( Июль 2023, idb@kiwiarxiv )
Не бывает людей здоровых, бывают недообследованные. Это циничное, но чаще всего и справедливое заключение врачей вполне применимо не только к нашему телу, но и к делам рук человеческих. Особенно в области защиты информации.
Знаменитая хакерская конференция Black Hat USA, традиционно устраиваемая во второй половине лета в городе Лас-Вегас, штат Невада, издавна славится докладами-бомбами, раскрывающими дефекты и слабости защиты очередной из известных систем связи или обработки информации. Не стал исключением и нынешний год, естественно.
Если не вмешаются могущественные внешние силы (что здесь вовсе не редкость), то 9 августа на сцене Black Hat должна быть устроена большая презентация, заранее объявленная под настораживающе расплывчатым названием Redacted Telecom Talk, то есть «Отредактированный доклад о телекоммуникациях».
Сами докладчики – в одном лице основатели и аналитики голландской фирмы инфобезопасности Midnight Blue – тему своей презентации описывают вкратце так:
Этот доклад предоставит подробный анализ известного стандарта систем связи, применяемых по всему миру правоохранительными органами, военными, службами критически важных инфраструктур в области энергетики, нефтегазовой индустрии, водоснабжения, транспорта и так далее.
В этом докладе мы обсудим несколько обнаруженных нами серьёзных уязвимостей стандарта, позволяющих устраивать практичные атаки перехвата и манипуляций данными – как для пассивных, так и для активных действий противника.
Доклад будет включать в себя демонстрацию возможностей перехвата связи, а также публикацию исследовательских материалов – для того, чтобы помочь индустрии кибербезопасности в проведении дальнейших исследований этого важного стандарта.
Под конец июля 2023, когда до начала конференции Black Hat остались две недели, журналисты СМИ получили возможность опубликовать дополнительную информацию об этой примечательной работе.
О том, в частности, что речь тут идёт о слабостях TETRA (TErrestrial Trunked Radio), широко распространённого стандарта цифровой спецсвязи полиции, пожарных, медиков, спасателей и так далее по длинному списку.
Плюс информацию о том, кто, когда и как всё это довольно скандальное дело с обратным восстановлением и анализом секретных схем/протоколов устроил, дав проекту название TETRA:BURST. И о том, наконец, сколь по-разному расценивают итоги данной работы официальные лица и независимые эксперты по инфобезопасности.
#
Команда TETRA:BURST : Carlo Meijer, Wouter Bokslag, Jos Wetzels
Героями всей этой истории являются трое голландских исследователей: Йос Ветцельс (33 года), Карло Мейер (34) и Воутер Бокслаг (35). Ранее они получили известность как хакеры, выявившие уязвимости в чипах Mifare, на основе которых работают бесконтактные пропуска и проездные карты общественного транспорта, а также в бортовых компьютерах и противоугонных системах-иммобилайзерах современных автомобилей.
Поскольку такого рода исследования, правильно донесённые до разработчиков и потребителей, позволяют существенно укреплять безопасность компьютерных систем, хакеры создали собственную консалтинговую фирму Midnight Blue. А действительно масштабным исследовательским проектом их фирмы и стало изучение инфозащиты в системах связи популярнейшего стандарта TETRA.
TETRA является продуктом разработки европейского института телекоммуникационных стандартов ETSI (European Telecommunications Standards Institute) и поначалу, в 1995 году был принят как «Транс-Европейский» стандарт цифровой радиосвязи. Поскольку новый стандарт быстро стал популярным во всем мире и ныне широко применяется примерно в 120 странах, первые буквы в названии – «TE» – уже давно отстёгнуты от Европы и трактуются как «Terrestrial» (т. е. «наземное»).
Примерно как и в более известной истории сетей GSM, средства инфозащиты системы TETRA изначально выстроены на основе секретных, так называемых проприетарных криптоалгоритмов, которые никогда открыто не публиковались. А производителям оборудования предоставляются на строгих условиях NDA, то есть соглашения о неразглашении (Non-Disclosure Agreement).
В комплекс криптографических алгоритмов стандарта входят наборы разной функциональности, TAA и TEA. Алгоритмы TAA1 (TETRA Authentication Algorithm) служат для аутентификции пользователей сети и распределения ключей, а алгоритмы набора TEA (TETRA Encryption Algorithm) для шифрования эфирных передач голоса, текстов и данных межмашинного обмена.
