GSM include una certa protezione tramite crittografia. Il telefono cellulare e il provider (ovvero la stazione base che fa parte della rete del provider) si autenticano a vicenda relativamente a un segreto condiviso, che è noto al provider e memorizzato nella scheda SIM dell'utente. Alcuni algoritmi noti con i nomi in codice "A3" e "A8" sono coinvolti nell'autenticazione. Quindi i dati (come inviati tramite il collegamento radio) vengono crittografati con un algoritmo chiamato "A5" e una chiave derivata da A3 / A8 e il segreto condiviso.

Esistono diversi algoritmi effettivi che si nascondono sotto il nome "A5". Quale algoritmo viene utilizzato dipende dal provider, che a sua volta è vincolato dalle normative locali e da cosa può concedere in licenza dal consorzio GSM. Inoltre, un utente malintenzionato attivo (con una falsa stazione base) può potenzialmente costringere un telefono cellulare a utilizzare un'altra variante, diversa da quella che avrebbe utilizzato altrimenti, e non ci sono molti telefoni che avviserebbero l'utente in merito (e anche meno utenti chi se ne frega).

• A5 / 0 significa "nessuna crittografia". I dati vengono inviati non crittografati. In alcuni paesi, questa è l'unica modalità consentita (penso che l'India sia un paese del genere).
• A5 / 1 è il vecchio algoritmo "forte", utilizzato in Europa e nel Nord America.
• A5 / 2 è il vecchio algoritmo "debole", inteso nominalmente per "quei paesi che sono buoni amici ma di cui non ci fidiamo completamente" (non lo è spiegato in questo modo nelle specifiche GSM, ma questa è l'idea).
• A5 / 3 è l'algoritmo più recente per GPRS / UMTS.

A5 / 3 è un codice a blocchi noto anche come KASUMI. Offre una sicurezza decente. Ha alcuni difetti che lo renderebbero "accademicamente rotto", ma nessuno realmente applicabile nella pratica.

A5 / 2 è effettivamente debole, come descritto in questo rapporto. L'attacco richiede una frazione di secondo, soggetto a un precalcolo che richiede meno di un'ora su PC e richiede pochi gigabyte di memoria (non molto). Ci sono dettagli tecnici, principalmente perché il protocollo GSM stesso è complesso, ma si può presumere che lo strato A5 / 2 sia fragile.

A5 / 1 è più forte, ma non molto forte. Utilizza una chiave a 64 bit, ma la struttura dell'algoritmo è più debole e consente un attacco con complessità sulle 2^42.7 operazioni elementari (vedi questo articolo che ho scritto 12 anni fa). Ci sono state diverse pubblicazioni che girano intorno a questa complessità, principalmente eseguendo precomputazioni e aspettando che lo stato interno dell'algoritmo raggiunga una struttura specifica; sebbene tali pubblicazioni pubblicizzino cifre di complessità leggermente inferiori (intorno a 2⁴⁰ ), hanno svantaggi che le rendono difficili da applicare, come la richiesta di migliaia di bit di testo in chiaro conosciuti. Con solo 64 bit di testo in chiaro conosciuti, la complessità grezza è 2^42.7 . Non ho provato a implementarlo per un decennio, quindi è concepibile che un PC moderno lo faccia funzionare più velocemente della workstation che stavo usando in quel momento; come stima approssimativa, un PC quad core con codice completamente ottimizzato dovrebbe essere in grado di decifrarlo in un'ora.

La dimensione dello stato interno di A5 / 1 e il modo in cui A5 / 1 viene applicato per crittografare i dati, lo rendono inoltre vulnerabile ai compromessi della memoria temporale, come le tabelle arcobaleno. Di nuovo, vedi l'articolo di Barkan-Biham-Keller. Ciò presuppone che l'aggressore abbia eseguito una volta un calcolo veramente massiccio e abbia memorizzato terabyte di dati; in seguito, la fase online dell'attacco può essere abbastanza veloce. Dettagli molto un po ', a seconda di quanto spazio di archiviazione hai, quanta potenza della CPU è disponibile per la fase online e quanto tempo sei pronto ad aspettare il risultato. La fase di calcolo iniziale è enorme ma tecnologicamente fattibile (mille PC dovrebbero essere sufficienti); c'era un progetto distribuito aperto per quello ma non so fino a che punto si siano spinti.

