Особенности национальной забавы

(Август 2005)

Евреи были чуть ли не главной тайной Советского Союза. Может быть, только половую жизнь скрывали с еще большим усердием. И то, и другое могло существовать только в сфере стыдливого умолчания.
<…> Этой нации сопутствует сложный комплекс мифов. Умные, богатые, хитрые, энергичные, сплоченные, но главное — другие. Евреи — это те, кто заставляет всех остальных определить свое отношение к ним.
(Петр Вайль и Александр Генис, “60-е. Мир советского человека”)

israhack

В начале 1960-х годов, когда на волне хрущевской оттепели советские евреи пытались пробить стену молчаливого государственного антисемитизма и начали борьбу за национальную самоидентификацию, одним из важнейших орудий оказалась статистика.

Именно тогда, в 1963 году, впервые выяснилось, что 108 Героев Советского Союза были евреями. Даже в абсолютных цифрах получалось, что по храбрости сравнительно небольшая еврейская нация занимает в стране 4-е место.

По числу научных работников евреи занимали третье место, а по количеству казненных за экономические преступления — так и вообще первое.

(Номер польской газеты на идиш “Фолксштимме” от 18.04.63, где впервые были опубликованы эти данные, стал бестселлером еврейского самиздата.)

* *

Столь неожиданное для компьютерного журнала начало понадобилось по единственной, в общем-то, причине.

Главным итогом национальной самоидентификации евреев в застойном “брежневском” СССР стал, можно сказать, массовый их отъезд в Израиль, где последние полвека в наиболее ярких формах и цветут характерные особенности этого народа.

Данная же статья посвящена израильским хакерам. Но не всяким там криминальным элементам, хотя и по этому разряду имеются довольно колоритные материалы. Речь пойдет о “хакерах настоящих” — знающих, талантливых, настойчивых (можно даже сказать настырных) профессионалах, отыскивающих на удивление эффектные решения для весьма нетривиальных проблем [1].

Вряд ли тут можно подсчитать точные цифры, но и без них достаточно очевидно, что на сегодняшний день в области защиты информации наиболее интересные работы чаще всего оказываются сделаны хакерами Израиля. Почему это так — не знает никто, но, видимо, здесь проявляется еще одна из ярких граней загадочной еврейской нации.

Шум со смыслом

Начать обзор вполне естественно с профессора Ади Шамира, самого знаменитого криптографа земли израильской. Про этого математика и компьютерщика так или иначе знает каждый, кто хоть что-то слышал о популярнейшем криптоалгоритме RSA, потому что буква “S” здесь — это Shamir (остальные буквы соответствуют Рону Райвесту и Лену Адлеману, американским коллегам по Массачусетскому технологическому институту, где Шамир стажировался после защиты докторской диссертации в конце 1970-х).

За прошедшие с той поры годы Шамир внес очень заметный вклад в развитие мировой открытой криптографии, однако для нас представляет интерес не перечень его выдающихся научных заслуг, а одно из сугубо практических исследований ученого, посвященное безопасности ПК. В прошлом (2004) году Шамир и Эран Тромер, его более молодой коллега по Вейцмановскому институту (г. Реховот), опубликовали неординарную работу об экзотическом — акустическом — способе дистанционного съема секретной информации с обрабатывающего ее компьютера [2].

Побочные каналы компрометации (т.е. утечек информации) давно интересуют специалистов по безопасности. Но такого рода исследования ведутся, главным образом, в недрах секретных спецслужб, поэтому о степени этой угрозы публике мало что известно.

Лишь в тех случаях, когда за изучение проблемы берутся в университетских лабораториях или коммерческих фирмах, удается получить пусть и не целостное, но хотя бы фрагментарное представление о реальных возможностях современных технологий шпионажа.

За последние лет 20 опубликован целый ряд заметных работ, описывающих такие вещи, как эффективный перехват утечек по каналам электромагнитных побочных излучений, таймерные атаки (восстановление секретов по временам отклика криптопрограммы), анализ электропитания, снятие информации по мерцанию катодно-лучевых трубок и светодиодов аппаратуры.