Набор TEA состоит из четырёх разновидностей поточных шифров, от TEA1 до TEA4, формально имеющих одну и ту же длину ключа 80 бит, однако функционально существенно различающихся стойкостью к вскрытию. Первый и последний алгоритмы, TEA1 и TEA4, предназначены для «коммерческого использования» в условиях экспортных ограничений на сильную криптографию. Алгоритм TEA2 предназначен для государственных и критично-важных инфраструктур Европы, а алгоритм TEA3 для «дружественных государств» за пределами Европы.
Ущербность подобного подхода к защите информации, нередко именуемого среди специалистов «безопасность через неясность», уже давно, многократно и серьёзнейшим образом скомпрометирована. Засекреченные от изучения сообществом проприетарные криптоалгоритмы практически всегда имеют серьёзные уязвимости. А потому почти вся подобная криптография в широко применяемых телекоммуникационых стандартах оказывалась взломана, как только становились известны криптосхемы секретных алгоритмов. Так было и со стандартом GSM (алгоритмы A5/1, A5/2), и с GPRS (GEA-1, GEA-2), и с DECT (DSAA, DSC), и с прочими подобными стандартами индустрии.
Стандарту TETRA, однако, несмотря на его четвертьвековую историю, вплоть до последнего времени удавалось избегать сколь-нибудь тщательного криптохакерского анализа. Так что секретные алгоритмы защиты TETRA и их реальная стойкость ко взлому и компрометации оставались «вещью в себе».
А радикально изменить эту ситуацию с неясностью сумел лишь нынешний проект голландцев TETRA:BURST. Обширные исследования продолжались свыше года и без огласки итогов завершились к концу 2021. Практически сразу, в январе 2022, были организованы первоначальные встречи исследователей со специалистами голландской полиции и разведывательного сообщества.
Поскольку же итогом работ аналитиков стало выявление целого букета серьёзных слабостей, последующие года полтора, примерно, хакеры занимались информированием и консультированием всех сторон, заинтересованных в укреплении защиты. Что само по себе оказалось делом весьма нелёгким, так как многие компании критических инфраструктур вообще никак не реагировали на подобные сигналы.
#
Хотя стандарт TETRA формально именуется «открытым», все его алгоритмы, связанные с защитой информации, как уже подчёркивалось выше, предоставляются лишь особо доверяемым сторонам, вроде изготовителей связного оборудования, после подписания ими соглашения NDA. Причём в условия соглашения входят и обязательства изготовителя обеспечить в своих продуктах такую защиту криптографии, которая затрудняет извлечение алгоритмов для анализа.
Иначе говоря, исследователям Midnight Blue для изучения криптоалгоритмов TETRA пришлось прибегнуть к хакерским методам обратной инженерной разработки. Для чего на eBay был приобретён TETRA-комплект мобильной радиосвязи Motorola MTM5400, а затем на протяжении четырёх месяцев шли кропотливые работы по поиску, извлечению и восстановлению кодов криптографических программ из защищённых прошивок микросхем.
Анализ восстановленной криптографии позволил выявить пять, как минимум, уязвимостей в защите, две из которых охарактеризованы как критично серьёзные.
Если перечислять уязвимости в соответствии с тем, как их официально зарегистрировали исcледователи, то список выглядит так (начиная с особо критичных дефектов).
CVE-2022-24401. Утрата конфиденциальности связи. Генератор шифрующей последовательности формирует ключ на основе штампа сетевого времени, который передаётся в эфир в открытом неаутентифицированном виде. Что делает возможными активные атаки злоумышленников, приводящие к дешифрованию связи.
CVE-2022-24402. Утрата конфиденциальности связи. Алгоритм TEA1 имеет встроенный бэкдор, уменьшающий реальную длину ключа с 80 бит до 32. Из-за чего ключ тривиально вскрывается тотальным перебором, а задача дешифрования такой криптографии решается за минуты на обычном бытовом компьютере.
CVE-2022-24403. Утрата анонимности. Криптографическая схема, применяемая для сокрытия личностей участников связи, имеет слабую конструкцию, что позволяет злоумышленникам деанонимизировать и отслеживать пользователей сети.
CVE-2022-24404. Утрата аутентичности сообщений. Отсутствие аутентификации шифрованых посланий в эфире допускает активные атаки со вставкой ложных сообщений.
