div.main {margin-left: 20pt; margin-right: 20pt}Говорите
громче, вас прослушивают
"Все больше людей нашу
тайну хранит..."
В.
Вишневский
На вашем счету появилась сумма, намного превышающую реально
потраченную на переговоры по мобильному телефону? Содержание
Ваших, строго конфиденциальных разговоров стало известно
посторонним людям? Абонентам сотовых сетей иногда приходиться
отвечать на эти вопросы утвердительно. Причины таких явлений
кроются в несовершенстве защиты сотовой связи от
злоумышленников, которые, применяя различные способы - от
математических до организационных, эту защиту преодолевают.
О специфически российских проблемах с GSM и попытках их
решения рассказывает Алексей Волчков, технический директор
компании "МТК-Мобайл.
- Сейчас на нашем рынке мобильной связи представлены три
системы. Это: AMPS/DAMPS (американский стандарт; AMPS -
аналоговый, а DAMPS - его цифровое расширение), GSM 900/1800 и
CDMA.
Примерно в том же порядке - DAMPS, GSM, CDMA - системы
появлялись на нашем рынке, и в том же порядке можно их
перечислить, имея в виду изначальную (заложенную в стандарты)
степень защищенности: AMPS/DAMPS - самая низкая, GSM - средняя
и CDMA - самая высокая.
Криптография используется в мобильной связи не только
для защиты от прослушивания, но и для аутентификации, для
защиты от "клонирования", и, может быть, клиентам сейчас это
последнее более интересно?
- Да, но начнем с защиты от подслушивания. Для того чтобы
перехватывать сообщения в стандарте AMPS/DAMPS, достаточно
очень дешевого оборудования, цена которого сопоставима с ценой
сотового телефона. Для перехвата сообщений в формате GSM нужна
более изощренная техника, которая на порядок дороже, но и она
по карману, скажем так, среднему человеку. А для перехвата
сообщений в стандарте CDMA нужно оборудование, стоимость
которого фактически эквивалентна стоимости базовой станции, то
есть выходит на запредельный для рядового человека уровень
цен.
У сотового телефона, работающего в любом стандарте, обычно
есть функция Security option или Voice encryption. Что она
означает? Только то, что ваш разговор - на участке от телефона
до базовой станции - будет зашифрован (или, если хотите,
"закодирован") с использованием алгоритма, специфицированного
для данного стандарта. Далее - от базовой станции до
коммутатора или до любого другого опорного пункта - разговор
шифроваться не будет. То есть по наземным каналам связь
осуществляется открытым текстом, и считается, что защита
предотвращает лишь перехват в эфире.
Ни у одного из российских операторов эта опция не включена,
что обусловлено как экспортными ограничениями, так и
ограничениями на использование этой техники у нас - в
частности, требованиями СОРМ.
Спецификации СОРМ предусматривают доступ от оператора.
Вроде бы на эфир это распространяться не должно, если у
субъектов ОРД все равно есть средства подключиться на земле.
Если есть возможность подключиться через оператора, зачем
слушать эфир?
- Вопрос сложный и интересный, но я не вполне компетентен,
чтобы ответить на него. По крайней мере, операторы, с которыми
я говорил, сказали, что им было "строго не рекомендовано"
использовать эту опцию, даже при наличии возможности
подключения через операторов.
Как примерно эта система устроена в GSM? В телефон с
программным обеспечением GSM ставится также программа
поддержки шифрования речевого трафика, которую условно можно
считать неким "криптомодулем". В ней используется технология a
lа открытое распределение ключей, только упрощенная:
происходит обмен данными с цифровой станцией, и в аппарате
формируется ключ. Считается, что, перехватив протокольный
трафик, восстановить ключ почти невозможно. Хотя этот алгоритм
не обладает высокой теоретической стойкостью, его практическая
стойкость достаточна.
