Настоящий материал был заказан посредником летом прошлого года, который впоследствии сдал его конечному заказчику, и отказался оплачивать выполненную мной часть работы. Поэтому, эта часть публикуется под тэгом «Из неоплаченного» (всего будет несколько публикаций).

* * *

Обзор уязвимостей мобильных сетей, изначально присущих их архитектуре (Vulnerabilities By Design)

2G GSM

Цифровая мобильная сеть GSM (Global System Mobile), обычно называемая сетью второго поколения 2G, была стандартизована Европейским Институтом Стандартизации телекоммуникации ETSI (European Telecommunications Standards Institute) в 1980х годах. Слабая безопасность была умышленно предусмотрена в системе, поскольку многие правительства Европы требовали наличия возможности деактивировать шифрование радиоканала для того, чтобы иметь возможность прослушивания для спецслужб [1]. В 1990х годах мобильные операторы вне Европы были вынуждены использовать слабое шифрование, в то время как европейские операторы могли использовать более сильное шифрование. Поэтому были разработаны более сильные и более слабые алгоритмы шифрования. Некоторые стандарты 2G оставались конфиденциальными и предоставлялась партнёрам только при заключении соглашений о неразглашении. Телефоны 2G были сконструированы так, что могли поддерживать как более слабое, так и более сильное шифрование, чтобы их можно было использовать во всех странах мира. Однако, к сожалению, следствием такого дизайна стало то, что для злоумышленников появилась возможность принудительно, без ведома абонента, переключать телефон 2G в режим слабого шифрования, даже в тех странах, где операторы использовали сильное шифрование. Кроме того, поскольку функция аутентификации сети в стандарте 2G отсутствовала, то мобильный телефон 2G не «знает», подключён ли он к настоящей базовой станции оператора 2G, либо к фейковой базовой станции, развёрнутой злоумышленником. В такой ситуации, данная уязвимость существует даже при использовании режима сильного шифрования.

3G UMTS

Следующее поколение мобильной связи UMTS (Universal Mobile Telecommunication System), известное также как «третье поколение» 3G, было стандартизовано 3GPP (3^rd Generation Partnership Project) под эгидой Международного Союза Электросвязи МСЭ (ITU, International Telecommunication Union) и его сектора стандартизации телекоммуникаций ITU-T около 2000 года. Недостатки безопасности в 2G были учтены в 3G, в частности это выразилось в использовании более сильных криптографических алгоритмов, и возможности аутентификации сети. Однако, в 3G также была исключена возможность для телефона абонента аутентифицировать сеть мобильного оператора, к которой он подключается.

4G/LTE

Около 2010 года появилась новая технология под неопределённым названием LTE (Long Term Evolution), что переводится как «долговременная эволюция», получившее наименование 4G («четвёртое поколение»). В ней также были заложены некоторые усовершенствования безопасности. Сегодняшние сети фактически представляют собой комбинацию сетей 2G, 3G и 4G, а также развивающиеся в настоящее время сети «пятого поколения» 5G (ниже), которые в действительности, представляют собой наибольшее развитие и наибольшие изменения, по сравнению с тремя предыдущими поколениями. Современные мобильные телефоны (смартфоны) обычно строятся таким образом, что они имеют возможность одновременного (поочередного, с плавным переходом) подключения к сетям 2G, 3G и 4G, а некоторые и к 5G. *** Очевидно, что сеть 2G является самым слабым звеном в этой цепочке. Хотя современный телефон может автоматически переключатся от сети 2G к сетям 3G и 4G, однако, наличие в нём радиочасти 2G может быть использовано для принудительного воспрепятствования такого подключения. Это похоже на то, как если бы в автомобиле при наличии сверхнадёжной системы запирания через «брелок», существовала бы возможность открытия машины обычным металлическим ключом, причём без срабатывания сигнализации. Самое интересное то, что поиск изначальных причин уязвимостей в мобильных сетях показывает, что эти слабые места частично были созданы умышленно в политических и экономических целях. Слабая защищённость мобильных сетей 2G в 1980-х годах была политически мотивированной. Эти политические мотивы сегодня больше не существуют, однако, есть экономические мотивы в сохранении слабой безопасности сетей 2G, через которые по сию пору производится большая часть мобильных звонков. Создатели 3G и 4G осознавали, что пока существует стандарт 2G, никакие меры не помогут сетям 3G и 4G стать более безопасными.