CVE-2022-24400. Утрата аутентичности и частичная потеря конфиденциальности. Слабость в алгоритме аутентификации позволяет активной атакующей стороне навязывать слабые ключи шифрования.
Необходимо подчеркнуть, что конкретно выделенные в TETRA:BURST пять упомянутых уязвимостей – это заведомо не все слабости стандарта. Например, исследователи Midnight Blue отметили, что они не имеют квалификации криптографов-аналитиков. Отчего сумели сразу выявить лишь очевидный бэкдор в коде алгоритме TEA1, но вообще не занимались криптоанализом и выявлением математических слабостей в остальных алгоритмах набора.
#
Вся эта информация, ставшая ныне доступной прессе, породила естественные попытки журналистов получить комментарии от производителей, поставщиков и пользователей оборудования TETRA. Все они, однако, от комментариев пока отказываются, перенаправляя обычно запросы в адрес ETSI, головной организации, разработавшей данный стандарт.
В ETSI, естественно, понимают, что им так просто уклоняться от ответов на неудобные вопросы уже не удастся. Однако и сколь-нибудь содержательными их ответы вряд ли назовёшь.
Так, Клэр Бойер, отвечающая в ETSI за связи со средствами массовой информации, предоставила прессе примерно такой комментарий: «Как специалисты по стандарту TETRA, мы приветствуем усилия исследователей, помогающие нам в деле дальнейшего развития и укрепления безопасности стандарта, дабы он и в будущем продолжал оставаться безопасным и надёжным. На утверждения отчёта мы ответим тогда, когда он будет опубликован.»
Когда же у пресс-секретаря попросили более содержательно прокомментаровать особо болезненную для всех тему о бэкдоре, встроенном в алгоритм шифрования TEA1 и обнаруженном исследователями, ответ Бойер был таким: «На данный момент мы хотели бы отметить, что результаты этого исследования не имеют никакого отношения к бэкдорам. Стандарты безопасности TETRA были созданы совместно с государственными агентствами инфобезопасности и разработаны с учётом правил экспортного контроля, определяющих стойкость шифрования.»
Исследователи Midnight Blue, со своей стороны, отмечают, что обнаруженный ими в коде программы трюк с радикальным сокращением длины ключа никогда и никем публично не афишировался: «Преднамеренное ослабление криптографии без информирования общественности – это и есть по сути определение бэкдора».
Ещё один примечательный пиар-ход, к которому прибегли в комментариях ETSI – это следующее «доказательство» очевидной надёжности их стандарта связи на протяжении десятилетий: «[Вплоть до сегодняшнего дня] не было никаких известных случаев с использованием в операционных сетях тех уязвимостей», что раскрыты ныне исследователями.
У специалистов Midnight Blue, естественно, сильно иной взгляд на проблему: «В ETSI могли бы узнать о слабостях защиты в реально работающих системах лишь в том случае, если бы к ним стали обращаться клиенты TETRA, обнаруживающие аномалии в своём сетевом трафике. Поскольку же целый ряд атак, таких как перехват и быстрое дешифрование, носит пассивный характер и не создаёт никаких помех в сети, то заявления ETSI о том, что им ничего на данный счёт неизвестно выглядят несколько бессмысленными».
С другой стороны, у самих исследователей тоже нет информации о том, насколько активно в реальной жизни используются те уязвимости, которые они обнаружили. Но в файлах от Эдварда Сноудена они нашли вполне достоверные свидетельства тому, что АНБ США и их коллеги из англоязычных спецслужб (так называемый альянс «пять глаз») занимаются перехватом связи в сетях TETRA давно и успешно.
В частности, в одном из документов обсуждается совместный проект АНБ и австралийской спецслужбы Signals Directorate, нацеленный на сбор коммуникаций полиции Малайзии во время конференции по переменам климата в 2007 году. Там же упоминается, что попутно они получили ещё и материалы TETRA-перехвата индонезийских служб безопасности.
Другой слив от Сноудена описывает как спецслужба Великобритании GCHQ в 2010 году с помощью возможностей АНБ перехватывает TETRA-коммуникации в Аргентине, когда в очередной раз обострились британско-аргентинские отношения из-за прав на разработку нефтяных месторождений в зоне Фолклендских островов. В документе идёт речь о задаче сбора высокоприоритетных коммуникаций военного и политического руководства Аргентины и об успешном контроле TETRA-сетей в ходе этого проекта.
