ProHoster > بلوق > إدارة > هجوم الأسبوع: المكالمات الصوتية في LTE (ReVoLTE)

هجوم الأسبوع: المكالمات الصوتية في LTE (ReVoLTE)

من المترجم وTL;DR

  1. TL؛ DR:

    يبدو أن VoLTE كانت تتمتع بحماية أسوأ من عملاء Wi-Fi الأوائل الذين يستخدمون WEP. خطأ معماري حصري يسمح لك ب XOR حركة المرور قليلاً واستعادة المفتاح. من الممكن حدوث هجوم إذا كنت قريبًا من المتصل ويقوم بإجراء مكالمات بشكل متكرر.

  2. شكرا للنصيحة وTL؛DR كلوكونين

  3. قام الباحثون بإنشاء تطبيق لتحديد ما إذا كان مشغل شبكة الجوال الخاص بك عرضة للخطر، اقرأ المزيد هنا. شارك النتائج في التعليقات، VoLTE معطل في منطقتي على Megafon.

نبذة عن الكاتب

ماثيو جرين.

أنا متخصص في التشفير وأستاذ في جامعة جونز هوبكنز. لقد قمت بتصميم وتحليل أنظمة التشفير المستخدمة في الشبكات اللاسلكية وأنظمة الدفع ومنصات أمان المحتوى الرقمي. في بحثي، بحثت في طرق مختلفة لاستخدام التشفير لتحسين خصوصية المستخدم.

لقد مرت فترة من الوقت منذ أن كتبت تنسيق المشاركة "هجوم الأسبوع"، وقد أزعجني ذلك. ليس لأنه لم تكن هناك هجمات، ولكن في الغالب لأنه لم يكن هناك هجوم على شيء يستخدم على نطاق واسع بما يكفي لإخراجي من مأزق الكاتب.

ولكن اليوم جئت عبر هجوم مثير للاهتمام يُطلق عليه اسم ReVoLTE للبروتوكولات التي أنا متحمس بشكل خاص لاختراقها، وهي بروتوكولات LTE للشبكة الخلوية (النقل الصوتي). أنا متحمس لهذه البروتوكولات تحديدًا – وهذا الهجوم الجديد – لأنه من النادر جدًا رؤية بروتوكولات وتطبيقات الشبكة الخلوية الفعلية يتم اختراقها. ويرجع ذلك أساسًا إلى أن هذه المعايير تم تطويرها في غرف مليئة بالدخان وتم توثيقها في وثائق مكونة من 12000 صفحة لا يستطيع كل باحث التعامل معها. علاوة على ذلك، فإن تنفيذ هذه الهجمات يجبر الباحثين على استخدام بروتوكولات لاسلكية معقدة.

وبالتالي، فإن نقاط الضعف الخطيرة في مجال التشفير يمكن أن تنتشر في جميع أنحاء العالم، وربما فقط لتستغلها الحكومات، قبل أن يلاحظها أي باحث. ولكن من وقت لآخر هناك استثناءات، وهجوم اليوم هو واحد منها.

الكتاب الهجماتالمساهمون: ديفيد روبريشت، كاثرينا كولز، ثورستن هولز وكريستينا بوبر من جامعة الرور في بوخوم وجامعة نيويورك أبوظبي. يعد هذا هجومًا رائعًا لإعادة تثبيت المفتاح في البروتوكول الصوتي الذي ربما تستخدمه بالفعل (بافتراض أنك من جيل أقدم لا يزال يجري مكالمات هاتفية باستخدام الهاتف الخلوي).

لتبدأ، رحلة تاريخية قصيرة.

ما هي LTE وVoLTE؟

تم وضع أساس معايير الهاتف الخلوي الحديثة لدينا في أوروبا في الثمانينيات وفقًا للمعايير النظام العالمي للجوال (النظام العالمي للاتصالات المتنقلة). كان نظام GSM أول معيار رئيسي للاتصالات الخلوية الرقمية، والذي قدم عددًا من الميزات الثورية، مثل الاستخدام التشفير لحماية المكالمات الهاتفية. تم تصميم نظام GSM المبكر في المقام الأول للاتصالات الصوتية، على الرغم من إمكانية توفير المال نقل البيانات الأخرى.

