(in)Seguridad en radiocomunicaciones

Este post es el tercero (ver el primero y el segundo) de una serie del colaborador David Marugán Rodríguez sobre cuestiones de seguridad que van más allá de lo que muchos conocemos. No podemos añadir más que lo que dice en la bio de su twitter @radiohacking: Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast y agradecer su colaboración con estos artículos tan fascinantes.

Mientras se escribe este artículo, existen multitud de comunicaciones radio a nuestro alrededor que no cumplen con las más mínimas medidas de seguridad para garantizar la confidencialidad”.

Dicho así podría parecer un titular algo sensacionalista, pero nada más lejos de la intención. El objetivo principal de este artículo es sencillamente llamar la atención del desfase existente entre en nivel de concienciación actual en ciberseguridad y la menor atención que se suele prestar a la seguridad en las comunicaciones radio; sin alarmismos,  pero con la claridad en la exposición que este tema requiere. Si bien no es el objetivo de este trabajo el elaborar un manual completo de las vulnerabilidades habituales en estos sistemas y sus métodos de explotación, algo que requeriría un extenso trabajo, trataremos de mostrar algunos ejemplos relativos a la seguridad en comunicaciones radio más empleadas hoy día por todo tipo de organizaciones.

Para poner al lector en antecedentes, se debe recordar que por ejemplo a principio de los años 90 cualquier persona que hubiese adquirido un receptor tipo escáner de VHF/UHF con un rango de frecuencias adecuado, podía interceptar las comunicaciones analógicas abiertas de: telefonía móvil, Policía Nacional, Guardia Civil, etc. Por poner una ejemplo de hasta qué punto se carecía de medidas de seguridad en las comunicaciones, citaré el famoso caso de las escuchas telefónicas a miembros de la Casa Real Británica en lo que luego se denominó el caso “Squidgygate”; o situaciones mucho más cotidianas, donde por ejemplo no era muy raro que llegaran antes a un accidente de tráfico las grúas porta-coches que los propios servicios de emergencia, al tener algunos de los primeros instalados este tipo de receptores en sus vehículos de trabajo. Esto nos puede dar una idea del panorama de la seguridad en comunicaciones radio de aquella época. Algo impensable hoy día.

in0

Figura 1. Escáner radio YUPITERU MVT-6000. Fuente: http://radiopics.com

Entonces ¿Qué ha cambiado en la actualidad? Pues en honor a la verdad bastante, pero quizás no lo suficiente. Las Fuerzas y Cuerpos de Seguridad del Estado han migrado a redes digitales como SIRDEE usando por ejemplo el estándar TETRAPOL, que por el momento es considerado como seguro para este tipo de comunicaciones críticas mientras no se demuestra públicamente lo contrario. No obstante, algunas de las comunicaciones radio se siguen emitiendo en abierto o bien con medidas de seguridad claramente insuficientes para la época actual, donde la incorporación de los denominados SDR (Software Defined Radio) de bajo coste ha supuesto una verdadera revolución en la comunidad de radio. Por mencionar sólo algunas:

  • Redes de radio analógicas que no emplean ningún tipo de medida de seguridad específica y por lo tanto son sensibles de ser interceptadas con un equipo de radio convencional o SDR sin emplear ninguna técnica especial o decodificador.
  • Redes de radio analógicas que emplean sistemas obsoletos de “criptofonía” o “secrafonía” por inversión simple, que distorsionan la voz para hacer la conversación ininteligible (similar a los antiguos canales de televisión de pago) y que pueden ser “clarificadas” con el software apropiado con gran facilidad.
  • Redes de radio que no pueden ser “escuchadas” de forma directa al estar codificadas digitalmente, pero que no aplican ningún cifrado y por tanto pueden ser decodificadas a tiempo real usando el software adecuado (ejemplo decodificación DMR a tiempo real usando un RTL-SDR: https://www.youtube.com/watch?v=D44NYGwS2OY). En este grupo estarían las comunicaciones digitales como DMR y TETRA no protegidas. Debemos recordar la diferencia entre “codificación” y “cifrado”, ya que puede causar cierta confusión.