Здесь - небольшое "лирическое отступление". Когда я работал
в государственных органах по защите информации, там был принят
такой ход. Если алгоритм уже проанализирован, реализован в
аппаратуре и используется и вдруг контрольный анализ выясняет,
что алгоритм в некоторых случаях нестойкий, из этого не
следует, что он снимается с эксплуатации. Просто проверяется,
в каких условиях эксплуатируется алгоритм. И если выясняется,
что реальные условия не соответствуют тем, в которых
проводился анализ, аналитику говорят: "Спасибо, что вы
получили такие оценки, но пока это не страшно".
Та же самая ситуация с GSM: система обладает "практической
стойкостью". Кроме того, если, как мы уже говорили, трафик от
базовых станций до операторов идет по кабелю в открытом виде,
то, наверное, не стоит чересчур заботиться о защите эфирного
канала.
То есть у атакующего всегда есть выбор: или "работать"
в эфире, или осуществлять физическое проникновение или
социально-инженерную атаку на оператора?..
- Да! Поэтому достаточно примерно сбалансировать
трудозатраты на вычленение информации из эфира и трудозатраты
на подключение к соответствующему кабелю и т. д. Таким образом
мы обеспечим во всех звеньях примерно одинаковый уровень
защиты. И это правильный подход, поскольку атака всегда
ведется на слабейшее звено системы.
Алгоритмы для защиты GSM разрабатывали в свое время
Motorola и другие производители оборудования. Была такая идея
(достаточно бредовая, с моей точки зрения): создать
отечественный алгоритм шифрования для GSM. Почему "бредовая"?
Она совершенно нормальная с точки зрения разработки самого
алгоритма и с точки зрения того, что он нужен. Но бредовость
состояла в том, что им снабжались бы только некоторые
телефоны, а поскольку опцию во всей сети поддерживать
достаточно трудно, это стало мертворожденной разработкой. Были
проведены работы с западными компаниями, потрачены деньги. И
телефон с защитой как таковой есть...
Это модифицированная GSM-карточка?
- Нет, это чип из телефонного чипсета, который содержит в
прошивке другой алгоритм. Что можно порекомендовать
пользователям, которые сильно нуждаются в защите телефонных
разговоров? - Только два решения.
Во-первых, предварительное шифрование: некоторая "накладка"
на телефон, которая осуществляет предварительное аналоговое
преобразование речи, передающейся в эфир. Мы знаем, что такие
системы нестойкие, но определенный уровень защиты они дают.
Это то, что называется "голосовой скрэмблер". Такие скрэмблеры
разработаны, в частности, немецкой фирмой Crypto AG, есть и
другие производители. Такие устройства предназначены для
конкретных моделей телефонов, поскольку связаны с
геометрической формой последних.
Второй способ: есть возможность изменить схему самого
телефона с внесением туда алгоритма уже цифрового шифрования.
Речь будет идти о шифровании "точка-точка".
Почему нужно менять схему? - Потому что, к сожалению, мы не
имеем возможности поставить шифратор после выхода цифры с
телефона. Современные телефоны сочетают в одном чипе и
речепреобразующее устройство, и вокодер, и обработчик
управляющих сигналов, то есть после того, как ваш голос прошел
через микросхему, выход является не просто оцифрованным
голосом, а его комбинацией с управляющими сигналами. Если вы
зашифруете весь этот цифровой трафик, вы просто не сможете
связаться, так как базовая станция вас не поймет.
Я обсуждал с отечественными компаниями стоимость такой
разработки. Я не берусь сказать, что это стопроцентно реальные
цифры и что можно стопроцентно достичь успеха, однако мой опыт
работы с этими компаниями показывает, что технически в 75-80%
случаев они достигают успеха, и по вопросам финансирования они
не ошибаются более чем в полтора раза. Стоимость разработки и
подготовки для массового производства такого устройства
оценивается в 10-15 тысяч долларов Если кто-то соберется
инвестировать такую сумму, то с большой вероятностью мы
достигнем успеха. То есть инвестор получит не только пару
модифицированных трубок, но и возможность выпускать их если не
серийно, то и не единичными экземплярами.
