Небезопасные удобства

(Июль 2011)

Все больше разных электронных устройств ныне оснащаются модулями GPS и GSM-связи. Дистанционное управление техникой благодаря этому становится чрезвычайно удобным и легким. Однако столь же легко технологией могут воспользоваться и злоумышленники.

ZOOMBAK-GPS-TRACKER

В первых числах августа (2011) в «городе греха» Лас-Вегасе традиционно проводится один из наиболее представительных хакерских форумов – конференция Black Hat USA. Среди множества интересных, как обычно, докладов нынешней конференции особо хотелось бы выделить презентацию американского исследователя Дона Бэйли (Don Bailey), в ходе которой он демонстрирует, помимо прочего, чудовищную небезопасность некоторых новейших противоугонных систем для автомобилей.

Такого рода системы ныне считаются последним словом противоугонной техники, поскольку позволяют не только постоянно отслеживать географическое местоположение автомобиля, но и дистанционно управлять его важными функциями. Например – заглушить мотор и запереть двери машины.

Однако другой стороной этих чудесных возможностей, как свидетельствует демонстрация Бэйли, является то, что всего лишь с помощью ноутбука и подходящей программы теперь можно открывать двери автомобиля и включать мотор, не имея вообще никаких ключей к данной машине.

Причем для того, чтобы все это осуществить, умельцам-хакерам даже не надо находиться вблизи автомобиля. По сути дела, контролировать функции машины злоумышленник может хоть с другого конца света, потому что управляющие команды в автомобиль поступают через сеть мобильной телефонной связи GSM в виде текстовых SMS-сообщений…

Дон Бэйли является главным консультантом по безопасности в американской фирме iSEC Partners с особыми интересами к специфическим «возможностям мониторинга» в сетях мобильной связи. За последнее время Бэйли успел обрести достаточно широкую известность благодаря своим исследованиям в области хакинга модулей GSM и GPS, обеспечивающих работу встроенных систем управления.

Нынешняя презентация Бэйли и его коллеги по iSEC Мэтта Солника (Matt Solnik) на конференции Black Hat в каком-то смысле является подведением итогов большой исследовательской работы и носит название «War Texting: Выявление и взаимодействие с устройствами, работающими в телефонной сети» [https://www.blackhat.com/html/bh-us-11/bh-us-11-briefings.html#Bailey].

Если охарактеризовать суть этой работы обобщенно и в нескольких словах, то Бэйли обнаружил метод, позволяющий ему не только отыскивать и выявлять в сетях мобильной связи определенные типы модулей GSM, встроенных во всевозможные устройства, но также определять точное географическое местоположение этих модулей по координатам от подсистемы GPS (если таковая имеется). Кроме того, он установил, что может посылать модулям и свои собственные команды, по сути дела, ставя подсистемы управления под собственный контроль.

Стартовым толчком для этого большого и много чего интересного выявившего исследования оказалась вполне рядовая бытовая история. После того, как некие воры несколько раз пытались украсть автомобиль у его друга, Дон Бэйли купил для него персональный GPS-локатор Zoombak. На крайний, что называется, случай – если похитителям все-таки удастся добиться своего, то владелец машины все равно смог бы отследить ее местоположение и вернуть назад.

zoombak_01

В реальных условиях этот гипотетический сценарий применять не пришлось, однако Бэйли с его пытливой натурой в результате получил возможность поковыряться в устройстве этого компактного приборчика. И после некоторого количества упражнений в хакинге обнаружил в «Зумбаке» весьма серьезные слабости с точки зрения безопасности.

В частности, он установил, что посторонний человек без особых проблем может отслеживать перемещения интересующего его устройства, подделывать сигнал идентификации от этого устройства для централизованной системы слежения Zoombak, и даже выявлять другие аналогичные устройства в своем непосредственном окружении.

Все это, надо подчеркнуть, отнюдь не маловажные проблемы, принимая во внимание тот факт, что персональный GPS-локатор позиционируется на рынке как устройство обеспечения безопасности. То есть как технология для отслеживания местоположения и перемещения тех объектов, которые могут оказаться в беде или быть украдены – типа автомобилей, велосипедов, домашних животных или даже детей.

Однако Бэйли установил, что будь он злоумышленником, то вполне смог бы сначала отыскать, где находится интересующий его объект, а затем убедить систему слежения в том, что объект находится там, где он скажет, а не где реально находится. В частности, он без проблем обманул систему Zoombak, заставив ее считать, что принадлежащее ему устройство находится уже в Афганистане, хотя на самом деле оно продолжало оставаться в США.

