Читаем Компьютерра PDA 16.01.2010-22.01.2010 полностью

Я не стал полагаться только лишь на собственное мнение (ибо неспециалисту выработать достаточно обоснованную позицию за сколько-нибудь приемлемый срок ввиду многочисленности и разрозненности информации невозможно), а обратился за помощью к создателю научно-технического блога dxdt.ru Александру Венедюхину, который следит за темой уже многие годы. Далее – резюме нашей с ним переписки и некоторых самостоятельных изысканий.

Прежде всего, отметим, что для успешного "взлома GSM" нужно выполнить несколько отдельных задач:

– научиться находить трафик конкретного телефона в эфире;

– научиться записывать и декодировать этот трафик;

– вычислить ключи и дешифровать трафик.

Первые две задачи даже при знании соответствующих технологий тоже не совсем тривиальны, но главный вопрос, очевидно, в выполнении третьей задачи. Сразу отметим, что её можно решить теоретически простым (но довольно сложным в практической реализации) методом подложной базовой станции (так называемый "активный перехват").

При этом станции необязательно пропускать весь трафик между телефоном и оператором через себя, и дешифровать его в реальном времени, что, наверное, не так-то просто. Во время обмена телефона с базовой станцией на предмет аутентификации генерируется так называемый сеансовый ключ (Кс) для шифрования трафика, который открыто по сети не передается, но однозначно связан со случайным числом (RAND), посылаемым в каждом таком сеансе со стороны базовой станции по необходимости в открытую. Потому схема атаки может быть, например, такой: перехватывается и записывается шифрованный трафик, из него выделяется число RAND. Затем подложная станция один раз проводит сеанс авторизации атакуемого телефона с тем же самым числом RAND, установив при этом шифрование в наиболее уязвимую для взлома версию алгоритма для обеспечения конфиденциальности связи A5/2 (когда-то, на заре мобильной связи, целенаправленно ослабленную наивными разработчиками стандарта из Франции). На основе полученных данных вычисляется сеансовый ключ и производится расшифровка переговоров.

Есть и совсем "тупой" способ активного перехвата – заставить телефон прослушиваемого работать в режиме с отключенным шифрованием (так называемый вариант A5/0 алгоритма - он, например, включался во время теракта на Дубровке по требованию спецслужб). Правда, некоторые "продвинутые" телефоны могут оповещать о таком безобразии своих владельцев, поэтому, вероятно, такой способ не очень распространён.

Очевидно, на принципе активного перехвата и работает то самое оборудование стоимостью от полумиллиона долларов, что якобы продается только государственным службам. В Сети можно найти и другие предложения на ту же тему, причём цена вопроса, по наиболее правдоподобным сведениям, начинается от приблизительно 100 тыс. долларов и более. Вполне вероятно, что наиболее "продвинутые" охранно-детективные конторы могут себе такое оборудование позволить, но едва ли их услуги на этой основе будут дешёвыми: в любом случае, кроме дорогого оборудования, требуется ещё и оператор высокой квалификации (по словам Александра, даже на готовой станции перехвата "человек с улицы – однозначно не справится") и достаточно громоздкий комплекс собственно оперативных мероприятий (как минимум, нужно всё время находиться вблизи телефона абонента).

Последние два требования, впрочем, справедливы и для пассивного перехвата – когда лишь перехватывается и записывается трафик между оператором и аппаратом, без вмешательства в процесс обмена. Такой способ требует менее навороченного оборудования (а, следовательно, и более дешёвого), зато потом ещё требуется взломать шифрованный трафик. Именно этим вопросам и посвящено большинство теоретических и практических работ по "взлому GSM", в которых в своё время приняли участие многие крупнейшие криптографы (Росс Андерсон, Ами Шамир и др.). Здесь не место подробно излагать их суть – сведения об этом можно найти в большом количестве мест в Сети (тем, кто читает "по-аглицки", рекомендую, в частности, вот этот интереснейший документ).

Как сообщалось в новостных отчётах о результатах одной из последних работ на эту тему – о том самом проекте хакера Карстена Нола, – трафик старой, но наиболее распространённой по сей день версии алгоритма A5/1, может быть дешифрован с помощью оборудования за 30 тыс. долларов менее, чем за минуту (т.е. не в реальном времени, но близко к тому). Понятно, что с увеличением допустимого времени взлома цена вопроса будет прогрессивно снижаться.

Система для взлома алгоритма A5/1