comando Migração Concluída (Ciphering Mode Complete) Iniciar Encriptação (Start Cipher) Dados= A5(Kc, FN) Dados= A5(Kc, FN) Seleção do Algoritmo Criptográfico Iniciar transmissão criptografada Dados= A5(Kc, FN) Figura 2.12: Diagrama sequencial de encriptação Algoritmo A8 Por sua vez, o A8 constitui o algoritmo gerador da chave de seção Kc (com 64 bits) posteriormente adotada na encriptação da interface Um (vide algoritmo A5). Conforme

50 Capítulo 2. GSM/GPRS: Uma visão geral 32 Figura 2.13, a MS consegue derivar o valor de Kc ao combinar os seguintes parâmetros: desafio aleatório (RAND) recebido do MSC; chave secreta (Ki). Do outro lado da interface Um, a BTS recebe Kc do MSC, que por sua vez obteve a informação através dos triples do HLR. Figura 2.13: Algoritmo calculador de chave de seção, A8 Algoritmo COMP128 Na prática (PESONEN, 1999; BRICENO, 2008), o COMP128 se tornou o algoritmo utilizado para implementar o A3/A8 na maioria das redes GSM. Conforme Figura 2.14, o COMP128 gera de uma só vez ambos SRES e Kc em uma saída de 128 bits, ao combinar os valores de RAND e Ki: SRES constituído pelos primeiros 32 bits de saída; Kc formado pelos últimos 54 bits de saída (10 bits zero são adicionados ao final da chave Kc gerada pelo COMP128). Em sua primeira geração, o algoritmo ficou conhecido como COMP128v1, uma versão mais fraca do COMP128 tipicamente implementada em SIM cards até meados de A partir de então, sucederam-se as gerações COMP128v2 e COMP128v3 : Apesar de pouca informação disponível, indícios (HACKING PROJECTS, 2013) apontam para o preenchimento dos bits zero acima mencionados. Conforme constatado nos próximos capítulos, observa-se realmente uma evolução no algoritmo dos SIMs mais recentes. Figura 2.14: Algoritmo COMP128 de autenticação e cálculo de chave de seção

51 Capítulo 2. GSM/GPRS: Uma visão geral 33 Algoritmo A5 No GSM, a proteção dos dados na interface Um (XENAKIS et al., 2008) é dada por algoritmos-cifra de encriptação pertencentes à família A5 (GSM A5/x), onde A5/0 significa nenhuma encriptação (cleartext) enquanto as nomenclaturas de A5/1 em diante identificam graus diferentes na complexidade da encriptação: A5/1 constitui a encriptação padrão; A5/2 estabelece uma versão propositalmente mais fraca que o A5/1; A5/3 implementa uma encriptação mais forte, semelhante ao algoritmo KASUMI utilizado no UMTS (Universal Mobile Telecommunications System). Em termos gerais, cada frame enviado na interface Um considera um keystream diferente, gerado com base na combinação: da chave de seção Kc, utilizado durante toda a chamada (ou mais); do FN a ser enviado, valor este que varia a cada frame. Como resultado, temos um único keystream para cada frame. Tal relação encontra-se representada na Figura Figura 2.15: Algoritmos-cifra de encriptação pertencentes à família A Considerações adicionais para o GPRS Considerando que o GPRS foi construído sobre a infraestrutura GSM, o modelo de segurança aqui implementado segue praticamente todas as características descritas anteriormente, apenas com alguns ajustes que possibilitam lidar com os novos elementos de rede (vide arquitetura GPRS) e o tráfego de dados orientados a pacote (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002). Aproveitando os conceitos recém-apresentados para fazer uma recapitulação, se por um lado sabe-se que o GPRS é capaz de empregar múltiplos TS visando atingir maiores taxas de transmissão, sabe-se também que os sistemas GSM tradicionalmente consideram que

52 Capítulo 2. GSM/GPRS: Uma visão geral 34 cada usuário irá ocupar apenas um dos TS disponíveis. Além desta diferença essencial não comportada pelos elementos de rede GSM, verifica-se que as transmissões GPRS podem perfeitamente ocorrer enquanto a MS executa um handover de uma BTS para outra. Desta forma, a transmissão de pacotes não se dá apenas entre diferentes timeslots, mas efetivamente pode envolver diferentes BTSs (PESONEN, 1999). Considerando que o FN varia a cada frame transmitido, e que o mesmo constitui uma das entradas para a formação do keystream de encriptação, verifica-se portanto o motivo pelo qual o GPRS requer elementos adicionais para viabilizar a reconstrução dos pacotes provenientes da MS, sua devida decriptação e encaminhamento das informações. Tal operação não poderia ser confiada a uma BTS GSM tradicional. Funções e serviços de segurança GPRS Fazendo uma referência direta com o mesmo tópico previamente abordado para a rede exclusivamente GSM, os serviços e funções relacionados à segurança do sistema GPRS podem ser agrupados conforme abaixo (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002; ERIKSSON, 2005): Identidade do assinante, sendo esta exatamente igual ao GSM; Privacidade do assinante, similar ao GSM, onde o P-TMSI (Packet Temporary Mobile Subscriber Identity) constitui a identidade temporária do assinante na rede; Autenticação do assinante, sendo este um processo semelhante ao GSM onde a SGSN assume a responsabilidade previamente confiada ao MSC. Por este motivo, os triples também são diferenciados, sendo eles denominados GPRS-RAND, GPRS-SRES e GPRS-Kc; Confidencialidade na sinalização e transmissão de dados, empregando algoritmo próprio semelhante ao GSM-A5, denominado GPRS-A5, ou GEA (GPRS Encryption Algorithm); Segurança do backbone GPRS, parcela exclusiva ao sistema GPRS. Backbone GPRS Mais conhecida pelo termo em inglês backbone, a espinha dorsal da rede GPRS pode ser definida como sendo a estrutura responsável pela transmissão de dados e sinalização pela rede, constituída pelos elementos fixos da arquitetura GPRS e suas respectivas conexões (com características e preocupações diferenciadas em relação à interface Um, escopo real do trabalho). Os backbones GPRS podem ser classificados como: Intra-PLMN Backbone, referente aos elementos de rede e conexões físicas sob responsabilidade de uma única operadora; Inter-PLMN Backbone, referente à porção da rede responsável por interconectar diferentes Intra-PLMN Backbones sob os cuidados de diferentes operadoras.

53 Capítulo 2. GSM/GPRS: Uma visão geral 35 Para acessar os serviços da rede, a MS precisa primeiramente ser autenticada por uma SGSN. Ao verificar a autenticidade do assinante, a rede dá início ao processo de GPRS attach, atribuindo à MS: um P-TMSI; um TLLI (Temporary Logical Link Identity), sendo este o identificador da interface lógica entre a MS e a SGSN. Após concluir o processo de GPRS attach, a MS precisa obter um endereço IP antes de iniciar a troca de pacotes de dados com a Internet pública. O acesso à rede IP se dá através da interface Gi das GGSNs, as quais se assemelham a simples Roteadores quando vistas de fora para dentro da rede GPRS. A comunicação entre SGSN e GGSN é baseada em túneis IP, onde cada pacote IP sofre um novo encapsulamento seguindo o protocolo GTP. O cabeçalho GTP é formado por campos padronizados que indicam o tipo de mensagem, o número de sequência e o TID (Tunnel Identifier, formado pela união do IMSI com o NSAPI, Network Layer Service Access Point Identifier). Por conceito, o protocolo GTP empregado entre as GSNs (SGSN e GGSN) não sofre qualquer processo de criptografia. Referente à sinalização, a tecnologia SS7 empregada na rede GPRS também não suporta medidas referentes à segurança dos dados. Como resultado, tanto os dados do usuário quantos os de sinalização circulam em cleartext pelos backbones GPRS, expondo os mesmos a diversas ameaças, principalmente ao considerar que a conexão entre Inter-PLMNs Backbones se dá através da Internet pública (XENAKIS et al., 2008; XENAKIS; L.MERAKOS, 2002; ERIKSSON, 2005). Por este motivo, a segurança nos backbones GPRS depende basicamente de duas técnicas adicionais ao padrão: Firewalls, que protegem os dados transmitidos dentro do backbone de eventuais ataques externos, porém não impedem o acesso de outros usuários móveis mal intencionados ou de qualquer outra entidade com acesso ao meio (como por exemplo, os próprios funcionários das operadoras); VPN, Virtual Private Networks, que estabelecem uma conexão entre os elementos fixos de rede, o gateway de saída da rede GPRS e o gateway de segurança de uma rede privada corporativa remota. Por extrapolar os limites da interface Um inicialmente almejada, considera-se que o estudo das vulnerabilidades associadas aos backbones GPRS está fora do escopo do presente trabalho.

