Алексей Волчков: "...все, что они там придумают, здесь могут обломать"
АрхивО специфически российских проблемах с GSM и попытках их решения рассказывает Алексей Волчков, технический директор компании "МТК-Мобайл". Вопросы безопасности CDMA мы договорились отложить на следующий раз.
- Сейчас на нашем рынке мобильной связи представлены три системы. Это: AMPS/DAMPS (американский стандарт; AMPS - аналоговый, а DAMPS - его цифровое расширение), GSM 900/1800 и CDMA.
Примерно в том же порядке - DAMPS, GSM, CDMA - системы появлялись на нашем рынке, и в том же порядке можно их перечислить, имея в виду изначальную (заложенную в стандарты) степень защищенности: AMPS/DAMPS - самая низкая, GSM - средняя и CDMA - самая высокая.
Криптография используется в мобильной связи не только для защиты от прослушивания, но и для аутентификации, для защиты от "клонирования", и, может быть, клиентам сейчас это последнее более интересно?
- Да, но начнем с защиты от подслушивания. Для того чтобы перехватывать сообщения в стандарте AMPS/DAMPS, достаточно очень дешевого оборудования, цена которого сопоставима с ценой сотового телефона. Для перехвата сообщений в формате GSM нужна более изощренная техника, которая на порядок дороже, но и она по карману, скажем так, среднему человеку. А для перехвата сообщений в стандарте CDMA нужно оборудование, стоимость которого фактически эквивалентна стоимости базовой станции, то есть выходит на запредельный для рядового человека уровень цен.
У сотового телефона, работающего в любом стандарте, обычно есть функция Security option или Voice encryption. Что она означает? Только то, что ваш разговор - на участке от телефона до базовой станции - будет зашифрован (или, если хотите, "закодирован") с использованием алгоритма, специфицированного для данного стандарта. Далее - от базовой станции до коммутатора или до любого другого опорного пункта - разговор шифроваться не будет. То есть по наземным каналам связь осуществляется открытым текстом, и считается, что защита предотвращает лишь перехват в эфире.
Ни у одного из российских операторов эта опция не включена, что обусловлено как экспортными ограничениями, так и ограничениями на использование этой техники у нас - в частности, требованиями СОРМ.
Спецификации СОРМ предусматривают доступ от оператора. Вроде бы на эфир это распространяться не должно, если у субъектов ОРД все равно есть средства подключиться на земле. Если есть возможность подключиться через оператора, зачем слушать эфир?
- Вопрос сложный и интересный, но я не вполне компетентен, чтобы ответить на него. По крайней мере, операторы, с которыми я говорил, сказали, что им было "строго не рекомендовано" использовать эту опцию, даже при наличии возможности подключения через операторов.
Как примерно эта система устроена в GSM? В телефон с программным обеспечением GSM ставится также программа поддержки шифрования речевого трафика, которую условно можно считать неким "криптомодулем". В ней используется технология a lа открытое распределение ключей, только упрощенная: происходит обмен данными с цифровой станцией, и в аппарате формируется ключ. Считается, что, перехватив протокольный трафик, восстановить ключ почти невозможно. Хотя этот алгоритм не обладает высокой теоретической стойкостью, его практическая стойкость достаточна.
Здесь - небольшое "лирическое отступление". Когда я работал в государственных органах по защите информации, там был принят такой ход. Если алгоритм уже проанализирован, реализован в аппаратуре и используется и вдруг контрольный анализ выясняет, что алгоритм в некоторых случаях нестойкий, из этого не следует, что он снимается с эксплуатации. Просто проверяется, в каких условиях эксплуатируется алгоритм. И если выясняется, что реальные условия не соответствуют тем, в которых проводился анализ, аналитику говорят: "Спасибо, что вы получили такие оценки, но пока это не страшно".
Та же самая ситуация с GSM: система обладает "практической стойкостью". Кроме того, если, как мы уже говорили, трафик от базовых станций до операторов идет по кабелю в открытом виде, то, наверное, не стоит чересчур заботиться о защите эфирного канала.
То есть у атакующего всегда есть выбор: или "работать" в эфире, или осуществлять физическое проникновение или социально-инженерную атаку на оператора?..
- Да! Поэтому достаточно примерно сбалансировать трудозатраты на вычленение информации из эфира и трудозатраты на подключение к соответствующему кабелю и т. д. Таким образом мы обеспечим во всех звеньях примерно одинаковый уровень защиты. И это правильный подход, поскольку атака всегда ведется на слабейшее звено системы.
Алгоритмы для защиты GSM разрабатывали в свое время Motorola и другие производители оборудования. Была такая идея (достаточно бредовая, с моей точки зрения): создать отечественный алгоритм шифрования для GSM. Почему "бредовая"? Она совершенно нормальная с точки зрения разработки самого алгоритма и с точки зрения того, что он нужен. Но бредовость состояла в том, что им снабжались бы только некоторые телефоны, а поскольку опцию во всей сети поддерживать достаточно трудно, это стало мертворожденной разработкой. Были проведены работы с западными компаниями, потрачены деньги. И телефон с защитой как таковой есть...
