Español | English
rss facebook linkedin Twitter

GSM: Un gigante con pies de barro



Para la tranquilidad de las operadoras, ya ha pasado la reciente tormenta de noticias sobre el cada vez más terrenal ataque a los algoritmos de cifrado de flujos implementados en GSM y UMTS (A5/1-2-3). El mensaje sobre las intenciones del equipo de uno de los ataques ya había obtenido respuesta oficial en agosto de 2009, ninguneando la repercusión que se obtendría de ello. De hecho, tras la publicación en diciembre no ha alcanzado una masa crítica de población -los medios de comunicación en masa no han propagado la noticia- como para verse forzados a tomar medidas para resolver el problema. Y por supuesto, tampoco supone una amenaza para la economía de las operadoras de telefonía móvil, dejando en segundo plano los asuntos de la privacidad.

Sin embargo, esconder la cabeza en la tierra no va a servir a medio plazo, ya que los expertos en seguridad no pararán hasta simplificar los criptoanálisis de las comunicaciones por el aire lo suficiente como para que sea viable hacerlos con hardware de bajo coste. Además, creo que es cuestión de tiempo que se retome un viejo vector de ataque del que las operadoras sí tomaron una rápida decisión al cortarlo de raíz, debido a la gravedad de lo que se podía hacer con ello. Se comenzaron a distribuir nuevas tarjetas con el bug corregido, siendo cuestión de tiempo que se renovara todo el parque gracias a las portabilidades, altas y bajas.

La actitud que las grandes operadoras de telefonía móvil y de la GSM Alliance arrastran desde hace años ha supuesto una oportunidad de negocio inmejorable, ya que indirectamente justifican la necesidad de una capa de seguridad adicional en las comunicaciones digitales. Hasta hace poco la clientela de este tipo de soluciones había estado reducida a entornos gubernamentales con presupuestos ingentes, y en general grandes organizaciones que no se podían permitir que sus conversaciones estatégicas fueran intervenidas, cifrando con una capa adicional las comunicaciones de extremo a extremo. Estos criptófonos llevan tiempo en el mercado, y en algunos casos no son más que plataformas de telefonía móvil comerciales con el hardware modificado y su precio extremadamente inflado. Si el Ministerio de Defensa español compra una versión hecha en casa, bastante preocupante debería ser para nosotros los ciudadanos.

Según se van haciendo más palpables estos ataques, van bajando el precio de estas soluciones, e incluso los proveedores ya permiten que los usuarios de a pie las prueben. Creo que es cuestión de tiempo que se cree algún proyecto de código abierto que permita de una forma transparente para el usuario hacer llamadas VoIP con algoritmos de cifrado de código asimétrico públicos, libres de patentes y bien probados, como es el caso de ElGamal, usado en el proyecto GnuPG.

Como último detalle, y en relación a la poca evolución que han experimentado las tarjetas SIM en estos 15 años -básicamente más capacidad de memoria-, me preocupa bastante que salgan iniciativas como estas, ya que, como en el caso de los routers ADSL, dejamos en manos de nuestra operadora el correcto plataformado de las configuraciones de seguridad predeterminadas. Además, con el código grabado en íntegramente en ROM, y una implementación de la interfaz con el mundo exterior privativa y cerrada ¿cómo parchear vulnerabilidades si estas aparecen?

Álvaro Ramón
S21sec labs

2 comentarios:

rpinuaga dijo...

Te refieres a algo como el proyecto Zfone:
http://zfoneproject.com/

De Phil Zimmermann, el creador de PGP.

S21sec labs dijo...

Pues sí, algo como zPhone, no lo conocía la verdad, y es muy interesante. Sin embargo no parece haber tenido mucho movimiento desde que se lanzara allá por el 2007.

En mi opinión el tema no se está llevando al terreno de los smartphones porque tiene un importante freno por parte de las operadoras de telefonía móvil, que ven peligrar sus ingresos en llamadas debido al uso de telefonía VoIP. De hecho algunos restringen el tráfico P2P y/o VoIP en sus contratos de internet móvil.

Prueba a buscar en Google "zfone android" restringiendo la búsqueda al último mes, y verás lo parado que está el tema :(


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login