Николай ЩЕТЬКО, ET CETERA
В середине лета сразу двое независимых исследователей на крупных хакерских конференциях продемонстрировали уязвимость средств шифрования голоса и сообщений в сотовых сетях стандарта GSM, самого популярного в мире на данный момент. Методы не революционны: они были известны и ранее, однако технический прогресс сделал «прослушку» сотовых сетей доступной практически любому злоумышленнику, экипированному необходимой техникой. Самое главное, что теперь вместо спецкомплексов (производства Rohde & Schwarz, Endoacustica и др.) за десятки и сотни тысяч долларов «чересчур любопытным» понадобится лишь мощный компьютер и желание разбираться в технических тонкостях.
Действительно ли сети GSM настолько уязвимы? Существуют ли прецеденты подобных взломов в Беларуси? На чем основаны предложенные хакерами методы взлома, в чем их особенности? Как защититься от угроз приватности? ET CETERA расставляет точки над «i» в этом вопросе.
Чтобы прояснить для себя все аспекты проблемы, в первую очередь мы обратились, разумеется, к сотовым операторам. В МТС и velcom нам отказались что-либо официально комментировать, а вот технический директор life:) Николай Юшкевич был более многословен: «Все требования со стороны нашего государства к этому вопросу всегда проверяются государством на этапе сертификации. Технологии идут вперед, все возможно. Но о прецедентах (взломов - прим. авт.) как у других операторов, так и у нас в сети я пока не слышал».
Официальных комментариев от государственных органов получить не удалось: ни в Оперативно-аналитическом центре при президенте Республики Беларусь (ОАЦ), ни в Управлении «К» МВД Беларуси на наши запросы не ответили, а в Министерстве связи и информатизации порекомендовали обратиться в ОАЦ.
Тем не менее отдельные эксперты в данной сфере согласились поделиться своим мнением, и не только на анонимной основе. Но для начала…
Немного теории
Сотовый телефон или «мобильный терминал» подключается к сети оператора через базовые станции. Одна базовая станция (специализированные приемопередатчик+компьютер, включенные в опорную сеть сотовой компании) обслуживает одновременно несколько аппаратов и является своеобразным «шлюзом», через который проходят голосовые разговоры, интернет-данные и другая связанная с конкретным абонентом информация.
Данные, которыми обмениваются в открытом радиоэфире мобильный терминал и базовая станция, предусмотрительно шифруются при помощи специализированных алгоритмов семейства A5. Их несколько: A5/0 (без шифрования), А5/1 (наиболее массовый, 64-битный ключ), A5/2 (более слабое шифрование), A5/3 (наиболее устойчивый метод, ключ 128 бит). Проблема в том, что A5/1 и A5/2 были разработаны достаточно давно, в 1987 и 1989 годах, и с тех пор сильно устарели.
Эти схемы шифрования взломаны, а значит, злоумышленник, обладающий определенным спец-ПО и не слишком дорогой техникой, может перехватывать (слушать и записывать, а также в некоторых случаях управлять маршрутизацией) звонки и SMS пользователей прямо из радиоэфира рядом с местом своего нахождения. Более свежий алгоритм А5/3 считается надежным - подтвержденных случаев его взлома не известно.
Однако взломанный и старый А5/1 остается самым популярным вариантом в мире, и дело тут не только и не столько в инертности либо прижимистости операторов: источник в одной из белорусских сотовых компаний сообщил ET CETERA, что переходу на А5/3 мешает качество реализации алгоритма в ряде абонентских устройств. Многие терминалы сообщают о поддержке A5/3, но при этом работают с данной системой шифрования некорректно. А лишний поток жалоб, учитывая значительный процент «проблемного» оборудования в сети, никому не нужен. Белорусские операторы работают с уязвимым алгоритмом A5/1, заверил нас источник. Использование данного алгоритма подтвердили в life:).
Все сказанное касается, в первую очередь, голоса и SMS: данные (интернет-трафик) шифруются другими алгоритмами (GEA1/GEA2/GEA3), информации о взломе которых в прессе и открытом доступе пока не проскальзывало. К тому же дата-трафик гораздо проще при необходимости защищать более мощными методами шифрования.
Впрочем, чтобы слушать чужие разговоры, иногда даже не нужно взламывать криптографическую защиту - существуют более изящные способы.
Метод 1: фальшивая базовая станция
Один из хорошо известных и успешно работающих методов - использование «фальшивой базовой станции», атака типа «man in the middle» («человек посередине»). Фундаментальная проблема системы безопасности GSM связана с тем, что при регистрации в сети аппарат проверяется сетью на принадлежность к ней, а вот сам телефон проверить сеть на адекватность не может, чем успешно и пользуются «прослушиватели».