Если немного углубиться в техническую сторону этого хакинга, то Бэйли обнаружил, что GPS-локатор, по сути дела, представляет собой всего лишь микроконтроллер, управляемый через сеть GSM. Тогда Бэйли, опираясь на свои прошлые эксперименты с сотовыми сетями, разработал метод для отыскания такого рода устройств непосредственно через GSM и начал посылать им сообщения, опираясь на перехват тех сигналов, что сопровождали работу его собственного «Зумбака».

И вскоре убедился, что может отправлять другим устройствам такие SMS-сообщения, которые заставляют их отсылать свои данные на тот или иной произвольный IP-адрес. В частности, по команде хакера эти устройства стали отсылать ему свои GPS-координаты местоположения – с той периодичностью, какую он ни пожелает.

На первый взгляд может показаться, что выявить телефонный номер вполне конкретного GPS-локатора среди миллионов прочих номеров во множестве разных сетей просто-таки нереально сложно.

Однако в конкретном случае системы Zoombak, к примеру, Бэйли знал, что она работает исключительно через сеть T-Mobile. При этом биллинговый адрес для телефонного номера, привязанного к устройству, принадлежал компании, изготовившей прибор, а не конкретному владельцу GPS-локатора.

В базе данных об абонентах (caller ID database) все эти номера фигурировали как «неизвестные», что также существенно сокращало количество вариантов для устройств, которые он пытался отыскать в сети. В конечном же счете Бэйли установил, что может автоматически выявлять интересующие его устройства с внушительной долей успеха порядка 86 процентов.

Свою технологию исследователь назвал словосочетанием  «war texting» – трудно переводимым на адекватный русский язык, а в английском непосредственно выведенным  от названия  другой, более известной хакерской технологии «war driving». Так принято называть езду по городу в автомобиле, оснащенном компьютером, для выявления данных о доступности локальных беспроводных сетей. При подходе Бэйли для «боевой разведки» требуется не вождение машины (driving), а обзвон телефонных номеров тестовыми SMS-сообщениями (texting).

Одним из важнейших результатов в данных экспериментах исследователя стало то, что удалось обнаружить симптомы намного более широкомасштабной проблемы.  В последние годы доступ в мобильные сети связи стали встраивать в поразительное множество устройств – обеспечивая им таким образом дешевый и эффективный способ для двусторонних коммуникаций. При этом практически та же самая  архитектура, которая использована в персональных локаторах Zoombak, также применяется в широчайшем спектре самых разнообразных устройств иного рода.

Как выяснилось, через такие же GSM-модули работают противоугонные автомобильные системы, видеосистемы управления дорожным трафиком, системы управления и автоматизации домашнего хозяйства, системы безопасности на объектах водоснабжения, умные электрические счетчики, сенсоры и системы управления промышленными процессами (SCADA) и многое, многое другое.

Однако, согласно Бэйли, безопасность во всех этих случаях бралась в расчет в самую последнюю очередь, поэтому очень многие из данных устройств легко поддаются хакингу и злоупотреблениям. Иными словами, одна и та же слабость, характерная для всех этих систем, делает их чрезвычайно уязвимыми для простых и легко реализуемых атак.

Технологически, говорит Бэйли, здесь все сделано очень примитивно. Факты таковы, что подобного рода устройства можно поставить под свой контроль всего за пару часов – это действительно легко сделать.  Тут нет никаких средств обеспечения секретности или целостности, встроенных в систему. Казалось бы, в аппаратно-реализованных устройствах подобного рода никак не должно быть зияющих дыр, аналогичных известным SQL-инъекциям в программном обеспечении. Однако здесь обнаруживается именно такая картина. И это реальная опасность.

Слова про «пару часов» на хакинг – вовсе не красивый речевой оборот. После того, как Бэйли обнаружил фатальные слабости в архитектуре GSM-модуля Zoombak, они со своим коллегой по iSEC Мэттом Солником начали искать для такого же тестирования другие системы с аналогичной архитектурой безопасности. Исследователям понадобилось совсем немного времени, чтобы собрать богатый урожай.

Первыми же жертвами – по объяснимым причинам – стали специализированные системы для защиты автомашин. Бэйли уже знал, что в противоугонных автомобильных системах используются примерно такие же GSM-модули, поэтому он пошел и купил один такой аппарат для себя. И примерно через два часа после приобретения устройства они с приятелем уже могли делать с этой системой практически что угодно.

