Як зловмисники і спецслужби прослуховують ваші розмови

Минулого разу ми зупинилися на тому, що існує легенда про «перехоплення ключів з ефіру» - мовляв, можна зробити клон SIM-карти, навіть не маючи до неї фізичного доступу. Нехай навіть і тимчасовий клон. Однак ключ Ki зберігається тільки в SIM-карті і базі даних оператора - і нікуди ніколи не передається. У чому ж сіль?

Теоретично, звичайно, зловмисник може встановити фейковий базову станцію з потужним сигналом і імітувати від її імені запити на генерацію відповіді SRES, відправляючи різні варіанти випадкового числа RAND (якщо ви встигли призабути, що означають ці терміни, варто почитати першу частину цього серіалу ). Таким чином він зможе в кінцевому підсумку обчислити Ki методом криптоаналізу - точно так само, як якщо б у нього був фізичний доступ до SIM-картки.

Однак цей спосіб досить складний в тому сенсі, що криптоаналіз займає певний час і вимагає великої кількості запитів - за цей час абонент цілком може піти від підробленої базової станції, і зловмиснику доведеться бігати за ним з валізкою. Втім, якщо мова йде про цілеспрямовану атаку на конкретного абонента, то встановити таке обладнання на ніч поруч з його помешканням цілком можна - питання тільки в версії алгоритму шифрування: якщо це досить захищений COMP128v2, то може і не вийти.

Насправді «ефірні» атаки мають за мету в першу чергу прослуховування розмов. Як ми пам'ятаємо, весь ефір шифрується (крім випадків примусового відключення шифрування на час операцій спецслужб), щоб не можна було просто так взяти і отримати доступ до чужої розмови. Для цього використовується алгоритм A5 з 64-бітовим ключем. Він існує в двох версіях: більш складної A5 / 1 і простіший A5 / 2, де немає обмежень на експорт до країн ймовірного противника (ви, напевно, здогадалися, чи входить в цей список Росія).

При цьому навіть в A5 / 1 ключ насправді не 64-бітний, а 54-бітний, тому що перші 10 біт ключа завжди нульові - заради простоти. А протокол A5 / 2 спеціально зроблений таким чином, щоб спецслужбам, які працюють на території інших країн, було легко його розкрити.

Раніше злом A5 / 1 був можливий тільки шляхом перебору ключів на вже записаних файлах і займав настільки багато часу, що до моменту розшифровки передана інформація з великою часткою ймовірності втрачала б актуальність. На сучасних комп'ютерах (вірніше, вже навіть не сучасних - метод злому був показаний в 2010 році) це відбувається за кілька секунд за допомогою так званих райдужних таблиць, які дозволяють швидко підібрати потрібний ключ. Самі таблиці займають близько 1,7 ТБ: сьогодні швидкі SSD-накопичувачі достатньою для їх розміщення ємності легкодоступні і порівняно дешеві.

При цьому зловмисник працює повністю в пасивному режимі, нічого не передаючи в ефір, завдяки чому його практично неможливо виявити. А потрібні для цього всього лише програма Kraken з райдужними таблицями, потужний ноутбук і трохи модифікований телефон системи «Нокія-з-ліхтариком»: після цього можна слухати всіх підряд і читати чужі SMS-повідомлення, а також блокувати їх проходження або видозмінювати їх вміст ( черговий привіт всім, хто вважає двухфакторную аутентифікацію одноразовими паролями по SMS неймовірно надійним способом захисту).

Крім того, наявність ключа дозволяє перехоплювати дзвінки, видаючи себе за жертву. І нарешті, вишенька на торті: динамічне клонування. Зловмисник ініціює запит вихідного дзвінка в мережу одночасно з сесією радіозв'язку з жертвою. Коли мережа надсилає запит на авторизацію, атакуючий перенаправляє його жертві, отримує відповідь і пересилає його в мережу, при цьому отримуючи можливість обчислити і ключ Kc. Тепер можна закрити сесію з жертвою і продовжити власну сесію з мережею.

Це дозволяє здійснювати дзвінки за рахунок жертви, а також виконувати інші дії - наприклад, відправку SMS на короткі номери для списання невеликих сум з рахунку (з подальшим виведенням через партнерські програми контент-провайдерів). Саме так була реалізована та легендарна атака в Москві, коли зловмисники в мікроавтобусі приїжджали в людне місце і масово створювали подібні «тимчасові клони» для списання невеликих сум.

Довгий час вони залишалися непоміченими - з точки зору мережі дії відбувалися абсолютно легітимними абонентами, - і обчислити їх вдалося лише по великій кількості запитів одного і того ж платного контенту від різних абонентів в зоні дії однієї і тієї ж базової станції.

Для шифрування пакетного трафіку (GPRS / EDGE) використовується інший ключ Kc (не той, що для голосу), який вираховується, однак, за аналогічними алгоритмами GPRS-A5, він же GEA (GPRS Encryption Algorithm): вони іменуються GEA1, GEA2 і GEA3. Так що перехопити можна і трафік мобільного Інтернету. Втім, зараз, коли для його передачі використовуються переважно мережі 3G і LTE, ця проблема перестала бути настільки актуальною. З іншого боку, передачу даних в 2G - через дешевизну «заліза» - як і раніше використовують багато телематические пристрої, в тому числі, наприклад, банкомати, платіжні термінали і так далі.

Захиститися від подібних атак можна було б переходом на більш сучасний алгоритм шифрування A5 / 3, яка не зламується за допомогою райдужних таблиць. Однак оператори не поспішають цього робити: по-перше, це коштує грошей і не приносить додаткового доходу (тобто потрібно витратити гроші інвесторів на щось неприбуткове - це мало хто любить). По-друге, у великій кількості мобільних телефонів алгоритм A5 / 3 або не реалізований взагалі, або реалізований некоректно, що викликає збої при роботі.

По-третє, реалізація A5 / 3 ніяк не заважає прослуховувати розмови за допомогою фейковий базової станції, яка може примусово змусити телефон використовувати менш складний алгоритм, що дозволить отримати ключ (а ключ у всіх алгоритмах один і той же!). Коли так, то навіщо докладати зайвих зусиль? По-четверте, це дорого. По-п'яте, це дорого.

Втім, все атаки, про які ми розповіли, потихеньку стають вчорашнім днем. У найближчому майбутньому класичні SIM-карти поступляться місцем віртуальним SIM і eSIM , В яких вирішена частина проблем з безпекою.