Tarjimondan va TL;DR
-
TP; DR:
VoLTE WEP bilan birinchi Wi-Fi mijozlaridan ham yomonroq himoyalanganga o'xshaydi. Trafikni biroz XOR qilish va kalitni tiklash imkonini beruvchi eksklyuziv me'moriy noto'g'ri hisoblash. Agar siz qo'ng'iroq qiluvchiga yaqin bo'lsangiz va u tez-tez qo'ng'iroq qilsa, hujum qilish mumkin.
-
Maslahat va TL; DR uchun rahmat
-
Tadqiqotchilar sizning operatoringiz zaif yoki yo‘qligini aniqlash uchun ilova yaratdilar, ko‘proq o‘qing . Natijalarni sharhlarda baham ko'ring, Megafon-da mening mintaqamda VoLTE o'chirilgan.
Muallif haqida
Metyu Grin.
Men kriptografman va Jons Xopkins universiteti professoriman. Men simsiz tarmoqlarda, toʻlov tizimlarida va raqamli kontent xavfsizligi platformalarida ishlatiladigan kriptografik tizimlarni ishlab chiqdim va tahlil qildim. Tadqiqotimda men foydalanuvchi maxfiyligini yaxshilash uchun kriptografiyadan foydalanishning turli usullarini ko'rib chiqaman.
Men post formatini yozganimga ancha bo'ldi , va bu meni xafa qildi. Hujumlar bo'lmagani uchun emas, balki asosan meni yozuvchi blokirovkasidan chiqarib yuborish uchun etarlicha keng qo'llaniladigan narsaga hujum bo'lmagani uchun.
Ammo bugun men duch keldim Men buzg'unchilikdan juda xursand bo'lgan protokollar uchun ReVoLTE deb nomlangan, ya'ni uyali tarmoq (ovozli) LTE protokollari. Men ushbu maxsus protokollar va bu yangi hujumdan hayajondaman, chunki haqiqiy uyali tarmoq protokollari va ilovalari buzilganini ko'rish juda kam uchraydi. Asosan, chunki bu standartlar tutun bilan to'ldirilgan xonalarda ishlab chiqilgan va 12000 betlik hujjatlarda hujjatlashtirilgan bo'lib, har bir tadqiqotchi ham qila olmaydi. Bundan tashqari, ushbu hujumlarni amalga oshirish tadqiqotchilarni murakkab radio protokollaridan foydalanishga majbur qiladi.
Shunday qilib, jiddiy kriptografik zaifliklar butun dunyo bo'ylab tarqalishi mumkin, ehtimol faqatgina hukumatlar tomonidan har qanday tadqiqotchi e'tiborga olishdan oldin foydalanishi mumkin. Ammo vaqti-vaqti bilan istisnolar mavjud va bugungi hujum ulardan biri.
mualliflar Ishtirokchilar: Bochum Ruhr universiteti va Abu-Dabi Nyu-York universitetidan David Rupprecht, Katharina Kohls, Thorsten Holz va Christina Popper. Bu siz allaqachon foydalanayotgan ovozli protokoldagi kalitni qayta o'rnatish uchun ajoyib hujumdir (agar siz hali ham mobil telefon yordamida telefon qo'ng'iroqlarini amalga oshiradigan eski avloddan bo'lsangiz).
Boshlash uchun qisqacha tarixiy ekskursiya.
LTE va VoLTE nima?
Bizning zamonaviy uyali telefoniya standartlarimizning asosi Evropada 80-yillarda standart tomonidan qo'yilgan. (Mobil aloqa uchun global tizim). GSM birinchi yirik raqamli uyali telefoniya standarti bo'lib, u foydalanish kabi bir qator inqilobiy xususiyatlarni taqdim etdi. telefon qo'ng'iroqlarini himoya qilish uchun. Dastlabki GSM asosan ovozli aloqa uchun mo'ljallangan edi, ammo pul bo'lishi mumkin .