Это модифицированная GSM-карточка?
- Нет, это чип из телефонного чипсета, который содержит в прошивке другой алгоритм. Что можно порекомендовать пользователям, которые сильно нуждаются в защите телефонных разговоров? - Только два решения.
Во-первых, предварительное шифрование: некоторая "накладка" на телефон, которая осуществляет предварительное аналоговое преобразование речи, передающейся в эфир. Мы знаем, что такие системы нестойкие, но определенный уровень защиты они дают. Это то, что называется "голосовой скрэмблер". Такие скрэмблеры разработаны, в частности, немецкой фирмой Crypto AG, есть и другие производители. Такие устройства предназначены для конкретных моделей телефонов, поскольку связаны с геометрической формой последних.
Второй способ: есть возможность изменить схему самого телефона с внесением туда алгоритма уже цифрового шифрования. Речь будет идти о шифровании "точка-точка".
Почему нужно менять схему? - Потому что, к сожалению, мы не имеем возможности поставить шифратор после выхода цифры с телефона. Современные телефоны сочетают в одном чипе и речепреобразующее устройство, и вокодер, и обработчик управляющих сигналов, то есть после того, как ваш голос прошел через микросхему, выход является не просто оцифрованным голосом, а его комбинацией с управляющими сигналами. Если вы зашифруете весь этот цифровой трафик, вы просто не сможете связаться, так как базовая станция вас не поймет.
Я обсуждал с отечественными компаниями стоимость такой разработки. Я не берусь сказать, что это стопроцентно реальные цифры и что можно стопроцентно достичь успеха, однако мой опыт работы с этими компаниями показывает, что технически в 75-80% случаев они достигают успеха, и по вопросам финансирования они не ошибаются более чем в полтора раза. Стоимость разработки и подготовки для массового производства такого устройства оценивается в 10-15 тысяч долларов Если кто-то соберется инвестировать такую сумму, то с большой вероятностью мы достигнем успеха. То есть инвестор получит не только пару модифицированных трубок, но и возможность выпускать их если не серийно, то и не единичными экземплярами.
Реальная попытка организовать такое производство встретит очень сильное сопротивление. Со стороны тех же субъектов СОРМ, например?
- Безусловно. Тем, кто на это решится, придется пройти все те же самые круги, что прошла в свое время фирма "Сигнал-КОМ", сделавшая свой Voicecoder-2400. Сейчас, слава богу, они получили лицензию, но мороки у них было, вообще говоря, очень много.
Но на самом деле есть и третье решение, которое не очень удачно с эргономической точки зрения. GSM позволяет открыть цифровой канал "точка-точка" на 9600 бит/с, и этого достаточно, чтобы использовать чисто программное средство. При хорошем сжатии...
- Безусловно, есть такое "нетехнологичное" решение, когда мы к телефону делаем еще некую приставку...
...Или возьмем ноутбук с модемом и PGPfone. Очень неудобно, но - работает!
- Да, работает. Сейчас очень широкие возможности по защите информации и аутентификации открывает IP-телефония. При ее полной реализации в качестве абонентского устройства будет выступать некий компьютер, и все эти вопросы можно будет решать просто замечательно. Вопрос о кодировании IP-трафика решен и теоретически, и практически во многих вариантах. То есть, например, вы устанавливаете поверх IP-соединения IPsec-ассоциацию, и поверх этого всего используете любой протокол Internet-телефонии, и он становится защищенным.
Хорошо. Вернемся к "чистой" сотовой телефонии и ее проблемам. Есть вопрос с аутентификацией. За последние три года усиленным атакам подвергались все криптоалгоритмы, используемые в GSM: и А3, и A8, и A5 в обеих своих модификациях. В частности, был проделан весьма хороший анализ A3, отвечающего за аутентификацию и защищающего телефон от клонирования. Лабораторное клонирование GSM-телефона продемонстрировано больше года назад, и это не секрет, а в последнее время постоянно появляются сообщения о реализованных "в поле" атаках...
- Я вам могу рассказать интересную вещь, не ссылаясь на источники (меня не предупреждали о том, что ссылаться нельзя, но и официального разрешения у меня нет). Система аутентификации GSM может использоваться, в частности, и для контроля за "чистотой" поставки трубок в страну, за соблюдением правил производителя и правил импорта/экспорта. В оборудовании GSM-оператора можно включить соответствующую опцию и выяснить, какой телефон поставлен в страну легально, а какой по "серым" каналам или вообще с нарушением таможенных правил, то есть контрабандно...
А как же те, кто приехал в страну и включил роуминг?