54 Capítulo 2. GSM/GPRS: Uma visão geral 36

55 Capítulo 3 Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 3.1 INTRODUÇÃO Na medida em que a comunidade científica avança nos estudos do GSM e GPRS, novas possibilidades e novas ameaças surgem no caminho dos pesquisadores e projetistas de sistemas. Enquanto frentes de pesquisa tratam de oportunidades de ampliação da área de cobertura visando levar o desenvolvimento para regiões remotas do país a um baixo custo (CABRAL et al., 2009), outras frentes não menos importantes dedicam-se a estudar fragilidades e vulnerabilidades pouco conhecidas pelos usuários finais dos sistemas. Acompanhando os novos conhecimentos que surgem a este respeito, observa-se também a considerável redução no custo dos equipamentos (hardware) necessários para se desenvolver uma rede funcional, bem como a crescente disponibilidade de softwares abertos e gratuitos, acessíveis a quem quiser explorá-los (APVRILLE, 2011; NATALIZIO et al., 2010; CABRAL et al., 2009). Por este motivo, sob a ótica da atualidade, os sistemas de telefonia móvel antes blindados pelo alto custo de implementação tornaram-se perfeitamente acessíveis, seja para fins acadêmicos, entusiásticos ou exploratórios. Tendo sua contemporaneidade assegurada através da associação com o GPRS, o sistema ainda vigora entre as diversas frentes de serviço da atualidade, tais como transações financeiras, rastreamento veicular e até mesmo conexão alternativa para aparelhos celulares de terceira geração. Por este motivo, o estudo das vulnerabilidades inerentes ao modelo de segurança em vigor torna-se um tema de grande pertinência. O enquadramento dos conhecimentos e hipóteses segundo critério científico acadêmico assegura o devido rigor nas observações e conclusões, dando margem à continuidade das pesquisas levando em consideração os resultados obtidos e expandindo as possibilidades para novas linhas de estudos e hipóteses. Dado a natureza do tema em debate, eventuais resultados obtidos através de simulação computacional dariam margem a questionamentos infindáveis referentes ao modelo 37

56 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 38 adotado, premissas de modelamento ou até mesmo interpretações das especificações do padrão. Pouco conclusivos seriam os resultados obtidos por meio exclusivamente virtual, e por esta razão, priorizou-se a abordagem prática do tema. Para viabilizar esta modalidade de pesquisa aplicada e exploratória, diversos quesitos precisaram ser avaliados tais como o sistema operacional em que o experimento rodaria, os equipamentos necessários para a construção de uma rede de baixo custo, a seleção dos softwares abertos em função dos resultados almejados, a integração entre os diferentes softwares e finalmente a integração entre o software de baixo nível e o hardware responsável pela criação da interface Um propriamente dita. Sobretudo no que diz respeito à obtenção dos equipamentos, a busca por parceiros que suportassem a pesquisa através do empréstimo dos itens de maior valor comercial (tal como a workstation e a USRP, Universal Software Radio Peripheral, posteriormente abordados ao longo do presente capítulo) também constituiu alvo de grande preocupação dado a inexistência de qualquer contato anterior, bem como o prazo máximo estabelecido para um projeto de mestrado acadêmico. Aspectos legais foram investigados e levados em consideração antes do início dos testes visando evitar interferências com os sistemas de telefonia móvel, assim como a disponibilidade de serviços e a preservação de dados dos usuários (ANATEL, 2006a; ANATEL, 2013d; ANATEL, 2008; ANATEL, 2007b; ANATEL, 2000; TUDE, 2003b; ANATEL, 2001; ANATEL, 2006b; ANATEL, 2007a; ANATEL, 2013b; TUDE, 2004; TUDE, 2003a; ANATEL, 2013a; COIM- BRA, 2006; ANATEL, 2013c). Demonstra-se desta forma a máxima seriedade na conduta dos experimentos ao incluir no planejamento eventuais itens de impacto social como parte dos requisitos viabilizadores do experimento. Antecipando os elementos que serão abordados ao longo do terceiro capítulo, a Figura 3.1 mostra a relação entre o mapeamento tradicional da arquitetura GSM (previamente introduzida no capítulo anterior) e a arquitetura adotada no presente trabalho. Este capítulo destina-se à apresentação dos elementos que constituem a arquitetura experimental que servirá de base para o experimento. Complementarmente, aprofundase também na análise de vulnerabilidades inerentes ao sistema de telefonia móvel em questão, seus principais modos de falha e, consequentemente, os tipos de ataque com maior probabilidade de sucesso. Finalmente, são apresentadas as considerações referentes aos aspectos legais e social visando evitar interferências com os sistemas comerciais, bem como a disponibilidade de serviços e a preservação dos dados de usuários móveis. Almeja-se desta forma um melhor preparo para a etapa experimental subsequentemente abordada no capítulo IV, servindo tais informações de guia para a condução e ajuste dos experimentos. 3.2 ELEMENTOS DA ARQUITETURA Conforme a Figura 3.1, alguns elementos de diferente natureza constituem os componentes desta arquitetura proposta:

57 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 39 Figura 3.1: Arquitetura GSM com hardware e softwares abertos Elementos de natureza física, tal como a USRP selecionada como sendo o dispositivo de hardware central do experimento; Elementos computacionais, como os softwares especializados selecionados para cumprir determinadas tarefas do sistema; Alguns elementos não referenciados na Figura 3.1 também integram o experimento de forma decisiva, tais como dispositivos periféricos de menor relevância financeira e o sistema operacional que serve de base para todo o trabalho de integração do experimento. Neste contexto, desenvolve-se nos tópicos abaixo toda a conceituação dos elementos de arquitetura selecionados Equipamentos e periféricos utilizados Computador Para a realização do experimento, utilizou-se uma Workstation STi com as seguintes configurações: processador Intel Core 2 Duo E GHz; 3GB de memória RAM; disco rígido de 250GB, posteriormente particionado para lidar com dual boot entre dois sistemas operacionais diferentes; unidade ótica DVD-RW, especialmente útil no momento de instalar os diferentes sistemas operacionais verificados; três portas USB, tendo uma delas mapeada para o uso do gravador de SIM card e a outra exclusiva para a interface com a USRP.

58 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 40 Universal Software Radio Peripheral A família de produtos conhecida como USRP constitui solução criada pela Ettus Research (posteriormente adquirida pela National Instruments em 2010 (WEINMANN, 2010a)) para atender a demanda por equipamentos que suportassem os projetos SDR (Software- Defined Radio), onde fundamentalmente persegue-se a implementação em software de funções tipicamente atribuídas ao hardware de rádio (ALMEIDA, 2010). Mais especificamente (CABRAL et al., 2009), as USRPs foram concebidas para suportar o projeto GnuRadio, cujos detalhes serão apresentados mais adiante. Visão Geral USRP1 Ettus 1) Placa mãe de propósito geral 2) Placa filha Flex900 (900MHz) 3) Placa filha Flex900 (900MHz) 4) Interface USB 2.0 5) Alimentação 6V-DC 6) Interface RF de recepção 7) Interface RF de transmissão ADC Conversor analógico-digital DAC Conversor digital-analógico FPGA Arranjo de Portas Programável em Campo Clock 64MHz (original) Figura 3.2: Visão geral sobre a USRP1 Fruto de importante empréstimo realizado por parceiros da UFABC, o equipamento denominado USRP1 (precursor da família USRP) efetivamente possibilita a criação da interface Um, exercendo grande parte das funções desempenhadas pelas BTSs. Em sua versão comercial, a USRP1 originalmente dispõe de: interface USB 2.0 padrão A/b (mesmo utilizado em impressoras); interface de alimentação para plugue P4 com positivo central; interface para antena de recepção padrão SMA; interface para antena de transmissão padrão SMA; uma placa-mãe de propósito geral, contendo:

59 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 41 capacidade de acomodação (porém não equipadas com) para até 4 placas-filha com operação definida segundo faixas determinadas de frequência, sendo 2 daughterboards para transmissão e 2 para recepção; 4 conversores analógico-digital (ADC); 4 conversores digital-analógico (DAC); arranjo de portas programável em campo (FPGA); clock de 64MHz, valendo-se de um oscilador XO (crystal oscillator) de baixo custo. O equipamento acima descrito merece o devido destaque quando a sua estratégia de clock. Por este motivo, o clock da USRP1 será tratado como item à parte. Clock Conforme antecipado no tópico anterior, a USRP1 originalmente emprega um clock interno de 64MHz com baixa precisão. Esta configuração resulta em dois problemas distintos: imprecisão na geração de frequências de RF e temporização; recursos computacionais adicionais para adequar-se à taxa de símbolos GSM. Para compreender cada um destes problemas, bem como racionalizar a questão da troca ou permanência do clock original da USRP1 em experimentos GSM, torna-se necessário observar alguns detalhes. Conforme ETSI, a BTS deve usar uma única fonte de frequência com precisão absoluta melhor que 0.05ppm (parts per million, unidade utilizada para especificar a variação de frequência de osciladores e dispositivos de controle de frequência (LLC, 2013)) para gerar as frequências de RF e a temporização de clock. A mesma fonte deve ainda ser usada por todas as portadoras da BTS. A questão da imprecisão torna-se evidente ao considerarmos que o clock da USRP1 usualmente apresenta variações na ordem de 20ppm (WEINMANN, 2010b). Para facilitar a visualização do problema, encontra-se na Equação 3.1 (LLC, 2013) a correlação entre a variação em ppm e os efeitos que esta variação traz na frequência: f = (f.ppm)/10 6 (3.1) A Tabela 3.1 sumariza o cálculo dos impactos para 4 diferentes frequências, visando simbolizar os efeitos que tal variação causaria sobre as principais bandas do GSM. Observa-se que 0.05ppm corresponde à uma variação de apenas 45Hz na faixa dos 900MHz (faixa de operação das placas de RF utilizadas no experimento), ao passo que 20ppm resultam em um f de 18kHz. Tamanha diferença também pode ser observada na escala temporal, comparando-se os efeitos das variações sobre o período, em segundos. A mesma análise também é válida para as demais frequências calculadas. Estando fora do alcance para a configuração original da USRP1, a tolerância máxima