Uyali aloqada ma'lumotlarni uzatish muhimroq bo'lganligi sababli, ushbu turdagi aloqani soddalashtirish uchun Long Term Evolution (LTE) standartlari ishlab chiqildi. LTE GSM kabi eski standartlar guruhiga asoslangan. и va ma'lumotlar almashish tezligini oshirish uchun mo'ljallangan. Ko'p brending mavjud va lekin TL; DR LTE eski paketli ma'lumotlar protokollari va kelajakdagi uyali ma'lumotlar texnologiyalari o'rtasida ko'prik bo'lib xizmat qiladigan ma'lumotlarni uzatish tizimidir. .
Albatta, tarix shuni ko'rsatadiki, etarli (IP) tarmoqli kengligi mavjud bo'lganda, "ovoz" va "ma'lumotlar" kabi tushunchalar xiralasha boshlaydi. Xuddi shu narsa zamonaviy uyali aloqa protokollariga ham tegishli. Ushbu o'tishni yumshoqroq qilish uchun LTE standartlari aniqlanadi (VoLTE), bu uyali tarmoqning dial-up qismini butunlay chetlab o'tib, LTE tizimining ma'lumotlar tekisligi orqali ovozli qo'ng'iroqlarni amalga oshirish uchun IP standartidir. Standart kabi ,VoLTE qo'ng'iroqlari uyali aloqa operatori tomonidan to'xtatilishi va oddiy telefon tarmog'iga ulanishi mumkin. Yoki (borgan sari keng tarqalgan bo'lib) ular to'g'ridan-to'g'ri bir uyali mijozdan boshqasiga va hatto turli provayderlar o'rtasida.
Standart VoIP singari, VoLTE ikkita mashhur IP-ga asoslangan protokollarga asoslanadi: Sessiyani boshlash protokoli ( – SIP) qo‘ng‘iroqlarni sozlash va real vaqtda transport protokoli (, bu RTTP deb nomlanishi kerak, lekin aslida RTP deb ataladi) ovozli ma'lumotlarni qayta ishlash uchun. VoLTE shuningdek, sarlavhani siqish kabi qo'shimcha tarmoqli kengligi optimallashtirishlarini ham qo'shadi.
Xo'sh, buning shifrlash bilan qanday aloqasi bor?
LTE kabi , paketlarni shifrlash uchun standart kriptografik protokollar to'plamiga ega, chunki ular havo orqali uzatiladi. Ular asosan ma'lumotlaringizni telefon (foydalanuvchi uskunasi yoki UE deb ataladi) va uyali aloqa minorasi (yoki provayderingiz ulanishni to'xtatishga qaror qilgan joyda) o'rtasida harakatlanayotganda himoya qilish uchun mo'ljallangan. Buning sababi, uyali aloqa operatorlari tashqi tinglash qurilmalarini dushman sifatida ko'rishadi. Xo'sh, albatta.
(Ammo, VoLTE ulanishlarining turli provayder tarmoqlaridagi mijozlar o‘rtasida to‘g‘ridan-to‘g‘ri sodir bo‘lishi haqiqati VoLTE protokolining o‘zi yuqori tarmoq qatlamlarida paydo bo‘lishi mumkin bo‘lgan qo‘shimcha va ixtiyoriy shifrlash protokollariga ega ekanligini anglatadi. Bu joriy maqolaga taalluqli emas, bundan tashqari ular hamma narsani buzishi mumkin (keyin ular haqida qisqacha gaplashamiz).
Tarixiy jihatdan GSM-da shifrlash bo'lgan : yomon , minoraga faqat telefon autentifikatsiya qilingan protokollar (bu tajovuzkor minoraga taqlid qilishi mumkin. ) va hokazo. LTE bir xil tuzilmani saqlab qolgan holda ko'plab aniq xatolarni tuzatdi.
Keling, shifrlashning o'zidan boshlaylik. Kalit yaratilishi allaqachon sodir bo'lgan deb faraz qilsak - va biz bu haqda bir daqiqadan so'ng gaplashamiz - keyin har bir ma'lumot to'plami "EEA" deb nomlangan narsa yordamida oqim shifrlash yordamida shifrlanadi (bu amalda AES kabi narsalar yordamida amalga oshirilishi mumkin). Asosan, shifrlash mexanizmi bu erda quyidagi kabi:
VoLTE paketlari uchun asosiy shifrlash algoritmi (manba: ). EEA - shifr, "COUNT" - 32 bitli hisoblagich, "BEARER" - VoLTE ulanishlarini oddiy Internet-trafikdan ajratib turadigan noyob seans identifikatori. "DIRECTION" transport harakati qaysi yo'nalishda - UE dan minoragacha yoki aksincha oqayotganini ko'rsatadi.