نظرًا لأن نقل البيانات أصبح أكثر أهمية في الاتصالات الخلوية، فقد تم تطوير معايير التطور طويل المدى (LTE) لتبسيط هذا النوع من الاتصالات. يعتمد LTE على مجموعة من المعايير القديمة مثل GSM، EDGE и HSPA وهو مصمم لزيادة سرعة تبادل البيانات. هناك الكثير من العلامات التجارية و مضللة من خلال تسميات غير صحيحةلكن TL;DR هو أن LTE هو نظام لنقل البيانات يعمل كجسر بين بروتوكولات حزم البيانات القديمة وتقنيات البيانات الخلوية المستقبلية 5G.

وبطبيعة الحال، يخبرنا التاريخ أنه بمجرد توفر ما يكفي من النطاق الترددي (IP)، فإن مفاهيم مثل "الصوت" و"البيانات" سوف تبدأ في التشويش. الأمر نفسه ينطبق على البروتوكولات الخلوية الحديثة. ولجعل هذا الانتقال أكثر سلاسة، تحدد معايير LTE نقل الصوت عبر LTE (VoLTE)، وهو معيار IP لنقل المكالمات الصوتية مباشرة عبر مستوى البيانات لنظام LTE، وتجاوز جزء الطلب الهاتفي للشبكة الخلوية بالكامل. كما هو الحال مع المعيار مكالمات VoIPيمكن إنهاء مكالمات VoLTE بواسطة مشغل الهاتف المحمول وتوصيلها بشبكة الهاتف العادية. أو (كما أصبح شائعًا بشكل متزايد) هم يمكن توجيهها مباشرة من عميل خلوي إلى آخر، وحتى بين مقدمي الخدمة المختلفين.

مثل VoIP القياسي، يعتمد VoLTE على بروتوكولين شائعين يعتمدان على IP: بروتوكول بدء الجلسة (بروتوكول بدء الجلسة – SIP) لإعداد المكالمة وبروتوكول النقل في الوقت الحقيقي (بروتوكول النقل في الوقت الحقيقي، والذي ينبغي أن يسمى RTTP ولكنه في الواقع يسمى RTP) لمعالجة البيانات الصوتية. تضيف تقنية VoLTE أيضًا بعض التحسينات الإضافية للنطاق الترددي، مثل ضغط الرأس.

حسنًا، ما علاقة هذا بالتشفير؟

LTE، مثل الهاتف، يحتوي على مجموعة قياسية من بروتوكولات التشفير لتشفير الحزم أثناء إرسالها عبر الهواء. وهي مصممة بشكل أساسي لحماية بياناتك أثناء انتقالها بين الهاتف (يسمى جهاز المستخدم، أو UE) والبرج الخلوي (أو أينما يقرر مزود الخدمة إنهاء الاتصال). وذلك لأن مقدمي خدمات الهاتف الخلوي ينظرون إلى أجهزة التنصت الخارجية على أنها أعداء. حسنا بالطبع.

(ومع ذلك، فإن حقيقة أن اتصالات VoLTE يمكن أن تحدث مباشرة بين العملاء على شبكات مزودين مختلفة تعني أن بروتوكول VoLTE نفسه لديه بعض بروتوكولات التشفير الإضافية والاختيارية التي يمكن أن تحدث في طبقات الشبكة الأعلى. وهذا ليس له صلة بالمقالة الحالية، باستثناء حقيقة أن يمكنهم تدمير كل شيء (سنتحدث عنهم بإيجاز بعد ذلك).

تاريخياً، كان التشفير في GSM العديد من نقاط الضعف: سيء الأصفار، البروتوكولات التي يتم من خلالها مصادقة الهاتف فقط على البرج (مما يعني أن المهاجم يمكنه انتحال شخصية البرج، مما يؤدي إلى توليد "الراي اللادغة") وما إلى ذلك وهلم جرا. قامت تقنية LTE بتصحيح العديد من الأخطاء الواضحة مع الحفاظ على الكثير من نفس البنية.

