home *** CD-ROM | disk | FTP | other *** search
/ Ham Radio 2000 / Ham Radio 2000.iso / ham2000 / mods / cellular / cellular.sie < prev    next >
Internet Message Format  |  1994-01-10  |  15KB

  1. From GEOFF%CSL.SRI.COM@XX.LCS.MIT.EDU  Fri Jun 12 17:27:09 1987
  2. Received: from XX.LCS.MIT.EDU by buit1.bu.edu (3.2/4.7)
  3.     id AA09729; Fri, 12 Jun 87 17:27:09 EDT
  4. Received: from CSL.SRI.COM by XX.LCS.MIT.EDU with TCP/SMTP; Fri 12 Jun 87 16:40:06-EDT
  5. Date: 12 Jun 1987 13:40-PDT
  6. Sender: GEOFF@CSL.SRI.COM
  7. Subject: Article on Cellular (in)security.
  8. From: the tty of Geoffrey S. Goodfellow <Geoff@CSL.SRI.COM>
  9. To: Telecom@XX.LCS.MIT.EDU
  10. Message-Id: <[CSL.SRI.COM]12-Jun-87 13:40:21.GEOFF>
  11. Status: R
  12.  
  13.     
  14. --------------------------------------------------------------------------
  15. The following is reprinted from the November 1985 issue of Personal
  16. Communications Technology magazine by permision of the authors and
  17. the publisher, FutureComm Publications Inc., 4005 Williamsburg Ct.,
  18. Fairfax, VA  22032, 703/352-1200.
  19.  
  20. Copyright 1985 by FutureComm Publications Inc.   All rights reserved.
  21. --------------------------------------------------------------------------
  22.  
  23.  
  24.           THE ELECTRONIC SERIAL NUMBER: A CELLULAR 'SIEVE'?
  25.               'SPOOFERS' CAN DEFRAUD USERS AND CARRIERS
  26.  
  27.    by Geoffrey S. Goodfellow, Robert N. Jesse, and Andrew H. Lamothe, Jr.
  28.  
  29. What's the greatest security problem with cellular phones? Is it privacy of
  30. communications?  No.
  31.  
  32. Although privacy is a concern, it will pale beside an even greater problem:
  33. spoofing.
  34.  
  35. 'Spoofing' is the process through which an agent (the 'spoofer') pretends to
  36. be somebody he isn't by proffering false identification, usually with intent
  37. to defraud.  This deception, which cannot be protected against using the
  38. current U.S. cellular standards, has the potential to create a serious
  39. problem--unless the industry takes steps to correct some loopholes in the
  40. present cellular standards.
  41.  
  42. Compared to spoofing, the common security concern of privacy is not so severe.
  43. Most cellular subscribers would, at worst, be irked by having their
  44. conversational privacy violated.  A smaller number of users might actually
  45. suffer business or personal harm if their confidential exchanges were
  46. compromised.  For them, voice encryption equipment is becoming increasingly
  47. available if they are willing to pay the price for it.
  48.  
  49. Thus, even though technology is available now to prevent an interloper from
  50. overhearing sensitive conversations, cellular systems cannot--at any
  51. cost--prevent pirates from charging calls to any account. This predicament is
  52. not new to the industry.  Even though cellular provides a modern,
  53. sophisticated quality mobile communications service, it is not fundamentally
  54. much safer than older forms of mobile telephony.
  55.  
  56. History of Spoofing Vulnerability
  57.  
  58. The earliest form of mobile telephony, unsquelched manual Mobile Telephone
  59. Service (MTS), was vulnerable to interception and eavesdropping.  To place a
  60. call, the user listened for a free channel.  When he found one, he would key
  61. his microphone to ask for service: 'Operator, this is Mobile 1234; may I please
  62. have 555-7890.'  The operator knew to submit a billing ticket for account
  63. number 1234 to pay for the call.  So did anybody else listening to the
  64. channel--hence the potential for spoofing and fraud.