Но до Шамира и Тромера практически никто в открытом академическом сообществе всерьез не занимался наиболее древним каналом утечек — акустическими излучениями. Хотя известно, что британская спецслужба MI5, к примеру, еще в 1950-е годы получила доступ к секретной переписке МИД Египта в период суэцкого кризиса, анализируя звуки работы механического шифратора в египетском посольстве в Лондоне.

Считалось, что для электронного оборудования подобные методы неактуальны. Однако даже неглубокий первичный анализ акустических сигналов, порождаемых при работе персонального компьютера, убедительно продемонстрировал израильтянам, что звук является на удивление богатым источником информации о работе процессора.

В работе Шамира и Тромера, описывающей общую концепцию аналитического подхода и базовые эксперименты, показано, что даже с помощью доступного недорого оборудования (микрофон, программа спектрального анализа сигналов, звуковая карта) в принципе удается выделять в звуках работы ПК такие критичные элементы, как формирование цифровой подписи и работу с криптоключами алгоритма RSA в стандартной программе шифрования (GnuPG).

Трудно сказать, насколько здесь повлияло то, что Ади Шамир является одним из соавторов RSA, но ученым удалось убедительно показать, как конкретные криптооперации процессора демонстрируют вполне характерные акустические сигнатуры в спектре звукового сигнала от ПК.

Acoustic-crypto

Более того, есть возможность без труда выделять раздельные этапы возведения в степень больших чисел (модулей p и q), лежащих в основе стойкости криптоалгоритма. А как было показано в предыдущих аналитических работах других авторов, этих данных иногда бывает достаточно для восстановления самих значений p и q, т.е. для вскрытия ключа.

Развивая полученные результаты, ученые научились выделять различные спектральные участки, характеризующие конкретные операции процессора, такие как “стоп”, умножение или доступ к кэшам памяти.

В поисках путей для блокирования звуковых компрометирующих излучений, Шамир и Тромер показали, что, к примеру, обрабатывая блок конденсаторов, расположенных рядом с ЦПУ, обильной дозой спрея-заморозки (охлаждение локальных зон до -48°C) на некоторое время удается практически полностью погасить утечки информации по всему спектру звуковых частот.

Телефонные хитрости

Другой очень заметный “хакерский” результат — в области безопасности GSM — получен недавно близким коллегой Шамира, профессором-криптографом Эли Бихамом из института Technion (г. Хайфа) и его аспирантами, Эладом Барканом и Натаном Келлером.

На рубеже 1980-90-х годов Эли Бихам и Ади Шамир сделали очень важное открытие, получившее название “метод дифференциального анализа” блочных шифров. Это метод ныне является основным инструментом всех криптографов при исследовании стойкости алгоритмов шифрования.

В середине 90-х, правда, стало известно, что криптографы IBM открыли эту методику еще в начале 1970-х годов, когда создавали алгоритм DES, однако были вынуждены ее засекретить по настоянию Агентства национальной безопасности США (в АНБ данная эффективная техника анализа в ту пору уже применялась и считалась абсолютно неприемлемой для открытой публикации).

Все эти подробности приводятся здесь по той причине, что недавняя история со взломом израильтянами GSM — это в сущности своей повторение того же самого сценария.

Спецслужбы знают об этом методе компрометации давным-давно и, более того, сами же заложили, похоже, в криптографию GSM тайные слабости для последующего облегчения своей работы (как это было с принудительным сокращением длины ключа DES с первоначальных 128 до 56 битов).

Phone records data

Во всяком случае, стараниями независимых исследователей уже к концу 1990-х годов было достоверно установлено, что стандарт GSM создавался при непосредственном участии западноевропейских спецслужб и имеет в криптосхеме целый ряд искусственно внесенных ослаблений.

Кое-что из этих слабостей уже давно пошло в дело — на черном и сером рынках появились услуги по клонированию SIM-карточек, к примеру. Однако эфирное прослушивание переговоров по GSM, а тем более взлом шифрованной связи, казались делом чрезвычайно сложным и недоступным для посторонних.

