Taggat med: redphone

Utbrett problem med falska basstationer

På senare tid så har det dykt upp ett antal olika säkra mobiltelefoner eller appar såsom RedPhone, Signal och BlackPhone.  En av dessa telefoner vid namn CryptoPhone 500 har stöd att identifiera falska basstationer (mobilmaster) och enbart under en månad i Juli 2014 så identifierades 17 stycken falska basstationer i USA.

Bild CC Montgomery County Planning CommissionDet rör sig troligtvis om såkallade IMSI-catcher där någon försöker avlyssna samtal eller göra man-i-mitten-attacker (MITM) mot mobiltelefoner för att exempelvis installera spionprogram.

En falsk basstation hittades på South Point Casino i Las Vegas. Och bara genom att köra från Florida till North Carolina så identifierades 8 stycken falska stationer:

As we drove by, the iPhone showed no difference whatsoever. The Samsung Galaxy S4, the call went from 4G to 3G and back to 4G. The CryptoPhone lit up like a Christmas tree.

Hur utbrett detta problem är i Sverige är ännu oklart men det förkommer troligtvis. Att köpa en kommersiell IMSI-catcher såsom VME Dominator kostar runt 60 000 SEK men går att bygga själv för runt 7000 SEK med hjälp av en USRP och OpenBTS.

Bild på hur CryptoPhone 500 rapporterar en falsk station:

unenc

Samt hur Baseband Firewall-funktionen ser ut vid falsk basstation:

ciphering1

Presentation från säkerhetskonferensen DEFCON om just detta ämne:

Källa

Signal – Ny app för krypterade samtal

signalSignal från Open Whisper Systems är en ny app till iPhone som använder sig av ZRTP för krypterade telefonsamtal. ZRTP är skapat av Phil Zimmermann som även är fader till PGP. Även så har Zimmermann ett företag vid namn Silent Circle som erbjuder en liknande krypteringsmjukvara vid namn Silent Phone men till skillnad från Signal så kostar det att använda Silent Phone. 

Signal är öppen källkod och är inte det första projektet för krypterade samtal som Moxie Marlinspike står bakom (grundaren av Whisper Systems). Tidigare har han varit med och skapat Redphone till Android-baserade telefoner (som vi skrev om 2010).

Twitter köpte Whisper Systems och dess två anställda 2011 och därför släpps all öppen källkod under namnet Open Whisper Systems.

Uppdatering: Signal stödjer nu även krypterade meddelanden (eller SMS som det brukar kallas i folkmun).

Här finnes källkoden på GitHub:

https://github.com/WhisperSystems/Signal-iOS

Och länk till Apple Store:

https://itunes.apple.com/app/id874139669

Skärmdump:

Signal

Krypterade mobilsamtal med Android

Mobiltelefoner som stödjer operativsystemet Android kan nu nyttja en ny programvara som gör det möjligt att göra end-to-end kryptering över mobilnätet.

Programmvaran heter RedPhone och är utvecklad av Whisper Systems med hjälp av Moxie Marlinspike i spetsen. Moxie är känd sedan tidigare för sitt arbete med att bl.a. hitta sårbarheter i SSL-protokollet samt Googlesharing.

RedPhone använder kryptot ZRTP som är utvecklat av PGP-skaparen Phil Zimmerman.

Se Whisper Systems hemsida: https://whispersystems.org/

Uppdatering: Ändrade länken till whisper systems