60 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 42 de 45Hz impõe o uso de osciladores muito mais precisos, tal como um VCTCXO (Voltage Controlled, Temperature Compensated Crystal Oscillators) disciplinados por GPS ou até mesmo um OCXO (Oven-Controlled Crystal Oscillator) (BURGESS; SAMRA, 2008; OPENBTS, a). Tipicamente, na outra extremidade, um ME emprega osciladores VCTCXO de média qualidade, apresentando cerca de 20ppm (OPENBTS, a) no momento em que são inicializados (ou seja, sem a referência do clock externo da BTS). Tal valor constitui apenas uma referência para o presente trabalho, sendo que na prática, a variação do oscilador de cristal da USRP1 pode inclusive estar fora do range de busca por frequências de alguns aparelhos GSM (BURGESS; SAMRA, 2008). Ao começar a busca por uma rede, cada MS Tabela 3.1: Cálculo de impactos do clock sobre as faixas de frequência GSM inicia uma varredura de frequências cobrindo toda a faixa de possibilidades, segundo a precisão de seu próprio oscilador interno. Após cumprir com a sequência típica de acesso descrita no capítulo 2, a MS capacita-se a corrigir seu clock interno com base no clock da BTS, agindo sobre a tensão de controle de seu oscilador de forma a equiparar-se à precisão da rede. Em caso de perda do sinal, a MS consegue em um primeiro momento realizar uma busca mais seletiva de frequências, considerando que as variações de seu clock interno não distorceram mais do que algumas centenas de Hertz da frequência esperada (OPENBTS, a). Tal premissa, porém, não pode ser sustentada por muito tempo, fazendo-se necessário um relaxamento desta restrição e a consequente realização de varreduras mais amplas, na medida em que se perde a antiga referência da BTS. Aparelhos que suportem múltiplas bandas podem inclusive mudar para faixas de frequência diferentes, conforme abordado anteriormente. Tendo compreendido as questões relacionadas à precisão, torna-se necessário abordar o problema da taxa de símbolos GSM previamente apresentado. Recorrendo novamente aos conceitos introduzidos no capítulo 2, verifica-se no GSM uma taxa de símbolos total de ksímbolos/segundo, resultantes da taxa de modulação de kbits/s e da correlação de 1 bit por símbolo implementada no GMSK. Consegue-se facilmente derivar esta taxa ao empregar clocks múltiplos de 13MHz, que ao sofrer uma divisão por múltiplos de 48, resultam nos desejados khz (13/48 MHz). Neste sentido, observa-se a frequente adoção de clocks de 52MHz, sendo este um múltiplo inteiro de 13MHz (4 vezes

61 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 43 maior). Ao analisar os 64MHz inerentes ao clock original da USRP1, verifica-se que a relação entre o mesmo e a taxa de símbolos GSM não se dá de forma direta. Para manter os ksímbolos/s, precisa-se lançar mão de um numerador fracionário não inteiro (aproximadamente 236,308). Esta adequação constitui uma complexidade adicional ao software utilizado para fazer a interface com a USRP1. Como alternativa, a USRP1 permite a substituição de seu clock por outro mais preciso. Opções comerciais tais como ClockTamer e Funkamateur (OPENBTS, a; WEINMANN, 2010a) (ambos indisponíveis no momento em que a pesquisa foi conduzida) apresentam grande aceitação nos projetos que utilizam USPR1 para redes GSM. Em uma quantidade notoriamente reduzida de citações, encontra-se em NATALIZIO et al. um exemplo de criação de fonte externa de sinal produzindo ondas quadradas de 52MHz com uma amplitude de 1,5 V (0-1.5V). Porém, conforme WEINMANN, deve-se ter muito cuidado em casos como este para não danificar as USRPs: Algumas aplicações TTL (Transistor-Transistor Logic) em 5 volts já teriam resultado em danos permanentes ao equipamento. Assim como os demais trabalhos de natureza prática levados em conta durante o presente experimento, verifica-se que a troca do clock não estabelece tema de menor preocupação. Sugestões de modificação do hardware da USRP1 encontram-se disponíveis em OPENBTS; GNU RADIO, as quais propositalmente não serão seguidas por motivos melhor explicados adiante. Obviamente, os cuidados descritos para a USRP1 não se aplicam aos demais produtos da família USRP (como, por exemplo, a USRP2, E100, E110, N200, N210, B100 e B200): Para tais equipamentos, encontra-se em GNU RADIO um bom ponto de partida. Finalmente, digna-se apenas dizer que a utilização de um novo clock também requer mudanças na configuração dos softwares que constituem os demais elementos da arquitetura, tal como o GnuRadio e o OpenBTS. Placas-filha Apesar de conseguir comportar um maior número de placas-filha, o experimento valeuse de apenas 2 daughterboards adicionadas como acessório na USRP1: uma RF Daughterboard Flex900, capaz de transmitir na faixa entre 750 e 1050MHz, com uma potência de transmissão de até 200mW (23dBm); uma RF Daughterboard Flex900, capaz de receber na faixa entre 750 e 1050MHz; A combinação de ambas as placas periféricas possibilita o trabalho com redes GSM na faixa dos 900MHz, conforme previamente apresentado na Tabela 2.1. Tal configuração mostra-se a mais apropriada para lidar com os aspectos legais identificados durante a etapa preparatória do trabalho: Visando transmitir dentro dos limites estabelecidos para as faixas ISM (Instrumentation, Scientific and Medical), verifica-se uma pequena sobreposição do espectro de frequências GSM e o segmento de espectro ISM entre 902 MHz e 928 MHz (PAGET, 2010b; ANATEL, 2006a). Para a faixa dos 900MHz em questão, tem-se as opções do P-GSM (Primary GSM), E- GSM (Extended GSM) e GSM-R (GSM Rail). Porém, conforme Tabela 2.1, verifica-se

62 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 44 que as frequências de downlink dos ARFCNs 1 a 124 disponibilizados no P-GSM extrapolam os limites do segmento ISM. Para ajustar a frequência de transmissão aos limites desejados, pode-se recorrer ao canal mais baixo da porção estendida do E-GSM, o qual também integra a gama de canais presentes no GSM-R. O ARFCN 975 constitui portanto uma saída elegante ao problema, permitindo ajustar o sistema para transmitir (downlink) em 925.2MHz, frequência esta contida na faixa ISM e também reconhecida pelos MSs GSM capazes de operar na faixa de 900MHz. Para todos os efeitos, não se infringe o critério estabelecido pela ANATEL para operação de equipamentos de radiação restrita (ANATEL, 2008). Antenas Para trabalhar na faixa descrita no tópico anterior, foram adquiridas duas antenas Quad-Band padrão SMA para uso celular segundo as bandas de frequência descritas na Tabela 3.2, conforme dados do Fabricante SPK. Os pequenos desvios de frequência de uplink e downlink considerados no presente trabalho não chegam a ter relevância para a condução do experimento, sobretudo considerando a natureza aproximada dos valores estabelecidos pelo Fabricante. Tabela 3.2: Frequências de trabalho das antenas quad-band Fonte de Alimentação As fontes originais comercializadas pelo fabricante (ETTUS RESEARCH, b) possuem capacidade de fornecimento limitada em 3A. Visando não comprometer o desempenho da USRP com as 2 placas filhas adicionais, optou-se pela utilização de uma fonte com capacidade estendida para 5A. ME Para a outra ponta do experimento, foram adquiridas duas unidades de aparelho celular Nokia modelo Objetiva-se com isto a obtenção de múltiplos MEs para testes práticos na rede, sendo o modelo 3310 da Nokia escolhido por seu baixo custo e também por conter a função NetMonitor, a qual pode ser ativada com o auxilio de um data cable e software específico para monitoramento de rede. Dificuldades na obtenção do data cable necessário para tal ativação impossibilitaram a utilização da função NetMonitor durante a fase de estabelecimento da rede.

