Frá þýðanda og TL;DR
-
TL; DR:
Svo virðist sem VoLTE hafi reynst vera enn verr varið en fyrstu Wi-Fi viðskiptavinirnir með WEP. Eingöngu byggingarfræðilegur misreikningur sem gerir þér kleift að XOR umferðina aðeins og endurheimta lykilinn. Árás er möguleg ef þú ert nálægt þeim sem hringir og hann hringir oft.
-
Takk fyrir ábendinguna og TL;DR
-
Vísindamenn hafa búið til app til að ákvarða hvort símafyrirtækið þitt sé viðkvæmt, lestu meira . Deildu niðurstöðunum í athugasemdunum, VoLTE er óvirkt á mínu svæði á Megafon.
Um höfundinn
Matthew Green.
Ég er dulmálsfræðingur og prófessor við Johns Hopkins háskólann. Ég hef hannað og greint dulmálskerfi sem notuð eru í þráðlausum netum, greiðslukerfum og öryggiskerfum fyrir stafrænt efni. Í rannsóknum mínum skoða ég mismunandi leiðir til að nota dulmál til að bæta friðhelgi notenda.
Það er langt síðan ég skrifaði færslusnið , og það kom mér í uppnám. Ekki vegna þess að það voru ekki árásir, heldur aðallega vegna þess að það var ekki ráðist á eitthvað sem er nógu mikið notað til að koma mér út úr rithöfundablokkinni.
En í dag rakst ég á kallað ReVoLTE fyrir samskiptareglur sem ég er sérstaklega spenntur fyrir að hakka, nefnilega farsímanet (rödd yfir) LTE samskiptareglur. Ég er spenntur fyrir þessum tilteknu samskiptareglum - og þessari nýju árás - vegna þess að það er mjög sjaldgæft að sjá raunverulegar samskiptareglur og útfærslur farsímaneta vera tölvusnápur. Aðallega vegna þess að þessir staðlar voru þróaðir í reykfylltum herbergjum og skráðir í 12000 blaðsíðna skjölum sem ekki allir rannsakandi ræður við. Þar að auki, framkvæmd þessara árása neyðir vísindamenn til að nota flóknar útvarpssamskiptareglur.
Þannig gætu alvarlegir dulmálsveikleikar breiðst út um allan heim, kannski aðeins til að nýta sér það af stjórnvöldum, áður en einhver rannsakandi tekur eftir því. En af og til eru undantekningar og árásin í dag er ein af þeim.
Höfundar Framlag: David Rupprecht, Katharina Kohls, Thorsten Holz og Christina Pöpper frá Ruhr-háskólanum í Bochum og New York háskólanum í Abu Dhabi. Þetta er frábær árás til að setja aftur upp lykilinn í raddsamskiptareglunum sem þú ert líklega þegar að nota (að því gefnu að þú sért af eldri kynslóð sem enn hringir með farsíma).
Til að byrja með, stutt söguleg skoðunarferð.
Hvað eru LTE og VoLTE?
Grunnurinn að nútíma farsímastöðlum okkar var lagður í Evrópu aftur á níunda áratugnum með staðlinum (Global System for Mobile Communications). GSM var fyrsti stóri stafræni farsímastaðallinn, sem kynnti fjölda byltingarkennda eiginleika, svo sem notkun til að vernda símtöl. Snemma GSM var hannað fyrst og fremst fyrir raddsamskipti, þó peningar gætu verið það .
Eftir því sem gagnaflutningur varð mikilvægari í farsímasamskiptum voru Long Term Evolution (LTE) staðlar þróaðir til að hagræða þessa tegund samskipta. LTE er byggt á hópi eldri staðla eins og GSM, и og er hannað til að auka gagnaskiptahraða. Það er mikið um vörumerki og en TL;DR er að LTE er gagnaflutningskerfi sem þjónar sem brú á milli eldri pakkagagnasamskipta og framtíðar farsímagagnatækni .