Shifrlash algoritmining o'zi (EEA) AES kabi kuchli shifr yordamida amalga oshirilishi mumkinligi sababli, shifrning o'ziga bu kabi to'g'ridan-to'g'ri hujum bo'lishi dargumon. . Biroq, kuchli shifr bilan ham, bu shifrlash sxemasi o'zingizni oyog'ingizga otishning ajoyib usuli ekanligi aniq.
Xususan: LTE standarti (autentifikatsiya qilinmagan) oqim shifridan foydalanadi, bu rejimda hisoblagich va “tashuvchi” va “yo‘nalish” kabi boshqa kirishlar qayta ishlatilsa, o‘ta zaif bo‘ladi. Zamonaviy tilda ushbu kontseptsiyaning atamasi "qayta ishlatilmaydigan hujum" dir, ammo bu erda potentsial xavflar zamonaviy narsa emas. Ular mashhur va qadimiy bo'lib, glam-metall va hatto diskoteka kunlariga borib taqaladi.
CTR rejimida bir marta qayta ishlatilmaydigan hujumlar Poison ma'lum bo'lganda ham mavjud edi
Adolat uchun, LTE standartlari: "Iltimos, ushbu hisoblagichlarni qayta ishlatmang". Lekin LTE standartlari taxminan 7000 sahifani tashkil etadi va har holda, bu bolalarni qurol bilan o‘ynamaslikni so‘rashga o‘xshaydi. Ular muqarrar ravishda sodir bo'ladi va dahshatli voqealar sodir bo'ladi. Bu holda o'q otish quroli kalit oqimini qayta ishlatish hujumi bo'lib, unda ikki xil maxfiy xabarlar bir xil kalit oqimi baytlari XOR. Ma'lumki, bu .
ReVoLTE nima?
ReVoLTE hujumi shuni ko'rsatadiki, amalda bu juda zaif shifrlash dizayni haqiqiy qurilmalar tomonidan noto'g'ri foydalaniladi. Xususan, mualliflar tijorat uskunalari yordamida amalga oshirilgan haqiqiy VoLTE qo‘ng‘iroqlarini tahlil qiladilar va ular “kalitlarni qayta o‘rnatish hujumi” deb ataladigan narsadan foydalanishlari mumkinligini ko‘rsatadilar. (Ushbu muammoni topish uchun ko'p kredit beriladi Potentsial zaiflikni birinchi bo'lib ko'rsatgan (Raza va Lu). Ammo ReVoLTE tadqiqoti uni amaliy hujumga aylantiradi).
Menga hujumning mohiyatini qisqacha ko'rsataman, garchi qarash kerak va .
LTE paketli ma'lumotlar ulanishini o'rnatgandan so'ng, LTE orqali ovozli vazifa ovozli paketlarni boshqa barcha trafik bilan birga ushbu ulanish orqali yo'naltirish masalasiga aylanadi deb taxmin qilish mumkin. Boshqacha qilib aytganda, VoLTE faqat mavjud bo'lgan kontseptsiya bo'ladi [OSI modellari - taxminan.]. Bu mutlaqo to'g'ri emas.
Darhaqiqat, LTE aloqa qatlami "tashuvchi" tushunchasini kiritadi. Tashuvchilar - har xil turdagi paket trafigini ajratib turuvchi alohida seans identifikatorlari. Muntazam internet-trafik (sizning Twitter va Snapchat) bitta operator orqali o'tadi. VoIP uchun SIP signalizatsiyasi boshqasidan o'tadi va ovozli trafik paketlari uchinchi orqali qayta ishlanadi. Men LTE radiosi va tarmoqni marshrutlash mexanizmlari haqida unchalik ma'lumotga ega emasman, lekin men buni shunday amalga oshirilganiga ishonaman, chunki LTE tarmoqlari QoS (xizmat ko'rsatish sifati) mexanizmlarini qo'llashni xohlaydi, shuning uchun turli paket oqimlari turli ustuvor darajalarda qayta ishlanadi: ya'ni. sizniki ikkinchi darajali Facebook-ga TCP ulanishlari sizning real vaqtda ovozli qo'ng'iroqlaringizdan pastroq ustuvorlikka ega bo'lishi mumkin.