L ' intercettazione degli SMS è ancora uno scenario specifico. Non è una conversazione vocale completa; la quantità effettiva di dati scambiati è piccola e la connessione termina dopo un tempo piuttosto breve. Ciò potrebbe limitare l'applicabilità degli attacchi sopra esposti. Inoltre, l'attacco deve essere veloce: lo scopo dell'attacco è quello di afferrare la password segreta inviata come SMS, in modo che l'attaccante possa usarla prima del normale utente. L'attaccante deve essere veloce:

• Il server in genere applica un breve timeout a quella password, ad esempio alcuni minuti. La trasmissione di SMS dovrebbe essere questione di pochi secondi.
• L'utente non è paziente (gli utenti non lo sono mai). Se non riceve il suo SMS entro cinque minuti, probabilmente ne richiederà uno nuovo e un sistema di autenticazione a due fattori ben congegnato sul server invaliderebbe la precedente password monouso.

Le cose sono più facili per l'attaccante se ha già infranto il primo fattore di autenticazione (ecco perché usiamo l'autenticazione a due fattori: perché uno non è sufficiente). In tal caso, l'attaccante può avviare la richiesta di autenticazione mentre l'utente di destinazione ne è beatamente inconsapevole e quindi è improbabile che generi alcun allarme se non riesce a ricevere un SMS o, contemporaneamente, se riceve un SMS non desiderato fare l'attacco a tarda notte; l'utente attaccato troverà l'SMS ingiustificato solo al mattino, quando si sveglia, concedendo qualche ora all'aggressore per mettere in atto le sue malefatte).

Crittografia GSM è solo per il collegamento radio. In tutto quanto sopra, ci siamo concentrati su un utente malintenzionato che intercetta i dati inviati tra il telefono cellulare e la stazione base. L'apparecchiatura radio necessaria sembra essere disponibile pronta all'uso ed è facilmente concepibile che questo scenario sia applicabile nella pratica. Tuttavia, l'SMS non viaggia solo dalla stazione base al telefono cellulare. Il suo viaggio completo inizia presso le strutture del server, quindi passa attraverso Internet, quindi la rete del provider, fino a raggiungere la stazione base e solo a quel punto viene crittografato con qualsiasi variante A5 utilizzata.

Il modo in cui i dati vengono protetti all'interno della rete del provider e tra il provider e il server che desidera che venga inviato l'SMS non rientra nell'ambito della specifica GSM. Quindi va bene tutto. Ad ogni modo, se l'attaccante è il provider, perdi. Le forze dell'ordine, quando vogliono origliare le persone, in genere lo fanno chiedendo gentilmente ai fornitori, che invariabilmente rispettano. Questo è il motivo per cui i cartelli della droga, specialmente in Messico e Colombia, tendono a costruire le proprie reti cellulari.

La rete GSM è crittografata. Ma questo ovviamente non lo rende a prova di proiettile. Può essere compromesso. Tuttavia, gli attacchi descritti da Rook (e più avanti in modo molto più dettagliato Thomas Pornin) sono molto localizzati e richiedono uno sforzo significativo per essere eseguiti. Non sono impossibili, ma molto difficili. Richiede l'interruzione della rete GSM in prossimità del telefono cellulare contemporaneamente all'invio dell'SMS. C'è anche la possibilità che qualcuno dell'operatore di rete intercetti gli SMS. Se parliamo di scenari di sicurezza nazionale / spionaggio, in cui una persona specifica viene presa di mira e gli aggressori hanno mezzi molto sofisticati e molti soldi da spendere, allora è sicuramente possibile. Più o meno lo stesso vale per ottenere i valori iniziali dal tuo provider di token hardware.

Anche se questo attacco SMS ha successo, potrebbe anche richiedere l'ottenimento del nome utente e della password (supponendo che SMS non sia autenticazione, ma piuttosto un secondo componente). Esistono altre alternative, in cui l'utente avvia il messaggio SMS al server e il server può verificare che corrisponda al challenge / token richiesto. Il server può anche verificare l'ID chiamante del mittente. Ovviamente anche questo ha i suoi limiti, ma se fatto bene può fornire teoricamente un po 'più di protezione.

Se, come nella maggior parte dei casi, l'idea è di migliorare la sicurezza offrendo l'autenticazione a 2 fattori, aggiungere SMS nel mix lo migliora notevolmente rispetto al nome utente / password standard. Il fatto che utilizzi due canali di comunicazione separati (TCP / IP e GSM) lo rende già più sicuro. Come stima personale molto approssimativa, direi che i token SMS sono più o meno alla pari con i token basati su hardware, dal punto di vista della sicurezza. Ovviamente dio (o il diavolo) è nei dettagli.

Sebbene le discussioni sulla crittografia siano interessanti, penso che la domanda chiave sia: i vettori sono incentivati ​​a preoccuparsi della sicurezza? Temo che la risposta sia "no". Qual è il loro incentivo a spendere soldi per proteggere i loro sistemi SMS? Li gestiscono anche o è in outsourcing? Quali garanzie di sicurezza offrono? Quanto ti fidi delle persone che amministrano i server?

