Кивино гнездо: Слабость — это сила Берд Киви
Кивино гнездо: Слабость — это сила
Берд Киви
Опубликовано 15 декабря 2010 года
Согласно статистическим данным, не так давно опубликованным немецкой страховой ассоциацией GDV, в 2009 году количество угонов автомобилей на территории Германии вновь начало возрастать. Этот факт выглядит особенно неприятным по той причине, что в течение 15 предыдущих лет цифры автоугонов по стране неуклонно снижались.
С другой стороны, перелом в тенденции никак нельзя считать неожиданным, поскольку темпы снижения числа угонов в последние годы неуклонно падали. Так, если в 2006 число похищенных машин по сравнению с предыдущим годом снизилось больше чем на 20%, то в 2007 — уже на 13%, а в 2008 – всего на 2,2%.
Понятно, что за столь отчётливой динамикой должны стоять какие-то вполне конкретные причины. В итоговом отчёте страховой индустрии предпочли этой темы не касаться, ограничившись лишь сухими калькуляциями потерь, согласно которым в ФРГ общая сумма выплаченных за угоны компенсаций в 2010 г. возросла на 15,9 процентов до суммы порядка 315 миллионов евро.
Если же говорить о специалистах по системам безопасности, то для них обозначившаяся картина с ростом автоугонов выглядит вполне объяснимой. А чтобы и для всех остальных эта картина стала понятнее, надо просто чуть повнимательнее присмотреться к нынешнему положению дел с противоугонными технологиями.
Крутой перелом в общей ситуации с хищениями автомобилей был достигнут в середине 1990-х (т.е. 15 лет тому назад) благодаря переходу на особо эффективные средства противоугонной электроники — так называемые иммобилайзеры, или «обездвиживатели» машин с динамически изменяющимся кодом защиты (или rolling code, как это обычно называют на англоязычный манер).
Общая суть устройства-иммобилайзера достаточно проста. Когда водитель современного автомобиля собирается завести двигатель, встроенный в брелок ключа машины RFID-чип передаёт в эфир специального вида зашифрованный сигнал. Если приёмник машины распознает этот сигнал как «свой», то он отвечает отправкой соответствующего зашифрованного сигнала в ECU — компьютерное управляющее устройство транспортного средства, которое разрешает машине начать работу. Если же сигнал от брелка поступает «не тот» (или его вообще нет), то ECU включить двигатель не позволит.
С точки зрения стойкости к атакам принципиально важный этап данной технологии был достигнут тогда, когда изготовители иммобилайзеров перешли на «rolling code», то есть вместо уникальной, но постоянной для каждого автомобиля комбинации доступа (лёгкой для перехвата и имитации) стали использовать всё время меняющуюся последовательность бит, динамически и синхронно вырабатываемую криптогенератором в брелке и в машине для каждого нового сеанса связи. Соответственно с этого момента стойкость всей системы защиты стала принципиально зависеть от стойкости криптографии, положенной в основу генерации «ключа доступа».
Но один из важнейших принципов криптографии гласит, что методы вскрытия шифров с годами никогда не становятся хуже и, более того, постоянно лишь улучшаются. То и дело появляются новые, неизвестные прежде способы взлома, а вычислительная мощь компьютеров, используемых для криптоаналитических атак, стабильно и быстро растёт в соответствии с законом Мура. Иначе говоря, та криптография в иммобилайзерах, что полтора десятка лет назад представлялась для угонщиков почти непреодолимой технической проблемой (если не брать в расчёт элементарную кражу ключей), на сегодняшний день оказывается безнадёжно устаревшей и неадекватно слабой.
Эксперты убеждены, что именно в этом практически наверняка и лежит причина нынешней беды с заметным ростом автоугонов. Просто угонщики за последние годы освоили и начали в массовых количествах применять технические средства для обхода защиты иммобилайзеров. Далеко уже не первым, но по времени самым недавним подтверждением этой идеи стало выступление известного германского хакера Карстена Ноля (Karsten Nohl) на конференции ESCAR-2010 («Embedded Security in Cars» — «Встраиваемая безопасность в машинах»), проходившей в ноябре этого года в городе Бремене.
Областью специализации Ноля (а также темой его диссертации) являются криптографические средства защиты информации в миниатюрных и мобильных устройствах. На страницах «КТ» уже не раз рассказывалось о заметных работах этого исследователя по взлому криптоалгоритмов в RFID-чипах Mifare, в радиотелефонах DECT и в системе мобильной связи GSM. На конференции же ESCAR Карстен Ноль рассказывал о вскрытии криптозащиты в широко используемых противоугонных иммобилайзерах на базе чипов HITAG2, изготавливаемых голландской фирмой NXP Semiconductors.