Они ставят в непосредственной близости от абонента источник мощного сигнала, мимикрирующий под стандартную базовую станцию сотовой сети. Телефон видит станцию и не может удержаться, чтобы к ней не подключиться - сигнал-то такой мощный, хороший!
Аппарат подключается, и псевдобазовая станция командует ему отключить шифрование (перейти на алгоритм A5/0) - телефон обязан подчиниться. Теперь все разговоры с него, пока аппарат находится в зоне действия фальшивой базовой станции, в открытом виде проходят через систему злоумышленника. Там они записываются (обрабатываются, перенаправляются и т.п.) и лишь потом поступают - или не поступают, как уж решит оператор «шлюза» - в настоящую сотовую сеть. Ничего взламывать не надо: телефон слепо выполняет команды ненастоящей базовой станции и отключает шифрование, а остальное - дело техники.
Метод старый, но ранее для его реализации нужно было приобрести дорогостоящий комплекс (обладателем патента на технологию, кстати, является известная фирма Rohde & Schwarz) или собрать его самому из не менее дорогостоящих компонентов. Теперь же программное обеспечение для «эмулятора базовой станции» свободно лежит в Сети (разумеется, формально OpenBTS и аналоги открыто (разумеется, ции”печения для “обрать его самому из не менее дорогостоящих компонентов. упают в настоящую сотовую сеть. предназначены для решения других, абсолютно невинных, задач), а техническая часть обойдется желающим в сравнительно скромную сумму.
В этом году шуму на известной хакерской конференции Defcon навел Крис Пэйджетт, который продемонстрировал, насколько легко заинтересованный специалист может перехватить и записать разговоры (по сети GSM, конечно) слушателей своего доклада http://www.tombom.co.uk/cellphonespying.odp. Самое любопытное в этом докладе http://www.youtube.com/watch?v=q8JuYh7Km34 не сам факт перехвата - техника, повторимся, отнюдь не нова. Самое любопытное то, что, по словам Криса, система из ноутбука с открытым ПО (Debian/OpenBTS/Asterisk), радиомодулей (USRP1 плюс дочерние платы) и двух направленных антенн обошлась ему в скромные полторы тысячи долларов. Также примечательно, что с точки зрения американских законов демонстрация не покидала правового поля: для легитимизации работы в радиоэфире Крис воспользовался любительской радиолицензией, а флэшку со всеми прослушанными/записанными в ходе выступления разговорами показательно уничтожил.
Безусловно, все выглядит красиво лишь в теории, а на практике действует ряд серьезных ограничений: каждый встречный-поперечный с полутора тысячами в кармане прослушивать эфир не сможет - хотя бы потому, что он должен быть достаточно подкован в техническом плане.
Хватает и других аспектов. Первое и важнейшее ограничение: абонента придется «сопровождать» при движении, чтобы он «случайно» не подключился к настоящей сети сотового оператора. А раз так, то с гораздо меньшими усилиями можно контролировать переговоры абонента более традиционными способами.
Второе ограничение: система не может принимать через фальшивую базовую станцию входящие звонки. Возможности обхода Крис предложил, но они потребуют дополнительных усилий и взлома системы шифрования.
Более того, звонки от абонента псевдобазовой станции будут доставляться собеседникам с неправильным номером, и получатели звонков могут эту нестыковку легко заметить.
Третий вопрос связан с индикацией. Большинство сотовых аппаратов информируют владельцев о том, что шифрование отключено, специальной пиктограммой или текстом. Случается, что операторы отключают шифрование принудительно в целом регионе для упрощения работы спецслужб: например, это имело место во время печально известных событий вокруг «Норд-оста» в Москве. Однако операторы также имеют возможность отключить индикацию на аппарате, запрограммировав соответствующим образом выдаваемые абонентам SIM-карты. Наши источники в белорусских сотовых компаниях затруднились сообщить, реализована ли эта возможность в сетях нашей республики.
Как же защититься от подобных уязвимостей? Самый простой способ - пользоваться исключительно 3G-сетями. Тогда будет применяться более мощный алгоритм аутентификации пользователя (кстати, он может работать и в 2G-сетях), в рамках которого не только телефон опознается сетью, но и сеть проверяется на корректность аппаратом. Увы, 3G-покрытию до покрытия 2G еще очень далеко, и на практике работать только в 3G для нашей страны практически нереально.
Правда, у злоумышленников есть лазейка даже с 3G: они могут целенаправленно «глушить» 3G-диапазон, и если телефон не настроен в режим «только 3G» (чаще всего действительно работает вариант «2G+3G», по причине слабого покрытия), то он, не найдя 3G-сети, подключится к фальшивой базовой станции 2G…
Конечно же, абоненту важно следить за поведением телефона, а также за корректностью номеров входящих вызовов: если номер выглядит странно, а ваш собеседник говорит, что у него все в порядке, то не исключено, что где-то неподалеку затаился злоумышленник.