Архитектуры мобильных сетей

Мобильные сети всего мира строятся с использованием технологий, основы которых были заложены ещё в 1980х годах. Эти технологии в последующих поколениях продолжали совершенствоваться для повышения рабочих параметров. Когда мобильная станция MS (Mobile Station), т.е. мобильное устройство абонента, входит в зону радио-покрытия сети мобильного оператора, то ближайшая базовая станция запрашивает у неё международный идентификатор абонента IMSI (International Mobile Subscriber Identity). IMSI передаётся в базу данных HLR (Home Location Register) домашнего мобильного оператора, где хранятся номер MSISDN (Mobile Station Integrated Services Digital Network), однозначно идентифицирующий мобильное устройство, и другие параметры абонента. Затем генерируется временный идентификатор TMSI (Temporary Mobile Subscriber Identity), и он посылается на базовую станцию, к которой подключилось мобильное устройство абонента (в домашней сети оператора, либо в гостевой сети). IMSI является конфиденциальной информацией, поскольку по нему можно отследить абонента и определить его MSISDN, т.е. телефонный номер. Хотя соответствие IMSI-MSISDN хранится только в HLR оператора, однако, номер MSISDN может быть обнаружен сторонними лицами. То есть, причина назначения временного идентификатора TMSI вместо IMSI состоит в минимизации возможности перехвата IMSI.  Однако, базовая станция имеет возможность запросить IMSI в любое время, что делает создание TMSI бессмысленным. Эта уязвимость широко используется различными устройствами для перехвата IMSI (IMSI catchers).

Рис. 1-0. Принцип аутентификации в 2G GSM.

Архитектура безопасности сетей 2G GSM

Аутентификация и шифрование в 2G осуществляется долговременным индивидуальным ключом пользователя K_i, который хранится в защищённой SIM-карте в аппарате абонента. Ключ K_i генерируется производителем SIM-карты, либо оператором при программировании SIM-карты, поэтому у оператора всегда есть копия этого ключа. В 2G используется три основных типа криптографических алгоритмов. Это пары алгоритмов, называемых А3 и А8 (где комбинированная пара называется СОМР128). Есть четыре набора таких пар, а также алгоритм шифрования потока А5. Ключ K_i используется СОМР128, в частности, с алгоритмом А3, для аутентификации абонента, а с алгоритмом А8 – для генерации цифрового ключа сессии СК (cipher key). СК затем используется в алгоритме А5 для шифрования данных, передаваемых по радиоканалу между базовой станцией (BS) оператора и мобильной станцией (MS) абонента. Алгоритм шифрования радиоканала обычно называется А5, причем есть две его версии А5/1 и А5/2. А5/1 был спроектирован в 1982 году и стандартизован в 1987 году, когда ещё не предполагалось, что GSM будет использоваться за пределами Европы. А5/2 был добавлен в 1989 году специально для рынков за пределами Европы. Идея состояла в том, что в европейских странах будет использоваться более сильный (но и более уязвимый) алгоритм, а вне Европы – значительно более слабый алгоритм А5/2. Изначально предполагалось, что длина ключа в А5/1 будет составлять 128 бит, и что это будет обеспечивать безопасность по крайней мере на 15 лет. В Британии, однако, для работы спецслужб потребовался более слабый алгоритм для проведения оперативных мероприятий с перехватом телефонных вызовов, для чего была предложена длина ключа в 48 бит, а в Западной Германии запросили более сильный алгоритм для противодействия шпионским действиям со стороны ГДР, поэтому был найден компромисс в 56 бит, как для А5/1, так и для А5/2. Дизайн алгоритмов А5/1 и А5/2 вначале держался в секрете, но в 1994 году произошла утечка этой информации, и в 1999 году был проведён его обратный инжиниринг для использования его непосредственно в телефонах GSM. После этого производители сетевого оборудования и терминалов стали производить оборудование, поддерживающее как А5/1, так и А5/2. Есть также вариант отсутствия шифрования радиоканала, который называется А5/0. Кроме того, примерно в 2004 году был разработан алгоритм Kasumi для сетей 3G, и он стал также применяться в телефонах 2G, где в варианте А5/3 использовался 64-битный ключ, а в варианте А5/4 – 128-битный. Поскольку алгоритм А5/2 не обеспечивал достаточную безопасность, в 2007 году 3GPP приняла решение вообще его запретить для использования в мобильных устройствах. Но до сих пор многие терминалы его поддерживают. При подключении телефона к базовой станции выполняется протокол аутентификации и согласования ключа шифрования. Системные устройства, относящиеся к домашней сети оператора, к которому принадлежит абонент, называются общим термином Home Equipment (HE). Устройства в гостевой сети абонента (обслуживающей сети) называются SN (Serving Network). SN посылает IMSI в оборудование домашнего оператора НЕ, которое ищет профиль абонента в регистре HLR (Home Location Register). В нём находится индивидуальный ключ абонента K_i. НЕ рассчитывает набор криптографических векторов аутентификации AV (Authentication Vectors), которые также называются триплетом GSM: AV_GSM = {CK, XRES, RAND}, состоящих из ключа шифрования СК, генерируемого алгоритмом А3, ожидаемого ответа XRES (expected response), генерируемого алгоритмом А8, и случайного числа RAND (random nonce). НЕ посылает вектор AV_GSM в SN, где он может использоваться для обмена сообщениями аутентификации с SIM-картой аппарата абонента. После получения вектора AV_GSM, SN посылает RAND по радиоканалу на MS, который передаёт его в свою SIM-карту. SIM использует алгоритм А3 для расчёта RES, и алгоритм А8 для расчета ключа шифрования СК, как функции RAND и секретного индивидуального ключа абонента K_i. RES возвращается через MS обратно в SN, которая проверяет соответствие XRES = RES для аутентификации абонента. SIM также посылает СК на MS. После успешной аутентификации абонента, между SN и MS устанавливается зашифрованный радиоканал, при помощи СК с одной из версий алгоритма А%, где данная версия выбирается в SN. Данный сценарий показан на рисунке ниже.

