Způsob, jak naklonovat simkartu je už letitou záležitostí. Prvními, kdo útok publikoval, jsou Mark Briceno a Ian Goldberg z MIT. Samotný proces luštění funguje tak, že je simkarta vystavena sérii dotazů, na které odpovídá. Z odpovědí karty je potom útočník schopen zrekonstruovat tajný klíč, který se označuje jako Ki. Ten a ještě indentifikační číslo účastnické karty, IMSI (International Mobile Subscriber Identification) přitom postačí k vytvoření klonu, který je z pohledu mobilní sítě shodný s originálem.
S postupem doby došlo ke zdokonalení techniky rekonstrukce tajného klíče Ki z odpovědí dané simkarty. Zatímco u prvního publikovaného útoku byla uváděna potřebná doba na zjištění Ki osm až dvanáct hodin, můžeme dnes potřebný čas odhadnout u běžných karet používaných u nás na maximálně dvě hodiny. Není ale přitom žádnou velkou vzácností, když se povede naklonovat kartu i za dobu kratší než je půlhodninka. Potvrdily to i naše redakční testy.
Možností, jak rozlousknout simkartu, je několik
Samo luštění je založeno na hledání tzv. kolizí, což jsou dvě shodné odpovědi karty příslušející dvěma různým dotazům. Výskyt těchto kolizí je přitom způsoben chybou při návrhu funkce COMP128-1. Nově navržená verze této funkce, nazývaná COMP128-2 už takovým výskytem kolizí, jako její předchůdkyně údajně netrpí.
Vloni navíc přišla IBM s jiným typem útoku, tzv. štěpným nebo částicovým. Firma uvádí, že ze simkaret fáze 1 je tato metoda schopna vyluštit klíč během sedmi minut. Karty GSM fáze 1 sice naši operátoři nepoužívají, ale jak se ukazuje, nejnovější diferenční útok, který funguje i s kartami fáze 2 a 2+, které se u nás používají, může být v některých případech i rychlejší.
Možnosti vytáhnout klíč z karty samozřejmě začali využívat podnikavci, kteří pomocí klonovací metody vytáhnou klíče z několika simkaret a všechy je nahrají do jediné čipové karty, která pak může svému majiteli posloužit jako multikarta pro několik sítí GSM. Ten totiž získá jejím používáním hned několik výhod: má možnost zvolit vždy toho operátora, jehož prostřednictvím uskteční daný hovor nejvýhodněji a nemusí kvůli tomu vyměňovat karty v telefonu a nosit je po kapsách, případně používat často poruchový a nepohodlný adaptér na více karet nebo speciálně upravenou baterii, která provoz s více kartami umožňuje, což zárovň může představovat problém při používání některého přísušenství telefonu. Ten vložením adaptéru mezi telefon a baterii o něco ztloustne, takže jej např. nevložíte do handsfree sady v autě.
Operátoři ignorují nebezpečí
První prohlášení MoU katastrofický scénář velkých podvodů s telefonováním v GSM vylučovla. Své stanovisko zdůvodňovala nutností znalosti PINu a nutností kartu podrobovat dotazům po dobu osmi až dvanácti hodin. Jestliže si ale někdo přeje získat multikartu, má dobrý důvod k tomu, aby ji na nějakou dobu zapůjčil k okopírování, samozřejmě včetně PINu. Pro získání multikarty je přitom nutný výpočet Ki a přečtení IMSI, což, jak už víme, je to, co může posloužit k telefonování na telefonní účet příslušný originálu.
Hlavní nebezpečí klonování tedy tkví v tom, že u lidí, kteří se klonováním zabývají, může vznikat databáze dvojic klíčů a k nim příslušejícím identifikačním číslům karet, která může být kdykoli zneužita. Podle vyjádření bezpečnostního ředitele Václava Kadeřábka z Eurotelu z jara roku 2000, mu tento stav vrásky na čele příliš nedělal. Tehdejší nabídku na efektivní zabezpečení totiž ignoroval.