Попутно быстро выяснилось не только то, что архитектура системы в точности такая же, но и то, что никто из ее продающих не понимает, настолько она слаба с точки зрения безопасности. Что у злоумышленников имеется возможность не только полностью поставить GSM-модуль под свой контроль, но также контролировать работу и всех прочих подсистем машины, подключенных к этому модулю. При этом в конструкции имеется множество мест, где вполне можно было бы встроить средства безопасности и целостности. Однако ничего подобного изготовителями не сделано.

Для работы с мобильными «приложениями безопасности» в машине, смартфон автовладельца сначала соединяется с центральным сервером, а тот, в свою очередь, посылает «секретные числовые коды» машине для того, чтобы себя аутентифицировать и передать нужные команды. Так, во всяком случае, представляют надежность подобных систем те, кто их продает.

Однако исследователям iSec потребовалось всего около тех самых двух часов, чтобы выяснить, как перехватить радиосигналы между автомобилем и сетью, проанализировать сообщения, пересылаемые между сервером и машиной по мобильной сети, сделать обратную инженерную разработку применяемого протокола, а затем воспроизвести те же самые команды со своего ноутбука.

Как свидетельствует Бэйли, по мере того, как они с Солником углублялись в свое исследование, они со все большим изумлением обнаруживали, что ни автопроизводители, ни изготовители противоугонных средств даже не пытаются хоть как-то затруднить обратную инженерную разработку своих систем безопасности:

«Они не делают даже самых элементарных вещей, типа сокрытия маркировки чипов, которые используются в качестве микроконтроллеров. Я в буквальном смысле просто открыл коробочку корпуса, говорит Бэйли, и она тут же мне поведала, что здесь стоит чип ХХХ. Уже через две минуты у меня были все нужные спецификации, я знал, к каким портам подключаться и что дальше делать со всем этим хозяйством».

Бэйли пока не хочет раскрывать конкретных изготовителей тех двух (на сегодня) противоугонных автомобильных систем, которые  исследователи полностью скомпрометировали. По уже накопленному исследователями опыту можно уверенно предполагать, что и прочие подобные устройства в той же степени уязвимы для обратной инженерной разработки и злоупотреблений через GSM или другие каналы сотовой телефонной связи.

Хотя фирменные протоколы подобных систем безопасности по давней традиции никогда изготовителями не раскрываются, ныне атакующая сторона может легко ознакомиться с «секретными» аспектами в работе противоугонных устройств по тем сигналам, что проходят в телефонной сети. Как поясняет этот нюанс Бэйли,

«ныне, когда они интегрировали в свои системы модули GSM … они выставили, по сути дела, все свое хозяйство на всеобщее обозрение. И это серьезная проблема, потому что злоумышленники благодаря GSM теперь легко могут забраться к ним под капот».

По убеждению исследователей, продемонстрированный ими хакинг автомобильной сигнализации – это всего лишь крошечный фрагмент той огромной проблемы, что угрожает всем, кто оснащает свои системы управления GSM-модулями или аналогичными им устройствами для других систем сотовой связи:

«То, что нам удалось всего за пару часов возни с противоугонной системой, становится жуткой угрозой, если вы задумаетесь о других устройствах аналогичной конструкции – такие как SCADA-системы для управления промышленным производством или видеокамеры управления дорожным трафиком. То, насколько быстро злоумышленник способен сделать обратную инженерную разработку таких устройств, просто не может не испугать».

Чтобы подчеркнуть серьезность своего беспокойства, Бэйли уточняет, что уже имел возможность для первичного анализа целого ряда других устройств на предмет аналогичного хакинга (выявление в сети, перехват сигналов, спуфинг, захват управления). Одного лишь знания модулей, на основе которых они работают, и понимания их конструкции оказывается вполне достаточно, чтобы запускать типичную атаку типа war texting.

Не меньше беспокойства у исследователей вызывает и тот факт, что исправить сложившуюся ситуацию будет чрезвычайно непросто. Цитируя одно из интервью Бэйли:

«Это целая инфраструктура и она будет оставаться здесь еще долгое время. Им потребуется невероятно много усилий, чтобы изменить это таким образом, когда уже не удастся выявлять подобные системы в сети».

Причем выявление устройств – это лишь один аспект проблемы. Одновременно необходимо радикально улучшить и общую безопасность всех подобных устройств, обеспечив их адекватной криптографией и прочими средствами защиты.

По убеждению Бэйли, исправить ситуацию может только грамотный инжиниринг. Иначе говоря, на разработку надо ставить таких людей, которые уже на этапе создания способны тщательно проанализировать систему в отношении ключевых аспектов ее безопасности.

То есть сделать то, чего в настоящее время явно не делается.