63 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 45 SIM Card Programável Complementando a MS, foram comprados dois programadores de SIM card e 3 cartões SIM programáveis de duas diferentes marcas, conforme ilustra a Figura 3.3. Para desvincular os cartões SIM de qualquer operadora, adotou-se como padrão no momento da escrita: MCC = 001 (Identificador universal para testes); MNC = 01 (Operando em modo de teste); MSIN = 10 dígitos aleatoriamente escolhidos A escrita e leitura dos SIM cards pode ser realizada através do software pysim relacionado mais adiante. Figura 3.3: Leitores e programadores de SIM card Software Os softwares pesquisados para viabilizar este experimento podem ser agrupados e três categorias, sendo elas: Sistema Operacional; Elementos da Arquitetura de Rede; Softwares Auxiliares. Os próximos tópicos serão utilizados para detalhar cada um destes grupos. Sistema Operacional Considerando que a grande maioria dos softwares selecionados para o experimento são aplicativos Unix de código aberto, a escolha do sistema operacional torna-se algo relevante. Alguns dos sistemas operacionais comumente comercializados no mercado não constituem

64 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 46 uma alternativa para o experimento, tal como o Windows e suas diversas revisões baseadas em MS-DOS (MicroSoft Disk Operating System). Derivados da plataforma Unix, observa-se que os sistemas operacionais Ubuntu, Redhat, Fedora, Debian e BackTrack figuram dentre as opções mais utilizadas por pesquisadores do GSM. As vantagens e desvantagens de cada um dos sistemas podem ser alvo de uma longa discussão, porém resguardando-se às questões práticas, a quantidade de citações foi o critério adotado para seleção do Ubuntu como base para o experimento. Construído a partir do sistema operacional GNU/Linux, resultado da união entre o núcleo Linux (kernel) com os códigos-fonte das ferramentas desenvolvidas pelo projeto GNU, o Ubuntu é um sistema operacional de código aberto caracterizado por suas revisões semestrais e amplo suporte técnico após cada lançamento (UBUNTU, 2013). - Ubuntu Versão 12.04: Versão atual mantida pelos desenvolvedores, encontrandose na revisão no momento em que os testes foram executados; Comportamento estável, atualizações que garantem um bom desempenho e vasto suporte da comunidade são diferenciais frente às versões anteriores. Mesmo sem possuir referências adotando o Ubuntu em conjunto com os demais softwares utilizados no presente trabalho, nenhuma incompatibilidade foi observada. - Versões anteriores do Ubuntu: Iniciar os trabalhos com versões descontinuadas (tal como a ou a 10.10) mostrou-se uma complexidade adicional no desenvolvimento dos trabalhos. Não foram encontradas vantagens em manter versões anteriores do sistema operacional. Elementos da Arquitetura de Rede - UHD: Sendo compatível com as principais plataformas disponíveis na atualidade (incluindo Linux, Windows e Mac), o software UHD (USRP Hardware Driver) foi criado para desempenhar a função de hardware driver para todas as USRPs (ETTUS RESEARCH, d). Suportando a USRP1 em sua configuração original ou já com o clock modificado (ETTUS RESEARCH, c), o UHD pode ser utilizado em conjunto com outros softwares tais como o GNU Radio, LabVIEW, Simulink e OpenBTS. O Apêndice B descreve os passos para download, instalação e configuração do UHD no Ubuntu. - GNU Radio: Ferramenta gratuita para desenvolvimento de projetos de sistemas de rádio que visa a máxima transferência de complexidade do hardware para o software. Ao maximizar as funcionalidades de software, o GNU Radio permite minimizar a complexidade e os custos do hardware necessário para criação de um sistema de rádio. A interface com o usuário é feita através de gráficos e blocos que representam as fases de processamento de sinal e realçam seu respectivo fluxo de dados. Sua correta instalação, configuração e integração com a USRP1 representam um processo repleto de detalhes, exigindo relativo grau de expertise dos interessados no que tange a análise dos erros reportados pelo sistema. O Apêndice A apresenta os passos e cuidados

65 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 47 necessários para baixar, instalar e configurar o GNU Radio 3.3.0, bem como as principais dicas para se trabalhar com outras versões da ferramenta. - OpenBTS: Aplicativo Unix de código aberto que utiliza a USRP para criar a interface Um através do o ambiente GNU Radio. Em sua outra frente de trabalho, o OpenBTS utiliza o software de PBX (Private Branch Exchange) Asterisk como suporte às demais funções descritas na arquitetura GSM, garantindo a conectividade das chamadas através da tecnologia Voz sobre IP (VoIP) (APVRILLE, 2011; CABRAL et al., 2009; PERKOV; KLISURA; PAVKOVIé, 2011). O Apêndice D apresenta os passos e cuidados necessários para baixar, instalar e configurar o OpenBTS-UHD, bem como as principais dicas para se trabalhar com outras versões da ferramenta. - Asterisk: Por sua vez, o Asterisk desempenha as funções tradicionalmente implementadas no BSC, HLR, VLR e MSC. O Asterisk é um software de PBX que utiliza o VoIP através do Protocolo de Inicialização de Seção (SIP, do inglês Session Initiation Protocol). Cada MS é visto pelo Asterisk como um usuário SIP, ou seja, cada IMSI será visto pelo Asterisk como um cliente SIP, permitindo desta forma que chamadas e mensagens de texto sejam trocadas entre dispositivos GSM e terminais VoIP (NATALIZIO et al., 2010; CABRAL et al., 2009). Softwares Auxiliares Os softwares mencionados abaixo exercem papel secundário, porém importante no preparo da infraestrutura básica para o experimento. - pysim: Ferramenta que permite a programação dos Magic SIMs (SIMs programáveis) de diferentes marcas através de linhas de comando descarregadas diretamente no Terminal do sistema operacional. O Apêndice C serve como tutorial para download, escrita e leitura de SIM cards (exemplifica-se o procedimento com a escrita do IMSI ). - SIM Easy V8.20: Ferramenta fornecida junto com o gravador de SIM da marca SuperSIM. Rodando em Windows, apresenta uma interface com o usuário mais agradável, dispensando a utilização de linhas de comando para fazer leitura e gravação dos SIMs. Porém, seja por um erro proposital ou um bug em sua implementação, o fato é que os números efetivamente mostrados na tela não correspondem aos números reais gravados no SIM. Por exemplo, o número correspondente ao IMSI é representado com 18 dígitos ao invés de 15. Guardando-se esta ressalva e abstraindo ao fato de que a informação real não chega aos olhos do operador, a ferramenta permite a reprodução dos dados de um SIM card em outro SIM sem distorções, conforme verificado com o auxílio da ferramenta pysim. Mesmo assim, o SIM Easy V8.20 ainda possui seu valor para o presente trabalho. Elaborado para possibilitar a cópia de cartões SIM comercializado pelas operadoras de telefonia móvel (seja para criação de backups de segurança, seja por outros motivos), a ferramenta apresenta uma interessante relação entre a leitura constante do SRES em função do RAND

66 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 48 visando mapear o Ki residente dentro do SIM card. Através de uma sucessão de RANDs e suas respectivas respostas, os algoritmos internos implementados no software são capazes de encontrar o valor de Ki dos SIM cards, contanto que os mesmos contenham o algoritmo COMP128v1, uma versão mais fraca do COMP128 tipicamente implementada na primeira geração de SIMs conforme descrito anteriormente. De fato, conforme Figura 3.4, verificou-se que esta limitação impede a ferramenta de clonar SIMs mais modernos, o que não significa que os algoritmos deixem de ser aperfeiçoados em novas versões de software para fins comerciais (acessíveis ao público, como este caso) ou até mesmo para fins exploratórios (conhecimento restrito). Figura 3.4: Derivação do Ki de SIM cards contendo o COMP128v1- SIM Easy V EaseUS Partition Master 9.2.2: Versão gratuita que auxilia no particionamento do HD. Rodando em Windows, torna-se de grande valia para a criação de discos com dual boot permitindo o chaveamento entre diferentes sistemas operacionais na mesma máquina. Nenhum dano físico ou perda de informações foi detectada após particionamentos da ordem de até 60GB, mesmo assim, recomenda-se a criação de backups antes de iniciar qualquer processo. A unidade particionada foi utilizada para instalação dos sistemas operacionais Ubuntu.

