Falske basestasjoner – hvordan er det mulig?

radio-wireless-towerSikkerhetskonferansen 2015 arrangert av Nasjonal Sikkerhetsmyndighet holdt jeg et innlegg om hvordan det er mulig å opprette falske GSM basestasjoner og hvorfor ting fungerer slik de gjør. I dette blogginnlegget skal jeg kort innom historikken til GSM-standarden for mobiltelefoni, beskrive hvilke enheter som inngår i et GSM nettverk, og hva som skjer når du ringer i en mobiltelefon. Deretter blir det litt konkrete detaljer om falske basestasjoner, og noen betraktninger rundt hvilke valg vi tar når vi kommuniserer – hvordan vi forholder oss til sikkerhet kontra brukervennlighet.

Litt historie om GSM

GSM utgjør andre generasjons standard (2G) for digitalt mobilnett, og erstattet NMT-systemet som regnes som 1G i Norge. Den første GSM-samtalen ble gjennomført på finsk 1. Juli 1991 mellom Harri Holkeri (finsk statsminister) og Kaarina Suonio (viseborgermester i Tampere). Den første SMSen ble sendt, og den første “Roaming”-avtalen ble inngått i 1992.

En av mange nyvinninger i forhold til NMT var at GSM tilbydde kryptert kommunikasjon mellom abonnent og basestasjon. Imidlertid var det rundt om i verden ulike syn på “hvor mye kryptert” det skulle være.

Enheter i et GSM-nettverk

Selve mobiltelefonen, brukerenheten i et GSM-nettverk kalles Mobile Station (MS) i GSM-terminologi. Når den etablerer kontakt med en basestasjon vil den identifisere abonnenten via et unikt International Mobile Subscriber Identity (IMSI) nummer.

Basestasjonen kalles Base Transceiver Station (BTS), og håndterer trådløs kommunikasjon mellom mobiltelefon og nettverket. Basestasjonen kommuniserer med mange mobiltelefoner, og utgjør grensesnittet mellom operatør og abonnent i nettverket.

Basestasjon kontrolleren (Base Station Controller – BSC) utgjør “intelligensen” bak basestasjonen. BSC lagrer viktige systemdata og innstillinger, og håndterer typisk mange basestasjoner (10 – 100). BSC har bl.a. ansvar for å allokere radiokanaler, og kontrollerer overføring (handover) mellom basestasjoner.

Mobiltelefonen lytter etter en basestasjon.  Når den får kontakt svarer telefonen – “Her er jeg!” Nettverket holder orden på hvilke telefoner som er knyttet til hvilken basestasjon for å kunne rute samtaler til riktig sted.

Fra brukerens ståsted er det en kryptert forbindelse til basestasjon basert på ensidig autentisering – bruker må anta at basestasjon er godkjent av operatør. Fra operatørens ståsted er basestasjonen et grensesnitt mot bruker, identifisert med IMSI-nummer knyttet til abonnement. Designet av systemet lar det skinne gjennom at det er viktigere å hindre at brukere kan ringe gratis enn å beskytte abonnenter mot falske basestasjoner.

Hvem kan kjøpe, sette opp og drifte en basestasjon? I 1991 var dette helt klart begrenset til statlige og større private selskaper; her var det snakk om dyr og vanskelig tilgjengelig teknologi. I 2015 sitter vi og ser tilbake på 24 år med “Moores lov”, hvor det grovt sett har vært en dobling av regnekraft hver 24. måned. Denne faktoren påvirker i tillegg pris og tilgjengelighet – et kjapt søk på eBay for noen uker siden gjorde det klart at en komplett Ericsson basestasjon med radiodel kunne kjøpes brukt for under USD 2000.

En basestasjon kan i dag anskaffes av “hvem som helst” for en overkommelig sum, dvs. mulighet og midler er tilstede. Motiver for å introdusere falske basestasjoner i nettverket er kanskje heller ikke så vanskelig å tenke seg.