لنبدأ بالتشفير نفسه. بافتراض أن إنشاء المفتاح قد حدث بالفعل - وسنتحدث عن ذلك بعد قليل - فسيتم تشفير كل حزمة من البيانات باستخدام تشفير الدفق باستخدام شيء يسمى "EEA" (والذي يمكن تنفيذه عمليًا باستخدام أشياء مثل AES). في الأساس، آلية التشفير هنا هي نسبة النقر إلى الظهورعلى النحو التالي:

هجوم الأسبوع: المكالمات الصوتية في LTE (ReVoLTE)
خوارزمية التشفير الرئيسية لحزم VoLTE (المصدر: ReVoLTE). EEA عبارة عن تشفير، و"COUNT" عبارة عن عداد 32 بت، و"BEARER" هو معرف جلسة فريد يفصل اتصالات VoLTE عن حركة مرور الإنترنت العادية. يشير "الاتجاه" إلى الاتجاه الذي تتدفق فيه حركة المرور - من UE إلى البرج أو العكس.

وبما أن خوارزمية التشفير نفسها (EEA) يمكن تنفيذها باستخدام تشفير قوي مثل AES، فمن غير المرجح أن يكون هناك أي هجوم مباشر على التشفير نفسه مثل هذا حدث في أيام GSM. ومع ذلك، فمن الواضح أنه حتى مع وجود تشفير قوي، فإن نظام التشفير هذا يعد طريقة رائعة لتدمير نفسك.

على وجه الخصوص: يستخدم معيار LTE تشفيرًا دفقيًا (غير مصادق عليه) مع وضع سيكون ضعيفًا للغاية إذا تم إعادة استخدام العداد - والمدخلات الأخرى مثل "الحامل" و"الاتجاه" -. في اللغة الحديثة، مصطلح هذا المفهوم هو "هجوم عدم إعادة الاستخدام"، لكن المخاطر المحتملة هنا ليست شيئًا حديثًا. إنها مشهورة وقديمة، ويعود تاريخها إلى أيام المعدن اللامع وحتى الديسكو.

هجوم الأسبوع: المكالمات الصوتية في LTE (ReVoLTE)
كانت الهجمات على عدم إعادة الاستخدام في وضع نسبة النقر إلى الظهور (CTR) موجودة حتى عندما أصبح السم معروفًا

لكي نكون منصفين، تقول معايير LTE: "من فضلك لا تعيد استخدام هذه العدادات". لكن معايير LTE يبلغ طولها حوالي 7000 صفحة، وعلى أي حال، فهي مثل استجداء الأطفال حتى لا يلعبوا بمسدس. سيفعلون ذلك حتماً، وستحدث أشياء فظيعة. المسدس المطلق في هذه الحالة هو هجوم إعادة استخدام تدفق المفاتيح، حيث يتم فيه إرسال رسالتين سريتين مختلفتين XOR لنفس بايتات تدفق المفاتيح. ومن المعروف أن هذا له تأثير مدمر للغاية على سرية الاتصالات.

ما هو ReVoLTE؟

يوضح هجوم ReVoLTE أنه من الناحية العملية، يتم إساءة استخدام تصميم التشفير الضعيف للغاية هذا من قبل أجهزة العالم الحقيقي. على وجه التحديد، قام المؤلفون بتحليل مكالمات VoLTE الحقيقية التي تم إجراؤها باستخدام المعدات التجارية وأظهروا أنه يمكنهم استخدام ما يسمى "هجوم إعادة التثبيت الرئيسي". (يعود الفضل الكبير في العثور على هذه المشكلة إلى ريس ولو (رضا ولو)، اللذين كانا أول من أشارا إلى الثغرة الأمنية المحتملة. لكن أبحاث ReVoLTE تحولها إلى هجوم عملي).

اسمحوا لي أن أظهر لك بإيجاز جوهر الهجوم، على الرغم من أنه يجب عليك أن تنظر و مصدر وثائق.

قد يفترض المرء أنه بمجرد قيام LTE بإنشاء اتصال حزمة بيانات، تصبح مهمة الصوت عبر LTE مجرد مسألة توجيه حزم الصوت عبر هذا الاتصال جنبًا إلى جنب مع بقية حركة المرور الخاصة بك. بمعنى آخر، سيكون VoLTE مفهومًا موجودًا فقط 2 مستوى [نماذج OSI – تقريبا.]. هذا ليس صحيحا تماما.

في الواقع، تقدم طبقة ارتباط LTE مفهوم "الحامل". الحاملون عبارة عن معرفات جلسة منفصلة تفصل بين أنواع مختلفة من حركة مرور الحزم. تمر حركة المرور المنتظمة على الإنترنت (تويتر وسناب شات) عبر حامل واحد. تمر إشارات SIP لـ VoIP عبر قناة أخرى، وتتم معالجة حزم حركة المرور الصوتية من خلال قناة ثالثة. لست على دراية كبيرة بآليات توجيه شبكة وراديو LTE، لكنني أعتقد أن الأمر يتم بهذه الطريقة لأن شبكات LTE ترغب في فرض آليات جودة الخدمة (QoS) بحيث تتم معالجة تدفقات الحزم المختلفة على مستويات أولوية مختلفة: على سبيل المثال. خاصة بك من الدرجة الثانية قد تكون لاتصالات TCP بفيسبوك أولوية أقل من مكالماتك الصوتية في الوقت الفعلي.

هذه ليست مشكلة بشكل عام، ولكن العواقب هي كما يلي. يتم إنشاء مفاتيح تشفير LTE بشكل منفصل في كل مرة يتم فيها تثبيت "حامل" جديد. في الأساس، يجب أن يحدث هذا مرة أخرى في كل مرة تقوم فيها بإجراء مكالمة هاتفية جديدة. سيؤدي ذلك إلى استخدام مفتاح تشفير مختلف لكل مكالمة، مما يلغي إمكانية إعادة استخدام نفس المفتاح لتشفير مجموعتين مختلفتين من حزم المكالمات الصوتية. في الواقع، يقول معيار LTE شيئًا مثل "يجب عليك استخدام مفتاح مختلف في كل مرة تقوم فيها بتثبيت حامل جديد للتعامل مع مكالمة هاتفية جديدة." لكن هذا لا يعني أن هذا يحدث بالفعل.

في الواقع، في التطبيقات الواقعية، ستستخدم مكالمتان مختلفتان تحدثان في مسافة زمنية قريبة نفس المفتاح - على الرغم من تكوين حاملين جدد بنفس الاسم بينهما. التغيير العملي الوحيد الذي يحدث بين هذه الاستدعاءات هو إعادة تعيين عداد التشفير إلى الصفر. في الأدب يسمى هذا أحيانا هجوم إعادة تثبيت المفتاح. ويمكن للمرء أن يجادل بأن هذا خطأ في التنفيذ بالأساس، على الرغم من أن المخاطر في هذه الحالة تبدو وكأنها تنبع إلى حد كبير من المعيار نفسه.

من الناحية العملية، يؤدي هذا الهجوم إلى إعادة استخدام تدفق المفاتيح، حيث يمكن للمهاجم الحصول على الحزم المشفرة $inline$C_1 = M_1 oplus KS$inline$ و$inline$C_2 = M_2 oplus KS$inline$، مما يسمح بحساب $inline$ C_1 زائد C_2 = M_1 زائد M_2$inline$. والأفضل من ذلك، إذا كان المهاجم يعرف واحدًا من $inline$M_1$inline$ أو $inline$M_2$inline$، فيمكنه استرداد الآخر على الفور. وهذا يعطيه حافزا قويا اكتشف أحد المكونين غير المشفرين.

وهذا يقودنا إلى سيناريو الهجوم الكامل والأكثر فعالية. ولنتأمل هنا مهاجمًا يستطيع اعتراض حركة الاتصالات اللاسلكية بين هاتف مستهدف وبرج خلوي، ويكون محظوظًا بطريقة أو بأخرى بما يكفي لتسجيل مكالمتين مختلفتين، مع حدوث المكالمة الثانية مباشرة بعد الأولى. تخيل الآن أنه يستطيع بطريقة أو بأخرى تخمين المحتوى غير المشفر لإحدى المكالمات. مع مثل هذا الصدفة يمكن للمهاجم لدينا فك تشفير المكالمة الأولى بالكامل باستخدام XOR بسيط بين مجموعتي الحزم.

وبطبيعة الحال، الحظ لا علاقة له به. نظرًا لأن الهواتف مصممة لتلقي المكالمات، فإن المهاجم الذي يمكنه سماع المكالمة الأولى سيكون قادرًا على بدء مكالمة ثانية في نفس اللحظة التي تنتهي فيها المكالمة الأولى. هذا الاستدعاء الثاني، إذا تم استخدام نفس مفتاح التشفير مرة أخرى مع إعادة تعيين العداد إلى الصفر، فسوف يسمح باستعادة البيانات غير المشفرة. علاوة على ذلك، نظرًا لأن المهاجم يتحكم فعليًا في البيانات أثناء المكالمة الثانية، فيمكنه استرداد محتويات المكالمة الأولى - وذلك بفضل العديد من الميزات التي تم تنفيذها خصيصًا أشياء قليلة، يلعب إلى جانبه.

إليكم صورة لخطة الهجوم العامة مأخوذة من المستند الأصلي:

هجوم الأسبوع: المكالمات الصوتية في LTE (ReVoLTE)
نظرة عامة على الهجوم من وثيقة ReVoLTE. يفترض هذا المخطط إجراء مكالمتين مختلفتين باستخدام نفس المفتاح. يتحكم المهاجم في جهاز الشم السلبي (أعلى اليسار)، بالإضافة إلى هاتف ثانٍ، يمكنه من خلاله إجراء مكالمة ثانية بهاتف الضحية.

فهل الهجوم ناجح حقًا؟

من ناحية، هذا هو السؤال الرئيسي للمقال حول ReVoLTE. جميع الأفكار المذكورة أعلاه رائعة من الناحية النظرية، لكنها تترك الكثير من الأسئلة. مثل:

  1. هل من الممكن (للباحثين الأكاديميين) اعتراض اتصال VoLTE فعليًا؟
  2. هل يتم إعادة تشغيل أنظمة LTE الحقيقية بالفعل؟
  3. هل يمكنك بالفعل بدء مكالمة ثانية بسرعة وبشكل موثوق بما يكفي حتى يتمكن الهاتف والبرج من إعادة استخدام المفتاح؟
  4. حتى لو تم إعادة تشغيل الأنظمة، هل يمكنك بالفعل معرفة المحتوى غير المشفر للمكالمة الثانية - نظرًا لأن أشياء مثل برامج الترميز وتحويل الشفرة يمكن أن تغير المحتوى (بتًا تلو الآخر) للمكالمة الثانية تمامًا، حتى لو كان لديك حق الوصول إلى "البتات" "أتى ​​من هاتف الهجوم الخاص بك؟

يجيب عمل ReVoLTE على بعض هذه الأسئلة بالإيجاب. يستخدم المؤلفون برنامجًا تجاريًا قابلاً لإعادة التشكيل لتدفق الراديو يُسمى المنظار لاعتراض مكالمة VoLTE من جانب الوصلة الهابطة. (أعتقد أن مجرد التعامل مع البرنامج والحصول على فكرة تقريبية عن كيفية عمله استغرق شهورًا من حياة طلاب الدراسات العليا الفقراء - وهو أمر نموذجي لهذا النوع من البحث الأكاديمي).

وجد الباحثون أنه لكي تعمل عملية إعادة استخدام المفتاح، يجب أن تتم المكالمة الثانية بسرعة كافية بعد انتهاء المكالمة الأولى، ولكن ليس بسرعة كبيرة - حوالي عشر ثوانٍ للمشغلين الذين جربوا معهم. لحسن الحظ، لا يهم ما إذا كان المستخدم سيجيب على المكالمة خلال هذا الوقت - أي "الرنين". اتصال SIP نفسه يجبر المشغل على إعادة استخدام نفس المفتاح.

وبالتالي، فإن العديد من المشاكل الأكثر فظاعة تدور حول المشكلة (4) - تلقي أجزاء من المحتوى غير المشفر لمكالمة يبدأها أحد المهاجمين. وذلك لأن الكثير يمكن أن يحدث للمحتوى الخاص بك أثناء انتقاله من هاتف المهاجم إلى هاتف الضحية عبر الشبكة الخلوية. على سبيل المثال، مثل هذه الحيل القذرة مثل إعادة تشفير دفق صوتي مشفر، مما يترك الصوت كما هو، ولكنه يغير تمثيله الثنائي تمامًا. تستخدم شبكات LTE أيضًا ضغط رأس RTP، والذي يمكن أن يغير بشكل كبير الكثير من حزمة RTP.

وأخيرًا، يجب أن تكون الحزم التي يرسلها المهاجم متوافقة تقريبًا مع الحزم المرسلة أثناء المكالمة الهاتفية الأولى. يمكن أن يكون هذا مشكلة لأن تعديل الصمت أثناء مكالمة هاتفية يؤدي إلى رسائل أقصر (المعروفة أيضًا باسم الضوضاء المريحة) والتي قد لا تتناسب بشكل جيد مع المكالمة الأصلية.

قسم "هجوم العالم الحقيقي" الأمر يستحق القراءة بالتفصيل. إنه يعالج العديد من المشكلات المذكورة أعلاه - على وجه الخصوص، وجد المؤلفون أن بعض برامج الترميز لا تتم إعادة تشفيرها، وأنه يمكن استرداد ما يقرب من 89% من التمثيل الثنائي للمكالمة المستهدفة. وينطبق هذا على اثنين على الأقل من المشغلين الأوروبيين الذين تم اختبارهم.

وهذا معدل نجاح مرتفع بشكل مدهش، وبصراحة أعلى بكثير مما كنت أتوقعه عندما بدأت العمل على هذه الوثيقة.

إذن ماذا يمكننا أن نفعل لإصلاحه؟

الإجابة المباشرة على هذا السؤال بسيطة للغاية: نظرًا لأن جوهر الثغرة الأمنية هو هجوم إعادة استخدام (إعادة تثبيت) المفتاح، فما عليك سوى إصلاح المشكلة. تأكد من الحصول على مفتاح جديد لكل مكالمة هاتفية، ولا تسمح أبدًا لعداد الحزم بإعادة ضبط العداد إلى الصفر باستخدام نفس المفتاح. تم حل المشكلة!

أو ربما لا. سيتطلب هذا ترقية الكثير من المعدات، وبصراحة، مثل هذا الإصلاح في حد ذاته لا يمكن الاعتماد عليه بشكل كبير. سيكون من الرائع أن تتمكن المعايير من إيجاد طريقة أكثر أمانًا لتنفيذ أوضاع التشفير الخاصة بها والتي لا تكون افتراضيًا عرضة بشكل كارثي لمشكلات إعادة استخدام المفاتيح هذه.

أحد الخيارات الممكنة هو الاستخدام أوضاع التشفير التي لا يؤدي فيها سوء استخدام nonce إلى عواقب كارثية. قد يكون هذا مكلفًا للغاية بالنسبة لبعض الأجهزة الحالية، لكنه بالتأكيد مجال يجب على المصممين التفكير فيه في المستقبل، خاصة وأن معايير 5G على وشك السيطرة على العالم.

تثير هذه الدراسة الجديدة أيضًا السؤال العام حول السبب نفس الهجمات اللعينة تستمر في الظهور في مستوى تلو الآخر، والعديد منها يستخدم تصميمات وبروتوكولات متشابهة جدًا. عندما تواجه مشكلة إعادة تثبيت نفس المفتاح عبر عدة بروتوكولات مستخدمة على نطاق واسع مثل WPA2، ألا تعتقد أن الوقت قد حان لجعل المواصفات وإجراءات الاختبار الخاصة بك أكثر قوة؟ توقف عن معاملة منفذي المعايير كشركاء مدروسين يهتمون بتحذيراتك. عاملهم مثل الخصوم (غير المقصودين) الذين سوف يخطئون حتماً.

أو بدلا من ذلك، يمكننا أن نفعل ما تفعله شركات مثل فيسبوك وأبل على نحو متزايد: جعل تشفير المكالمات الصوتية يحدث على مستوى أعلى من مكدس شبكة OSI، دون الاعتماد على الشركات المصنعة للمعدات الخلوية. يمكننا حتى أن نضغط من أجل التشفير الشامل للمكالمات الصوتية، مثلما يفعل WhatsApp مع Signal وFaceTime، على افتراض أن الحكومة الأمريكية توقفت عن ذلك. رحلة لنا. ومن ثم (باستثناء بعض البيانات الوصفية) فإن العديد من هذه المشاكل سوف تختفي ببساطة. هذا الحل له أهمية خاصة في عالم حيث وحتى الحكومات ليست متأكدة مما إذا كانت تثق في موردي معداتها.

أو يمكننا ببساطة أن نفعل ما فعله أطفالنا بالفعل: التوقف عن الرد على تلك المكالمات الصوتية المزعجة.

المصدر: www.habr.com

إضافة تعليق