Bu, odatda, muammo emas, lekin oqibatlari quyidagicha. LTE shifrlash kalitlari har safar yangi "tashuvchi" o'rnatilganda alohida yaratiladi. Asosan, bu har safar yangi qo'ng'iroq qilganingizda takrorlanishi kerak. Bu har bir qo'ng'iroq uchun boshqa shifrlash kalitidan foydalanishga olib keladi, bu ikki xil ovozli qo'ng'iroqlar paketlarini shifrlash uchun bir xil kalitdan qayta foydalanish imkoniyatini yo'q qiladi. Darhaqiqat, LTE standarti "yangi telefon qo'ng'irog'ini boshqarish uchun har safar yangi operatorni o'rnatganingizda boshqa kalitdan foydalanishingiz kerak" kabi bir narsani aytadi. Ammo bu haqiqatan ham sodir bo'ladi degani emas.
Haqiqatan ham, real hayotda bir xil nomdagi yangi tashuvchilar o'rnatilganiga qaramay, yaqin vaqt oralig'ida sodir bo'ladigan ikki xil qo'ng'iroqlar bir xil kalitdan foydalanadi. Ushbu qo'ng'iroqlar orasida sodir bo'ladigan yagona amaliy o'zgarish shifrlash hisoblagichining nolga qaytarilishidir. Adabiyotda bu ba'zan deyiladi . Bu, aslida, amalga oshirish xatosi, deb bahslashish mumkin, garchi bu holatda xavflar asosan standartning o'zidan kelib chiqadi.
Amalda, bu hujum kalit oqimining qayta ishlatilishiga olib keladi, bunda tajovuzkor $inline$ ni hisoblash imkonini beruvchi $inline$C_1 = M_1 plus KS$inline$ va $inline$C_2 = M_2 plus KS$inline$ shifrlangan paketlarni olishi mumkin. C_1 ortiqcha C_2 = M_1 ortiqcha M_2$inline$. Bundan ham yaxshisi, agar tajovuzkor $inline$M_1$inline$ yoki $inline$M_2$inline$lardan birini bilsa, ikkinchisini darhol tiklashi mumkin. Bu unga kuchli rag'bat beradi shifrlanmagan ikkita komponentdan birini toping.
Bu bizni to'liq va eng samarali hujum stsenariysiga olib keladi. Maqsadli telefon va uyali minora o'rtasidagi radio trafigini to'xtata oladigan va qandaydir tarzda ikki xil qo'ng'iroqni yozib olish omadiga ega bo'lgan hujumchini ko'rib chiqing, ikkinchisi birinchisidan keyin darhol sodir bo'ladi. Endi tasavvur qiling-a, u qandaydir tarzda qo'ng'iroqlardan birining shifrlanmagan tarkibini taxmin qila oladi. Bunday bilan serendipity bizning tajovuzkorimiz ikkita paketlar to'plami o'rtasida oddiy XOR yordamida birinchi qo'ng'iroqni to'liq hal qila oladi.
Albatta, omad bunga hech qanday aloqasi yo'q. Telefonlar qo'ng'iroqlarni qabul qilish uchun yaratilganligi sababli, birinchi qo'ng'iroqni eshita oladigan tajovuzkor ikkinchi qo'ng'iroqni aynan birinchi qo'ng'iroq tugashi bilan boshlashi mumkin. Ushbu ikkinchi qo'ng'iroq, agar xuddi shu shifrlash kaliti hisoblagichni nolga qaytarish bilan qayta ishlatilsa, shifrlanmagan ma'lumotlarni qayta tiklashga imkon beradi. Bundan tashqari, bizning tajovuzkorimiz ikkinchi qo'ng'iroq paytida ma'lumotlarni boshqarganligi sababli, u birinchi qo'ng'iroqning mazmunini tiklashi mumkin - ko'plab maxsus amalga oshirilganlar tufayli kichik narsalar, uning tomonida o'ynash.