Рис. 1- 1. Архитектура безопасности 2G GSM Логика замены алгоритмов СОМР128 (А3 и А8) довольно простая и состоит в раздаче новых SIM-карт абонентам и апгрейда централизованных системных компонентов сети оператора. Это может делать каждый оператор независимо от других. К сожалению, ситуация хуже для шифрования А5, алгоритм которого встроен в оборудование многих «трубок» и базовых станций во всем мире. Вызовы, зашифрованные по алгоритму А5/1 могут быть расшифрованы на достаточно мощном компьютере. По причине практической сложности замены семи миллиардов мобильных телефонов в мире, данную уязвимость очень сложно устранить в ближайшем обозримом будущем. Более того, данная угроза усиливается тем, что А5/1 является обязательным для каждого мобильного телефона c GSM, в число которых входят и смартфоны (в т.ч. и с поддержкой 5G).

Архитектура безопасности 3G UMTS

Безопасность в сетях 3G (UMTS) строится на основе элементов 2G, при сохранении тех функций, которые хорошо работают, усовершенствовании тех, которые не очень хорошо работают, а также вводом новых функций. SIM-карта абоента в 3G называется USIM. Вектор аутентификации в 3G AV_UMTS = {RAND, XRES, CK, IK, AUTN} состоит из генерируемого случайного числа RAND, ожидаемого ответа XRES, цифрового ключа СК, ключа целостности IK (Integrity Key) и токена аутентификации AUTN. От НЕ в SN в этом случае посылается массив из n векторов аутентификации. В SN этот массив хранится в «гостевом регистре» VLR. По аналогии с вектором GSM («триплет» AV_GSM), вектор аутентификации в UMTS называется «квинтиплетом». В UMTS протокол АКА (Authentication and Key Agreement) работает следующим образом. SN вначале выбирает следующий вектор аутентификации и посылает параметры RAND и AUTN на USIM в MS. USIM проверяет, может ли AUTN быть принят после верификации МАС = ХМАС. Токен AUTN принимается только в том случае, если номер последовательности в это токене обновлён. Такая проверка является подтверждением идентификатора сети обслуживания SN домашним оператором абонента, но для соответствующей аутентификации сети в USIM она недостаточна. После подтверждения AUTN, USIM выдает ответ RES в SN, а также рассчитывает CK и IK. SN сравнивает полученный RES с ожидаемым ответом XRES. Если они соответствуют друг другу, то SN считает, что процедура аутентификации выполнена успешно. Сгенерированные в USIM ключи CK и IK передаются из USIM в MS, а затем принимаются SN через вектор AV_UMTS, который пересылается из гостевого регистра VLR сети SN на базовую станцию соты, где находится абонент. Эти ключи затем используются в функциях шифрования и целостности в MS в базовой станции, как показано на рисунке ниже.