Эта же компания (в прошлом полупроводниковое подразделение Philips), можно напомнить, выпускает и чипы Mifare, массово применяемые по всему миру в проездных транспортных билетах, социальных-льготных картах и бесконтактных баджах-пропусках для автоматизированного контроля доступа на объекты. Поскольку Ноль был одним из тех хакеров, кто несколько лет назад провел обратную инженерную разработку секретной криптосхемы в чипах NXP (продемонстрировав в итоге очевидную слабость скрытого там криптоалгоритма), то для него не составило особого труда и восстановление проприетарного алгоритма в HITAG2. На всё про всё, как говорится, у специалиста ушло – по его собственным оценкам – порядка 6 часов.
Как и обычно это бывает со всеми проприетарными алгоритмами шифрования, стойкость его ко взлому оказалась несравнимо ниже, чем у общепринятого криптостандарта AES. Иными словами, поскольку практически вся безопасность данной системы сводится к секрету устройства фирменного криптоалгоритма, то – как только он становится известен – безнадёжно скомпрометированными оказываются все иммобилайзеры, построенные на основе чипа HITAG2.
Здесь пора напомнить, что несколькими годами ранее совершенно аналогичным образом были скомпрометированы и слабые проприетарные криптоалгоритмы в чипах KeeLoq и Texas Instruments, то есть в наиболее популярных в мире системах, совокупно с HITAG лежащих в основе практически всех иммобилайзеров, применяемых ныне в современных машинах.
В частности, ещё в 2005 году американская команда исследователей из лаборатории RSA Labs и Университета Джонса-Хопкинса продемонстрировала, что у них ушло всего лишь около 1 часа времени на вскрытие криптографии в чипе иммобилайзера от Texas Instruments. Однако по не очень ясным причинам убедить автоиндустрию в слабости применяемой криптографии и в необходимости перехода к сильным стандартным алгоритмам становится делом необычайно сложным.
По многочисленным свидетельствам хакеров-криптографов, вскрывавших слабые алгоритмы в иммобилайзерах, в индустрии упорно считают электронный хакинг относительно малой проблемой в сравнении с более прямыми способами хищения автомобилей: «обычная их реакция такова, что гораздо дешевле использовать грузовик с платформой, чем возиться с электроникой».
Изготовители же чипов, со своей стороны, отреагировали на угрозу вполне адекватно. И в NXP, и в Texas Instruments уже давно разработаны и выпущены соответствующие чипы на основе стойкого криптоалгоритма AES со 128-битным ключом. Однако в автоиндустрии большинство машин по-прежнему всё ещё оснащаются противоугонными системами с 40- или 48-битными ключами. Какова причина этого — просто сила инерции или же что-то ещё, достоверно не известно. Сами же участники процесса выражаются по данному поводу довольно туманными фразами.
Корпорация NXP, к примеру, в таких выражениях прокомментировала ситуацию в одном из своих пресс-релизов по поводу взлома HITAG2 (раздел вопросов-ответов):
«Вопрос: HITAG2 широко используется в автомобильной индустрии для иммобилайзеров; есть ли теперь какая-либо угроза для безопасности автомобилей? Ответ: HITAG2 – это один из вариантов среди различных криптоалгоритмов, используемых для обездвиживания машин. Компанией NXP в 2005 году представлена рынку система HITAG PRO – решение для иммобилайзера, основанное на криптостандарте AES с длиной ключа 128 бит. Предлагаемые нами продукты постоянно согласовываются с запросами и требованиями наших клиентов. Поскольку NXP не даёт комментариев о стратегии клиентов, мы не будем делать никаких заявлений относительно того, какие из криптосистем используют те или иные изготовители машин»….
Не имея фактов и документов, вряд ли имеет смысл гадать о причинах, сдерживающих внедрение сильной криптографии в автомобилях. Но ничто не мешает осмотреться вокруг и заметить, что очень похожие по сути процессы происходят и в других областях. К примеру, в мобильной сотовой связи.
* * *
В блоге ещё одного известного германского хакера, Харальда Вельте (Harald Welte), недавно появилась статья, в которой рассказывается довольно любопытная «история изъятия криптоалгоритма A5/2». Иначе говоря, не найдя в интернете подробного и связного изложения истории о том, когда именно и каким образом слабый криптоалгоритм A5/2 был удалён из сетей GSM-телефонии и из самих GSM-телефонов, Вельте решил сделать это сам. И вот что у него получилось.
Большую и тщательно документированную хронологию можно найти на сайте security.osmocom.org. А в кратком изложении суть истории такова.