En falsk basestasjon i aksjon

I følgende video vises hvordan en falsk basestasjon vil fungere i et GSM-nettverk:

Den falske basestasjonen vil prøve å gjøre seg mest mulig attraktiv for å lure mobiltelefonen til å velge den falske framfor en ekte basestasjon. Den enkleste måten å gjøre dette på er rett og slett å ha et sterkere signal enn de andre basestasjonene, noe man kan oppnå ved å være fysisk nærmere telefonen man skal lure. Telefonen vil så forsøke å opprette en kryptert 3G/4G forbindelse med den falske basestasjonen, men denne svarer “beklager, jeg kan ikke kryptere og skjønner ikke 3G – kan vi ikke snakke ukryptert over 2G i stedet?”. En vanlig telefon vil da velge å akseptere forslaget, ettersom det viktigste for den er å få opprettet samtalen. Den falske basestasjonen vil så opprette en ny samtale mot adressaten (B) som mobiltelefonen prøvde å ringe til, og gi seg ut for å være A. Ettersom trafikken mellom den virkelige A og den falske basestasjonen er ukryptert, kan sistnevnte både avlytte samtalen, og sende informasjonen videre til B uten at noen av partene merker at noe er galt. Hvis A sender en SMS, kan den falske basestasjonen velge om melding skal stoppes, sendes videre uendret, eller endres til det ugjenkjennelige.

Det snedige er altså at en vanlig bruker med en vanlig smarttelefon høyst sannsynlig ikke vil oppleve noe som unormalt når det kobles til en falsk basestasjon. De fleste telefoner gir ingen beskjed om at krypteringen er skrudd av, og gir bare subtile hint om at man bruker 2G i stedet for 3G/4G (f.eks. at bokstavene “4G” forsvinner over symbolet som viser signalstyrke). Av en eller annen grunn gjør ikke Android-operativsystemet (og iOS?) informasjonen om hvorvidt samtalen er kryptert eller ei tilgjengelig for brukeren – dette kunne de jo godt ha gjort.

Det er mulig det fantes legitime grunner for å kunne skru av krypteringen fra en basestasjon, f.eks. av kapasitetshensyn ved høy belastning, men mye skyldes nok “politiske” føringer som vi i dag ikke nødvendigvis har full innsikt i.

Sikkerhetskultur og brukervennlighet

Da GSM-standarden ble etablert, var en mobiltelefon noe man kunne snakke i – muligheten til å sende SMS var nærmest tatt med som et tilfeldig apropos. I dag er en mobiltelefon ikke lenger bare en mobiltelefon – den er med over alt, og håndterer alt av data (tale, tekst, bilde, posisjon). Den brukes både til jobb og fritid, og er blitt din personlige portal til stadig mer informasjon og funksjonalitet. En annen ting er at vår mobilbruk (og da spesielt bruk av forskjellige “apper”) genererer enorme mengder personlige data som etterhvert er “Big Business” for for de som vet å analysere og utnytte informasjonen.

Det tar tid å etablere sikkerhetskultur knyttet til ny teknologi. Smarttelefonen har vært med oss i 8 år siden introduksjonen av iPhone i 2007, mens PC med kobling til Internett ble allemannseie ca. i 1995. Hvilken sikkerhetskultur hadde vi 8 år etter, i 2003? Hjemme? På jobb? Personlig er mitt sterkeste minne fra 2003 knyttet til ormene Blaster og Sasser som herjet så voldsomt blant Windows-baserte PCer at det var umulig å foreta en installering av operativsystemet mens PCen var koblet til internett – før installeringsprosessen var ferdig, ville PCen bli infisert og tryne.

Hvilke krav setter egentlig forbrukere til sikkerhet? Før oppslagene i Aftenposten i fjor, var det det vel knapt noen som brydde seg om farene med falske basestasjoner, selv om muligheten har vært kjent i akademiske kretser i årevis. Hvilke krav setter så myndighetene? Det finnes jo masse krav, men disse gjelder typisk bare for informasjon som faller innenfor f.eks. Sikkerhetsloven eller Personopplysningsloven – og din mobiltelefonsamtale faller ofte ikke i denne kategorien. Videre ser vi jo at sikkerhet ofte vektes lavt i forhold til brukervennlighet – som nevnt i et tidligere innlegg, kunne man enkelt forhindre bruk av den typen falske basestasjoner vi snakker om her dersom man konfigurerte telefon eller abonnement slik at forsøk på å etablere et ukryptert 2G samband ble avvist. Ulempen ville være at man ville få dårligere dekning for telefonen, spesielt i grisgrendte strøk.

Denne teksten er basert på foiler med bidrag fra Are Hellandsvik og andre kolleger på avd. for kommunikasjonssystemer.