Рис. 1- 2. Архитектура безопасности 3G UMTS. Алгоритмы и функции получения ключей в UMTS обозначаются как «f#». Алгоритмы/функции f1-f5 располагаются в домене HE и USIM, и могут выбираться каждым сотовым оператором независимо, поскольку нет глобального соглашения по выбору этих функций. Действительно, стандарт UMTS не требует каких-то определённых функций для f1-f5, а лишь представляет некоторые примеры для использования на практике. В результате, глобальная мобильная сеть менее уязвима к специфическим криптографическим атакам, поскольку такого рода атаки будет затрагивать толькосети отдельных мобильных операторов. К тому же, оператор может заменить любой уязвимый алгоритм на более сильный. Однако, функции f8 и f9 имеют специфичные реализации, которые определяются стандартом UMTS для соблюдения требований глобальной совместимости. В результате, абсолютно одинаковые алгоритмы выполняются в каждом мобильном устройстве UMTS (MS) по всему миру. В частности, в качестве f8 может использоваться UEA1 (входит в набор алгоритмов Kasumi), который также используется в 2G/GSM, где он называется А5/3. Либо может использоваться алгоритм UEA2 (Snow 3G). Также возможно, в результате обмена сообщениями между USIM и SN, использование в качестве функции f8 алгоритма UEA0, который вообще отключает шифрование канала данных. Например, это полезно и желательно в случае экстренных вызовов. В качестве f9 используется алгоритм UIA1 (UMTS Integrity Algorithm 1), который также основан на Kasumi, либо UIA2, основанного на Snow 3G. Проверку целостного отключить нельзя, поэтому нужно использовать один из этих алгоритмов. Безопасность 3G UMTS существенно выше, чем в 2G GSM. Однако, определённые уязвимости остаются и здесь. 3GPP указывает, что это обычно атаки типа «отказ в обслуживании» DoS (Denial of Service), подмена пользователя (user impersonation), подмена сети (network impersonation), атаки перехвата типа MitM (Man-in-the Middle). Последняя из всех перечисленных наиболее распространена, и она может быть использована для перехвата IMSI при помощи устройств IMSI Catchers. В результате, абсолютно одинаковые алгоритмы выполняются в каждом мобильном устройстве UMTS (MS) по всему миру. В частности, в качестве f8 может использоваться UEA1 (входит в набор алгоритмов Kasumi), который также используется в 2G/GSM, где он называется А5/3. Либо может использоваться алгоритм UEA2 (Snow 3G). Также возможно, в результате обмена сообщениями между USIM и SN, использование в качестве функции f8 алгоритма UEA0, который вообще отключает шифрование канала данных. Например, это полезно и желательно в случае экстренных вызовов. В качестве f9 используется алгоритм UIA1 (UMTS Integrity Algorithm 1), который также основан на Kasumi, либо UIA2, основанного на Snow 3G. Проверку целостности отключить нельзя, поэтому нужно использовать один из этих алгоритмов. Безопасность 3G UMTS существенно выше, чем в 2G GSM. Однако, определённые уязвимости остаются и здесь. 3GPP указывает, что это обычно атаки типа «отказ в обслуживании» DoS (Denial of Service), подмена пользователя (user impersonation), подмена сети (network impersonation), атаки перехвата типа MitM (Man-in-the Middle). Последняя из всех перечисленных наиболее распространена, и она может быть использована для перехвата IMSI при помощи устройств IMSI Catchers.

Архитектура безопасности 4G LTE

Архитектура безопасности 4G LTE разработана 3GPP. При разработке принимались во внимание пять групп функций безопасности (3GPP 2011).

1. 1. Безопасность сети доступа, для безопасного предоставления услуг пользователю;
   2. Безопасность домена сети обслуживания, для безопасного обмена данными пользователя и сигнализации;
   3. Безопасность домена пользователя, безопасный доступ к мобильному телефону (MS);
   4. Безопасность домена приложений, установление безопасного подключения к уровню приложений
   5. Видимость и конфигурируемость безопасности, чтобы пользователи имели возможность проверять работоспособность функций безопасности.