Под названием A5/2 (если кто не в курсе) принято понимать «эфирный» алгоритм шифрования, который использовался для защиты речи на участке между сотовым телефоном и базовой станцией в определённых сетях GSM примерно до 2005-2007 годов.
A5/2 был введён и специфицирован как криптоалгоритм на основе принципа «безопасность через неясность» (security by obscurity) за закрытыми дверями в конце 1980-х годов. Он преднамеренно был сделан слабее, чем его и без того уже слабый собрат A5/1. Идея заключалась в том, чтобы продавать в страны восточно-европейского блока только оборудование с A5/2, в то время как не настолько слабое шифрование A5/1 использовалось бы в западноевропейских странах.
Алгоритм A5/2 был восстановлен методами обратной инженерной разработки и опубликован в конце 1990-х. Вскоре он привлёк значительное внимание со стороны известных криптографов вроде Иэна Голдберга и Дэвида Вагнера (Ian Goldberg, David A. Wagner). В аналитической статье этих исследователей, появившейся в 1999 году, уже было сделано оценочное предположение, что защиту A5/2 можно вскрывать «влёт» — то есть прослушивать разговоры в реальном масштабе времени.
Понадобилось опубликовать ещё несколько статей на эту тему, прежде чем в августе 2003 года инстанции, внедряющие системы GSM (ETSI/3GPP/GSMA), наконец осознали, что здесь имеется проблема. Причем проблема оказалась даже серьёзнее, чем предполагалось поначалу. Поскольку генерация ключа для A5/1 и A5/2 одна и та же, то есть возможность для «полуактивной» атаки, которая понижает уровень защиты и позволяет вскрывать ранее записанные зашифрованные звонки, защищённые с помощью «сильного» A5/1. Единственным решением этой проблемы было удаление A5/2 из всего оборудования, что гарантировало бы невозможность понижения уровня защиты.
Начиная с 2004 года рабочие группы ассоциаций 3GPP и GSMA, имеющие отношение к безопасности, размышляли об изъятии A5/2, а в следующие годы они убедили таки свои соответствующие инстанции (руководство 3GPP, GSMA), а таким образом и непосредственных членов организации (операторов связи, производителей оборудования), исправить эту проблему.
С тех самых пор отлично известно, казалось бы, что использование одной и той же процедуры генерации ключа для разных алгоритмов позволяет осуществлять атаки через понижение уровня защиты. Тем не менее генерацию ключа для тогда ещё нового и более сильного алгоритма A5/3 оставили немодифицированной. Так что теперь, когда за последние годы уже полностью взломан A5/1 (при непосредственном участии известного нам Карстена Ноля), даже если операторы используют A5/3, та же самая модель с атаками через понижение уровня до A5/1 может применяться снова…
Чтобы сделать эту историю более наглядной, Харальд Вельте особо отмечает следующие колоритные моменты в хронологии изъятия A5/2.
– Понадобилось время с 1999 по 2007 год, прежде чем эта зияющая дыра в безопасности системы была залатана. Воистину оперативная реакция на опасность. – Неназываемые в документах «североамериканские операторы» были самыми ярыми противниками удаления поддержки A5/2 из своих сетей. Это особенно интересно и странно по той причине, что операторы США всегда имели доступ к A5/1. – Поскольку неминуемый взлом более безопасного A5/1 вполне предвиделся уже тогда, в 2002 году для GSM был специфицирован новый алгоритм A5/3. Пять лет спустя (в 2007) среди производителей оборудования для GSM-сетей всё ещё не было практически никакой поддержки шифрования по A5/3. – Понадобилось время до января 2009, прежде чем в GSMA начали обсуждение вопросов тестирования A5/3 с изготовителями мобильных телефонов. – Понадобилось время до ноября 2009, прежде чем начались первые испытания на совместимость между GSM-сетями, оснащёнными A5/3, и сотовыми телефонами, оснащёнными этим же алгоритмом.