67 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade VULNERABILIDADES Além das três hipóteses centrais apresentadas no primeiro capítulo, encontram-se resumidas neste item as principais vulnerabilidades identificadas durante a etapa conceitual do trabalho. Objetiva-se desta forma enriquecer a etapa experimental seguinte, ao mesmo tempo em que vulnerabilidades não exploradas tornam-se objeto de pesquisa para trabalhos futuros. Tomando em consideração os princípios de autenticação do assinante e encriptação de dados durante a transmissão, o padrão se vê desde o princípio protegido contra ataques meramente passivos (eavesdropping), caracterizados pela interceptação e escuta do meio físico tal como ocorria com as tecnologias 1G. Por outro lado, o mesmo empenho não foi dado na prevenção de ataques ativos, provavelmente por serem considerados na época uma ameaça improvável dados os conhecimentos necessários e principalmente o elevado custo de implementação de uma BTS tradicional (OLAWSKI, 2011). Conforme apresentado anteriormente, o atual processo de autenticação se dá apenas em um dos sentidos: A rede precisa legitimar as MSs, porém as MSs não conseguem verificar a idoneidade das redes às quais se conectaram. Ataques ativos, tal como o MITM (man-in-the-middle attack) e o jamming detalhados a seguir, são caracterizados pela injeção de dados visando o distúrbio de comunicação, privação de serviços, modificação de dados ou impersonalização (PERKOV; KLISURA; PAV- KOVIé, 2011) IMSI Catcher Valendo-se da ausência de autenticação das redes perante as MSs, as falsas BTSs conhecidas como IMSI Catchers exploram a busca constante das MSs por melhores sinais, criando através da interface Um uma estrutura convidativa que apresente melhores condições competitivas frente às demais redes comercialmente oferecidas pelas operadoras cadastradas. Dentro de sua área de cobertura, o IMSI Catcher apresenta condições suficientes para arrebanhar MSs das redes locais. Configurando uma das hipóteses principais deste trabalho, neste momento o dispositivo seria capaz de induzir as MSs a transmitir o IMSI ao invés do último TMSI atribuído pela rede visitada. De uma só vez, o IMSI Catcher consegue contornar a entidade temporária TMSI (criada para evitar a transmissão do IMSI pela rede) e receber em cleartext o IMSI do usuário. Por este motivo, dá-se tal nome ao dispositivo. Ter a identificação do assinante em mãos constitui um importante passo para a elaboração de novas frentes de ataque. Apenas para esclarecimento, emprega-se o termo ataque no presente trabalho para representar a tentativa de se contornar o modelo de segurança lançando mão de lacunas conceituais ou vulnerabilidades identificadas. Não se-

68 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 50 rão explorados os diferentes desdobramentos de abordagem/motivações/efeitos que cada tipo de modalidade identificada poderia ganhar, salvo em casos pontuais de grande valor ilustrativo MITM Segundo ERIKSSON, ataques MITM (mediados pelo homem) configuram-se sempre que um agressor se posiciona entre o assinante e a entidade legítima com a qual o cliente deseja estabelecer conexão. Neste contexto, desenvolvem-se os itens abaixo: Monitoramento do usuário Apesar de não conseguir definir a posição exata do usuário cujo IMSI foi identificado, consegue-se através do IMSI Catcher delimitar a presença do assinante dentro da área de cobertura estabelecida. Tal ataque pode ser interessante, por exemplo, em sistemas de monitoramento veicular, partindo-se do pressuposto que a BTS de ataque não apresenta limitações físicas que impeçam seu deslocamento. Cria-se com isso as condições para criação de um scanner móvel, trazendo as eventuais consequências segundo estratégia adotada pelo prestador de serviços de rastreamento. Conforme dito anteriormente, esta vulnerabilidade pode ser explorada com outras intenções, animada por diferentes motivações e efeitos, os quais não serão exercitados no presente trabalho. Obtenção do IMEI Com um pouco mais de investimento nas linhas de código que regem o IMSI Catcher, aponta-se (STROBEL, 2007; WEINMANN, 2010b) a possibilidade de criação de um procedimento que possibilita a obtenção dos IMEIs de cada ME conectado à rede. DoS (Denial of Service) Constitui simplesmente a negação da prestação de serviços para determinado assinante. Sem saber estar sendo vítima de uma rede falsa, o usuário torna-se inacessível à sua rede original. Sob o ponto de vista da operadora, o assinante pode ter intencionalmente desligado o aparelho (assumindo tratar-se de um telefone celular), ou quem sabe ter entrado em uma área fora de sua zona de cobertura. Sob o ponto de vista da MS, ela ainda está conectada à rede. Caso nenhum esforço adicional seja empregado na rede falsa visando à conectividade deste usuário, criam-se as condições necessárias para executar um ataque do tipo DoS. Tanto para sistemas de telefonia móvel quanto para suas variantes (como o rastreamento veicular, telemetria, etc), verifica-se a grande pertinência dos efeitos causados pela privação de serviços (sob o ponto de vista do usuário) e visibilidade do assinante (sob o ponto de vista da operadora). Como alternativa, o jamming constitui forma menos refinada de ataque DoS, onde realizase a transmissão de ruído nas faixas de frequência até o ponto de inviabilizar a comunicação. Porém, podem ser mencionadas como desvantagens do jamming DoS: não possui qualquer seletividade, afetando a todos os usuários de uma determinada região;

69 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 51 requer a transmissão em diversas faixas de frequência, visando efetivamente privar os usuários multi-band dos serviços de rede; pode ser facilmente detectado pelo usuário (ausência de rede). Fora as questões acima abordadas, a técnica de jamming não será empregada na etapa seguinte por incorrer na transmissão em faixas de frequência destinadas exclusivamente às operadoras de telecomunicação. IMSI spoofing Justamente por conhecer o IMSI do assinante e ter a certeza de que o mesmo encontrase indisponível para a operadora, um agressor devidamente instruído pode se fazer passar pelo usuário de forma fraudulenta visando tirar proveito da situação. Após clonar o IMSI do assinante, o agressor passa a se apresentar como sendo o detentor do mesmo. Com relação ao processo de autenticação, três alternativas seriam possíveis: a) Tentar evitar que uma nova autenticação seja iniciada: Segundo PESONEN e MEYER; WETZEL, cada operadora GSM pode definir sua estratégia de autenticação contanto que os requisitos mínimos estabelecidos pelo padrão sejam cumpridos, tais como autenticar sempre que uma chamada é originada pela MS ou sempre que ocorrer uma atualização de localização (chamadas recebidas ou handover para novas células a princípio não seriam considerados obrigatórios). Desta forma, encontra-se um possível artifício para protelar o processo de autenticação se assim for desejado. Durante este período, nenhum RAND será produzido, o que também fará com que o mesmo valor de Kc seja mantido. b) Iniciar um processo de autenticação: Neste caso, inicia-se propositalmente um processo de autenticação. Após receber da rede um RAND como desafio aleatório, dá-se início ao processo de impersonalização discutido mais adiante. Tal premissa também serve de base para as teorias de criptoanálise que almejam a quebra do Ki através da interface Um (PAGET, 2010b; OLAWSKI, 2011; ERIKSSON, 2005; STROBEL, 2007; CRYPTOME, 2010). Este tema será novamente abordado em tópico específico, porém adianta-se que, como toda a criptografia do meio reside sobre o segredo do Ki, a quebra deste sigilo constitui a última fronteira para a escuta irrestrita (eavesdrop) de chamadas telefônicas e/ou mensagens de SMS terminadas ou originadas pelo usuário. c) Múltipla apresentação de IMSIs: Neste último caso poderiam ser geradas cópias de IMSIs respondendo de formas diferentes ao RAND da operadora (diferentes valores de Ki). Sob o domínio de uma mesma BTS ou espalhados por diferentes localidades, trata-se do método mais trivial dentre os 3 relacionados. Não foram localizadas referências que apontassem as consequências de tal ataque. Spoofing da rede Seja para tornar o ataque imperceptível às vítimas ou para acelerar a migração de MSs, o spoofing de redes configura qualquer tentativa de uma rede se fazer passar por

70 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 52 outra, tipicamente de uma operadora de telefonia móvel devidamente autorizada. Normalmente, os identificadores de rede resumem-se a uma combinação do MCC com o MNC, conforme exemplos abaixo: Claro Brasil: MCC = 724; MNC = 05; TIM Brasil: MCC = 724; MNC = 03; Segundo PAGET, algumas MSs podem utilizar o Network Name como critério complementar para hand-over. Desta forma, a alteração destes três parâmetros de rede inviabiliza efetivamente a distinção entre as redes verdadeiras e a rede falsa. Impersonalização Caso o objetivo não seja privar a vítima dos serviços móveis característicos, podem-se criar as condições necessárias para interligar a rede falsa aos demais sistemas de telefonia móvel/fixa/dados, utilizando softwares de PBX baseados em VoIP como o Asterisk, FreeSwitch ou Yate (OPENBTS, c). a) Apenas chamadas originadas pelo usuário: Conforme visto anteriormente, sob o ponto de vista das operadoras de telefonia, os usuários conectados à rede falsa encontramse fora da área de cobertura ou desligados. Isto faz com que todas as chamadas destinadas ao usuário sejam encaminhadas para a caixa postal. Em contrapartida, a rede falsa pode completar eventuais chamadas originadas pela MS através do VoIP, algo semelhante com o que ocorre com diversos aplicativos que oferecem serviços de comunicação através da Internet. O roteamento de chamadas é garantido pelas ferramentas especializadas descritas anteriormente. No que tange a criptografia entre a MS e a estação, observa-se a possibilidade de simplesmente desativar o uso do Kc no envio dos frames. Como as MSs são obrigadas a respeitar os modos de operação estabelecidos pelas BTSs, basta que a estação negocie o A5/0 (cleartext) e o entrave deixa de existir. Na verdade, tomando o projeto OpenBTS por base, verifica-se que até pouco tempo (BUR- GESS; SAMRA, 2008) não se cogitava sequer a implementação de criptografia e autenticação como parte do conteúdo entregue no software de código aberto. Tal decisão foi tomada por questões legais, uma vez que os algoritmos necessários eram protegidos por termos de confidencialidade. Parte dos esforços em andamento nas últimas liberações públicas do software (OPENBTS, d) incluem a possibilidade de se adicionar os processos de autenticação (restrita apenas aos SIMs contendo COMP128v1, segundo OPENBTS) e encriptação. Partindo-se da versão pública disponibilizada para download, descrevem-se em OPENBTS os passos adicionais que precisam ser levados em conta caso haja o interesse de criar uma BTS que suporte algum tipo de encriptação. Com o auxílio de ferramentas como o Wireshark ou da função MixMonitor do Asterisk (VOIP-INFO, 2011a; PAGET, 2010b; PAGET, 2010a; VOIP-INFO, 2011b) pode-se realizar a escuta e gravação de todo o tráfego de voz entre a MS e a estação criada. Conforme (VOIP-INFO, 2011a), o Wireshark permite a reprodução do conteúdo tanto em tempo real quanto após a gravação dos arquivos (entrando em Statistics > VoIP calls).