Метод 2: расшифровка разговоров и SMS
Более «прозрачный» способ взлома предложила международная группа хакеров шифра А5/1 - презентацию на конференции Black Hat провел немецкий специалист Карстен Нол. Благодаря использованию сравнительно недорогого оборудования (компьютер с SSD-накопителем на 2 ТБ, минимум 3 ГБ памяти и двумя графическими процессорами, GPU) специалисты получили возможность взламывать шифрование GSM-переговоров (A5/1) практически в режиме реального времени. При использовании менее мощных компьютеров или более медленных накопителей время на преодоление защиты возрастает, но остается приемлемым. За счет ряда оптимизаций и доработок http://webcache.googleusercontent.com/search?q=cache:ZH3FIPDfjmkJ:https://media.blackhat.com/bh-us-10/whitepapers/Nohl/BlackHat-USA-2010-Nohl-Attacking.Phone.Privacy-wp.pdf+Karsten+Nohl+Attacking+phone+privacy&cd=1&hl=en&ct=clnk&client=opera хакеры сделали взлом шифра делом не месяцев, но секунд: Нол заявлял о 5 секундах на двух графических процессорах (GPU). На четырехъядерном Phenom II без использования GPU шифр взламывается за полторы минуты.
Для приема сигналов из эфира используется открытая утилита AirProbe, которая поддерживает широко распространенные компьютерные радиоинтерфейсы USRP.
Не вдаваясь в подробности схемы взлома и принципов шифрования, скажем, что представленная хакерами атака основана на уязвимостях алгоритма A5/1 и благодаря сравнительно небольшой длине ключа (64 бит) может быть осуществлена подбором по специальным криптографическим таблицам («радужные таблицы», rainbow tables). Эти таблицы составляются заранее, они очень объемные (1,7 ТБ) и распространяются в торрентах. Для того чтобы установить при помощи таблиц секретный ключ, которым шифруется разговор, используется открытое ПО Kraken, недавно представленное энтузиастами.
«Радужные таблицы на самом деле представляют собой набор значений, с ними вы можете определить состояние шифра по фрагменту зашифрованного потока. Таблицы очень сильно сжаты и не содержат всех вариантов состояний шифра (на это ушли бы петабайты - прим. авт.), но этого количества достаточно для того, чтобы при некотором объеме известного шифрованного потока была вероятность (для нынешних таблиц она составляет 90% - прим. авт.) вычленения секретного ключа», - рассказывает ET CETERA норвежский хакер Фрэнк Стивенсон, один из создателей Kraken и участников группы по взлому A5/1. Кстати, он в свое время занимался взломом системы шифрования контента на DVD (CSS).
«Kraken при помощи таблиц может взломать секретный ключ шифрования разговора или SMS за минуты или секунды - при использовании достаточно быстрых накопителей (SSD)», - отмечает он.
При этом, в отличие от предыдущего варианта взлома, злоумышленнику достаточно работать в пассивном режиме, просто «отслушивая» эфир, - его обнаружение значительно усложняется. Пользователь не получает никаких предупреждений, однако разговоры и SMS могут быть перехвачены и записаны. Причем как постфактум, так и, по сути, в режиме реального времени - все зависит лишь от мощности используемых систем.
«Я знаю, что с помощью Kraken и доработанного телефона за 20 евро перехватывались SMS-сообщения [...]. На самом деле, коммерческое оборудование для перехвата звонков было доступно для силовых структур и других организаций, которые способны были за него заплатить. Этот «секретный рынок» своим существованием был обязан лишь пользователям GSM, которые считали стандарт достаточно защищенным. На Blackhat 2010 Карстен Нол публично продемонстрировал, как можно перехватывать звонки при помощи Kraken. Кстати, похожая демонстрация проводилась и в 2008 году, но тогда таблицы попали только на «секретный рынок». Мы открыли код и таблицы для всех и считаем, что это заставит GSM-операторов усовершенствовать систему безопасности и тем самым уничтожить рынок устройств для перехвата GSM, в том числе - наших собственных», - рассказывает Стивенсон.
«Проект по A5/1 завершен, мы достигли нашей цели - донесли до общественности, что A5/1 легко взломать. Над частью проекта по взаимодействию с радиоэфиром, AirProbe, еще предстоит поработать, но я уже не уверен, что буду участвовать в этом. Наша цель - показать простоту взлома, а не способствовать широкому распространению инструментов для нелегальной прослушки», - отмечает специалист. Впрочем, «результаты проекта представлены в открытом доступе, любой желающий может использовать код и таблицы для коммерческих целей».