Inoltre, questo su questo: se hai 100 milioni di clienti e rendi leggermente più difficile reimpostare la password, le chiamate all'helpdesk andrebbero alle stelle. Questo è il motivo per cui può essere così facile assumere il controllo dell'account di qualcuno.

Inoltre, proprio come si vede con il framework dell'autorità di certificazione, l'infrastruttura SMS sarà un bersaglio per gli attacchi.

Di recente ho scritto un post sul blog sul riepilogo di questi punti con i link: http://www.wikidsystems.com/WiKIDBlog/fraudsters-defeat-poor-risk-management-not-two-factor -autenticazione. Dal punto di vista della gestione del rischio, l'autenticazione tramite SMS è migliore delle password, ma non contarci a lungo. Gli attacchi attuali prendono di mira le istituzioni finanziarie, ma man mano che il costo degli attacchi diminuisce, ce ne saranno di più.

Le altre risposte spiegano già la sicurezza del GSM e le tecnologie coinvolte contro gli attacchi tecnici.

Tuttavia, ci sono una serie di altri attacchi che aggirano le protezioni tecniche.

L'articolo di Wikipedia in tedesco sui numeri di autenticazione delle transazioni (spesso inviati tramite SMS) elenca alcuni attacchi:

• furto o accesso furtivo al telefono cellulare della vittima
• installazione di malware sul telefono cellulare, in particolare se si tratta di uno smartphone
• attacchi interni al provider di servizi mobili
• utilizzando l'ingegneria sociale per aggirare il sistema, ad esempio:
  • ottenere l'accesso ai messaggi
  • ottenere una nuova scheda SIM dal fornitore di servizi
  • trasferire il numero di telefono a un account diverso ( SIM swap scam)

Ad esempio, nel 2015 si è verificata una serie di trasferimenti di denaro fraudolenti in Germania, dove i truffatori hanno ottenuto una nuova carta SIM a nome del cliente. Attacchi simili erano già accaduti in precedenza, quindi i fornitori di telefonia mobile avevano migliorato l'autenticazione dei clienti che ordinano nuove schede SIM. Per aggirare questo problema, quando hanno chiamato il provider di telefonia, i truffatori hanno impersonato i dipendenti di un negozio di telefoni cellulari e hanno affermato di attivare le SIM per conto dei clienti (Fonte [tedesco]: Online-Banking: Neue Angriffe auf die mTAN).

Ovviamente tutte le protezioni tecniche sono inutili se l'attaccante riesce ad aggirarle.

Un sistema di sicurezza a più fattori è inutile se il servizio presenta vulnerabilità comuni come XSS, SQL Injection o protezione del livello di trasporto insufficiente. Questi difetti possono portare alla compromissione di un account o di informazioni indipendentemente dal sistema di autenticazione che utilizzi.

Detto questo, se sei fisicamente vicino alla vittima puoi eseguire attacchi molto sgradevoli. Ad esempio, se la tua vittima utilizza un gestore GSM, un aggressore può interrompere il GSM con una tabella arcobaleno e intercettare il messaggio SMS. Se controlli la rete della tua vittima, potresti utilizzare uno strumento come SSLStrip o SSLSniff per attaccare il portale di accesso HTTP.

"Ricordami" è male . Alcune implementazioni dell'autenticazione multi-fattore tramite SMS (come quella di Google) consentono di benedire un dispositivo per 30 giorni. Questo è solo un cookie persistente che funziona come token di autenticazione per 30 giorni. Se sei il proprietario della macchina della vittima, puoi ottenere questo cookie e utilizzarlo per l'autenticazione. Non c'è modo di implementare una funzione "Ricordami" in modo sicuro.

I token crittografici basati su hardware sono molto più difficili da compromettere. Questo è davvero il passo avanti rispetto agli SMS, in quanto questo è un segno che hai e dovrebbe essere difficile scendere a compromessi. Questo è vero per la maggior parte, a meno che, ovviamente, non utilizzi i token hardware di RSA.

Ultimamente, molte app per telefoni cellulari richiedono l'accesso ai messaggi SMS e gli utenti lo consentono perché sono interessati all'app. Ciò rende l'attacco meno difficile rispetto all'intercettazione degli SMS su reti mobili.

So che questo non risponde direttamente alla tua domanda, ma spero che risolva alcune preoccupazioni:

Se l'implementazione è eseguita correttamente, non sarei molto preoccupato per l'intercettazione degli SMS. Questo perché gli autenticatori SMS monouso offrono una grande opportunità per avvisi in tempo reale di potenziali attacchi. Se l'autenticatore viene intercettato, è molto probabile che te ne accorgerai immediatamente e sarai in grado di reagire rapidamente.