Но казалось так лишь до тех пор, пока Баркан, Бихам и Келлер не отыскали серьезнейшую, неведомую прежде слабость в системе защиты GSM и не показали, что эту брешь можно весьма эффективно эксплуатировать для проведения самых разных атак — от тривиального прослушивания разговоров до подделки SMS или динамического клонирования телефонов жертв по эфирному сигналу.

Более-менее подробное разъяснение сути проделанной израильтянами работы выходит очень далеко за рамки формата данного издания, поэтому здесь ограничимся лишь изложением двух главных результатов.

Для их понимания надо знать, что в телефонах GSM встроенный алгоритм шифрования A5 реализован в нескольких вариантах разной стойкости, причем для двух основных приняты условные названия A5/1 (сильный) и A5/2 (слабый) [3].

Первый результат касается чисто пассивного перехвата. Исследователями показано, что алгоритм A5/2 легко может быть вскрыт в реальном масштабе времени просто по шифрованному сигналу, на основе пассивного прослушивания.

Это оказалось возможным по той причине, что в GSM исправляющий ошибки код применяется к сигналу до зашифрования. Но код защиты от возможных сбоев и искажений вносит в сигнал большую избыточность. По этой причине определенная часть входных данных, поступающих на шифрование (пакеты служебной информации), становится известна атакующей стороне заранее, еще до начала собственно телефонных разговоров.

Благодаря знанию этих фрагментов открытого текста, ключ, как выяснилось, можно мгновенно вскрывать уже на этапе звонка вызова и далее слушать “засекреченный” разговор абсолютно без проблем.

Второй результат относится к методу активных атак. При таком подходе оказывается возможным вскрывать и все прочие шифрованные звонки по GSM, опирающиеся на более сильные алгоритмы A5/1 или A5/3.

Здесь для взлома использован выявленный дефект в протоколе, когда процесс генерации сеансового ключа не зависит от того, какой выбран алгоритм засекречивания, сильный или слабый.

Поэтому становится возможным сначала организовать атаку с вынуждением телефона-жертвы применить слабый шифр A5/2, узнать благодаря этому внутренний секретный ключ мобильника, а впоследствии этот же самый ключ будет применяться в шифрованных звонках с сильным криптоалгоритмом A5/1 или A5/3.

Иными словами, злоумышленнику вовсе нет нужды напрягаться со вскрытием тяжелых для взлома шифров, поскольку есть сравнительно простой способ обмануть телефон, понизить порог секретности и заставить его самого выдать свои тайны.

Вскоре после этих открытий израильских криптографов выяснилось, что именно на слабостях криптосхемы и протокола GSM основана работа аппаратуры “IMSI-catcher” [4], применяемой спецслужбами и правоохранительными органами для негласного прослушивания мобильных телефонов.

Поскольку мобильник автоматически настраивается на самый сильный сигнал ближайшей базовой станции, прибор IMSI-catcher подгоняется поближе к “объекту” и выдает себя за базовую станцию. Все дальнейшие переговоры идут через этого “прокси-посредника”, который, среди прочего, управляет и выбором криптоалгоритма в телефоне.

Тонкости протокола

Следующая работа — совсем свежая, представлена в июне на международной конференции MobiSys-2005 и посвящена слабостям технологии беспроводной связи Bluetooth [5].

Авторы исследования, профессор Тель-Авивского университета Авишай Вул и его аспирант Янив Шакед, сумели найти мощный метод восстановления секретного PIN-кода, посредством которого Bluetooth-устройства спариваются для защищенных, как принято считать, коммуникаций.

shaked-wool
Янив Шакед и Авишай Вул

Так называемое “спаривание” (Pairing) является весьма важным элементом Bluetooth. Это наиболее надежный и безопасный способ связывания двух устройств, поскольку они совместно генерируют общий секрет (криптоключ) с помощью которого формируется шифрованный канал для всех последующих обменов информацией.

Благодаря спариванию, к примеру, связь между сотовым телефоном и прикреплямой к уху владельца Bluetooth-гарнитуруй защищена от каких-либо посторонних вмешательств. Впрочем, точнее следовало бы сказать “предполагается защищенной”.