- Нет, роуминг при этом отделяется. Так вот, такие тесты были проведены одновременно и независимо: если не ошибаюсь, на юге США, в Турции, в Германии и где-то в районе Польши и Чехословакии. Ситуация такая: дольше всех сеть функционировала в Германии, а через полтора суток она и там "нагнулась" - именно из-за того, что обнаружилось огромное количество формально "нелегальных" абонентов, которые отключались один за одним. Хотя, казалось бы, Германия - страна, где соблюдаются таможенные правила... В общем, оказалось, что распространение GSM-трубок по миру весьма и весьма "специфично"...
Что касается алгоритма аутентификации, в России используется тот же самый алгоритм А3, но у российских операторов изначально существует некоторое недоверие к фирмам, поставляющим им телефоны. Не в том смысле, что фирмы их обманут, а высокая оценка российских фрикеров. Считается, что все, что "они там" придумают, здесь могут "обломать". Поэтому каждый уважающий себя оператор, столкнувшись с проблемой двойников, начинает решать эту проблему - только в сотовой связи ее называют не аутентификацией, а авторизацией - по-своему. И система начинает держаться не на том, что этот метод какой-то накрученный или стойкий, а на том, что о нем мало кто знает.
Выглядит это примерно так: есть центр, который может производить авторизацию телефонов, он напрямую (по оптике или еще как-то) связан с авторизующим оператором, подключает к своему компьютеру телефон, и оператор "заливает" ему некоторую информацию. Например, когда телефон впервые появляется в сети, станция, увидев новый аппарат, начинает посылать ему некоторые тригонометрические функции, на которые телефон должен "знать", как ответить. Выполняется "рукопожатие"...
Но если использовать не тригонометрические функции, а стойкий генератор случайных чисел, "рукопожатие" может быть очень крепким, а схема - стойкой...
- Безусловно. Но на практике я могу рассказать, как это решается. Вот такой пример: как "Фора-Телеком" решает проблему авторизации в DAMPS-стандарте в Санкт-Петербурге. Я приезжаю с телефоном в Петербург, заказав себе роуминг (хотя система имеет разрешение на автоматический роуминг, автороуминга между Москвой и Петербургом пока нет), звоню в абонентскую службу (есть номера абонентской службы, по которым можно звонить всегда) и говорю: я - такой-то, я приехал, и сообщаю пароль, который выбрал для себя при заказе роуминга в Москве. Мне сообщают, во-первых, мой петербургский номер, устанавливают переадресацию с московского номера. А дальше говорят: ваш ПИН-код - 12345. Для чего он нужен? Каждые полчаса мой телефон отключается от сети, а дальше входящие звонки я буду принимать, а исходящий я не смогу сделать, пока не наберу спецпосылку и свой ПИН-код.
Но наивно думать, что, когда я приезжаю в Питер на Московский вокзал или прилетаю в Пулково, меня не слушают по эфиру. Там же поток людей, которые включают свои телефоны с каждым поездом или рейсом...
- В общем, да. И у целого ряда операторов возникали проблемы, когда они неожиданно обнаруживали у себя столько роумеров... И сейчас речь идет даже не о клонировании, а о том, что у некоторых - не буду называть - операторов официально работает сто роуминговых номеров, а подключена - вся тысяча... И противодействовать этому трудно, поскольку формально нельзя "закрывать" роуминг так, как это делает та же "Фора", это противоречит принципам.
Наконец, самый практический вопрос. Вот я - абонент той или иной компании, и в один "прекрасный" момент вижу овербиллинг. Похоже на двойника. Спрашивается, что нам (мне и компании) делать со спорной суммой? Если была бы математически стойкая аутентификация/авторизация, проанализированная независимыми экспертами, можно было бы сказать: нет, такого не может быть. А если появляются "секретные тригонометрические функции", "ПИН-коды" и пр., то ведь может быть все что угодно, вплоть до инсайдерского злоупотребления сотрудника компании, который все эти секреты знает... Как быть, как решать спорные моменты и куда вообще мы движемся в этом вопросе?
- Вопрос очень сложный и, скажу сразу, не имеет общего решения. Тем более его формулировка может быть усложнена, если (как это часто и происходит) продажа трафика ведется в несколько ступеней: Оператор (оптовый продавец) - Сервис-провайдер (оптовый покупатель) - Клиент (розничный покупатель).
Могу сразу успокоить клиента, он практически никогда не будет оплачивать двойников. Практически клиент оплачивает не свой разговор только в случае, если этот разговор состоялся с его аппарата (потерянного, украденного и т. д.) между моментом пропажи аппарата и заявлением клиента о факте утраты аппарата. Оплата спорной суммы может лечь как на сервис-провайдера, так и на компанию.
Последние в свою очередь проводят внутреннее расследование для выявления причины, по которой стало возможно появление двойника. В любом случае официальных комментариев по вопросам возможности появления двойников, частоты их появления и причинам я дать не могу и сомневаюсь, что это сделает кто-то еще.