Реальная попытка организовать такое производство
встретит очень сильное сопротивление. Со стороны тех же
субъектов СОРМ, например?
- Безусловно. Тем, кто на это решится, придется пройти все
те же самые круги, что прошла в свое время фирма "Сигнал-КОМ",
сделавшая свой Voicecoder-2400. Сейчас, слава богу, они
получили лицензию, но мороки у них было, вообще говоря, очень
много.
Но на самом деле есть и третье решение, которое не
очень удачно с эргономической точки зрения. GSM позволяет
открыть цифровой канал "точка-точка" на 9600 бит/с, и этого
достаточно, чтобы использовать чисто программное средство. При
хорошем сжатии...
- Безусловно, есть такое "нетехнологичное" решение, когда
мы к телефону делаем еще некую приставку...
...Или возьмем ноутбук с модемом и PGPfone. Очень
неудобно, но - работает!
- Да, работает. Сейчас очень широкие возможности по защите
информации и аутентификации открывает IP-телефония. При ее
полной реализации в качестве абонентского устройства будет
выступать некий компьютер, и все эти вопросы можно будет
решать просто замечательно. Вопрос о кодировании IP-трафика
решен и теоретически, и практически во многих вариантах. То
есть, например, вы устанавливаете поверх IP-соединения
IPsec-ассоциацию, и поверх этого всего используете любой
протокол Internet-телефонии, и он становится защищенным.
Хорошо. Вернемся к "чистой" сотовой телефонии и ее
проблемам. Есть вопрос с аутентификацией. За последние три
года усиленным атакам подвергались все криптоалгоритмы,
используемые в GSM: и А3, и A8, и A5 в обеих своих
модификациях. В частности, был проделан весьма хороший анализ
A3, отвечающего за аутентификацию и защищающего телефон от
клонирования. Лабораторное клонирование GSM-телефона
продемонстрировано больше года назад, и это не секрет, а в
последнее время постоянно появляются сообщения о реализованных
"в поле" атаках...
- Я вам могу рассказать интересную вещь, не ссылаясь на
источники (меня не предупреждали о том, что ссылаться нельзя,
но и официального разрешения у меня нет). Система
аутентификации GSM может использоваться, в частности, и для
контроля за "чистотой" поставки трубок в страну, за
соблюдением правил производителя и правил импорта/экспорта. В
оборудовании GSM-оператора можно включить соответствующую
опцию и выяснить, какой телефон поставлен в страну легально, а
какой по "серым" каналам или вообще с нарушением таможенных
правил, то есть контрабандно...
А как же те, кто приехал в страну и включил
роуминг?
- Нет, роуминг при этом отделяется. Так вот, такие тесты
были проведены одновременно и независимо: если не ошибаюсь, на
юге США, в Турции, в Германии и где-то в районе Польши и
Чехословакии. Ситуация такая: дольше всех сеть функционировала
в Германии, а через полтора суток она и там "нагнулась" -
именно из-за того, что обнаружилось огромное количество
формально "нелегальных" абонентов, которые отключались один за
одним. Хотя, казалось бы, Германия - страна, где соблюдаются
таможенные правила... В общем, оказалось, что распространение
GSM-трубок по миру весьма и весьма "специфично"...
Что касается алгоритма аутентификации, в России
используется тот же самый алгоритм А3, но у российских
операторов изначально существует некоторое недоверие к фирмам,
поставляющим им телефоны. Не в том смысле, что фирмы их
обманут, а высокая оценка российских фрикеров. Считается, что
все, что "они там" придумают, здесь могут "обломать". Поэтому
каждый уважающий себя оператор, столкнувшись с проблемой
двойников, начинает решать эту проблему - только в сотовой
связи ее называют не аутентификацией, а авторизацией -
по-своему. И система начинает держаться не на том, что этот
метод какой-то накрученный или стойкий, а на том, что о нем
мало кто знает.