  65.  
  66. Squelched channel MTS hid the problem only slightly because users ordinarily
  67. didn't overhear channels being used by other parties.  Fraud was still easy
  68. for those who turned off the squelch long enough to overhear account numbers.
  69.  
  70. Direct-dial mobile telephone services such as Improved Mobile Telephone
  71. Service (IMTS) obscured the problem a bit more because subscriber
  72. identification was made automatically rather than by spoken exchange between
  73. caller and operator.  Each time a user originated a call, the mobile telephone
  74. transmitted its identification number to the serving base station using some
  75. form of Audio Frequency Shift Keying (AFSK), which was not so easy for
  76. eavesdroppers to understand.
  77.  
  78. Committing fraud under IMTS required modification of the mobile--restrapping
  79. of jumpers in the radio unit, or operating magic keyboard combinations in
  80. later units--to reprogram the unit to transmit an unauthorized identification
  81. number. Some mobile control heads even had convenient thumb wheel switches
  82. installed on them to facilitate easy and frequent ANI (Automatic Number
  83. Identification) changes.
  84.  
  85. Cellular Evolution
  86.  
  87. Cellular has evolved considerably from these previous systems.  Signaling
  88. between mobile and base stations uses high-speed digital techniques and
  89. involves many different types of digital messages.  As before, the cellular
  90. phone contains its own Mobile Identification Number (MIN), which is programmed
  91. by the seller or service shop and can be changed when, for example, the phones
  92. sold to a new user.  In addition, the U.S. cellular standard incorporates a
  93. second number, the 'Electronic Serial Number' (ESN), which is intended to
  94. uniquely and permanently identify the mobile unit.
  95.  
  96. According to the Electronic Industries Association (EIA) Interim Standard
  97. IS-3-B, Cellular System Mobile Station--Land Station Compatibility
  98. Specification (July 1984), 'The serial number is a 32-bit binary number that
  99. uniquely identifies a mobile station to any cellular system.  It must be
  100. factory-set and not readily alterable in the field.  The circuitry that
  101. provides the serial number must be isolated from fraudulent contact and
  102. tampering.  Attempts to change the serial number circuitry should render the
  103. mobile station inoperative.'
  104.  
  105. The ESN was intended to solve two problems the industry observed with its
  106. older systems.
  107.  
  108. First, the number of subscribers that older systems could support fell far
  109. short of the demand in some areas, leading groups of users to share a single
  110. mobile number (fraudulently) by setting several phones to send the same
  111. identification.  Carriers lost individual user accountability and their means
  112. of predicting and controlling traffic on their systems.
  113.  
  114. Second, systems had no way of automatically detecting use of stolen equipment
  115. because thieves could easily change the transmitted identification.
  116.  
  117. In theory, the required properties of the ESN allow cellular systems to check
  118. to ensure that only the correctly registered unit uses a particular MIN, and
  119. the ESNs of stolen units can be permanently denied service ('hot-listed').
  120. This measure is an improvement over the older systems, but vulnerabilities
  121. remain.
  122.  
  123. Ease of ESN Tampering
  124.  
  125. Although the concept of the unalterable ESN is laudable in theory, weaknesses
  126. are apparent in practice.  Many cellular phones are not constructed so that
  127. 'attempts to change the serial number circuitry renders the mobile station
  128. inoperative.'  We have personally witnessed the trivial swapping of one ESN
  129. chip for another in a unit that functioned flawlessly after the switch was
  130. made.
  131.  
  132. Where can ESN chips be obtained to perform such a swap?  We know of one recent
  133. case in the Washington, D.C. area in which an ESN was 'bought' from a local
  134. service shop employee in exchange for one-half gram of cocaine.  Making the
  135. matter simpler, most manufacturers are using industry standard Read-Only
  136. Memory (ROM) chips for their ESNs, which are easily bought and programmed or
  137. copied.
  138.  