71 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 53 Finalmente, cabe apenas reforçar que tal configuração limita-se exclusivamente à captura de chamadas originadas pelo usuário. Enquanto sob o domínio da rede falsa, as eventuais chamadas destinadas ao assinante serão encaminhadas para a caixa postal. b) Chamadas originadas e destinadas ao usuário: Neste ponto apresenta-se a impersonalização em seu sentido completo, onde o suposto agressor apresenta-se em lugar do assinante capturado em sua rede (IMSI spoofing), iniciando uma verdadeira intermediação de dados entre a operadora e a MS sob seu controle. Tal intermediação se faz necessária para contornar a autenticação em um primeiro momento, e logo após, tentar realizar a quebra da chave secreta Ki. Ao receber o RAND da operadora, o agressor pode encaminhar o desafio aleatório à MS, que por sua vez irá calcular o SRES com base no Ki conforme Figura Sem se preocupar a princípio em quebrar o Ki, o agressor contorna a autenticação ao retransmitir para a rede o conteúdo gerado pela MS (replay attack, segundo ERIKSSON). Para obter a chave de segurança Ki, OLAWSKI propõe o bombardeamento de solicitações de autenticação através da emissão de diversos challenges e o monitoramento dos respectivos responses, fazendo uso da mesma teoria apresentada pela ferramenta SIM Easy V8.20, porém desta vez através da interface Um. Por não ser algo corriqueiro, tal método pode levar ao descarregamento precoce da bateria da MS (ERIKSSON, 2005). Como alternativa, o agressor pode negociar com a rede a utilização de um algoritmo mais fraco através dos security capabilities anteriormente descritos. Apesar de ser a escolha mais fácil, o A5/0 provavelmente não seria aceito pelas operadoras (BURGESS; SAMRA, 2008; PAGET, 2010b), o que leva o A5/2 a se tornar a melhor opção. Neste caso, portanto, ainda seria necessário realizar a criptoanálise dos dados até efetivamente conseguir derivar o valor de chave secreta do usuário. Como toda a criptografia do meio reside sobre o segredo do Ki, a quebra deste sigilo constitui a última fronteira para a escuta irrestrita (eavesdrop) de chamadas telefônicas e/ou mensagens de SMS terminadas ou originadas pelo assinante. Reconstrução de pacotes GPRS Recorda-se que a transmissão de pacotes GPRS pode se dar não apenas entre diferentes timeslots, mas também entre diferentes BTSs em casos de handover. Desta forma, eventuais interceptações de transmissões de pacotes que já tenham sido iniciadas em suas redes originais constituem portanto um modo de falha especialmente ligado ao GPRS, prejudicando a devida reconstrução dos pacotes na SGSN. Porta dos fundos Tecnologias modernas de telefonia celular que ainda guardem sua compatibilidade com o padrão GSM (visando tirar proveito de sua ampla e consolidada área de cobertura) também estão expostas. Apesar das melhorias de segurança introduzidas nos padrões mais recentes, tal compatibilidade torna-se uma espécie de porta dos fundos sempre que habilitada nos MS (lembrando que os aparelhos celulares tipicamente apresentam esta

72 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 54 configuração disponível caso o usuário deseje desabilitar). De certa forma, todos os ataques anteriormente descritos podem ser classificados como MITM, apresentando apenas diferentes graus de complexidade segundo suas finalidades. Neste contexto, nota-se que mesmo ataques menos complexos (sem envolver a criptoanálise do meio, por exemplo) podem ganhar proporções expressivas. 3.4 CONSIDERAÇÕES FINAIS A atribuição de faixas de frequência no Brasil (ANATEL, 2006a) encontra-se sob responsabilidade da ANATEL (Agência Nacional de Telecomunicações), muito embora a regulação e comunização do espectro de RF seja objeto de preocupação internacional (COIMBRA, 2006). Segundo TUDE, o uso da radiofrequência pode estar atrelado à emissão de uma autorização para prestação de serviços, autorização temporária, licenciamento da estação e à certificação dos equipamentos. Neste cenário, verifica-se ainda a existência de faixas específicas do espectro reservadas para a prática de atividades que configurem uso próprio, sem apelo comercial nem prestação de serviços (ANATEL, 2013d; TUDE, 2004). Ao empregar aparelhos denominados de radiação restrita (limites caracterizados segundo ANATEL), observa-se concordância do órgão regulador com relação à dispensa das autorizações para uso de tais faixas e o respectivo licenciamento da estação (como um dos diversos exemplos existentes, vide o caso de telefones sem fio residenciais). Por outro lado, caso seja preciso invadir as faixas de frequência reservadas do espectro (como diante de grandes eventos, demonstrações, etc), pode-se ainda lançar mão de requisições de uso temporário de determinadas bandas. Segundo ANATEL, o uso temporário de radiofrequência pode ser concedido para qualquer faixa do espectro de RF visando a condução de serviços especiais de fins científicos ou experimentais. Tendo estes fatores em vista, encerra-se o presente capítulo descrevendo as principais considerações realizadas visando evitar interferências com os sistemas comerciais, bem como a disponibilidade de serviços e a preservação dos dados de usuários móveis. Para todos os efeitos, buscou-se atribuir o máximo esforço na interpretação e cumprimento das cláusulas aplicáveis. Se por um lado estas preocupações impõe um atraso na condução dos experimentos, por outro lado asseguram a continuidade destas linhas investigativas de maior importância.

73 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade Espectro de Radiofrequência Conforme visto anteriormente, a combinação de ambas as placas periféricas Flex900 possibilita o trabalho com redes GSM na faixa dos 900MHz, segundo apresentado na Tabela 2.1. Tal configuração mostra-se a mais apropriada para lidar com os aspectos legais identificados durante a etapa preparatória do trabalho: Visando transmitir dentro dos limites estabelecidos para as faixas ISM, verifica-se uma pequena sobreposição do espectro de frequências GSM e o segmento de espectro ISM entre 902 MHz e 928 MHz. O ARFCN 975 permite ajustar o sistema para transmitir (downlink) em 925.2MHz, frequência esta contida na faixa ISM e também reconhecida pelas MSs GSM capazes de operar na faixa de 900MHz. Não conseguimos transmitir na faixa ISM ao selecionar os ARFCNs de 1 a 124 (Primary GSM), logo precisamos recorrer ao canal mais baixo da porção extendida do E-GSM para cair dentro da faixa ISM de downlink Clock Conforme antecipado, a USRP1 originalmente emprega um clock interno de 64MHz com baixa precisão, ao passo que o sistema GSM precisa trabalhar com frequências clock múltiplas de 13MHz com alta precisão. Apesar de ciente das grandes dificuldades impostas para o estabelecimento da rede, decidiu-se em um primeiro momento manter o clock original da USRP1 visando perder ainda mais a sinergia com as redes comerciais. Em condições normais de atenuação do sinal das operadoras coexistentes, a rede criada no presente experimento sequer pode ser vista pelas MSs já sincronizadas. - Observação: Caso os testes de vulnerabilidade estivessem sendo realizados em ambiente aberto, encontrar-se-ia na técnica de jamming (PAGET, 2010b) uma das formas de acelerar a migração de MSs para a rede. Por motivos já citados anteriormente, está técnica não será sequer cogitada durante a execução dos experimentos Identificadores da Rede Por medida de segurança, sempre que inicializada a rede terá como padrão: MCC = 001 (Identificador universal para testes); MNC = 01 (Operando em modo de teste); Qualquer teste diferente disso precisará levar em conta os cuidados descritos no item seguinte Câmara Anecóica - UFABC A condução responsável de testes que explorem a vulnerabilidade de sistemas de telefonia móvel deve levar em conta a existência de um ambiente controlado e completamente

74 Capítulo 3. Arquitetura dos Sistemas GSM/GPRS sob a ótica da atualidade 56 isolado do meio externo. Assegura-se desta forma a criação de um espectro independente capaz de confinar os efeitos de todo e qualquer experimento ali realizado. Para tal, conforme Figura 3.5, utilizou-se uma câmara anecóica ETS-Lindgren modelo H26 para medidas de radiopropagação na faixa de 30MHz à 18GHz, com atenuação in-out de 110dB, operando em modo semi-anecóico. Figura 3.5: Testes com USRP1 na câmara anecóica da UFABC