Выглядит это примерно так: есть центр, который может
производить авторизацию телефонов, он напрямую (по оптике или
еще как-то) связан с авторизующим оператором, подключает к
своему компьютеру телефон, и оператор "заливает" ему некоторую
информацию. Например, когда телефон впервые появляется в сети,
станция, увидев новый аппарат, начинает посылать ему некоторые
тригонометрические функции, на которые телефон должен "знать",
как ответить. Выполняется "рукопожатие"...
Но если использовать не тригонометрические функции, а
стойкий генератор случайных чисел, "рукопожатие" может быть
очень крепким, а схема - стойкой...
- Безусловно. Но на практике я могу рассказать, как это
решается. Вот такой пример: как "Фора-Телеком" решает проблему
авторизации в DAMPS-стандарте в Санкт-Петербурге. Я приезжаю с
телефоном в Петербург, заказав себе роуминг (хотя система
имеет разрешение на автоматический роуминг, автороуминга между
Москвой и Петербургом пока нет), звоню в абонентскую службу
(есть номера абонентской службы, по которым можно звонить
всегда) и говорю: я - такой-то, я приехал, и сообщаю пароль,
который выбрал для себя при заказе роуминга в Москве. Мне
сообщают, во-первых, мой петербургский номер, устанавливают
переадресацию с московского номера. А дальше говорят: ваш
ПИН-код - 12345. Для чего он нужен? Каждые полчаса мой телефон
отключается от сети, а дальше входящие звонки я буду
принимать, а исходящий я не смогу сделать, пока не наберу
спецпосылку и свой ПИН-код.
Но наивно думать, что, когда я приезжаю в Питер на
Московский вокзал или прилетаю в Пулково, меня не слушают по
эфиру. Там же поток людей, которые включают свои телефоны с
каждым поездом или рейсом...
- В общем, да. И у целого ряда операторов возникали
проблемы, когда они неожиданно обнаруживали у себя столько
роумеров... И сейчас речь идет даже не о клонировании, а о
том, что у некоторых - не буду называть - операторов
официально работает сто роуминговых номеров, а подключена -
вся тысяча... И противодействовать этому трудно, поскольку
формально нельзя "закрывать" роуминг так, как это делает та же
"Фора", это противоречит принципам.
Наконец, самый практический вопрос. Вот я - абонент той
или иной компании, и в один "прекрасный" момент вижу
овербиллинг. Похоже на двойника. Спрашивается, что нам (мне и
компании) делать со спорной суммой? Если была бы математически
стойкая аутентификация/авторизация, проанализированная
независимыми экспертами, можно было бы сказать: нет, такого не
может быть. А если появляются "секретные тригонометрические
функции", "ПИН-коды" и пр., то ведь может быть все что угодно,
вплоть до инсайдерского злоупотребления сотрудника компании,
который все эти секреты знает... Как быть, как решать спорные
моменты и куда вообще мы движемся в этом вопросе?
- Вопрос очень сложный и, скажу сразу, не имеет общего
решения. Тем более его формулировка может быть усложнена, если
(как это часто и происходит) продажа трафика ведется в
несколько ступеней: Оператор (оптовый продавец) -
Сервис-провайдер (оптовый покупатель) - Клиент (розничный
покупатель).
Могу сразу успокоить клиента, он практически никогда не
будет оплачивать двойников. Практически клиент оплачивает не
свой разговор только в случае, если этот разговор состоялся с
его аппарата (потерянного, украденного и т. д.) между моментом
пропажи аппарата и заявлением клиента о факте утраты аппарата.
Оплата спорной суммы может лечь как на сервис-провайдера, так
и на компанию.
Последние в свою очередь проводят внутреннее расследование
для выявления причины, по которой стало возможно появление
двойника. В любом случае официальных комментариев по вопросам
возможности появления двойников, частоты их появления и
причинам я дать не могу и сомневаюсь, что это сделает кто-то
еще.
|