LTE спроектирована с использованием техники сильного шифрования и взаимной аутентификации между элементами с механизмами безопасности. Криптографическая защита обеспечивается на многих слоях архитектуры 4G, что требует немалого количества криптографических ключей. Поэтому была разработана многоуровневая иерархия криптографических ключей и разнообразные функции их извлечения. Усовершенствованная архитектура безопасности выдвигает повышенные требования к операционному управлению безопасностью оператора связи. Если в 2G GSM и 3G UMTS безопасность обеспечивается определённым набором стандартных модулей, то в 4G LTE оператор должен в значительной степени сам определять, какой функционал безопасности он хочет задействовать. Поэтому такое административное управление безопасностью часто становится проблемой. Вектор аутентификации в LTE представляет собой квадруплет AV_EPS = {RAND, XRES, AUTN, K_ASME}, состоящий из случайного числа RAND, ожидаемого ответа пользователя XRES, токена аутентификации AUTN, и ключа к экземпляру управления безопасности доступа ASME (Access Security Management Entity Key), который называется K_ASME. Число векторов, предоставляемых оборудованием домашнего оператора НЕ, может быть меньше или равно числу векторов аутентификации AV, требуемых обслуживающей сетью SN. В 4G соответствующий ключ выбирается на основе функций KDF, AKDF, и BKDF, в реальности может быть и больше ключей, чем показано на рисунке ниже.

Рис. 1- 3. Архитектура безопасности 4G LTE. Ключ K_ASME зависит от идентификатора сети обслуживания SN-id, который должен подтверждаться домашним оператором абонента и использоваться в функции KDF. Такая аутентификация должна рассматриваться как соответствующая аутентификация сети, а не так, как в 3G UMTS, где подтверждение сети происходит без подтверждения сетевой идентичности. Есть три разных версии алгоритма шифрования трафика EEA (EPS Encryption Algorithm), обозначаемые как EEA1, EEA2 и EEA3 (последний используется только в китайских мобильных сетях). EPS (Evolved Packet System) – новая транспортная сеть с коммутацией пакетов, получившая развитие для LTE. ЕЕА также можно использовать в варианте ЕЕА0, то есть вообще отключить шифрование, но это приемлемо только в случае экстренных вызовов.

Перехват вызовов с помощью перехватчиков IMSI (IMSI Cathers)

IMSI Cather – это подслушивающее устройство для перехвата мобильного телефонного трафика и для отслеживания перемещений мобильного абонента. По сути, это «фейковая» базовая станция, которая встраивается в радиоканал между абонентом и настоящей базовой станцией мобильного оператора. Перехватчики IMSI обычно используются государственными спецслужбами для законного перехвата (оперативных мероприятий) телефонных вызовов.

Рис. 1- 4. Работа перехватчика IMSI. Однако, во-первых, низкая стоимость и простота реализации перехватчиков IMSI делает их также технически доступными и для различного рода злоумышленников. Во-вторых, возникает вопрос, могут ли государственные органы использовать подобные устройства в условиях действующего законодательства. В странах с авторитарными режимами возможно использование перехватчиков IMSI спецслужбами по разрешению, и никаких проблем здесь не возникает. В странах с демократическим режимами, спецслужбы каждый раз должны получать санкцию на использование таких устройств при оперативных мероприятиях. Однако, и в таких странах для спецслужб всегда есть техническая возможность использовать перехватчики тайно, не ставя в известность органы исполнительной власти. И для демократических стран это является проблемой. Система общеканальной сигнализации ОКС7 (SS7 – Signaling System 7), которая используется как в фиксированных, так и в мобильных телефонных сетях, также содержит уязвимости, которые могут использоваться как спецслужбами, так и криминалом. Используя ОКС7, можно перехватывать СМС, а также отслеживать местоположение абонентов. Комбинация перехватчиков IMSI и уязвимостей ОКС7 позволяет получать MSISDN (т.е. мобильный номер абонента) который соответствует определённому IMSI.

