EE 515 Security 101 On Limitations of Friendly Jamming for Confidentiality Nils Ole Tippenhauer, Luka Malisa, Aanjhan Ranganathan, Srdjan Capkun ETH Zurich IEEE Symposium on Security and Privacy, 2013 2017 / 10 / 11 Sangmi Noh

Introduction Jamming? : intentional emission of radio frequency signals to interfere with the operation of a radar by saturating its receiver with noise or false information. *여러분 Jamming 이 뭔지 아시나요? -의도적으로 목표 시스템의 주파수에 맞추어 발생시키는 방해 신호. 재밍 신호가 존재하면 기존의 시스템은 잡음 때문에 제대로 작동하지 않게 됨. -일반적으로 잡음 신호를 사용 *주로 어디에 사용되느냐 -군사 : 북한이 우리나라에 GPS jamming을 걸면 우리나라 3.8 선 부근에서는 핸드폰 위치서비스나 네비게이션, 선박 자동항법장치 등이 작동하지 않게 됨 https://www.youtube.com/watch?v=kSAsgpbq2lQ -경호 : 대통령이 외부행사를 할 때 경호상의 이유로 또는 원격 조종되는 폭발물의 폭발을 막기 위해서 행사장이나 주변에 재밍 조처를 취하기도 함 https://www.youtube.com/watch?v=hsKG7AAWnVM -범죄? : car jamming. 자동차 스마트키로 잠글 때 도둑이 재밍 신호를 발생시켜서 안 잠기게 만들고,차에 있는 비싼 물건을 훔쳐간다던지.. https://sandtonchronicle.co.za/177427/car-jamming-on-the-rise-again/ 다양하게 활용되고 악용되고 있음.

Introduction Target System : Friendly Jamming on IMD(Implatable Medical Device) “They Can Hear Your Heartbeats: Non-Invasive Security for Implanted Medical Devices”, - SIGCOMM’11 Best Paper Award - No communication with IMD - No eavesdropping on IMD’s message *이 논문의 target 논문이 They can hear your heartbeat. -Confidentiality 를 friendly jamming 으로 제공(왜 encryption 은 안되나?) Friendly jamming : attacker 의 channel 만 jamming 신호를 걸어서 message decoding 이 불가능하도록 -NO ENCRYPTION -이미 implant 한 거를 재수술 할 수 도 없고, -의료정보를 encryption 하면 안되므로 *그래서 이 논문은 IMD 에 대해서 Friendly jamming 을 뚫고 eavesdropping 이 가능하다는 걸 이론적으로, 실험적으로 보인 논문 (이 논문은 다중안테나를 활용해서 IMD device 의 confidential message 를 엿들을 수 있다는 것을 분석적/실험적으로 보임)

Background Friendly Jamming Scenario A J D R 1. Remote jammer system 2. Nearby jammer system 1. Remote jammer system Jamming type 1.Remote Distance Device-Jammer Far 2.Nearby Near A J D R *Friendly jamming에서 크게 두 가지의 시나리오가 가능 -첫 번째는 Remote jammer system으로, 재머가 신호기와 멀리 떨어져 있어 재머가 공격자 A만을 재밍, Device 와 Receiver 는 서로 통신이 가능하지만 Attacker는 도청이 불가능 -두 번째는 Nearby jammer system으로, 재머가 신호기 가까이에 있는 경우, 재머는 역시 도청이 불가능. Device 와 Receiver 는 재밍 신호를 미리 알고 있어 재밍 신호를 cancel out 하고 본인들끼리 통신 가능.