«Эти документы не подтверждают, что для доступа к коммуникациям использовались именно те уязвимости, которые обнаружили мы», – говорят исследователи Midnight Blue, – «однако, они показывают, что государственные спецслужбы активно занимались поиском, перехватом и дешифрованием связи в сетях TETRA даже в начале 2000-х годов».
В общей сложности хакеры компании Midnight Blue затратили на свои исследования системы TETRA свыше двух с половиной лет. В этот период входит около года собственно аналитических разработок плюс полтора с лишним года скоординированного процесса раскрытия уязвимостей для всех сторон, заинтересованных в укреплении защиты.
Начиная с конференции Blackhat на ближайшее будущее запланированы выступления в рамках следующих форумов по инфобезопасности в США и Европе, где исследователи намерены сделать полное раскрытие итогов своей работы:
9 августа, Blackhat USA, Las Vegas
11 августа, Usenix Security, Anaheim
13 августа, DEF CON, Las Vegas
Август-Сентябрь, CCC summer camp, Berlin
3 октября, 3rd Kerckhoffs’ revenge ONE conference, The Hague
14 ноября, ISC, Copenhagen
Когда согласованное заранее «эмбарго на исследование» будет снято вместе с первым публичным докладом 9 августа, аналитические материалы этой большой работы будут опубликованы на сайте проекта TETRA:BURST.
#
Профессор компьютерной безопасности Барт Якобс из голландского университета Radboud, г. Нейменген, не принимал никакого участия в проекте TETRA:BURST. Но он лично знает всех участников этой работы, хорошо знаком с материалами данного исследования, а самое главное, является одним из наиболее авторитетных специалистов открытого сообщества Нидерландов в области защиты информации. Поэтому пресса обратилась за комментариями и к нему.
Итоговое резюме от Барта Якобса прозвучало так:
Результаты этого исследования весьма серьёзны. Они серьёзны как для правительств, так и для делового сообщества. Они касаются уязвимостей жизненно-важных инфраструктур, функционирование которых может быть подорвано серьёзными атаками.
Я очень надеюсь, что это реально положит конец закрытым проприетарным криптосхемам, которые не основаны на открытых, тщательно изученных сообществом стандартах.
Короче говоря, TETRA – это устаревшая вещь, которую используют слишком долго. И это плохо со всех сторон. Не только со стороны поставщиков систем данного типа, но и со стороны покупателей, таких как правительства и крупные компании. Им следует быть более критичными и просто закупать открытые системы вместо засекреченных систем подобного рода.
[ The End ]
# # #
Дополнительное чтение:
Про заметную роль и место профессора Барта Якобса в независимом сообществе инфозащиты Нидерландов: Хакинг чипов Mifare ; Maximator, или Голландские особенности крипто-шпионажа
Про тотальное ослабление криптографии в сетях связи GSM: Что показало вскрытие ; Про быстрый и успешный взлом A5/3, нового стандарта шифрования в сетях GSM: Подбит на взлете
Про изощрённые бэкдоры, замаскированные под баги. В ОС с открытым исходным кодом: Такая вот паранойя (Linux) и Без срока давности (OpenBSD) . В закрытых проприетарных системах: #gotofail: ошибка или умысел (Apple) и Хитрости крипторемесла (Microsoft) . В компьютерном «железе»: Параноид-генератор
Про принцип NOBUS как шизофренический подход к укреплению инфобезопасности: Шизо-криптография ; Никто кроме нас
Про активные попытки внедрения «мутных» криптоалгоримов спецслужб в качестве мировых стандартов: Ответственное крипто и другие формы обмана
# #
Основные источники:
Redacted Telecom Talk. Black Hat USA 2023, Mandalay Bay / Las Vegas, August 5-10, 2023
Kritieke infrastructuur van politie en energie in gevaar: hackers leggen kwetsbaarheden bloot. Door Daniël Verlaan. RTL Nieuws, 24 juli 2023
Code Kept Secret for Years Reveals Its Flaw — a Backdoor. By Kim Zetter. WIRED, Jul 24, 2023
Researchers Find ‘Backdoor’ in Encrypted Police and Military Radios. By Joseph Cox. VICE, July 24, 2023
#
kiwi arXiv 
Для отправки комментария необходимо войти на сайт.