Auðvitað segir sagan okkur að þegar næg (IP) bandbreidd er tiltæk, munu hugtök eins og „rödd“ og „gögn“ byrja að þokast. Sama á við um nútíma farsímasamskiptareglur. Til að gera þessi umskipti sléttari, skilgreina LTE staðlar (VoLTE), sem er IP staðall til að flytja símtöl beint yfir LTE gagnaplanið, sem framhjá upphringihluta farsímakerfisins. Eins og með standard ,VoLTE símtöl geta símafyrirtækið sagt upp og tengt við venjulegt símakerfi. Eða (eins og er að verða sífellt algengara) þeir beint frá einum farsímaviðskiptavini til annars, og jafnvel á milli mismunandi veitenda.
Eins og venjulegt VoIP er VoLTE byggt á tveimur vinsælum IP-undirstaða samskiptareglum: Session Initiation Protocol ( - SIP) fyrir uppsetningu símtala og flutningssamskiptareglur í rauntíma (, sem ætti að heita RTTP en heitir í raun RTP) til að vinna raddgögn. VoLTE bætir einnig við nokkrum viðbótarfínstillingum á bandbreidd, svo sem hausþjöppun.
Allt í lagi, hvað hefur þetta með dulkóðun að gera?
LTE, eins og , hefur staðlað sett af dulritunarsamskiptareglum til að dulkóða pakka þegar þeir eru sendir í gegnum loftið. Þau eru aðallega hönnuð til að vernda gögnin þín þegar þau fara á milli símans (kallaður notendabúnaður, eða UE) og farsímaturnsins (eða hvar sem þjónustuveitan þín ákveður að slíta tengingunni). Þetta er vegna þess að farsímaveitur líta á ytri hlerunartæki sem óvini. Jæja, auðvitað.
(Hins vegar, sú staðreynd að VoLTE tengingar geta átt sér stað beint á milli viðskiptavina á mismunandi netkerfi veitenda þýðir að VoLTE samskiptareglur sjálfar eru með nokkrar viðbótar og valfrjálsar dulkóðunarsamskiptareglur sem geta átt sér stað á hærri netlögum. Þetta á ekki við um núverandi grein, nema staðreynd að þeir geta eyðilagt allt (við tölum um þá stuttlega næst).
Sögulega hefur dulkóðun í GSM verið : slæmt , samskiptareglur þar sem aðeins síminn var auðkenndur við turninn (sem þýðir að árásarmaður gæti líkt eftir turninum og myndað ) og svo framvegis. LTE leiðrétti margar af augljósu villunum á meðan hann hélt mikið af sömu uppbyggingu.
Byrjum á dulkóðuninni sjálfri. Að því gefnu að lyklagerð hafi þegar átt sér stað - og við munum tala um það eftir eina mínútu - þá er hver pakki af gögnum dulkóðaður með straumdulkóðun með því að nota eitthvað sem kallast "EEA" (sem í reynd er hægt að útfæra með því að nota hluti eins og AES ). Í meginatriðum er dulkóðunarkerfið hér eins og hér að neðan:
Aðal dulkóðunaralgrímið fyrir VoLTE pakka (heimild: ). EEA er dulmál, „COUNT“ er 32-bita teljari, „BEARER“ er einstakt lotuauðkenni sem aðskilur VoLTE tengingar frá venjulegri netumferð. „STÓГ gefur til kynna í hvaða átt umferðin flæðir - frá UE að turninum eða öfugt.
Þar sem hægt er að útfæra dulkóðunaralgrímið sjálft (EEA) með því að nota sterka dulritun eins og AES, er ólíklegt að það verði einhver bein árás á dulmálið sjálft eins og þetta . Hins vegar er ljóst að jafnvel með sterkan dulmál er þetta dulkóðunarkerfi frábær leið til að skjóta þig í fótinn.
Sérstaklega: LTE staðallinn notar (óstaðfest) straumdulmál með stillingu sem verður afar viðkvæmt ef teljarinn - og önnur inntak eins og "berar" og "stefna" - eru einhvern tíma endurnotuð. Í nútímamáli er hugtakið fyrir þetta hugtak „árás án endurnotkunar,“ en hugsanleg áhætta hér er ekki nútímaleg. Þeir eru frægir og fornir, allt aftur til daga glam metal og jafnvel diskó.
