texto:   A-   A+
eliax

Rompen cifrado GSM de 3,500 Millones de celulares en todo el mundo
eliax id: 7344 josé elías en dic 29, 2009 a las 10:15 AM (10:15 horas)
Esta noticia de hoy es bastante preocupante para toda persona cuyo celular utilice las redes GSM (es decir, prácticamente el 100% de todo celular que contenga un chip "SIM" reemplazable), lo que significa mas de 3,500 millones de celulares en todo el mundo.

Un alemán de nombre Karsten Nohl y experto en cifrados acaba de romper (a fuerza bruta) el algoritmo que protege todas nuestras comunicaciones celulares en redes GSM. Lo mas preocupante del caso, y algo que yo desconocía, es que el algoritmo de cifrado que nos protege de que cualquier persona escuche nuestras conversaciones es un dinosaurio de apenas 64 bits llamado el Algoritmo A5/1, creado en 1988.

Mas preocupante aun es que desde el 1997 ya existe el sucesor a ese algoritmo, llamado el A5/3 de 128 bits, pero según la Asociación GSM (encargada de estos estándares), las empresas de telefonía celular "han puesto poco interés en esta nueva versión" y la mayoría no la ha implementado, lo que les debe dar indicación a todos de cuántos aman estas empresas a sus clientes y se preocupan por su privacidad...

¿La solución a corto plazo? Pues según dicha Asociación GSM no tenemos que preocuparnos mucho, ya que existe un "Plan B" que permite que las empresas de telefonía cambien las claves de 64 bits encontradas, pero por otras de 64 bits.

Sin embargo, esa obviamente no es una solución, ya que el mismo método utilizado para encontrar la primera clave se puede utilizar perfectamente igual para averiguar la segunda clave. Lo que se necesita es que la industria se mueva de manera urgente al nuevo estándar de 128 bits lo antes posible, pues el código que demuestra el ataque ya está liberado y disponible para cualquier ciber-criminal en Internet, y es solo cuestión de tiempo (yo diría que de literalmente unos pocos días) para que sea trivial que cualquier persona escuche nuestras conversaciones desde cualquier celular.

Por otro lado, esta es una excelente oportunidad para el mercado de VoIP (Voz sobre IP, como son programas como Skype), para que anuncien estándares de cifrados de voz de alta potencia que son inmune a estos ataques. Recuerden que el problema con los sistemas tradicionales de telefonía es que están muy "amarrados" a hardware, pero el VoIP depende mas de software que otra cosa, lo que significa que se puede adaptar muchísimo mas rápidamente a este tipo de ataques.

Mientras tanto, mucho cuidado con lo que dicen por esos celulares...

Fuente de la noticia

autor: josé elías

Comentarios

  • No entiendo, como podrian hacerlo ? digo escucharnos desde donde con un soft? u otro celular?

    • Con un simple escaneador de frecuencias que sintonice a las mismas frecuencias de GSM (algo trivial, incluso me imagino que con un celular Android hackeado sería posible, al menos en teoría).

      Nota que estas señales están ahora mismo en el aire alrededor de todos nosotros, pero solo el equipo adecuado puede sintonizar, y después de ese sintonización solo el hardware y software adecuado puede descifrar los datos, cosa que se está haciendo ahora casi trivial...

  • y ahora quien podra defendernos :P

  • que raro que no pusiste un iphone en la foto y esa cacaritaaaa....

  • Mi madre, ahora si que no se puede hablar ni por celular.
    Joder...

    • No te preocupes, vas a poder hablar con tu madre, lo que no te conviene es decir claves bancarias o dar datos importantes xD.

  • como se puede , con un celular o una laptop

  • Voip es tambien muy vulnerable!!!

    there's no way out.....

    • si, pero al menos no te saldra tan caro como un contrato telefonico XD

    • No necesariamente.

      Supongamos que trabajas en una empresa preocupada por el secreto en sus comunicaciones (porque para comunicaciones personales no veo la necesidad). Supongamos que el jefe te plantea su preocupación porque puedan escucharlo. Tu solución es bastante sencilla: instalas un Asterisk en cada sucursal para hacer llamadas VOIP entre ellas. Y para asegurarte la privacidad los datos de VOIP no los mandas directamente por internet sino que en cada Asterisk pones un OpenVPN usando cifrado de 1024 o 2048 bits.

      De esa forma todo el tráfico va cifrado con algoritmos probadamente seguros y fácilmente reemplazables en caso de que se descubra una vulnerabilidad. Si mañana sale una noticia de que el cifrado que elegiste es inseguro basta con que reconfigures los OpenVPN cambiando el algoritmo o la longitud de la clave y listo: en minutos y sin tocar nada más tienes el problema solucionado y tu empresa puede hablar sobre sus negocios sin que los competidores puedan espiarlos.