Bu erda olingan umumiy hujum rejasining tasviri :
Hujumga umumiy nuqtai . Ushbu sxema ikkita turli qo'ng'iroqlar bir xil kalit yordamida amalga oshirilishini nazarda tutadi. Hujumchi passiv snifferni (yuqori chapda), shuningdek, ikkinchi telefonni boshqaradi, u yordamida qurbonning telefoniga ikkinchi qo'ng'iroq qilish mumkin.
Xo'sh, hujum haqiqatan ham ishlaydi?
Bir tomondan, bu haqiqatan ham ReVoLTE haqidagi maqola uchun asosiy savol. Yuqoridagi barcha fikrlar nazariy jihatdan ajoyib, ammo ular juda ko'p savollarni qoldiradilar. Kabi:
- VoLTE ulanishini (akademik tadqiqotchilar uchun) to'xtatib qo'yish mumkinmi?
- Haqiqiy LTE tizimlari aslida qayta ishlaydimi?
- Siz ikkinchi qo'ng'iroqni telefon va minora kalitni qayta ishlatish uchun etarlicha tez va ishonchli qila olasizmi?
- Tizimlar qayta ochilgan taqdirda ham, siz ikkinchi qo'ng'iroqning shifrlanmagan mazmunini bila olasizmi - agar siz "bitlarga" kirish imkoniga ega bo'lsangiz ham, kodeklar va transkodlash kabi narsalar ikkinchi qo'ng'iroqning (bitma-bit) tarkibini butunlay o'zgartirishi mumkin. " Sizning hujum telefoningizdanmi?
ReVoLTE ishi ushbu savollarning ba'zilariga ijobiy javob beradi. Mualliflar tijoriy dasturiy ta'minot bilan qayta sozlanishi mumkin bo'lgan radio oqimli snifferdan foydalanadilar pastga ulanish tomonidan VoLTE qo'ng'irog'ini ushlab turish uchun. (Menimcha, dasturiy ta'minot bilan tanishish va uning qanday ishlashi haqida taxminiy tasavvurga ega bo'lish kambag'al aspirantlarning hayotidan bir necha oyni olib tashladi - bu bunday ilmiy tadqiqotlar uchun odatiy holdir).
Tadqiqotchilar kalitni qayta ishlatish uchun ikkinchi qo‘ng‘iroq birinchi qo‘ng‘iroq tugaganidan keyin yetarlicha tez sodir bo‘lishi kerakligini aniqladilar, lekin juda tez emas – ular tajriba o‘tkazgan operatorlar uchun taxminan o‘n soniya. Yaxshiyamki, foydalanuvchi bu vaqt ichida qo'ng'iroqqa javob beradimi, muhim emas - "qo'ng'iroq" ya'ni. SIP ulanishining o'zi operatorni bir xil kalitni qayta ishlatishga majbur qiladi.
Shunday qilib, eng yomon muammolarning ko'pchiligi muammo (4) - tajovuzkor tomonidan boshlangan qo'ng'iroqning shifrlanmagan tarkibining bitlarini qabul qilish atrofida aylanadi. Buning sababi, uyali tarmoq orqali tajovuzkorning telefonidan jabrlanuvchining telefoniga o'tayotganda kontentingiz bilan ko'p narsa yuz berishi mumkin. Masalan, ovozni bir xil qoldiradigan, lekin uning ikkilik ko'rinishini butunlay o'zgartiradigan kodlangan audio oqimini qayta kodlash kabi iflos fokuslar. LTE tarmoqlari, shuningdek, RTP paketining katta qismini sezilarli darajada o'zgartirishi mumkin bo'lgan RTP sarlavhasini siqishdan foydalanadi.