Árásir á ekki endurnotkun í CTR ham voru til jafnvel þegar Poison varð þekkt
Til að vera sanngjarn segja LTE staðlarnir: "Vinsamlegast ekki endurnýta þessa mæla." En LTE staðlar eru um 7000 blaðsíður að lengd og í öllum tilvikum er þetta eins og að biðja krakka um að leika sér ekki með byssu. Þeir munu óhjákvæmilega gera það og hræðilegir hlutir munu gerast. Skotbyssan í þessu tilfelli er lykilstraums endurnotkunarárás, þar sem tvö mismunandi trúnaðarskilaboð XOR sömu lykilstraumsbæturnar. Það er vitað að þetta .
Hvað er ReVoLTE?
ReVoLTE árásin sýnir að í reynd er þessi mjög viðkvæma dulkóðunarhönnun misnotuð af raunverulegum vélbúnaði. Sérstaklega greina höfundarnir raunveruleg VoLTE símtöl sem gerðar eru með viðskiptabúnaði og sýna að þeir geta notað eitthvað sem kallast "lykilenduruppsetningarárás." (Mikið lánstraust fyrir að finna þetta vandamál (Raza & Lu), sem voru fyrstir til að benda á hugsanlegan varnarleysi. En ReVoLTE rannsóknir breyta því í hagnýta árás).
Leyfðu mér að sýna þér stuttlega kjarna árásarinnar, þó þú ættir að skoða og .
Maður gæti gert ráð fyrir að þegar LTE hefur komið á pakkagagnatengingu verði verkefnið að tala yfir LTE bara spurning um að beina raddpökkum yfir þá tengingu ásamt allri umferð þinni. Með öðrum orðum, VoLTE verður hugtak sem aðeins er til yfir [OSI módel - ca.]. Þetta er ekki alveg satt.
Reyndar kynnir LTE tengilagið hugtakið "bera". Bearar eru aðskilin lotuauðkenni sem aðgreina mismunandi tegundir pakkaumferðar. Venjuleg netumferð (Twitter og Snapchat) fer í gegnum einn burðaraðila. SIP merking fyrir VoIP fer í gegnum annað og raddumferðarpakkar eru unnar í gegnum þann þriðja. Ég er ekki mjög fróður um LTE útvarp og leiðarkerfi fyrir netkerfi, en ég tel að það sé gert á þennan hátt vegna þess að LTE netkerfi vilja framfylgja QoS (gæði þjónustu) aðferða þannig að mismunandi pakkastraumar séu unnar á mismunandi forgangsstigum: þ.e. þitt annars flokks TCP-tengingar við Facebook gætu haft lægri forgang en rauntímasímtölin þín.
Þetta er almennt ekki vandamál, en afleiðingarnar eru þessar. Lyklar fyrir LTE dulkóðun eru búnir til sérstaklega í hvert skipti sem nýr „beri“ er settur upp. Í grundvallaratriðum ætti þetta að gerast aftur í hvert skipti sem þú hringir nýtt símtal. Þetta mun leiða til þess að annar dulkóðunarlykill er notaður fyrir hvert símtal, sem útilokar möguleikann á að endurnota sama lykilinn til að dulkóða tvö mismunandi sett af símtalspökkum. Reyndar segir LTE staðalinn eitthvað eins og "þú ættir að nota annan lykil í hvert skipti sem þú setur upp nýjan burðarbúnað til að takast á við nýtt símtal." En þetta þýðir ekki að þetta gerist í raun og veru.
Reyndar, í raunverulegum útfærslum, munu tvö mismunandi símtöl sem eiga sér stað í nálægri tímabundinni nálægð nota sama takkann - þrátt fyrir þá staðreynd að nýir samnefndir bera séu stilltir á milli þeirra. Eina hagnýta breytingin sem verður á milli þessara símtala er að dulkóðunarteljarinn er núllstilltur. Í bókmenntum er þetta stundum kallað . Það mætti halda því fram að þetta sé í meginatriðum útfærsluvilla, þó að í þessu tilviki virðist áhættan að miklu leyti stafa af staðlinum sjálfum.