Se l'SMS viene intercettato durante una sessione di autenticazione che hai tentato per iniziare, dovrebbe accadere una delle due cose:

• Se ti autentichi prima con successo, il tentativo dell'aggressore dovrebbe fallire. Questo perché il sistema dovrebbe rifiutare i tentativi di riutilizzo dell'autenticatore. In questa situazione, l'attacco è completamente sventato.

• Se l'attaccante riesce ad autenticarsi per primo, il tuo tentativo di autenticazione dovrebbe fallire a causa del riutilizzo dell'autenticatore. Il sistema dovrebbe anche informarti che questo è il motivo del guasto. A questo punto, dovresti intraprendere tutte le azioni necessarie per proteggere nuovamente il tuo account. Essere in grado di farlo rapidamente limiterà il potenziale impatto dell'attacco.

Se l'attaccante tenta di avviare l'autenticazione mentre non lo sei, dovresti essere avvisato dal fatto che riceverai un SMS che non hai richiesto. Ci sono pochi mezzi pratici con cui qualcuno potrebbe intercettare di nascosto un SMS inviato al tuo telefono senza che anche tu lo riceva o che presto noti qualcos'altro che non va.

Tutto questo è comunque discutibile, se sei soggetto ad un attacco Man-in-the-Browser.

Inoltre, poiché la maggior parte delle implementazioni di autenticazione SMS utilizza l'autenticatore SMS come secondo fattore, sarei davvero più preoccupato di come il primo fattore di autenticazione è stato compromesso. Se non è stato fatto tramite il semplice social engineering, probabilmente è stato attraverso un browser o un exploit del sistema operativo che ha provocato un keylogger sul tuo sistema. Quindi, non siamo a pochi passi dalla situazione Man-in-the-Browser che si traduce effettivamente in una compromissione totale indipendentemente dal metodo di autenticazione.

Sembra che a tutti (anche Schneier?) manchi un pezzo cruciale:

Se il tuo telefono viene smarrito / rubato, stai già brindando , poiché la tua SIM it!

Mi sorprende che nessuno se ne sia accorto, per quanto ne so, ma gli SMS soffrono del fatto che non richiedono nemmeno che tu possa accedere ai dati su il tuo telefono.

Anche se la telecomunicazione era crittografata e anche se il tuo telefono è bloccato e crittografato, se hai abilitato l'autenticazione basata su chiamata o SMS e il tuo telefono viene rubato, sei completamente brindato fino al momento in cui riesci a trovare un modo per convincere il tuo provider a disattivare la tua SIM (e segnalare alle forze dell'ordine, ecc.) Un malintenzionato ha letteralmente bisogno di meno più di 1 minuto per rimuovere la scheda SIM e inserirla in un altro telefono per ricevere il messaggio di testo, quindi quando riuscirai a segnalare il problema, quasi sicuramente avrà avuto la possibilità di provarlo una dozzina di volte e poi spegnerlo il tuo telefono o semplicemente rimetterlo a posto in modo che non possa essere rintracciato.

La tua unica fortuna qui quando usi SMS 2FA è se l'aggressore non conosce il tuo nome utente , o che la tua SIM sia bloccata in modo sicuro contro l'uso in un altro telefono:

1. Se il tuo telefono era acceso quando è stato smarrito o rubato, è probabile che sia scritto da qualche parte nella schermata di accesso o apparirà come una notifica a un certo punto.

2. Se sei appena stato rapinato e sei riuscito a spegnere il telefono, probabilmente il tuo documento d'identità o la carta di credito è andato con il telefono, nel qual caso il tuo nome utente o indirizzo email probabilmente non è così difficile da indovinare o trovare su Google. Se il tuo telefono era acceso, anche (1) è ancora un rischio.

3. Se l'aggressore ti conosceva in qualche modo, allora sei quasi sicuramente brindisi.
   Ad esempio, lasci il telefono sulla scrivania mentre sei fuori a pranzo e qualcuno viene a scambiare la SIM, ricevere l'SMS e scambiarla di nuovo. Ci vorrebbero solo pochi minuti se nessuno sta guardando.

Quindi, mentre puoi preoccuparti che qualcuno cerchi di intercettare la tua comunicazione con un apparato simile a Stingray o infiltrandosi nelle strutture del tuo provider telefonico, la realtà è che un uomo di mezzo non è il rischio effettivo per la maggior parte delle persone. Il rischio reale si trova all ' endpoint , ovvero tu . Se perdi il telefono, la verifica tramite chiamata e SMS sarà completamente contro di te, indipendentemente dalla sicurezza delle tue password o della crittografia.