75 Capítulo 4 Análise Técnica por meio de Recursos de Hardware e Software 4.1 FASE DE INTEGRAÇÃO Constituindo o primeiro passo da etapa experimental, a integração dos elementos de rede foi iniciada tendo por objetivo o uso do OpenBTS P2.8 como elemento central, considerando para tal as recomendações e suporte dos desenvolvedores e entusiastas (esforços incondicionalmente voltados às últimas liberações), correções de eventuais problemas no software e sinergia com as atualizações dos sistemas operacionais, dependências e bibliotecas. Conforme apresentado no Apêndice A, esta decisão impôs limitações na escolha da versão do elemento de integração com o hardware do experimento. Primeiramente, notase que as versões mais recentes do GNU Radio acompanharam a tendência apresentada pelo próprio fabricante das USRPs ao substituir a interface libusrp1 pelo driver universal UHD. Por outro lado, a interface do OpenBTS P2.8 com a USRP1 somente se dá através da antiga interface libusrp1. Por este motivo, dentre as opções mencionadas no Apêndice A, optou-se a princípio pela versão do GNU Radio. Prosseguindo com as instalações e configurações, verificou-se que o OpenBTS P2.8 é incapaz de comunicar com a USRP1 sem que o clock original de 64MHz seja substituído. Estruturalmente, observou-se que os códigos desta nova versão deixaram de compilar e construir o diretório Transceiver, tal como se dava em versões anteriores. Em uma referência direta ao clock de 52MHz abordado anteriormente, nota-se o surgimento de um substituto intitulado Transceiver52M. Como última alternativa, tentou-se copiar a antiga estrutura disponibilizada em versões descontinuadas do software, alterando-se os arquivos configure e make do OpenBTS P2.8 de forma a construir e associar durante a compilação toda a porção responsável pelo ajuste da taxa de símbolos. Conforme se observa na Figura 4.1, os esforços valeram apenas no sentido de ganhar mais intimidade com os arquivos que constroem o OpenBTS. 57

76 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 58 Em momento algum a rede chegou a se estabelecer. Figura 4.1: Registro de falhas, OpenBTS P2.8 Devido às questões relacionadas ao clock de rede levantadas ao longo do presente trabalho, inviabilizou-se a utilização da versão P2.8 do OpenBTS. Como consequência, exauriram-se também as expectativas com relação à verificação da variante GPRS baseada no P2.8 (Apêndice D). Deixando a troca de pacotes GPRS como algo a ser perseguido em trabalhos futuros, voltou-se o foco especificamente para a implementação da rede GSM. Avaliando porém outra variante do OpenBTS denominada OSMO (Apêndice D), observou-se que a mesma também demonstrou não suportar o clock de 64MHz. As subsequentes tentativas de configuração resultaram em problemas que sequer viabilizavam o início das tentativas de transmissão, tal como observado na Figura 4.1. Seguindo o leque de possibilidades, partiu-se para a análise do OpenBTS Mamou e sua respectiva variante mantida no repositório de versões descontinuadas do OpenBTS (Apêndice D). Apesar de conter a estrutura desejada e teoricamente suportar a construção da interface junto à USRP1 com clock original, incompatibilidades não contornadas no momento da construção impediram o estabelecimento da rede. O erro obtido (segmentation fault - core dumped) parece estar associado a algum tipo de incompatibilidade com a versão das dependências instaladas, mudança imprevista nas bibliotecas ou até mesmo o cruzamento destas com a versão atual do sistema operacional. Infelizmente, dado a ausência de suporte para versões descontinuadas, nenhuma referência foi encontrada para auxiliar no contorno de tal entrave.

77 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 59 Recorrendo a liberações de software ainda anteriores, o mesmo problema foi observado ao empregar versões do OpenBTS 2.5.x-Lacassine. Testes realizados em todas as variantes localizadas (2.5.1, e 2.5.4) resultaram no mesmo erro (segmentation fault - core dumped), fortalecendo a hipótese de incompatibilidade. Figura 4.2: Tentativas e incompatibilidades observadas durante etapa de integração Desistindo de retroceder ainda mais, optou-se por avaliar a variante já descontinuada do OpenBTS denominada OpenBTS-UHD. Baseada na antiga versão 2.6, esta versão não havia sido priorizada justamente por conter apenas o diretório Transceiver52M (efetivamente, o Transceiver deixou de ser disponibilizado na versão 2.6). Como primeiro passo, visando a adequação da interface com o hardware, migrou-se a versão do GNU Radio para a revisão seguido da instalação do software UHD, tal como descrito nos Apêndices A e B. Conforme visto no capítulo 3, o UHD constitui o hardware driver criado para interagir com todas as USRPs, suportando inclusive a USRP1 em sua configuração original ou com o clock modificado. Voltando as atenções para as diferenças e semelhanças com relação à versão P2.8, iniciaram-se os testes com o OpenBTS-UHD explorando principalmente as configurações disponibilizadas apenas na versão descontinuada do software. A nova série de tentativas culminou finalmente na resolução da incompatibilidade com a taxa de símbolos imposta pelo clock original da USRP1 (Apêndice D). Um último entrave ainda precisou ser removido antes que a rede fosse efetivamente estabelecida. A Figura 4.3 mostra o relatório de falhas devolvido pelo sistema ao tentar iniciar a rede.

78 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 60 Figura 4.3: Registro de falhas, OpenBTS-UHD Tal problema se deve a um fato inesperado: Ao contrário do que o próprio nome sugere, o OpenBTS-UHD não suporta a interface com a USRP1 através do driver UHD, sendo necessário iniciar um novo processo de compilação desta vez considerando o libusrp1 presente nas liberações anteriores do GNU Radio. Regredindo novamente ao GNU Radio 3.3.0, pôde-se pela primeira vez estabelecer uma rede funcional que combinasse o clock de 64MHz com o OpenBTS-UHD. De fato as limitações do clock impuseram considerável atraso na realização dos experimentos práticos, invadindo os prazos inicialmente estabelecidos a ponto de se aproximar do limite máximo estabelecido para o programa de Mestrado. Com algumas concessões, felizmente ainda foi possível restabelecer muitas das análises propostas no capítulo anterior. 4.2 FASE DE VERIFICAÇÃO Uma vez contornadas as dificuldades encontradas durante a etapa de integração, iniciou-se a fase de verificação das vulnerabilidades previamente descritas no capítulo terceiro. Ao longo do experimento, foram utilizados celulares das seguintes marcas e modelos: Apple iphone 4S modelo A GB; Motorola A853 Milestone; Nokia E63; Nokia 3310; Samsung Galaxy SIII.

79 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 61 Cabe ressaltar que o presente trabalho não possui qualquer intenção de caracterizar o comportamento de um aparelho frente ao outro. Os aparelhos serviram apenas de instrumento para constatação das vulnerabilidades, e por este motivo, não serão desenvolvidos comentários a este respeito IMSI Catcher Para as verificações iniciais, ajustou-se o parâmetro GSM.MCC de forma a obter um MCC igual a 001, sendo este um identificador universal para testes. Da mesma forma, o parâmetro de rede GSM.MNC foi ajustado em 01, complementando a indicação de operação em modo de teste. Finalmente, o parâmetro GSM.ShortName foi utilizado para identificar o nome da rede como sendo OpenBTS. Primeiramente, digna-se mencionar que a rede realmente não pôde ser vista pelas MSs já sincronizadas às redes de outras operadoras. Mesmo ao executar uma busca manual pelas redes disponíveis, as MSs sequer listavam a rede de testes como uma opção. Confirma-se com isso o estreitamento de varredura previamente apresentado durante as considerações iniciais sobre o clock de rede. O experimento do IMSI Catcher valeu-se inicialmente de um celular Nokia 3310 equipado com o SIM card de IMSI , sendo este conhecido após processo de escrita executado com o auxílio da ferramenta pysim (Apêndice C). Observa-se que o MCC e MNC presentes no IMSI conferem com os indicadores da rede, estabelecendo desta forma um critério de busca preferencial pela rede de testes. Na prática, observou-se o início do processo de conexão tão logo a MS foi ligada, seguindo com a obtenção do IMSI em cleartext conforme indicado na extremidade inferior da Figura 4.4. Verifica-se que o IMSI reportado confere com o IMSI gravado no SIM card, validando desta forma uma das hipóteses centrais levantadas no capítulo primeiro. Figura 4.4: Obtenção do IMSI em cleartext Sem se preocupar a princípio com a devida autenticação do usuário (afinal, não se trata da operadora), a estação prontamente aceita o assinante. Conforme indicado na Figura 4.5, cria-se um TMSI para ser associado ao IMSI capturado, tal como o comportamento de uma rede comercial.