Í reynd leiðir þessi árás til endurnotkunar lykilstraums, þar sem árásarmaðurinn getur fengið dulkóðuðu pakkana $inline$C_1 = M_1 oplus KS$inline$ og $inline$C_2 = M_2 oplus KS$inline$, sem gerir kleift að reikna $inline$ út C_1 oplus C_2 = M_1 oplus M_2$inline$. Jafnvel betra, ef árásarmaðurinn þekkir einn af $inline$M_1$inline$ eða $inline$M_2$inline$, þá getur hann strax endurheimt hinn. Þetta gefur honum sterkan hvata finna út einn af tveimur ódulkóðuðu hlutunum.
Þetta færir okkur að fullkominni og skilvirkustu árásaratburðarás. Lítum á árásarmann sem getur stöðvað útvarpsumferð milli marksíma og farsímaturns, og sem einhvern veginn verður svo heppinn að taka upp tvö mismunandi símtöl, þar sem annað kemur strax á eftir því fyrra. Ímyndaðu þér nú að hann gæti einhvern veginn giskað á ódulkóðað innihald eins símtalanna. Með slíku æðruleysi Árásarmaðurinn okkar getur að fullu afkóða fyrsta símtalið með því að nota einfaldan XOR á milli pakkasettanna tveggja.
Auðvitað hefur heppnin ekkert með það að gera. Þar sem símar eru hannaðir til að taka á móti símtölum mun árásarmaður sem getur heyrt fyrsta símtalið geta hringt í annað símtal á nákvæmlega því augnabliki sem því fyrsta lýkur. Þetta annað símtal, ef sami dulkóðunarlykill er notaður aftur með teljarann endurstilltur á núll, mun gera kleift að endurheimta ódulkóðuðu gögnin. Þar að auki, þar sem árásarmaðurinn okkar stjórnar gögnunum í seinna símtalinu, getur hann endurheimt innihald fyrsta símtalsins - þökk sé mörgum sérstaklega útfærðum Litlu hlutirnir, leika sér við hlið.
Hér er mynd af almennu árásaráætluninni tekin úr :
Árásaryfirlit frá . Þetta kerfi gerir ráð fyrir að tvö mismunandi símtöl séu gerð með sama takkanum. Árásarmaðurinn stjórnar óvirka sniffernum (efst til vinstri), sem og öðrum síma, sem hann getur hringt annað með í símann fórnarlambsins.
Svo virkar árásin virkilega?
Annars vegar er þetta í raun aðalspurningin fyrir greinina um ReVoLTE. Allar ofangreindar hugmyndir eru frábærar í orði, en þær skilja eftir margar spurningar. Eins og:
- Er það mögulegt (fyrir fræðilega vísindamenn) að stöðva VoLTE tengingu í raun?
- Eru raunveruleg LTE kerfi í raun endurlykla?
- Getur þú í raun og veru hringt í annað símtal nógu fljótt og áreiðanlegt til að síminn og turninn geti endurnotað lykilinn?
- Jafnvel þótt kerfi endurlyki, geturðu raunverulega vitað ódulkóðað innihald síðara símtalsins - í ljósi þess að hlutir eins og merkjamál og umkóðun geta gjörbreytt (bit-fyrir-bita) innihald þess síðara símtals, jafnvel þótt þú hafir aðgang að "bitunum “ kemur úr árásarsímanum þínum?
Starf ReVoLTE svarar sumum þessara spurninga játandi. Höfundarnir nota auglýsing hugbúnað-endurstilla útvarp straum sniffer sem kallast til að hlera VoLTE símtal frá downlink hliðinni. (Ég held að það að ná tökum á hugbúnaðinum og fá grófa hugmynd um hvernig hann virkar hafi tekið mánuði af lífi fátækra útskriftarnema - sem er dæmigert fyrir svona fræðilegar rannsóknir).
Rannsakendur komust að því að til að endurnotkun lykla virkaði þurfti annað símtalið að gerast nógu fljótt eftir að því fyrsta lauk, en ekki of hratt - um það bil tíu sekúndur fyrir símafyrirtækið sem þeir gerðu tilraunir með. Sem betur fer skiptir ekki máli hvort notandinn svarar símtalinu innan þessa tíma - "hringurinn" þ.e. SIP-tengingin sjálf neyðir símafyrirtækið til að endurnota sama lykil.