  139. Similarly, in the spirit of research, a west coast cellular carrier copied the
  140. ESN from one manufacturer's unit to another one of the same type and
  141. model--thus creating two units with the exact same identity.
  142.  
  143. The ESN Bulletin Board
  144.  
  145. For many phones, ESN chips are easy to obtain, program, and install.  How does
  146. a potential bootlegger know which numbers to use?  Remember that to obtain
  147. service from a system, a cellular unit must transmit a valid MIN (telephone
  148. number) and (usually) the corresponding serial number stored in the cellular
  149. switch's database.
  150.  
  151. With the right equipment, the ESN/MIN pair can be read right off the air
  152. because the mobile transmits it each time it originates a call.  Service shops
  153. can capture this information using test gear that automatically receives and
  154. decodes the reverse, or mobile-to-base, channels.
  155.  
  156. Service shops keep ESN/MIN records on file for units they have sold or
  157. serviced, and the carriers also have these data on all of their subscribers.
  158. Unscrupulous employees could compromise the security of their customers'
  159. telephones.
  160.  
  161. In many ways, we predict that 'trade' in compromised ESN/MIN pairs will
  162. resemble what currently transpires in the long distance telephone business
  163. with AT&T credit card numbers and alternate long-distance carrier (such as
  164. MCI, Sprint and Alltel) account codes.  Code numbers are swapped among
  165. friends, published on computer 'bulletin boards' and trafficked by career
  166. criminal enterprises.
  167.  
  168. Users whose accounts are being defrauded might--or might not--eventually
  169. notice higher-than-expected bills and be reassigned new numbers when they
  170. complain to the carrier.  Just as in the long distance business, however, this
  171. number 'turnover' (deactivation) won't happen quickly enough to make abuse
  172. unprofitable.  Catching pirates in the act will be even tougher than it is in
  173. the wireline telephone industry because of the inherent mobility of mobile
  174. radio.
  175.  
  176. Automating Fraud
  177.  
  178. Computer hobbyists and electronics enthusiasts are clever people.  Why should
  179. a cellular service thief 'burn ROMs' and muck with hardware just to install
  180. new IDs in his radio?  No Herculean technology is required to 'hack' a phone
  181. to allow ESN/MIN programming from a keyboard, much like the IMTS phone thumb
  182. wheel switches described above.
  183.  
  184. Those not so technically inclined may be able to turn to mail-order
  185. entrepreneurs who will offer modification kits for cellular fraud, much as
  186. some now sell telephone toll fraud equipment and pay-TV decoders.
  187.  
  188. At least one manufacturer is already offering units with keyboard-programmable
  189. MINs.  While intended only for the convenience of dealers and service shops,
  190. and thus not described in customer documentation, knowledgeable and/or
  191. determined end users will likely learn the incantations required to operate
  192. the feature.  Of course this does not permit ESN modification, but easy MIN
  193. reprogrammability alone creates a tremendous liability in today's roaming
  194. environment.
  195.  
  196. The Rolls Royce of this iniquitous pastime might be a 'Cellular Cache-Box.'
  197. It would monitor reverse setup channels and snarf ESN/MIN pairs off the air,
  198. keeping a list in memory.  Its owner could place calls as on any other
  199. cellphone.  The Cache-Box would automatically select an ESN/MIN pair from its
  200. catalog, use it once and then discard it, thus distributing its fraud over
  201. many accounts.  Neither customer nor service provider is likely to detect the
  202. abuse, much less catch the perpetrator.
  203.  
  204. As the history of the computer industry shows, it is not far-fetched to
  205. predict explosive growth in telecommunications and cellular that will bring
  206. equipment prices within reach of many experimenters.  Already we have seen the
  207. appearance of first-generation cellular phones on the used market, and new
  208. units can be purchased for well under $1000 in many markets.
  209.  
  210. How High The Loss?
  211.  