Background Previous Work Condition R. Negi and S.Goel, “Secret communication using artificial noise,” VTC 2005 S.Goel and R.Negi, “Guaranteeing secrecy using artificial noise,” IEEE Trans. Wireless Commun., 2008 L. Dong, et al., “Cooperative jamming for wireless physical layer security,” SSP 2009 J. Vilela, et al., “Friendly jamming for wireless security,” ICC 2010 J. Vilela, et al. “Wireless secrecy regions with friendly jamming,” IEEE Trans. Info. Forensics and Security, 2011 Considered only remote jamming, single antenna, passive eavesdropper *Friendly Jamming 관련된 연구들 -Remote jammer system 에 관련된 연구는 많이 진행 됬는데 Nearby jammer system 에 관한 연구는 별로 진행된 게 없다. *Friendly Jamming 에 의한 IMD device 의 confidentiality 관련해서는 -Nearby jamming 고려해야하고 -400 MHZ 대역에서 적용 가능해야 함 *Strong attacker 가정 -2 antenna for attacker -any location can be chosen ( Attacker 가 multiple antenna 를 가질 때 friendly jamming 효과에 대해서는 이전까지 연구 결과가 없었음) - Nearby Jamming Condition - 402-405 MHz MICS band(𝜆 =75cm)  Strong Attacker

Jamming Mitigation Using Channel Resolution Friendly Jamming Scenario AD ≠ BD AJ = BJ 공격자는 두 개의 안테나를 AJ 는 BJ와 같지만 AD와 BD는 다르도록 위치시킴 안테나 A와 B는 같은 phase의 재밍 신호를 받게 되지만 신호기로부터의 거리가 다르기 때문에, 두 안테나가 받는 신호 사이에는 Phase 차가 생김 그러므로 안테나 A에 들어온 신호와 안테나 B에 들어온 신호를 빼게 된다면, 데이터 신호만을 얻을 수 있음, 두 데이터 신호의 위상차가 반 파장만큼, 즉 pi만큼 날 때가 베스트케이스(진폭이 두 배 정도 증폭된 신호를 얻을 수 있음) A simplified scenario of our attack Waveform of signal on antenna A,B

Jamming Mitigation Using Channel Resolution Geometry of the simulations: isosceles trapezoid 𝑑 21 𝑑 22 𝑑 11 𝑑 12 [11] They can hear your heatbeat 논문에서 LOS 상황을 가정했고 MIMO 상황에서 각 path(경로)는 신호의 크기가 감쇄되고, 거리에 따라서 위상이 돌아가는 형태. 그런데 그 거리라는 것이 Tx 와 Rx 의 거리가 멀다는 가정 하에 신호가 나가는, 또는 들어오는 각도에 의해서만 결정된다고 modeling 하였음 이 논문에서는 Attacker 의 안테나가 Device, Jammer 안테나 두 개와 평행한 상황을 가정, 등변 사다리꼴 형태로 배치. 따라서 AOA, AOD 각도가 90도, 결국 경로차가 없다고 modeling 되어 (channel matrix rank=1) D와 J로부터의 신호를 구분해 낼 수가 없음. 하지만 IMD device 에 대한 도청은 경로차를 무시할 수 있을 정도로 멀리서 일어나지 않으며 따라서 경로차를 고려한다면 채널 매트릭스는 rank=2 가 되고 attacker는 D와 J 로부터의 신호를 구분해 낼 수 있다. 𝐻 𝑔 =𝑎 𝑒 −𝑗2𝜋 𝑑 2 + (Δ 𝑟 −Δ 𝑡 )𝜆 2 2 /𝜆 𝑒 −𝑗2𝜋 𝑑 2 + (Δ 𝑟 +Δ 𝑡 )𝜆 2 2 /𝜆 𝑒 −𝑗2𝜋 𝑑 2 + (Δ 𝑟 +Δ 𝑡 )𝜆 2 2 /𝜆 𝑒 −𝑗2𝜋 𝑑 2 + (Δ 𝑟 −Δ 𝑡 )𝜆 2 2 /𝜆