Omezené a mrtvé karty
Prvním operátorem u nás, který reagoval na nebezpečí naklonování, byl T-Mobile. Ten asi za půl roku po zveřejnění útoku začal prodávat karty s omezením, které spočívá v tom, že karta je schopna zodpovědět jen asi poloviční počet dotazů, které tehdy byly nutné k naklonování. Každá mince má ale dvě strany. Jestliže omezíte počet autentizačních dotazů, které karta zodpoví, dojde i k časovému omezení její životnosti, protože podobnými dotazy, které jsou nutné k naklonování, kontroluje i GSM síť její identitu při tzv. autentizaci. Karta tedy po nějaké době přestane sama fungovat a umrtví se.
T-Mobile měl tehdy zákazníkům takové mrtvé karty zdarma vyměňovat, ale dokud na tuto skutečnst nebyl opakovaně důrazně upozorněn novináři, účtoval si za výměnu čtyři stovky s tím, že kartu poškodil zákazník. Ke stejnému způsobu ochrany se později uchýlil i Eurotel, ovšem až v průběhu roku 2001.
Útok se zdokonaluje
Jak už z předchozího textu víte, došlo k výraznému zkrácení doby potřebné k naklonování karty, z osmi na průměrně slabou půlhodinku. Umožnilo to jednak přetaktování kopírované karty, takže je z ní možno získat více autentizačních odpovědí za jednotku času, jednak zvýšení efektivity samotného útoku. Zatímco první útok zjišťoval vždy pouze dva bajty klíče současně, k čemuž používal k téměř všem výpočtům pouze kopírovanou simkartu, zlepšené útoky z minulého a předminulého roku přesouvají část výpočtů ze SIMky na procesor počítače, na němž luštení probíhá, čímž šetří dotazy pro kartu a jsou schopny luštit současně celou čtveřici či osmici bajtů klíče.
Nejdelší dobu totiž obvykle při luštění zabere právě nalezení kolize, Simkarta je přeci jen mnohokrát pomalejší než procesor počítače. A zatímco u prvního útoku bylo těchto kolizí pomocí SIMky potřeba najít osm, dnes je třeba nalézt jen jedinou. Tímto šetrným způsobem lze klonovat i omezené karty a neumrtvit je.
Jak vypadá obrana?
U nás jen Český mobil (síť Oskar) nikdy žádné omezení na kartách nepoužil. Podle managera společnosti Český mobil pro SIM karty Rudolfa Krejcara, Oskar v průběhu roku 2002 prostě vyměnil autentizační algoritmus COMP128-1 za COMP 128-2, takže jeho karty prodávané od jara loňského roku prozatím není možné naklonovat. Ke stejnému kroku se s více než ročním zpožděním uchýlil i Eurotel. Zavedení nového algoritmu je spolehlivou cestou k zamezení klonování, na druhé straně je podmíněno i změnami v autentizačním centru sítě, což však přináší nutnost nemalé investice.
Jak je ale vidět ze snah Eurotelu a T-Mobilu, byly zřejmé i snahy zabezpečit původní COMP128-1 omezením životnosti karet. Takové zabezpečení nevyžaduje změnu v síti. Problematické může být načasování. Jen pro zajímavost: Eurotel začal s omezováním karet v roce 2001, tedy v době, kdy už to bylo vlastně zbytečné, poněvadž zlepšený útok již existoval. A ve stejné době tvrdili i zástupci T-Mobilu, že díky omezení jejich SIM karty naklonovat nelze. Tak se naši přední operátoři starají o bezpečí svých klientů.
Obrana však může vypadat i jinak: Jednak lze vhodným výběrem klíčů oddálit nebo dokonce zabránit při výpočtu nalezení kolize (strong key), což může vést v procesu jejího zjišťování na simkartě k vyčerpání mnoha dotazů, a zároveň může v případě omezené karty vést k jejímu zablokování, a jednak série dotazů do karty pro vyluštění klíče má svá přesná pravidla, která je možné k obraně karty využít. Tato pravidla je totiž možné vložit do karty v podobě programu a ta na jejich základě může útok sama rozpoznat (je to přeci jen počítač) a vyvodit z toho důsledek a třeba se umrtvit, stejně jako v případě omezení. Toto řešení neomezuje životnost běžným způsobem používaných karet ani nevyžaduje změnu algoritmu v autentizačním centru sítě a zároveň účinně brání naklonování.
V příštím díle přineseme srovnání SIM karet našich operátorů z pohledu zabezpečení proti naklonování.