Беспроводная локальная сеть Wi-Fi WLAN

При помощи мобильных сетей можно как совершать телефонные вызовы, как местные, так и дальней связи, а также подключаться к Интернет через сеть мобильного радиодоступа. В качестве сети радиодоступа для доступа к Интернет может быть использована беспроводная локальная компьютерная сеть WLAN (Wireless Local Area Network), которая также называется Wi-Fi. Как и безопасность сети мобильного радиодоступа 2G-4G, безопасность Wi-Fi прошла несколько поколений развития, и каждое из них разрабатывалось в ответ на уязвимости, найденные в предыдущем поколении. Первой технологией безопасности для Wi-Fi была WEP (Wired Equivalent Privacy), «эквивалент проводной безопасности», разработанная в 1999 году. WEP предназначена для обеспечения конфиденциальности данных, сравнимой с обычными проводными сетями Ethernet для доступа в Интернет. Однако, в WEP быстро обнаружились серьёзные уязвимости, которые позволяли злоумышленникам легко перехватывать трафик или получать доступ к сетям Wi-Fi других людей. В 2003 году организация Wi-Fi Alliance объявила, что WEP заменяется на WPA (Wi-Fi Protected Access). В 2004 году был ратифицирован стандарт WPA2 (802.11i), и было объявлено о том, что WEP полностью устарел и более не должен использоваться в сетях и устройствах (роутерах) Wi-Fi.

Сравнение ситуации с безопасностью в мобильных и локальных беспроводных сетях

Контраст между мобильными сетями и Wi-Fi в плане безопасности очень показателен. Если в Wi-Fi предыдущее поколение безопасности всегда выходило из употребления и заменялось более новым примерно каждые 5 лет, то в мобильных сетях доступа первое поколение безопасности (2G) было разработано почти 30 лет назад и всё ещё продолжает использоваться. Фактически, даже в последних моделях смартфонов фактически имеетcz встроенный телефон 2G, хотя и с другим интерфейсом пользователя. Политически мотивированный выбор слабого 56-битного ключа для А5/1 в 2G был сделан в Европе в 1985 году. Такой же 56-битный ключ (шифрование DES) был выбран и в США ещё в 1976 году. Это было сделано сознательно, для облегчения работы спецслужб в деле борьбы с терроризмом и шпионажем в условиях тогдашней «холодной войны». Однако, если DES было заменено в 2001 году на AES, то А5/1 в 2G в Европе используется и по сию пору. Несмотря на то, что были разработаны более сильные системы безопасности для мобильных сетей для 3G и 4G, участники индустрии мобильных сетей по разным причинам решили, что слабая безопасность сетей 2G должна оставаться на сетях. Последствия оставления слабой безопасности в мобильных сетях выражаются в том, что введение более сильных систем безопасности в 3G и 4G не прибавляет безопасности мобильных сетей в целом по причине наличия слабого звена 2G. Причин, из-за которых сохраняется такое положение, много. Основная причина состоит в том, что если производитель мобильных телефонов (смартфонов) не будут включать в них старый мобильный телефон 2G, то они будут плохо продаваться. Пользователи, которых заботит безопасность их устройств при работе в сети, хотели бы знать, шифруется ли передаваемый их устройствами трафик, или нет. И хотя в стандартах безопасности 2G, 3G и 4G, опубликованных ETSI и 3GPP, действительно записано, что устройства пользователей должны предупреждать их в случае отсутствия шифрования трафика в сети, многие операторы деактивируют эту функцию в SIM или USIM. Отключение этой функции оператором можно понять, ведь если пользователи всё время будут получать предупреждающие сообщения, то будет их беспокоить, и многие из них будут спешить завершить текущие сессии связи и не будут совершать новые, а это повлияет на объём трафика и доходы оператора. При этом также возрастает нагрузка на сервис поддержки пользователя, поскольку такие обеспокоенные пользователи станут часто звонить в help-desk оператора. А это возрастание расходов, рост оттока пользователей и, в конечном счёте, падение доходов оператора. На рисунке 2 показано, что мобильный телефон 2G в действительности «знает», когда его траффик шифруется (А5/1 или А5/2) или нет (А5/0). И телефон может выдавать предупреждения     о наличии шифрования вне зависимости от установок оператора в SIM. Однако, большинство телефонов этого не делают. Причина этого явления со стороны производителей телефонов сходна с позицией сотовых операторов. Пользователи будут тревожиться из-за того, что телефон выдаёт предупреждения, они на захотят таким телефоном пользоваться и в следующий раз купят телефон другого производителя, который таких предупреждений не выдаёт. Таким образом, ни операторы, ни производители, не горят желанием снабжать телефоны функцией предупреждения об отсутствии шифрования трафика, а значит, и возможной уязвимости. Сочетание политики национальной безопасности и коммерческих интересов бизнеса породили ситуацию, когда все мобильные телефоны можно заставить посылать незашифрованный трафик, и это можно сделать при помощи мобильного оператора, и абонент не будет об этом предупреждаться. Это идеальная ситуация для IMSI-перехватчиков и прослушивания телефонного трафика. Хотя такие устройства предназначены только для использования спецслужбами, однако, их можно свободно приобрести на рынке за менее, чем 1000 долларов. Обычно такие устройства довольно громоздки, и предназначены для использования на автомобиле, однако, существуют и носимые IMSI-перехватчики.