Jamming Mitigation Using Channel Resolution Geometry of the simulations: isosceles trapezoid DJ : 5cm, 15cm, 30cm AB : 35cm, 50cm, 100cm Band : MICS, ISM  Investigated the performance for B J D d A 50cm 7.5cm Δ 𝑡 = Length of Rx array 100cm 7.5cm Δ 𝑟 = Length of Tx array 50cm DJ가 5cm, 15cm일 때, AB가 35cm, 50cm, 100cm일 때에 대해서, 그리고 MICS 대역과 2.4GHz ISM 대역에 대해서, d를 0~10m까지 변화시키면서 원 데이터 신호 크기 대비 복구된 신호 크기를 시뮬레이션 위상이 pi만큼 차이날 때 (경로 차이가 반파장에 가까울수록) 신호를 잘 복원할 수 있다. DJ가 15cm 이고, AB가 100cm, d가 100cm 라면, 경로 차는 6.7cm 정도 =6.7𝑐𝑚(~ 𝜆 10 ) 𝛿= 𝐷𝐵 − 𝐷𝐴 = 50+7.5 2 + 100 2 − 50−7.5 2 + 100 2

Jamming Mitigation Using Channel Resolution Simulations result 실험에 앞서 시뮬레이션을 통해, 각 안테나, 재머, 신호기의 거리에 따른 공격 퍼포먼스를 비교 왼쪽 그래프는 안테나의 위치에 따라서 이론적으로 얻을 수 있는 신호 크기의 최대값을 나타냄 6dB, 즉 진폭이 2배가 되었다는 것은 완벽히 데이터가 복원된 것을 나타냄 그리고 공격자의 두 안테나가 멀리 떨어져 있을수록 복원 신호가 컸습니다. 오른쪽 그래프 데이터 신호를 복원할 수 있는지에 대한 지표가 되는 Bit Error Rate 원 신호보다 20dB 큰 재밍 신호가 송출되는 상황에서, 실제로 공격자가 데이터를 복원했을 때, 에러가 얼마나 큰 지를 시뮬레이션 한 결과 빨간색 선, 재밍 신호 cancellation이 없을 때는 BER이 50%로, 데이터 복원이 안된다는 것을 나타냄 그리고, BER이 높은 경우에도 약간의 정보를 복원할 수 있기 때문에, 암호화 되어 있지 않다면, 전체 메시지를 복원할 수 있다. 그래서 공격자가 3m정도 떨어져 있더라도, BER은 40% 정도이며, 이정도면 암호화 안되있을 경우 복원이 가능하다. 3m 정도면 얼마 안되어 보이지만, 체내 삽입 기기의 통신 범위가 보통 좁은 것을 감안하면, 3m는 friendly jamming을 무시하고 데이터를 복원하기에 충분히 의미 있다. Theoretical limits for relative strength of recovered data signal Expected Bit Error Rate at attacker

Experimental Analysis Experimental Setup DSP(MATLAB) Oscilloscope Tx (USRP) 0dB omni directional antennas 67bits, binary frequency shift keying Frequencies : separated by 100kHz Jamming signal : random bit Rx (oscilloscope) 실험구성 데이터 신호기와 재머는 0dB gain인 omni directional 안테나를 가진 USRP로 구현 각각의 안테나는, 0dB의 gain을 가지는 omni directional 안테나 공격자는 두 개의 omni directional 안테나를 오실로스코프에 연결해서 구현 오실로스코프의 데이터를 매트랩으로 읽어와서, 신호처리를 거침 MATLAB단에서는, 밴드패스 필터를 씌우고, phase difference가 있는 것에 대해, 재머의 신호를 기준으로, phase 차이를 유지하면서 align하고, 두 신호를 빼서 원 신호를 얻는다. USRP USRP AB = {30,50} cm apart 10GSa/s

Experimental Analysis Measurement & Analysis 첫번째 그래프는 공격자의 거리에 따른 BER 시뮬레이션에서 예측했던 것과 같은 결과 신호기와 재머 사이의 거리가 멀수록, 공격자의 안테나 사이의 거리가 멀수록 좋은, 낮은 BER 데이터 신호기와 재머가 30cm정도 떨어져 있을 때는 공격자가 1m이상 떨어져 있어도 충분히 데이터를 복원할 수 있는 것을 확인할 수 있다. 공격자의 두 안테나가 50cm 정도 떨어져있다면, 4m 떨어진 위치에서도 데이터를 성공적으로 복원할 수 있었다. 데이터 신호기와 재머 사이의 거리가 15cm 정도로 가까운 경우, 1m보다 가까운 거리에서 복원이 가능한 BER을 나타내었다. 두번째로는 재밍 신호의 크기에 따른 효과를 알아보고자 했다. 공격자와 신호기, 재머 사이의 거리를 1m로, 공격자 두 안테나의 거리는 50cm로 고정하고, Jamming 신호의 상대적인 크기를 20dB부터 키우면서, BER을 확인 신호기와 재머 사이의 거리가 30cm일 때는, 20dB, 25dB에서는 물론이고 신호보다 30dB나 큰 재밍 신호를 보내는 상황에서도, 데이터의 80% 정도를 복원할 수 있었다. 신호기와 재머 사이의 거리가 15cm일 때는, 20dB에서는 괜찮지만 25dB정도만 되어도 BER이 크게 증가하는 것을 알 수 있었다. Effect of Attacker’s distance Effect of Jammer signal power