Завершая свое исследование, Вельте задается вопросом: «И чему же мы можем научиться из всей этой истории?» Ключевые умозаключения автора выглядят так:
– Производители оборудования GSM и операторы связи не продемонстрировали абсолютно никакого интереса к латанию зияющих дыр в безопасности их систем. – До того как стало известно о первых атаках против A5/2, они вообще никогда не думали о процедурах модификации всей системы новой системой шифрования (т.е. о проактивных планах реагирования на опасность). – Даже после катастрофы со взломом A5/2 они ни в малейшей степени ничему не научились. В точности та же самая проблема, что была с атаками через понижение A5/1 — A5/2, сегодня может быть эффективно использована для атак с понижением A5/3 — A5/1. Причём ясно это было даже до того, как большинство операторов начали приступать к использованию алгоритма A5/3 в своих рабочих сетях. – Рабочая группа по безопасности в составе 3GPP имела массу содержательных идей о реальных угрозах защите GSM еще 10 лет назад. Всё это можно увидеть, например, в их технических рекомендациях TR 33.801. Однако абсолютно никто не захотел к этим сигналам прислушаться. – Аналогичные проблемы имеются в GSM и с криптоалгоритмами аутентификации. Понадобилось 12 лет от первой практической атаки против COMP128v1 до того момента, когда в GSMA начали задумываться о том, чтобы изъять этот алгоритм из системы...
* * *
Если кто-то вдруг пропустил и не заметил в этой истории Харальда Вельте пассаж о «североамериканских GSM-операторах», упорно препятствовавших изъятию A5/2, то имеет смысл подчеркнуть данный момент особо. Потому что в США A5/2 номинально вообще никогда не требовался, однако именно оттуда (точнее, из АНБ США) все последние десятилетия исходят мощные импульсы на всяческое понижение стойкости криптографии — вплоть до её фактической ликвидации — в общедоступных ИТ-системах. Будь то телефония, электронная почта, защита видеодисков, проездные транспортные билеты или противоугонные иммобилайзеры.
Предъявить официальные документы, подтверждающие эту «смелую идею», конечно, вряд ли возможно. Скорее всего, таких документов и в природе-то не существует. Зато имеются многочисленные свидетельства от представителей не только в индустрии, но и в спецслужбах о том, насколько рьяно и буквально по всем фронтам Агентство национальной безопасности США борется за недопущение сильной криптографии в повседневном народном обиходе. Потому что именно в слабой криптографии и заключается их главная сила.
Одно из наиболее свежих тому свидетельств невольно предоставил Бернар Барбье (Bernard Barbier), технический директор спецслужбы DGSE, т.е. внешней разведки Франции. По давно сложившейся традиции во Франции нет самостоятельной радиоэлектронной разведки типа АНБ, поэтому задачами перехвата и дешифрования коммуникаций занимается специальное подразделение в составе DGSE. Именно эту службу и возглавляет сейчас Барбье. А поскольку под руководством президента Николя Саркози (или «Сарко-американца», как называют его сограждане) произошло небывалое военно-политическое сближение Франции и США, руководству французской разведки с некоторых пор по своим шпионским делам приходится регулярно общаться с американскими коллегами.
И вот на одной из таких встреч, по признанию Барбье (сделанному в неформальной обстановке на одной из недавних конференций профессионалов в области защиты информации), АНБ строго «отругало» французских коллег за известную инициативу их госвластей под названием HADOPI. Закон HADOPI, можно напомнить, не так давно был принят во Франции под давлением индустрии развлечений — для блокирования массового файлообмена с нелегальными копиями фильмов, аудиозаписей и тому подобного контента. По этому закону интернет-провайдеры должны отключать от Сети тех своих пользователей, что замечены в нелегальном файлообмене. Ну а пользователи соответственно для собственной защиты вынуждены массово переходить на тотальное шифрование своих коммуникаций ради сокрытия всех действий в интернете… Понятно, что для спецслужб, контролирующих системы связи, подобный поворот событий очень существенно усложняют задачи мониторинга.
Несложно заметить и то, что в США, к примеру, несмотря на мощнейшее давление на законодателей со стороны индустрии развлечений, законы типа французского HADOPI даже не обсуждаются. Отчитывая французских коллег, АНБ, впрочем, не стало приводить в пример собственные достижения, а отослало их к опыту соседей — в Великобританию. Там британской разведке вполне удалось отговорить правительство страны от ввода аналогичных правовых механизмов, усложняющих работу спецслужб и постоянное наблюдение за интернет-пользователями…
Иными словами, как это ни парадоксально, в подобных вопросах интересы спецслужб и индустрии развлечений оказываются конфликтующими до такой степени, что разведка вынуждена выступать против борьбы государства с «пиратством». Но делает это по-тихому. Как, впрочем, и все остальные свои дела.