Архитектура безопасности 5G IMT2020 и последующих поколений

Технологии 5G отличаются от предыдущих поколений настолько, что сети 5G можно было бы назвать и «сетями второго поколения» 2G, имея в виду то, что все предыдущие поколения: 1G, 2G, 3G и 4G можно в принципе, объединить под общим брендом «первое поколение сетей мобильной связи» — 1G. В чем состоит такое радикальное отличие 5G от предыдущих поколений? Очень укрупненно можно считать, что предыдущие поколения выполняли, в принципе, две главные задачи: коммуникации (телефонная связь и текстовые сообщения) и мобильный доступ к Интернет. Спектр задач 5G значительно расширен: это и т.н. «Интернет Вещей», это видео с высоким качеством и новыми функциями, включая эффект присутствия, и многое другое. Сеть 5G – это сеть ориентированная на различные приложения, а не только на голос/СМС и широкополосный доступ к Интернет, как в предыдущих поколениях. Другое важное отличие в том, что сети 5G основаны не технологиях виртуализации и программно-конфигурируемых сетях. А это порождает новые проблемы безопасности и новые уязвимости. Третье важное отличие состоит в том, что, если в сетях предыдущих поколений фактически для каждой новой задачи нужно было создавать новую сеть, либо выделять отдельный сервер приложений. Однако, на транспортном уровне все эти задачи и приложения конкурировали между собой по принципу Best Effort, где как качество сервиса, так и функции безопасности, влияли друг на друга. В 5G, вследствие виртуализации и программного конфигурирования, можно создавать логически независимые сетевые слои (Network Slicing) на базе единой сетевой инфраструктуры. В предыдущих поколениях такое было невозможно. Сети 5G стремительно разворачиваются по всему миру. На декабрь 2021 года Ассоциация GSA сообщала о том, что 481 оператор в 144 странах мира разверчивают сети 5G, а то время ка на конец 2020 года их было 412. Из них 189 операторов в 74 странах запустили услуги 5G по стандартам 3GPP (рост на 40% по сравнению с предыдущим годом). Однако и сети 5G, несмотря на их огромный потенциал, также имеют значительные риски безопасности, особенно в архитектуре приложений т.н. «cloud native».

Безопасность 5G NSA vs 5G SA

Важно различать безопасность в неавтономных сетях 5G NSA (Non-Standalone), которые используют механизмы безопасности 4G (EPC) и в автономных сетях 5G SA (Standalone, также называют SBA – Service Based Architecture), которые используют новые механизмы безопасности, разработанные 3GPP. В них устранены некоторые «долгоживущие» уязвимости сетей и мобильных устройств 4G[2]. Однако, в SBA возможно появление новых уязвимостей, которых не было раньше. Здесь главное внимание должно уделять безопасности программируемых интерфейсов приложений API (Application Programming Interface) в сети и устройствах 5G. Здесь возникает проблема того, что такие требования к безопасности API легче согласовать с корпоративными пользователями, а для индивидуальных пользователей это сделать сложнее, поскольку положительный эффект от новых требований безопасности проявляется далеко не сразу.

Потенциальные уязвимости в сетях 5G

Некоторые из потенциальных уязвимостей в 5G унаследованы из предыдущих поколений, где, как было показано выше, могут использоваться устаревшие протоколы.

1. 1. Взаимодействие с сетями 2G-4G

Для взаимодействия с предыдущими версиями программ и обратной совместимости сетевых протоколов, 5G должно поддерживать мобильные устройства, которые были разработаны для предыдущих поколений. Необходимость взаимодействие с сетями предыдущих поколений обеспечивает то, что уязвимости, присущие устаревшим протоколам сигнализации, таким как ОКС7 и Diameter, в 2G-4G также могут быть причинной проблем безопасности и в сетях 5G.