Experimental Analysis Measurement & Analysis 400 MHz to 1 GHz 5-6dBi Gain NLOS condition NLOS case: 데이터 신호기를 4cm의 갈은 쇠고기와 1cm의 베이컨으로 감싸서, 실제 IMD에 대해서 friendly jamming을 뚫는 상황을 가정하여 실험 방향성을 가지는 안테나를 사용 특정한 상황에서 분명 낮은 BER을 가지고, 데이터 복원한 경우가 있다. 그러므로 쇠고기와 베이컨이 있을 때도, 몸 안에 IMD가 있을 때도 도청이 가능하다는 것을 나타낸다. 이 때 정확한 안테나의 위치는 표시하지 않았는데, 중요한 것은 특정 위치에서는 도청이 가능하다는 것이다. Directional log-periodic antennas BER with ground beef and bacon

Discussion Partial information leakage(feasibility) BER of 0.2 at the attacker ⇒ successfully recover 80% of the bits ⇒ break confidentiality Placement of attacker antennas(feasibility) Attacker can find good enough placements for the antennas Precise modeling of attacker’s capability is important. Attacker can find good enough placements for the antennas With reasonable BER, attacker can recover portion of data

Discussion Countermeasures: Reduce the distance between device(D) and jammer(J). ( 𝐷𝐽 ≪ 𝜆 2 ) Use multiple jammers. 디바이스와 재머의 거리가 가까울수록 더 비밀성이 보장된다.(Distance between Device and Jammer should be minimum) 여러대의 제머를 사용하면 공격자가 사용해야하는 안테나의 개수가 늘어나겠지만, 선형적으로 늘어나기 때문에 비효율적이다.

Discussions NLOS condition Used beef and bacon to make NLOS condition Used directional log-periodic antenna to improve LOS property Attacker with multiple antenna Hard to defend = [ Easy to attack = ] Attacker 가 다중안테나를 가지는 경우가 defense 관점에서는 난제 이전까지는 multiple antenna attacker 를 고려한 friendly jamming 논문이 없었는데 =>공격 논문으로 나옴

Thank you.

Appendix - Discussions Distance normalization 2.4 GHz ( λ/2=6.25 cm ) 𝐷𝐽 =15 𝑐𝑚> 𝜆/2 !!!

Appendix - Jamming Mitigation Using Channel Resolution Geometry of the simulations: isosceles trapezoid General LOS channel model Geometry of the simulations

References [7] J. Vilela, et al. "Wireless secrecy regions with friendly jamming," IEEE Transactions on Information Forensics and Security, vol. 6, no. 2, pp. 256-266, 2011 [11] S. Gollakota, et al. "They can hear your heartbeats: non-invasive security for implantable medical devices," ACM SIGCOMM vol. 41, no. 4, pp. 2-13, 2011 [21] S. Goel, and R. Negi. "Secret communication in presence of colluding eavesdroppers," MILCOM 2005 [22] P. Pinto, J. Barros, and M. Win. "Wireless physical-layer security: The case of colluding eavesdroppers,“ IEEE International Symposium on  Information Theory (ISIT), 2009 W. Shen, et al. "Ally friendly jamming: How to jam your enemy and maintain your own wireless connectivity at the same time,“IEEE Symposium on Security and Privacy (SP), 2013