Por otra parte, hacer una recopilación de información técnica a través de OSINT en la actualidad,  es muy sencillo aplicando técnicas de Google Dorking, o investigando en ciertos foros especializados, que disponen de bases de datos públicas con las frecuencias usadas en cada zona geográfica por cada servicio. En último caso, incluso un atacante que desconozca ciertos datos de su objetivo podría usar una suerte de wardriving usando un discreto frecuencímetro oculto, que en la proximidad de un emisor memorice las frecuencias exactas de transmisión y otro tipo de datos de la red para luego elaborar una estrategia de ataque de forma “off-line”.

in1

Figura 2. Ejemplo de frecuencímetro. Fuente: radioworld.co.uk

Como es sabido,  también es habitual que se filtre cierta información útil a través de los pliegos de concursos públicos o incluso en la web de algunas empresas fabricantes, distribuidores o integradores de sistemas de radio. Al igual que en los ataques informáticos convencionales, esta valiosa información,  será aprovechada por nuestros adversarios para obtener información de la red objetivo.

in2

Figura 3. Ejemplo de información pública recopilada a través de Google Dorking.

En DMR, por poner un ejemplo sencillo, existen diferentes mecanismos de seguridad, en algunos casos con ciertas diferencias dependiendo de las implementaciones de los fabricantes y equipos, pero varían desde una seguridad básica (Basic Privacy) sensible a ataques de fuerza bruta, a un cifrado de las comunicaciones más robusto usando implementaciones del estándar AES, además de otros controles de acceso a la red como los RAS (Restricted Access to System) , para evitar intrusos. No obstante, y al igual que en otros ámbitos tecnológicos, también se han conocido diversas vulnerabilidades a lo largo del tiempo, asociadas a veces al firmware de algunos fabricantes y modelos de radio, que permiten evadir algunas de estas medidas y por ejemplo: mandar mensajes de emergencia falsos, comandos OTA (Over The Air) que desactiven ciertos terminales,  realizar un descubrimiento de los terminales asociados a la red a través de su ID, etc. Clonar un equipo DMR con los parámetros de una red no protegida usando la información recopilada por un SDR y un decodificador específico es algo trivial con alguien que tenga unos mínimos conocimientos. Todo esto sin contar las múltiples técnicas de radiojamming (interferencias intencionadas) que son de aplicación a las radiocomunicaciones y muy complicadas de mitigar. TETRA por supuesto no está exenta de riesgos, padeciendo algunas debilidades similares (ver informe extenso sobre vulnerabilidades TETRA en: http://www.diva-portal.org/smash/get/diva2:656471/FULLTEXT01.pdf).

Estos sistemas de radiocomunicación son empleados por todo tipo de empresas relacionadas con la seguridad, servicios de emergencia e incluso por algunas policías locales en nuestro país. Es paradójico que mientras los responsables últimos de estas redes posiblemente estén concienciados con la ciberseguridad, sometiéndose a estrictos controles legales y auditorías periódicas por parte de las autoridades competentes, a día de hoy sigan usando métodos tan inseguros de comunicación para labores tan sensibles como la vigilancia de importantes infraestructuras de transportes, centros comerciales, seguridad pública, etc. por poner solo algunos ejemplos. Podemos imaginar fácilmente el impacto que estas intrusiones pueden tener en las redes afectadas.

También el despliegue fallido de algunas soluciones por una deficiente gestión, integración o planificación, quizás efecto secundario de los tiempos de supuesta bonanza económica, ha conseguido que algunas organizaciones hayan tenido que adoptar otro tipo de tecnologías radio por la “vía de urgencia”, después de haber experimentado graves problemas operativos; o incluso que organismos que realmente por sus riesgos en la confidencialidad no lo necesitaran, implementaran caras y complejas redes digitales, que ahora les son imposibles de mantener por su alto coste, algo que ha sido muchas veces comentado con perplejidad en la comunidad de radioescuchas. No faltan ejemplos de esto en toda la geografía española. Incluso parece que ha habido casos en los que han regresado al “mundo analógico” para evitar males mayores (debemos tener en cuenta que un problema puntual en la cobertura puede originar una grave situación que pone en riesgo la integridad física de los usuarios de la red, caso de la policía o seguridad privada) renunciando a la mayor seguridad que se les supone a los modos digitales.