• • Проблемы защиты данных и приватности

В 5G сохраняется возможность кибер-атак, таких как Man-in-the-Middle (MITM), где злоумышленник может получить персональные данные при развёртывании перехватчиков IMSI или «фейковых» базовых станций для маскировки настоящей сети радиодоступа оператора.

• • Возможность перемаршрутизации конфиденциальных данных

Опорная сеть 5G SBA может быть объектом атак, присущих IP-протоколу, например Distributed Denial of Service (DDoS), а также подмена сети (network hijacking), при которой возможно перенаправление данных через сеть злоумышленника.

• • Коллизия политик и технологий

Государственные органы могут влиять на безопасность сетей 5G, в части производства оборудования для мобильных сетей. Например, некоторые страны запрещают использование оборудования китайских компаний (в основном, Huawei и ZTE), мотивируя это тем, что они работают на спецслужбы КНР.

• •  Network Slicing и кибератаки

Network Slicing – функция сети, определённая стандартом 3GPP, которая логически разделяет сетевые ресурсы общей инфраструктуры. Таким образом, оператор может создавать несколько логических сетей, на влияющих друг на друга. Однако, здесь также могут возникать риски компрометации определённых сетевых слоёв злоумышленниками, чтобы монополизировать их ресурсы для атак на устройства пользователя.

• • Взлом 5G может быть таким же простым, как взлом веб-страниц

Технология 5G основана на программно-конфигурируемой сети SDN (software-defined networking) и виртуализации сетевых функций NFV (network function virtualization). Как SDN, так и NFV широко используют протоколы HTTP и REST API. Эти протоколы хорошо изучены и широко используются в Интернете. Средства нахождения и эксплуатации уязвимостей этих протоколов хорошо известны любому злоумышленнику. Несмотря на все усилия индустрии ИТ и инфобезопасности, хорошо защищённые веб-сайты до сих пор являются скорее исключением, чем правилом. ПО приложений также не застраховано от наличия ошибок разработки, которые часты «вылезают» только после запуска приложения в эксплуатацию. Среднее веб-приложение содержит 33 уязвимости, а 67% веб-приложений содержит опасные уязвимости. Снижение «входного барьера» по сложности атак будет неизбежно провоцировать рост их числа в сети 5G[3].

• • Уязвимость Интернета Вещей IoT (Internet of Things)

Миллионы подключенных к любой сети 5G устройств IoT представляют собой настоящий инкубатор для потенциальных ботнетов (например, Mirai). К сети 5G будет подключено гораздо больше различных устройств (датчиков, сенсоров, исполнительных механизмов и пр.), чем пользовательских устройств людей. По некоторым данным, уже сейчас их число превысило 20 миллиардов. Это вызывает бурный рост атак на устройства IoT, который пока не имеют хороший средств защиты безопасности[4].

Выводы

Политические и технологические решения, сделанные более 30 лет назад, привели к умышленной интеграции уязвимостей безопасности в мобильных сетях и терминалах пользователя. Эти уязвимости продолжают оставаться актуальными и сегодня. В других областях, например, Wi-Fi и алгоритмах шифрования, старые технологии безопасности заменяются новыми, более сильными технологиями безопасности. Хотя и в мобильных сетях 3G и 4G существуют сильные технологии безопасности, однако, политические и коммерческие соображения создают условия для наличия старых небезопасных технологий. Парадоксально, но трафик в мобильных сетях и сейчас так же легко перехватить, как и 30 лет назад. Новые, бурно развивающиеся технологии сетей 5G, хотя и содержат многие усовершенствования традиционных средств безопасности, однако, и они порождают и много новых потенциальных угроз, которые необходимо решать в самой ближайшей перспективе.

• [1] https://www.jstor.org/stable/26487508#metadata_info_tab_contents
• [2] https://techblog.comsoc.org/2022/01/01/5g-network-security-threats-and-3gpp-security-mechanisms
• [3] https://techblog.comsoc.org/2022/01/01/5g-network-security-threats-and-3gpp-security-mechanisms
• [4] https://www.gsma.com/membership/wp-content/uploads/2019/11/5G-Research_A4.pdf
• Продолжение: обзор архитектуры и уязвимостей сетей 2G GSM.

---