Как же защититься от возможного перехвата по этому методу? Перейти на A5/3 и/или хорошо настроить сеть оператора. Впрочем, и здесь панацеи нет: на любой щит найдется меч покрепче, и комбинация двух методов в руках технологически подкованного злоумышленника может обойти и это препятствие. «A5/3 пока видится невзламываемым при помощи радужных таблиц. Но вы можете одурачить телефон с помощью фальшивой базовой станции, переключить телефон на шифрование в режиме A5/1 тем же ключом. Если вы взломаете этот ключ, то сможете с его помощью расшифровать и звонки, защищенные А5/3», - рассказывает Фрэнк Стивенсон.
В своем докладе Карстен Нол отмечает, что в случае перемешивания известных фрагментов текста при обмене зашифрованными данными нынешние системы взлома алгоритма А5/1 перестанут работать. Однако даже этот подход, несмотря на то, что требуется внести не слишком существенные изменения в работу базовых станций, пока не внедрен широко. А на устойчивый к взлому шифр A5/3, по словам Нола, до сих пор не переключился ни один из крупных операторов из-за высокой стоимости данного перехода. Впрочем, как сообщили источники ET CETERA, вопрос не столько в деньгах, сколько в слабой поддержке этого формата пользовательским оборудованием.
Правовой вопрос
Для того чтобы охладить пыл чересчур ретивых энтузиастов, сообщим, что Уголовный кодекс Республики Беларусь вполне однозначно трактует «эксперименты» с перехватом GSM-трафика: «1) Умышленное незаконное нарушение тайны переписки, телефонных или иных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается общественными работами, или штрафом, или исправительными работами на срок до одного года, или арестом на срок до трех месяцев. 2) То же деяние, совершенное с использованием специальных технических средств, предназначенных для негласного получения информации, либо должностным лицом с использованием своих служебных полномочий, наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок до шести месяцев, или лишением свободы на срок до двух лет» (Статья 203. Нарушение тайны переписки, телефонных переговоров, телеграфных или иных сообщений).
Важно помнить и о статье УК РБ 353 «Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети», где сказано, что «изготовление с целью сбыта либо сбыт специальных программных или аппаратных средств для получения неправомерного доступа к защищенной компьютерной системе или сети наказываются штрафом, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет».
Кроме того, если незаконное прослушивание будет связано с нарушением нормальной работы GSM-сети оператора (при использовании фальшивой базовой станции), то внедрение в сеть можно будет классифицировать как «компьютерный саботаж» (статья УК 351) с мерой пресечения до 10 лет (!) лишения свободы.
Так что, прежде чем интересоваться предметом статьи с практической целью (наверняка еще и этически сомнительной), подумайте десять раз. И откажитесь.
Точки над «i»
Защита сетей GSM скомпрометирована, и новейшие разработки делают возможным ее обход даже для специалистов среднего класса, причем со сравнительно малыми затратами.
Впрочем, пока на территории нашей страны и сопредельных государств громких случаев, связанных с «прослушкой», не случалось (да и «негромких» наши источники в сотовых компаниях припомнить не смогли). Специальные службы не нуждаются в обходе шифрования по понятным причинам, а другие организации и частные лица, вероятно, обходятся менее технологичными способами получения интересующей информации. Да и вряд ли кто-то готов доверить телефону действительно ценную информацию, а раз так, то и практическая ценность сотового перехвата резко снижается.
Современные 3G-сети и LTE-сети из ближайшего будущего гораздо лучше защищены от перехвата, чем их 2G-предшественницы. Более того, в 2G-сетях проблемы защиты можно решить за счет внедрения новых технологий (алгоритм шифрования A5/3, более защищенные алгоритмы аутентификации, патчи для усиления протокола А5/1), а также принудительного шифрования данных и отказа от голосового канала (использование Skype, VPN-каналов на базе технологий GPRS/EDGE).
Один из источников в среде операторов мобильной связи высказал предположение, что деятельность GSM-хакеров и ее массовое освещение лоббируют производители оборудования для сетей связи, тем самым подстегивая операторов к обновлению парка «железа» и смене алгоритмов шифрования.
Нужно ли опасаться возможной угрозы приватности абонентам сетей сотовой связи? Нет. Разговоры о здоровье вашей бабушки и обсуждение списка покупок с супругой вряд ли заинтересуют злоумышленников. А если вы занимаетесь чем-то противоправным, то у компетентных органов найдется возможность отследить вас без использования «любительских» технологий, описанных выше.
Поэтому пользуйтесь связью и ничего не бойтесь. Но и смысла фразы «это не телефонный разговор» забывать не следует: даже у стен есть уши, а уж в радиоэфире «ушей» тьма.