      • Recuerda que en la VPN se comprimen los datos... Ya me imagino la calidad de la voz en ese escenario...

        Existen cientos de formas de como asegurar tu voip; desde el uso de claves encriptadas y algoritmos MD5 hasta el uso de tokens.... Pero nada es completamente seguro.

  • coño friki, ponte a trabajar... y también deja de comer que das asco!

    • palmor ya eres troll igual¬¬

  • el ekipo completo para intervenir cuesta como unos 30,000 dolares y por eso uno se pone a pensar q solo datos especificos podrian ser importantes como dijeron cuentas bancarias, etc.

    sobre voip, es mas facil pq es solo SOFTWARE y tamb se puede desencriptar pq ademas hay mucha informacion sobre desarrollo de apps voip en todo el internet, la unica diferencia es q en GSM salia demasiado caro, la fecha correcta del algo A5/1 creo q es 1987.

    • Sí, sí. Hasta que salga alguno con un software para cargar a un celular común o un planito para soldarle 4 cables a un teléfono viejo y conectarlo a una PC.

      Nunca hay que subestimar el ingenio de la gente.

  • la forma mas segura seria incorporar PGP en los celulares para los mensajes de texto, en el futuro todo va a estar intervenido, es mas la gente va a pagar por encriptar sus datos, la capacidad de descifrar claves en el futuro va ser mas facil con los 256bits actuales, se tendran que utilizar 16384 bits en adelante....

  • algo que me falto agregar, por lo menos en seguridad la tecnologia CDMA (IS-95) a diferencia de GSM tiene una seguridad mucho mayor y tambien mayor privacidad. si buscan un poco en internet veran que antes de 3G en gsm(WCDMA/HSDPA) se decia q una migracion a esa tecnologia era un retroceso pq como dicen la noticia es una seguridad de los anios 80.

    • eso es por la simple naturaleza de CDMA ya que al ser por división de código requiere un mayor grado de complejidad para ser cifrada, además el hecho de lo impopular que es CDMA pues no creo que haya muchos hackers realizando ese trabajo

      Interesante nota me pregunto como sera la decodificación de una conversación entre un GSM y un CDMA

      Al menos espero que esto no sea tan difundido y que aquellos Que utilicen GSM exigan a sus operadores mayor interes por mejorar el sistema de codificación de voz

  • 128 bits todavía me parece escaso.

    No hay que olvidarse de que es más fácil romper un cifrado cuanta más información se pueda obtener. Y un teléfono transmite un flujo de datos bastante grande y constante durante una comunicación.

    Actualmente nadie recomienda cifrados de menos de 1024 bits, y normalmente preferimos "curarnos en salud" usando 2048 bits.

    Como dato adicional: no olvidar que la complejidad del descifrado se duplica con cada bit agregado. Y aún así se considera 128 bits algo debilucho.

    • El cifrado con 1024 o 2048 debe ser asimétrico y solo ser usado en la fase de intercambio de cambio de llaves... quiero ver a un telefono hacer matematica con 2048 en modo simetrico... le llevaria una vida.

    • 128 debilucho?... como para quien? para la NSA... pues si pero para cualquiera que quiera escuchar las conversaciones de su novia a un lado de ella requiere un poquito mas de esfuerzo.
      Insisto 128 en modo simétrico no es debilucho si la implementación del algoritmo es correcta. Mucho software y hardware tiene "malas" implementaciones de algoritmos es por eso que se tiene una percepción de "debilucho. No es el algoritmo es la implementación.
      Tener un algoritmo de 2048 bit como llave en modo simetrico es simplemente impractico. Por eso se esta mirando al algoritmo de curvas elipticas para celulares y hand helds.

  • Si recuerdan hace apenas unas 3 semanas que publiqué un artículo en eliax sobre como un grupo de expertos había demostrado romper la seguridad básica que protege las comunicaciones de 3,500 millones de celulares tipo GSM (es decir, los que utilizan un chi

  • hola claro el genio lo hizo pero para hacerlo utilizo una invercion de 300 mil dolares,demasiado tiempo, si alguien mas lo quiere hacer bueno tendria que robarle el cerebro, pues si revela el secreto no hay plan "B" que aguante el caos que se vendria

Añadir Comentario

tu nombre
tu email
(opcional)
web personal
(opcional)
en respuesta a...
comentario de caracteres máximo
9 + 6 = requerido (control anti-SPAM)
 

"En eliax hay más que solo noticias, es una versión 2.0 de entender el mundo."

por "Jimmy Anaya" en ene 2, 2011


en camino a la singularidad...

©2005-2014 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax