Itzultzailearen eta TL;DR
-
TL; DR:
Badirudi VoLTE WEP duten lehen Wi-Fi bezeroak baino are babestuagoa izan zela. Kalkulazio oker arkitektonikoa esklusiboki, trafikoa apur bat XOR egiteko eta giltza berreskuratzeko aukera ematen duena. Eraso bat gerta daiteke deitzen duenarengandik gertu bazaude eta hark deiak maiz egiten baditu.
-
Eskerrik asko aholkuagatik eta TL;DR
-
Ikertzaileek aplikazio bat egin dute zure operadorea zaurgarria den zehazteko, irakurri gehiago . Partekatu emaitzak iruzkinetan, VoLTE desgaituta dago nire eskualdean Megafon-en.
Egileari buruz
Matthew Green.
Kriptografoa eta Johns Hopkins Unibertsitateko irakaslea naiz. Haririk gabeko sareetan, ordainketa sistemetan eta eduki digitalen segurtasun-plataformetan erabiltzen diren sistema kriptografikoak diseinatu eta aztertu ditut. Nire ikerketan, kriptografia erabiltzeko modu desberdinak aztertzen ditut erabiltzailearen pribatutasuna hobetzeko.
Denbora pasa da post formatua idatzi nuenetik , eta asaldatu egin ninduen. Ez erasoak egon ez zirelako, baizik eta, batez ere, idazlearen blokeotik ateratzeko aski erabilitako zerbaiten aurkako erasorik ez zegoelako.
Baina gaur topatu naiz ReVoLTE izenekoa pirateatzearekin bereziki hunkituta nagoen protokoloetarako, hots, sare zelularra (ahotsa) LTE protokoloetarako. Pozik nago protokolo jakin hauekin βeta eraso berri honekinβ, oso arraroa baita sare zelularreko benetako protokoloak eta inplementazioak hackeatzen ikustea. Batez ere, estandar hauek kez betetako geletan garatu zirelako eta ikertzaile guztiek maneiatu ezin dituzten 12000 orrialdeko dokumentuetan dokumentatu zirelako. Gainera, eraso hauek ezartzeak irrati-protokolo konplexuak erabiltzera behartzen ditu ikertzaileak.
Horrela, ahultasun kriptografiko larriak mundu osora heda litezke, agian gobernuek soilik ustiatzeko, edozein ikertzaile ohartu baino lehen. Baina tarteka salbuespenak daude, eta gaurko erasoa horietako bat da.
Authors Laguntzaileak: Ruhr-University Bochum eta New York University Abu Dhabi-ko David Rupprecht, Katharina Kohls, Thorsten Holz eta Christina PΓΆpper. Seguruenik erabiltzen ari zaren ahots-protokoloan gakoa berriro instalatzeko eraso bikaina da (sakelako telefonoa erabiliz oraindik deiak egiten dituen belaunaldi zaharragoa zarela suposatuz).
Hasteko, txango historiko labur bat.
Zer dira LTE eta VoLTE?
Gure telefonia zelular modernoaren estandarren oinarria Europan ezarri zen 80ko hamarkadan estandarrak (Komunikazio Mugikorrerako Sistema Globala). GSM telefonia zelular digitalaren lehen estandar nagusia izan zen, eta hainbat ezaugarri iraultzaile sartu zituen, hala nola, erabilera. telefono-deiak babesteko. Hasierako GSM ahots-komunikazioetarako diseinatu zen batez ere, nahiz eta dirua izan .
Datu-transmisioak komunikazio zelularretan garrantzi handiagoa hartu zuenez, Long Term Evolution (LTE) estandarrak garatu ziren komunikazio mota hori errazteko. LTE estandar zaharren talde batean oinarritzen da, hala nola GSM, ΠΈ eta datuak trukatzeko abiadura handitzeko diseinatuta dago. Marka asko dago eta baina TL;DR da LTE datu-transmisio-sistema bat dela, datu-paketeen protokolo zaharren eta etorkizuneko datu-teknologien arteko zubi gisa balio duena. .
Noski, historiak esaten digu (IP) banda zabalera nahikoa dagoenean, "ahotsa" eta "datuak" bezalako kontzeptuak lausotzen hasiko direla. Gauza bera gertatzen da zelula-protokolo modernoekin. Trantsizio hau arinagoa izan dadin, LTE estandarrak zehazten ditu (VoLTE), hau da, ahots-deiak zuzenean LTE sistema baten datu-planoan garraiatzeko IP estandarra, sare mugikorraren markatze-zatia guztiz saihestuz. Estandarrekin bezala ,VoLTE deiak eten ditzake operadore zelularrak eta ohiko telefono sarera konektatu. Edo (gero eta ohikoagoa den bezala) haiek zuzenean bezero mugikor batetik bestera, eta baita hornitzaile ezberdinen artean ere.
VoIP estandarra bezala, VoLTE IPan oinarritutako bi protokolo ezagunetan oinarritzen da: Session Initiation Protocol ( - SIP) deiak konfiguratzeko eta denbora errealeko garraio-protokoloa (, RTTP deitu beharko litzatekeena baina benetan RTP deitzen dena) ahots-datuak prozesatzeko. VoLTEk banda zabalerako optimizazio gehigarri batzuk ere gehitzen ditu, hala nola goiburuko konpresioa.
Ados, zer zerikusi du horrek enkriptatzearekin?
LTE, bezala , protokolo kriptografikoen multzo estandar bat dauka paketeak enkriptatzeko airean transmititzen diren heinean. Batez ere, zure datuak babesteko diseinatuta daude telefonoaren (erabiltzaile-ekipoa edo UE izenekoa) eta dorre mugikorren artean (edo zure hornitzaileak konexioa amaitzea erabakitzen duen tokian) bidaiatzen duten bitartean. Hori gertatzen da hornitzaile zelularrek kanpoko entzuteko gailuak etsai gisa ikusten dituztelako. Beno, noski.
(Dena den, VoLTE konexioak hornitzaile-sare ezberdinetako bezeroen artean zuzenean gerta daitezkeela esan nahi du VoLTE protokoloak berak enkriptazio-protokolo gehigarri eta aukerako batzuk dituela, sare-geruza altuagoetan gerta daitezkeenak. Hau ez da garrantzitsua egungo artikuluarekin, izan ezik. dena honda dezakete (hurrengo labur-labur hitz egingo dugu horietaz).
Historikoki, GSM-n enkriptatzea izan da : txarra , telefonoa soilik dorrean autentifikatu zen protokoloak (erasotzaileak dorrea ordezkatu dezakeela esan nahi du, ) eta abar. LTE-k akats ageriko asko zuzendu zituen egitura berari eutsiz.
Has gaitezen enkriptatzea bera. Gakoen sorrera dagoeneko gertatu dela suposatuz -eta horretaz hitz egingo dugu minutu batean-, orduan datu-pakete bakoitza "EEA" izeneko zerbait erabiliz korronteen enkriptatzeaz zifratzen da (praktikan AES bezalako gauzak erabiliz inplementa daitekeena). Funtsean, enkriptatzeko mekanismoa hemen dago behean bezala:
VoLTE paketeen enkriptazio-algoritmo nagusia (iturria: ). EEA zifratu bat da, "COUNT" 32 biteko kontagailua da, "BEARER" VoLTE konexioak Interneteko trafiko arruntetik bereizten dituen saio-identifikatzaile esklusibo bat da. "NORANTZA"-k trafikoa zein norabidetan doan adierazten du - UEtik dorrera edo alderantziz.
Zifratze-algoritmoa bera (EEA) AES bezalako zifraketa sendo bat erabiliz inplementa daitekeenez, nekez izango da horrelako zifratuaren aurkako eraso zuzenik. . Hala ere, argi dago zifratze indartsua izanda ere, zifratze-eskema hau oinetan tiro egiteko modu bikaina dela.
Bereziki: LTE estandarrak korronte-zifra bat erabiltzen du (autentifikatu gabekoa) oso zaurgarria izango den modu batekin, kontagailua - eta "eramailea" eta "norabidea" bezalako beste sarrera batzuk inoiz berrerabiltzen badira. Hizkera modernoan, kontzeptu honen terminoa "nonce berrerabiltzeko erasoa" da, baina hemen balizko arriskuak ez dira modernoak. Ospetsuak eta antzinakoak dira, glam metalaren eta baita diskoaren garaietakoak dira.
CTR moduan nonce berrerabilpenaren aurkako erasoak Poison ezaguna egin zenean ere existitu ziren
Bidezkoak izateko, LTE estandarrek esaten dute: "Mesedez, ez berrerabili kontagailu hauek". Baina LTE estandarrak 7000 orrialde inguru ditu, eta, nolanahi ere, umeei pistola batekin ez jolasteko eskatzea bezalakoa da. Halabeharrez egingo dute, eta gauza izugarriak gertatuko dira. Tiro-pistola kasu honetan gako-korrontearen berrerabilpen-eraso bat da, zeinean bi isilpeko mezu desberdin XOR gako-korrontearen byte berdinak. Jakina da hori .
Zer da ReVoLTE?
ReVoLTE erasoak frogatzen du, praktikan, enkriptatze-diseinu oso zaurgarria mundu errealeko hardwareak gaizki erabiltzen duela. Zehazki, egileek ekipo komertzialen bidez egindako benetako VoLTE deiak aztertzen dituzte eta "gakoen berrinstalazio-erasoa" izeneko zerbait erabil dezaketela erakusten dute. (Arazo hau aurkitzeagatik kreditu asko dago (Raza & Lu), balizko ahultasuna adierazi zuten lehenak izan ziren. Baina ReVoLTE ikerketak eraso praktiko bihurtzen du).
Erakutsiko dizut laburki erasoaren funtsa, begiratu beharko zenukeen arren eta .
Pentsa daiteke LTE-k datu-paketeen konexioa ezartzen duenean, LTE bidezko ahotsaren zeregina konexio horren bidez ahots-paketeak zure trafiko guztiarekin batera bideratzea besterik ez dela. Beste era batera esanda, VoLTE baino gehiago existitzen den kontzeptua izango da [OSI ereduak - gutxi gorabehera.]. Hau ez da guztiz egia.
Izan ere, LTE lotura geruzak "eramaile" kontzeptua sartzen du. Eramaileak paketeen trafiko mota desberdinak bereizten dituzten saio-identifikatzaile bereiziak dira. Interneteko trafiko arrunta (zure Twitter eta Snapchat) eramaile batetik pasatzen da. VoIP-rako SIP seinaleztapena beste batetik pasatzen da, eta ahots-trafiko paketeak hirugarren baten bidez prozesatzen dira. Ez naiz oso ezagutzen LTE irratiaren eta sarearen bideratze-mekanismoen inguruan, baina uste dut horrela egin dela, LTE sareek QoS (zerbitzuaren kalitatea) mekanismoak ezarri nahi dituztelako, pakete-korronte desberdinak lehentasun-maila desberdinetan prozesatu daitezen: hau da. zurea bigarren mailakoa Facebookerako TCP konexioek zure denbora errealeko ahots-deiek baino lehentasun txikiagoa izan dezakete.
Orokorrean ez da arazo bat, baina ondorioak hauek dira. LTE enkriptatzeko gakoak bereizita sortzen dira "eramaile" berri bat instalatzen den bakoitzean. Funtsean, hau berriro gertatu beharko litzateke telefono dei berri bat egiten duzun bakoitzean. Honen ondorioz, dei bakoitzeko enkriptazio-gako ezberdin bat erabiliko da, eta gako bera berrerabiltzeko aukera ezabatuko da ahots-dei-paketeen bi multzo ezberdin enkriptatzeko. Izan ere, LTE estandarrak "gako ezberdin bat erabili beharko zenuke telefono dei berri bat kudeatzeko eramaile berri bat instalatzen duzun bakoitzean". Baina horrek ez du esan nahi hori benetan gertatzen denik.
Izan ere, bizitza errealeko inplementazioetan, denbora-hurbiltasunean gertatzen diren bi dei ezberdinek gako bera erabiliko dute, haien artean izen bereko eramaile berriak konfiguratuta egon arren. Dei horien artean gertatzen den aldaketa praktiko bakarra zifratze-kontagailua zerora berrezartzea da. Literaturan hau deitzen da batzuetan . Batek esan liteke hori funtsean ezarpen-akats bat dela, nahiz eta kasu honetan arriskuak neurri handi batean estandarretik bertatik datozela dirudi.
Praktikan, eraso honek gako-korrontea berrerabiltzen du, non erasotzaileak $inline$C_1 = M_1 oplus KS$inline$ eta $inline$C_2 = M_2 oplus KS$inline$ enkriptatutako paketeak lor ditzake, $inline$ kalkulatzeko aukera emanez. C_1 oplus C_2 = M_1 oplus M_2$inline$. Are hobeto, erasotzaileak $inline$M_1$inline$ edo $inline$M_2$inline$ bat ezagutzen badu, berehala berreskuratu ahal izango du bestea. Horrek pizgarri sendoa ematen dio aurkitu zifratu gabeko bi osagaietako bat.
Horrek erasoaren eszenatoki oso eta eraginkorrenera garamatza. Demagun erasotzaile bat, xede-telefono baten eta dorre mugikor baten artean irrati-trafikoa atzeman dezakeena, eta nolabait bi dei ezberdin grabatzeko zortea lortzen duena, bigarrena lehenengoaren ondoren berehala gertatuz. Orain imajinatu deietako baten zifratu gabeko edukia nolabait asma dezakeela. Halakoekin serendipia gure erasotzaileak guztiz deszifratu dezake lehen deia bi pakete multzoen arteko XOR soil bat erabiliz.
Noski, zorteak ez dauka zerikusirik. Telefonoak deiak jasotzeko diseinatuta daudenez, lehenengo deia entzun dezakeen erasotzaile batek bigarren dei bat abiarazi ahal izango du lehenengoa amaitzen den une zehatzean. Bigarren dei honek, enkriptazio-gako bera berriro erabiltzen bada kontagailua zerora berrezarrita, zifratu gabeko datuak berreskuratu ahal izango dira. Gainera, gure erasotzaileak bigarren deian zehar datuak kontrolatzen dituenez, lehen deian edukia berreskuratu dezake - berariaz inplementatutako askori esker. gauza txikiak, bere alde jolasean.
Hona hemen hartutako eraso plan orokorraren irudia :
Erasoen ikuspegi orokorra . Eskema honek tekla bera erabiliz bi dei ezberdin egiten direla suposatzen du. Erasotzaileak sniffer pasiboa kontrolatzen du (goian ezkerrean), baita bigarren telefono bat ere, eta horrekin biktimaren telefonora bigarren dei bat egin dezake.
Beraz, erasoak benetan funtzionatzen du?
Alde batetik, hau da benetan ReVoLTEri buruzko artikuluaren galdera nagusia. Goiko ideia guztiak bikainak dira teorian, baina galdera asko uzten dituzte. Hala nola:
- Posible al da (ikertzaile akademikoentzat) benetan VoLTE konexio bat atzematea?
- Benetako LTE sistemak giltzaberritzen al dira?
- Bigarren dei bat abiarazi al dezakezu telefonoak eta dorreak gakoa berrerabil dezaten nahikoa azkar eta fidagarri?
- Nahiz eta sistemak berriro teklatu, jakin al dezakezu bigarren deiaren zifratu gabeko edukia - kodekak eta transkodeketak bezalako gauzek bigarren dei horren edukia (bit-z-bit) erabat alda dezaketela kontuan hartuta, "bit"etarako sarbidea baduzu ere? " Zure erasoko telefonotik dator?
ReVoLTEren lanak galdera hauetako batzuei baiezko erantzuten die. Egileek software komertzialaren bidez birkonfigura daitekeen irrati-korronteen sniffer izenekoa erabiltzen dute beheranzko loturaren aldetik VoLTE dei bat atzemateko. (Uste dut softwarea ezagutzeak eta nola funtzionatzen duen gutxi gorabehera ulertzeak hilabete batzuk kendu zizkion graduondoko ikasle pobreen bizitzari, hau da, ikerketa akademiko mota honetako ohikoa).
Ikertzaileek aurkitu zuten gakoak berrerabiltzeko, bigarren deia nahikoa azkar gertatu behar zela lehenengoa amaitu ondoren, baina ez azkarregi: hamar segundo inguru esperimentatu zituzten operadoreentzat. Zorionez, ez du axola erabiltzaileak denbora horretan deiari erantzuten dion ala ez - "deitasuna" alegia. SIP konexioak berak operadorea gako bera berrerabiltzera behartzen du.
Beraz, arazo kaskarrenetako asko (4) arazoaren inguruan daude: erasotzaile batek hasitako dei baten zifratu gabeko edukiaren zatiak jasotzea. Hau da, zure edukiari asko gerta dakiokeelako erasotzailearen telefonotik biktimaren telefonora sare mugikorraren bidez bidaiatzen denean. Adibidez, trikimailu zikinak kodetutako audio korronte bat berriro kodetzea bezalako trikimailu zikinak, soinua berdin uzten duena, baina bere irudikapen bitarra erabat aldatzen duena. LTE sareek RTP goiburuko konpresioa ere erabiltzen dute, eta horrek RTP paketearen zati handi bat nabarmen alda dezake.
Azkenik, erasotzaileak bidalitako paketeek lehen telefono-deian bidalitako paketeekin bat etorri beharko lukete gutxi gorabehera. Hau arazotsua izan daiteke, telefono-deian zehar isiltasuna aldatzeak mezu laburragoak (erosotasun-zarata deitutakoa) sortzen direlako, jatorrizko deiarekin ondo ez egokitzea.
Merezi du xehetasunez irakurtzea. Goiko arazo asko jorratzen ditu; bereziki, egileek aurkitu dute kodek batzuk ez direla berriro kodetzen, eta gutxi gorabehera xede deiaren irudikapen bitarraren % 89 berreskura daitekeela. Hori egia da probatu ziren Europako bi operadoreentzat.
Arrakasta-tasa harrigarri altua da, eta dokumentu honetan lan egiten hasi nintzenean espero nuena baino askoz ere handiagoa da.
Beraz, zer egin dezakegu konpontzeko?
Galdera honen berehalako erantzuna oso erraza da: ahultasunaren funtsa berrerabilpenaren (berreinstalazioaren) erasoa denez, arazoa konpondu besterik ez dago. Ziurtatu telefono-dei bakoitzeko gako berri bat lortzen dela, eta ez utzi inoiz pakete-kontagailuari tekla bera erabiliz kontagailua zerora berrezartzea. Arazoa konponduta!
Edo agian ez. Horrek ekipamendu asko berritzea eskatuko du, eta, egia esanda, konponketa hori berez ez da oso fidagarria. Polita litzateke estandarrek beren enkriptatze moduak ezartzeko modu seguruago bat aurkitzea, lehenespenez hondamendia ez den gakoen berrerabilpen arazoen aurrean.
Aukera posible bat erabiltzea da . Hau garestiegia izan daiteke egungo hardware batzuentzat, baina, zalantzarik gabe, etorkizunean diseinatzaileek pentsatu beharko luketen eremu bat da, batez ere 5G estandarrak mundua bereganatzear daudelako.
Azterketa berri honek zergatik galdera orokorra ere planteatzen du , horietako askok diseinu eta protokolo oso antzekoak erabiltzen dituzte. WPA2 bezalako protokolo asko erabiltzen diren hainbat protokolotan gako bera berriro instalatzeko arazoarekin topo egiten duzunean, ez al duzu uste zure zehaztapenak eta proba-prozedurak sendoagoak egiteko garaia izango dela? Utzi estandar inplementatzaileak zure abisuei adi dauden bazkide pentsakor gisa tratatzea. Trata itzazu (nahi gabe) gauzak gaizki aterako diren etsai bezala.
Edo, bestela, Facebook eta Apple bezalako enpresek gero eta gehiago egiten dutena egin dezakegu: ahots-deien enkriptatzea OSI sare-pilaren maila altuago batean gertatzea, ekipo zelularren fabrikatzaileengan fidatu gabe. Ahots-deien amaierako enkriptatzea ere bultzatu genezake, WhatsApp Signal eta FaceTime-rekin egiten ari den bezala, AEBetako gobernua gelditzen dela suposatuz. . Orduan (metadatu batzuk izan ezik) arazo horietako asko desagertuko lirateke. Irtenbide hau bereziki garrantzitsua da non mundu batean .
Edo besterik gabe egin dezakegu gure seme-alabek dagoeneko egin dutena: utzi ahots-dei gogaikarri horiei erantzutea.
Iturria: www.habr.com