Recientemente, y con ocasión de los atentados terroristas perpetrados en París, cierto político comentó en un programa de televisión que según fuentes militares desplegadas en el terreno,  los terroristas del ISIS habían migrado sus comunicaciones de radio analógicas a DMR (se supone que cifrado) para evitar la escucha por parte de los miembros de la coalición. Aunque sea algo puramente anecdótico, este hecho no deja de demostrar la importancia que tiene proteger las comunicaciones radio para cualquier actor en el panorama de seguridad actual, más si existe una amenaza real o se es objetivo de técnicas SIGINT por parte de adversarios con un perfil alto. De hecho el G20, que se reunió días después de los atentados en Turquía, utilizó un sistema de radio con cifrado de la misma marca para proteger sus comunicaciones.

in3

Figura 4. Captura de un video del ISIS donde se puede observar un equipo DMR Hytera.

Para finalizar, y por hacer una analogía con el mundo IT, ¿Imaginamos cómo sería una revelación responsable de este tipo de debilidades? El simple hecho de que alguien admita haber interceptado comunicaciones de este tipo puede tener serias consecuencias legales, por lo que este hecho dificultará enormemente la colaboración de la comunidad de hacking, desarrollo y radioescucha, negándoles incluso la oportunidad de aportar sus imprescindibles conocimientos en aras de mejorar la seguridad de todos; su valiosa colaboración para evitar que algunos protocolos radio sigan amparados en la “seguridad por oscuridad”. Algo que por desgracia se ha vivido y se vive también en el mundo IT.

No todo es negativo, en los últimos tiempos la radio, gracias a los denominados SDR “low-cost” está resurgiendo con fuerza, y con esta popularización ya se ha hecho patente para muchos la inevitable simbiosis entre radio e informática, mundos muy diferenciados antaño. Como ejemplo cercano, podemos ver esta tendencia en las charlas realizadas este 2015 en la CON Navaja Negra relativas a radio, donde fue muy ilusionante ver el interés que estas tecnologías, anticuadas para los que no las conocen con cierto detalle, despertó entre el público asistente y los organizadores.

Cabe entonces, para finalizar, hacernos las siguientes preguntas que nos inviten a reflexionar sobre el tema: ¿Le estamos dando a las radiocomunicaciones la importancia que merecen en el complejo escenario de seguridad actual? ¿es equiparable a los niveles de seguridad IT medios? ¿se realizan auditorías especializadas de seguridad radio? A primera vista parece claro que algunas empresas e instituciones, públicas y privadas, no están haciendo los deberes, se desconoce si por falta de recursos, conocimientos, problemas de rendimiento asociados al uso de cifrado o cualquier otro motivo. Obviamente dependerá de cada caso particular, pero lo que sí que parece estar claro es que en este campo de la seguridad nos queda mucho camino que recorrer todavía.

Comments

  1. Muy interesante y didáctico, sobre todo para ignorantes en la materia como yo. Mi experiencia en empresas de seguridad privada (física) me ha enseñado que (p.ej.) es fácil “tapar” las transmisiones por radio de alarmas, de hecho eso ocurre cuando hay un transmisor más potente cerca.
    Los detectores via radio (inalámbricos) tienen esa pega, no ocurre así con los detectores por cable.
    Soy aficionado a la naútica y las transmisiones por radio son un cachondeo, se utilizan canales que no toca y se pueden escuchar cosas que no deberían escucharse.

  2. Muchas gracias, me alegro de que te gustara. Sí, tienes toda la razón. El tema de alarmas daría para otro artículo ;-) el radiojamming ha sido siempre una de las “bestias negras” a la hora de desarrollar los módulos RF de sistemas de seguridad electrónicos. Ahora existen algunas contramedidas como el uso de sigfox (operador RF de IoT) para evadir el radiojamming con señales más “robustas” como backup, pero bueno, todo es discutible…

    Lo dicho, gracias por leerlo.
    Saludos