Þannig snúast mörg ömurlegustu vandamálin um vandamál (4) - að taka á móti bitum af ódulkóðuðu innihaldi símtals sem árásarmaður hefur hafið. Þetta er vegna þess að mikið getur gerst um efnið þitt þegar það fer frá síma árásarmannsins í síma fórnarlambsins yfir farsímakerfið. Til dæmis, svo óhrein bragðarefur eins og að endurkóða kóðað hljóðstraum, sem skilur hljóðið eftir það sama, en breytir algjörlega tvöfaldri framsetningu þess. LTE netkerfi nota einnig RTP hausþjöppun, sem getur verulega breytt miklu af RTP pakkanum.
Að lokum ættu pakkarnir sem árásarmaðurinn sendir að vera nokkurn veginn í takt við þá pakka sem sendir voru í fyrsta símtalinu. Þetta getur verið vandamál vegna þess að breyting á þögninni meðan á símtali stendur leiðir til styttri skilaboða (aka þægindahljóð) sem passa kannski ekki vel við upphaflega símtalið.
Það er þess virði að lesa ítarlega. Það tekur á mörgum af ofangreindum málum - einkum komust höfundar að því að sumir merkjamál eru ekki endurkóðaðir og að um það bil 89% af tvíundarframsetningu marksímtalsins er hægt að endurheimta. Þetta á við um að minnsta kosti tvo evrópska rekstraraðila sem voru prófaðir.
Þetta er ótrúlega hátt árangur og satt að segja miklu hærra en ég bjóst við þegar ég byrjaði að vinna að þessu skjali.
Svo hvað getum við gert til að laga það?
Strax svarið við þessari spurningu er mjög einfalt: þar sem kjarninn í varnarleysinu er lykilendurnotkun (enduruppsetning) árás, einfaldlega lagaðu vandamálið. Gakktu úr skugga um að nýr lykill sé fenginn fyrir hvert símtal og leyfðu pakkateljaranum aldrei að núllstilla teljarann með sama takka. Vandamál leyst!
Eða kannski ekki. Þetta mun krefjast uppfærslu á miklum búnaði og í hreinskilni sagt er slík lagfæring í sjálfu sér ekki ofuráreiðanleg. Það væri gaman ef staðlar gætu fundið öruggari leið til að innleiða dulkóðunarhami sína sem er ekki sjálfgefið skelfilega viðkvæm fyrir slíkum lykil endurnotkunarvandamálum.
Einn möguleiki er að nota . Þetta gæti verið of dýrt fyrir einhvern núverandi vélbúnað, en það er vissulega svæði sem hönnuðir ættu að hugsa um í framtíðinni, sérstaklega þar sem 5G staðlar eru að fara að taka yfir heiminn.
Þessi nýja rannsókn vekur einnig almenna spurningu hvers vegna , sem mörg hver nota mjög svipaða hönnun og samskiptareglur. Þegar þú stendur frammi fyrir því vandamáli að setja sama lykil upp aftur yfir margar víða notaðar samskiptareglur eins og WPA2, heldurðu að það gæti ekki verið kominn tími til að gera forskriftir þínar og prófunaraðferðir öflugri? Hættu að meðhöndla staðlainnleiðendur sem hugsandi samstarfsaðila sem eru gaum að viðvörunum þínum. Komdu fram við þá eins og (óviljandi) andstæðinga sem eru óhjákvæmilega að fara að misskilja.
Eða, að öðrum kosti, getum við gert það sem fyrirtæki eins og Facebook og Apple eru að gera í auknum mæli: láta dulkóðun raddsímtala gerast á hærra stigi OSI netstafla, án þess að treysta á framleiðendur farsímabúnaðar. Við gætum jafnvel þrýst á um dulkóðun frá enda til enda á símtölum, eins og WhatsApp er að gera með Signal og FaceTime, að því gefnu að bandarísk stjórnvöld hætti bara . Þá (að undanskildum sumum lýsigögnum) myndu mörg af þessum vandamálum einfaldlega hverfa. Þessi lausn er sérstaklega viðeigandi í heimi þar sem .
Eða við getum einfaldlega gert það sem börnin okkar hafa þegar gert: hætta að svara þessum pirrandi símtölum.
Heimild: www.habr.com