80 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 62 Figura 4.5: Atribuição de TMSI ao IMSI capturado Incapaz de validar a rede, a MS simplesmente obedece aos comandos da nova BTS. Uma vez finalizado o processo, configurou-se a MS para mostrar em seu display os identificadores da rede à qual estava conectada. A Figura 4.6 indica que o processo se deu sem maiores problemas, validando a segunda hipótese central identificada no início do trabalho: Sem dispor de quaisquer artifícios para validar a rede, a MS simplesmente migra para novas BTSs tendo no máximo a capacidade de discernir entre os diferentes identificadores disponíveis. Em outras palavras, sob o ponto de vista das MSs, parte-se do pressuposto de que todas as redes são autênticas. Figura 4.6: Leitura dos identificadores de rede através da MS Torna-se interessante mencionar que, depois de estabelecido o sincronismo com a rede de testes, tal MS apresentada na Figura 4.6 (composta pelo ME Nokia 3310) não reportou a disponibilidade de outras operadoras após a realização de uma busca manual pelas redes disponíveis. No mesmo local, as demais MSs experimentavam o efeito inverso, atribuindo-se tal comportamento ao clock anteriormente discutido. De fato, sem o recurso do pysim que possibilitou o estabelecimento de uma conexão preferencial com a rede , as chances de visualização da rede com clock original da USRP1 seriam drasticamente reduzidas. Abstraindo das amarras propositalmente mantidas no experimento, observa-se que o IMSI spoofing pode ser iniciado tão logo se tenha obtido o IMSI de um usuário. Ignorando a princípio a quebra do Ki, bastaria utilizar novamente a ferramenta pysim para criar outro SIM card com o mesmo IMSI. Visando evitar a configuração de clonagem indevida de IMSIs, não foram avaliadas as consequências da apresentação simultânea de IMSIs com

81 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 63 diferentes respostas (SRES) ao desafio aleatório. Embora trivial, tal investigação deve apenas ser conduzida em trabalhos futuros caso haja o consentimento de alguma operadora, com a certeza do devido respaldo legal para a execução do experimento. Como consequência da preocupação exposta no parágrafo anterior, não foram feitas quaisquer investigações no sentido de protelar o processo de autenticação nem tampouco submeter a MS ao processo de impersonalização frente à operadora. Especialmente com relação a este último, a presença de criptoanálise certamente demandaria considerável esforço adicional em uma linha investigativa à parte. Considerando a grande atenuação sofrida pelo sinal das operadoras ao adentrar o subsolo da UFABC (onde localiza-se o laboratório de testes, bem como as câmaras anecóicas), verificou-se a possibilidade de handover de MSs para a rede de testes criada, na medida em que a mesma ganha relevância em relação ao sinal das redes externas. Interessante observar que, mesmo tratando-se de uma rede de testes (MCC 001, MNC 01 e nomeada OpenBTS) mantida por um clock de baixa precisão e transmitindo na faixa ISM, foram constatados casos inesperados de handover de MSs equipadas com SIM cards comerciais, talvez estando na iminência da perda do sinal ou diante da completa ausência de serviços impostas pelo ambiente confinado do subsolo. A Figura 4.7 mostra a tela de um iphone conectado à rede no momento em que a câmara anecóica encontrava-se aberta. Ao mesmo tempo, a Figura 4.7 também antecipa a confirmação da teoria da porta dos fundos apresentada no capítulo III: Mesmo tecnologias mais modernas de telefonia celular ainda podem guardar sua compatibilidade com o padrão GSM, carregando como consequência uma vulnerabilidade eminente que só é eliminada após ação do usuário. Ameniza-se o fato ao considerar que tal handover tenha ocorrido mediante uma condição extrema observada no subsolo da UFABC. Em contrapartida, baliza-se a possibilidade de implantação de técnicas adicionais de ataque como o spoofing de rede ou jamming das faixas de frequência, as quais haviam não sido empregadas naquele momento.

82 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 64 Figura 4.7: Handover inesperado do iphone Por sua vez, a Figura 4.8 mostra a configuração típica encontrada em aparelhos celulares 3G, visando tirar proveito da ampla e consolidada área de cobertura GSM. Retrata-se da mesma forma a possibilidade de desativação destas conexões alternativas, o que poderia configurar uma solução para assinantes que priorizem a segurança frente à disponibilidade de serviços (lembrando que a última depende muito da região visitada). Figura 4.8: Configurações do Galaxy SIII referentes à conexão GSM

83 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 65 Seguindo com a análise das vulnerabilidades, confinou-se em definitivo o experimento para a condução de métodos de ataque mais agressivos. Com 110dB de atenuação, verificou-se primeiramente o eficaz bloqueio de todo e qualquer sinal produzido dentro da câmara anecóica. Uma vez certificado este importante ponto, deu-se início ao spoofing de redes conforme apresentado no capítulo anterior. Com a alteração dos parâmetros de rede, observou-se a possibilidade de plagiar os identificadores típicos das redes convencionais, mascarando definitivamente a rede às MSs. Além de acelerar o handover de MSs associadas à tal operadora, o spoofing de rede impossibilita a distinção entre redes. Observa-se na Figura 4.9 a imagem da tela de um celular Galaxy SIII no momento onde se fazia o spoofing de rede de uma operadora em ambiente controlado. Dado a atenuação imposta pela câmara, nenhuma outra rede pôde ser localizada pelas MSs presentes no experimento. Por este motivo, seja com SIM cards de uma operadora ou de outra, todos os aparelhos conectaram à rede em questão sem maiores delongas. Em condições normais, espera-se que as MSs busquem conexão tipicamente com suas redes preferenciais. Sob o ponto de vista das MSs, especialmente em relação àquelas conectadas à sua rede preferencial, nenhum fenômeno anormal está ocorrendo. Para todos os efeitos, o que se observa é uma rede de sua operadora sendo apresentada com boa intensidade por uma BTS GSM. Jamais se desconfia que a MS esteja na verdade sendo vítima de um spoofing. Caso alguém tente ligar para um usuário nestas condições, constatou-se que a chamada será direcionada para a caixa postal. De fato, aos olhos da operadora, a MS encontra-se desligada ou fora da área de serviço. De igual maneira, eventuais tentativas de iniciar uma chamada também fracassarão, salvo se algum esforço adicional for realizado no sentido de impersonalizar uma triangulação. Descrevem-se desta forma as condições para o ataque DoS introduzido no capítulo anterior. Apesar de não correlacionar o IMSI ao usuário propriamente dito nem tampouco dizer a localização precisa do mesmo, confirma-se a capacidade de delimitar e monitorar a presença de assinantes dentro da área de cobertura estabelecida. Dado o confinamento do experimento, não se realizou a tentativa de correlacionar determinado usuário a seu IMSI através de um scanner móvel. Em teoria, criam-se as condições para que, ao seguir o deslocamento de uma MS específica, verifique-se a entrada de novos IMSIs e a saída dos antigos, restando apenas o IMSI alvo.

84 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 66 Figura 4.9: Spoofing de rede em ambiente controlado (câmara anecóica) Dados os atrasos impostos pela questão do clock, não foi possível preparar os ataques de impersonalização para chamadas originadas pelo usuário. Ao contrário da impersonalização completa envolvendo a quebra do Ki, tal método estava previsto no escopo prático como forma de comprovar a última hipótese central faltante: a possibilidade de negociar o A5/0 e consequentemente eliminar o entrave da criptografia entre MS e BTS. A constatação de uma chamada telefônica seguida de sua reprodução constituiria prova irrefutável, mesmo diante das evidências apresentadas no capítulo anterior que apontam a necessidade de passos adicionais para habilitar qualquer tipo de criptografia através do OpenBTS. De forma menos expressiva, demonstra-se a capacidade do sistema em concretizar a troca inteligível de dados através do envio de SMSs, partindo do OpenBTS para cada MS, de forma individual e personalizada (uma mensagem diferente endereçada para cada IMSI). A Figura 4.10 indica o comando utilizado no OpenBTS, bem como o texto selecionado e o IMSI de destino. Figura 4.10: Envio de SMS através do OpenBTS-UHD Nas MSs, observou-se o pronto recebimento da mensagem e seu conteúdo original, conforme mostra a Figura 4.11.

85 Capítulo 4. Análise Técnica por meio de Recursos de Hardware e Software 67 Figura 4.11: Recebimento do SMS transmitido Do capitulo 2, sabe-se que que os dados na interface Um (transmitidos tanto em TCH quanto em DCCH, como no caso dos SMSs) sofrem o processo de encriptação após a autenticação da MS na rede. Para cada frame enviado na interface Um, uma diferente combinação de Kc e FN constitui o chamado keystream utilizado para encriptar/decriptar os dados. Sabe-se também que a obtenção da chave Kc se dá de forma indireta na MS ao combinar o conteúdo do RAND com o Ki armazenado no SIM card. Do outro lado da interface Um, a BTS recebe Kc do MSC, que por sua vez obteve a informação através dos triples do HLR. Tomando em consideração que o presente trabalho não lançou mão da quebra do Ki em momento algum (reconhecidamente um processo trabalhoso), verifica-se a impossibilidade de reconstituição de dados na outra extremidade (diga-se, de forma inteligível e precisa) a menos que o algoritmo criptográfico negociado durante o Ciphering Mode Settings tenha sido o efetivamente A5/0.