Согласно исходным спецификациям Bluetooth, длина PIN-кода, обеспечивающего безопасность коммуникаций, может иметь произвольную длину от 8 до 128 битов. К сожалению, изготовители Bluetooth-устройств почему-то договорились сделать общим стандартом коротенький PIN из четырех десятичных цифр, который ныне и реализован почти всюду.

Как показали Шакед и Вул, созданная ими методика позволяет взламывать этот 4-значный PIN практически моментально, всего за 0,3 секунды, даже на стареньком компьютере Pentium III 450 МГц. А современная машина с 3-гигагерцевым Pentium IV ту же задачу решает еще на порядок быстрее — менее чем за 0,06 секунды. И беда тут не только в короткой длине PIN, но и в слабостях самого протокола спаривания.

В самом кратком изложении, суть “еврейского bt-хака” такова. Деликатная процедура спаривания устройств, как известно, проводится в самом начале и всего один раз. Крайне желательно, чтобы делалось это в безопасном месте, недоступном для вражеского перехвата.

Сначала в оба устройства вводится один общий PIN-код, а затем они сами обмениваются результатами довольно замысловатых математических вычислений и вырабатывают совместный секретный ключ длиной 128 бит. Который затем сохраняют для всех последующих шифрсеансов связи друг с другом.

В прошлом году, правда, уже было продемонстрировано, что если процедуру спаривания перехватить и записать, то в принципе последующий анализ позволяет за приемлемое время восстановить и криптоключ, и PIN-код, а значит — получить доступ к устройствам. Но, собственно, именно поэтому одноразовый процесс спаривания настоятельно и рекомендуют проводить в безопасном месте.

Увы, как выяснили Шакед и Вул, в рекомендации этой проку, в общем-то, очень мало. Потому что в действительности два Bluetooth-устройства в любой подходящий момент можно принудительно заставить повторять процедуру спаривания, инициируя весьма чувствительный к компрометации обмен информацией.

Чтобы это сделать, злоумышленник сначала узнает персональный идентификатор одного из устройств — что очень просто, поскольку все Bluetooth-аппараты по самой природе транслируют свой ID любому “соплеменнику”, оказавшемуся в пределах радиодосягаемости.

А затем на второе устройство от имени первого отправляется подделанная служебная команда с запросом на обновление криптоключа (ибо такая команда в протоколе существует). Иначе говоря, злодей, притворяясь первым устройством, делает вид, что старый криптоключ по какой-то причине утрачен, а потому второе устройство тоже его сбрасывает, и автоматически начинается новая процедура спаривания.

Владельцы устройств ничего не подозревают, а находящийся в пределах радиодосягаемости злоумышленник теперь уже наверняка может перехватить сеанс, после чего восстановить все секреты и делать с ними что угодно: расшифровывать засекреченную связь, похищать хранимую информацию или, скажем, делать бесплатные звонки с чужого телефона.

В комбинации с дальнодействующим прибором перехвата BlueSniper, продемонстрированном американскими хакерами в прошлом году и увеличивающим расстояние Bluetooth-радиодоступа на два порядка — с 15 м до 1,5 км, — метод Шакеда и Вула представляет немалую проблему для безопасности Bluetooth.

Остается надеяться, что индустрия обратит внимание на столь серьезные предупреждения и усилит защиту технологии.

blue-sniper
BlueSniper, устройство дальнего bt-доступа с направленной антенной (разработка фирмы Flexilis, США)

[СНОСКИ]

[1] Величайшим “хаком” всех времен и народов, по результатам большого интернет-опроса, признана американская операция спасения “Аполлона-13”. На пути к Луне у корабля взорвался резервуар с кислородом, и инженеры центра управления полетом сумели так перерасчитать траекторию корабля, что, несмотря на полную безнадежность ситуации, членов экипажа все же удалось вернуть живыми на Землю.

[2] http://cs.tau.ac.il/~tromer/acoustic/ec04rump/

[3] Известны также варианты A5/0 (лишь видимость шифрования) и A5/3 (новый сильный), но они распространены значительно меньше.

[4] В вольном переводе на русский “ловец идентификатора мобильного абонента”.

[5] http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/