К оглавлению
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Кивино гнездо: Непроизносимо Берд Киви
Кивино гнездо: Непроизносимо Берд Киви Опубликовано 27 июля 2010 года Каждый год, когда дело доходит до летней хакерской конференции Black Hat в Лас-Вегасе, одна из самых волнующих тем — это какие из докладов оказались сняты на этот раз. Ибо так уж устроен
Кивино гнездо: Что-то происходит... Киви Берд
Кивино гнездо: Что-то происходит... Киви Берд Опубликовано 22 августа 2011 годаПримерно через месяц, с 30 сентября по 2 октября 2011, в городе Орландо (штат Флорида, США) будет проходить в высшей степени неординарное мероприятие под названием 100 Year Starship Study Public Symposium («Общественный
Кивино гнездо: Имито-не-стойкость Киви Берд
Кивино гнездо: Имито-не-стойкость Киви Берд Опубликовано 06 мая 2011 года Когда по миру разнеслась весть об убийстве «главного террориста планеты», то очень скоро в интернете стала мелькать одна и та же фотография — окровавленный Бен Ладен с
Кивино гнездо: Без срока давности Киви Берд
Кивино гнездо: Без срока давности Киви Берд Опубликовано 17 января 2011 годаРазработчики OpenBSD всегда подходили к обеспечению защиты информации тщательнее, чем авторы других операционных систем, в своё время отпочковавшихся от Unix. Именно по этой причине (ну и благодаря
Кивино гнездо: Отмывание законов БЕРД КИВИ
Кивино гнездо: Отмывание законов БЕРД КИВИ Первая тема — для затравки — не имеет никакого отношения к заголовку статьи. Но с её помощью оказываются видны выразительные параллели между совершенно разными, казалось бы, слоями современного общества. А попутно становится
Кивино гнездо: О чём скандал? Берд Киви
Кивино гнездо: О чём скандал? Берд Киви Начиная с первого мая сего года в Китае вступили в силу интересные правила, обязывающие поставщиков компьютерно-сетевого обеспечения предоставлять властям всю информацию об имеющихся в их продуктах технологиях
Кивино гнездо: Кто, где, когда Киви Берд
Кивино гнездо: Кто, где, когда Киви Берд Опубликовано 19 июля 2011 года На проходившей недавно в США конференции MobiSys 2011 (Девятая международная конференция по мобильным системам, приложениям и сервисам, 28 июня — 1 июля 2011, Вашингтон) несложно было
Кивино гнездо: Холодная война 2.0 Берд Киви
Кивино гнездо: Холодная война 2.0 Берд Киви ОпубликованоБерд Киви В сетевых средствах массовой информации на прошлой неделе обильно вспоминали довольно давнюю — от осени 2008 года – историю про большие проблемы в военных компьютерных сетях США. В
Кивино гнездо: Пока не поздно Киви Берд
Кивино гнездо: Пока не поздно Киви Берд Опубликовано 26 апреля 2011 года Вечером 19 апреля 2011 года, в 20 часов 11 минут разработанная военными система искусственного интеллекта, известная под названием Skynet, спонтанно обрела самосознание. По естественным
Кивино гнездо: Государственный троянец Берд Киви
Кивино гнездо: Государственный троянец Берд Киви Опубликовано 21 октября 2011 года Германским хакерским сообществом Chaos Computer Club (CCC) — крупнейшей и наиболее авторитетной в Европе организацией подобного рода — опубликованы заявление и подробное
Кивино гнездо: О «взломе» Skype Берд Киви
Кивино гнездо: О «взломе» Skype Берд Киви Опубликовано 14 июля 2010 года Несколько последних дней по интернету гуляет новость о раскрытии исходных кодов программ, защищающих популярную систему IP-телефонии Skype. При этом, как оно часто бывает с темами
Кивино гнездо: Фактор Мэннинга Берд Киви
Кивино гнездо: Фактор Мэннинга Берд Киви Опубликовано 15 июня 2010 года На первый взгляд, вся эта история походила на откровенную газетную утку в духе жёлтой прессы. Будто бы некий молодой американский солдатик, неся службу где-то на одной из военных
Кивино гнездо: Ещё раз про Stuxnet Берд Киви
Кивино гнездо: Ещё раз про Stuxnet Берд Киви Опубликовано 27 января 2011 года За несколько первых недель 2011 года череда независимых друг от друга событий сложилась таким образом, что общая картина вокруг загадочного компьютерного червя Stuxnet стала
Кивино гнездо: Псевдоархеология Берд Киви
Кивино гнездо: Псевдоархеология Берд Киви Опубликовано 26 мая 2010 года В одном из недавних выпусков газеты The New York Times была опубликована довольно большая статья об интересном и весьма плодотворном приложении современных технологий лазерного
Кивино гнездо: За что боролись БЕРД КИВИ
Кивино гнездо: За что боролись БЕРД КИВИ В середине февраля этого года на сайте полиции г. Дубаи, Объединенные Арабские Эмираты, в его англоязычном разделе появилась примерно такая вот информация об объявленных в международный розыск преступниках — с их фотографиями и