  212. Subscribers who incur fraudulent charges on their bills certainly can't be
  213. expected to pay them.  How much will fraud cost the carrier?  If the charge is
  214. for home-system airtime only, the marginal cost to the carrier of providing
  215. that service is not as high as if toll charges are involved.  In the case of
  216. toll charges, the carrier suffers a direct cash loss.  The situation is at its
  217. worst when the spoofer pretends to be a roaming user.  Most inter-carrier
  218. roaming agreements to date make the user's home carrier (real or spoofed)
  219. responsible for charges, who would then be out hard cash for toll and airtime
  220. charges.
  221.  
  222. We have not attempted to predict the dollar losses this chicanery might
  223. generate because there isn't enough factual information information for anyone
  224. to guess responsibly.  Examination of current estimates of long-distance-toll
  225. fraud should convince the skeptic.
  226.  
  227. Solutions
  228.  
  229. The problems we have described are basically of two types.  First, the ESN
  230. circuitry in most current mobiles is not tamper-resistant, much less
  231. tamper-proof.  Second and more importantly, the determined perpetrator has
  232. complete access to all information necessary for spoofing by listening to the
  233. radio emissions from valid mobiles because the identification information
  234. (ESN/MIN) is not encrypted and remains the same with each transmission.
  235.  
  236. Manufacturers can mitigate the first problem by constructing mobiles that more
  237. realistically conform to the EIA requirements quoted above.  The second
  238. problem is not beyond solution with current technology, either.  Well-known
  239. encryption techniques would allow mobiles to identify themselves to the
  240. serving cellular system without transmitting the same digital bit stream each
  241. time.  Under this arrangement, an interloper receiving one transmission could
  242. not just retransmit the same pattern and have it work a second time.
  243.  
  244. An ancillary benefit of encryption is that it would reasonably protect
  245. communications intelligence--the digital portion of each transaction that
  246. identifies who is calling whom when.
  247.  
  248. The drawback to any such solution is that it requires some re-engineering in
  249. the Mobile-Land Station Compatibility Specification, and thus new software or
  250. hardware for both mobiles and base stations.  The complex logistics of
  251. establishing a new standard, implementing it, and retrofitting as much of the
  252. current hardware as possible certainly presents a tough obstacle, complicated
  253. by the need to continue supporting the non-encrypted protocol during a
  254. transition period, possibly forever.
  255.  
  256. The necessity of solving the problem will, however, become apparent.  While we
  257. presently know of no documented cases of cellular fraud, the vulnerability of
  258. the current standards and experience with similar technologies lead us to
  259. conclude that it is inevitable.  Failure to take decisive steps promptly will
  260. expose the industry to a far more expensive dilemma.  XXX
  261.  
  262.  
  263. Geoffrey S. Goodfellow is a member of the senior research staff in the
  264. Computer Science Laboratory at SRI International, 333 Ravenswood Ave., Menlo
  265. Park, CA 94025, 415/859-3098.  He is a specialist in computer security and
  266. networking technology and is an active participant in cellular industry
  267. standardization activities.  He has provided Congressional testimony on
  268. telecommunications security and privacy issues and has co-authored a book on
  269. the computer 'hacking' culture.
  270.  
  271. Robert N. Jesse (2221 Saint Paul St., Baltimore, MD 21218, 301/243-8133) is an
  272. independent consultant with expertise in security and privacy, computer
  273. operating systems, telecommunications and technology management.  He is an
  274. active participant in cellular standardization efforts.  He was previously a
  275. member of the senior staff at The Johns Hopkins University, after he obtained
  276. his BES/EE from Johns Hopkins.
  277.  
  278. Andrew H. Lamothe, Jr. is executive vice-president of engineering at Cellular
  279. Radio Corporation, 8619 Westwood Center Dr., Vienna, VA 22180, 703/893-2680.
  280. He has played a leading role internationally in cellular technology
  281. development.  He was with Motorola for 10 years prior to joining American
  282. TeleServices, where he designed and engineered the Baltimore/Washington market
  283. trial system now operated by Cellular One.
  284.  
  285.