Nihoyat, tajovuzkor tomonidan yuborilgan paketlar birinchi telefon qo'ng'irog'i paytida yuborilgan paketlarga taxminan mos kelishi kerak. Bu muammoli bo'lishi mumkin, chunki telefon qo'ng'irog'i paytida sukunatni o'zgartirish qisqaroq xabarlarga (aka qulay shovqin) olib keladi, ular asl qo'ng'iroqqa mos kelmasligi mumkin.
Buni batafsil o'qishga arziydi. U yuqoridagi ko'plab muammolarni hal qiladi - xususan, mualliflar ba'zi kodeklar qayta kodlanmaganligini va maqsadli qo'ng'iroqning ikkilik ko'rinishining taxminan 89% tiklanishi mumkinligini aniqladilar. Bu sinovdan o'tgan kamida ikkita Evropa operatoriga tegishli.
Bu hayratlanarli darajada yuqori muvaffaqiyat darajasi va ochig'ini aytsam, men ushbu hujjat ustida ishlashni boshlaganimda kutganimdan ancha yuqori.
Xo'sh, uni tuzatish uchun nima qilishimiz mumkin?
Bu savolga darhol javob berish juda oddiy: zaiflikning mohiyati kalitni qayta ishlatish (qayta o'rnatish) hujumi bo'lganligi sababli, muammoni hal qilish kifoya. Har bir telefon qo'ng'irog'i uchun yangi kalit olinganligiga ishonch hosil qiling va hech qachon paket hisoblagichiga o'sha tugma yordamida hisoblagichni nolga qaytarishiga yo'l qo'ymang. Muammo hal!
Yoki yo'q. Bu juda ko'p jihozlarni yangilashni talab qiladi va ochig'ini aytganda, bunday tuzatishning o'zi juda ishonchli emas. Agar standartlar o'zlarining shifrlash rejimlarini amalga oshirishning xavfsizroq usulini topsalar yaxshi bo'lardi, bu esa sukut bo'yicha kalitlarni qayta ishlatish kabi muammolarga halokatli darajada zaifdir.
Mumkin bo'lgan variantlardan biri foydalanishdir . Bu ba'zi bir joriy qurilmalar uchun juda qimmat bo'lishi mumkin, ammo bu, albatta, dizaynerlar kelajakda o'ylashlari kerak bo'lgan sohadir, ayniqsa 5G standartlari dunyoni egallash arafasida.
Ushbu yangi tadqiqot nima uchun degan umumiy savolni ham ko'taradi , ularning ko'pchiligi juda o'xshash dizayn va protokollardan foydalanadi. WPA2 kabi keng qo'llaniladigan bir nechta protokollarda bir xil kalitni qayta o'rnatish muammosiga duch kelganingizda, spetsifikatsiyalar va sinov tartib-qoidalarini yanada mustahkam qilish vaqti keldi deb o'ylamaysizmi? Standartlarni amalga oshiruvchilarga sizning ogohlantirishlaringizga e'tiborli bo'lgan o'ychan sheriklar sifatida munosabatda bo'lishni to'xtating. Ularga muqarrar ravishda xatoga yo'l qo'yadigan (bexosdan) dushmanlar kabi munosabatda bo'ling.
Yoki, muqobil ravishda, biz Facebook va Apple kabi kompaniyalar tobora ko'proq qilayotgan ishlarni qilishimiz mumkin: uyali aloqa uskunalari ishlab chiqaruvchilariga ishonmasdan, ovozli qo'ng'iroqlarni shifrlashni OSI tarmoq stekining yuqori darajasida amalga oshirish. Biz hatto WhatsApp-ning Signal va FaceTime bilan qilgani kabi ovozli qo'ng'iroqlarni oxirigacha shifrlashni talab qilishimiz mumkin, agar AQSh hukumati shunchaki to'xtasa. . Keyin (ba'zi metama'lumotlardan tashqari) bu muammolarning ko'pi yo'qoladi. Bu yechim, ayniqsa, dunyoda dolzarbdir .
Yoki biz shunchaki bolalarimiz qilgan ishni qilishimiz mumkin: bu zerikarli ovozli qo'ng'iroqlarga javob berishni to'xtating.
Manba: www.habr.com