Уязвимости стандарта сотовой связи GSM/DCS

В настоящий момент практически невозможно представить себе современное
общество без сотовой связи. Количество абонентов мобильных операторов уже
исчисляется миллиардами и цифра эта постоянно увеличивается.
Но с увеличением числа пользователей данного сервиса увеличивается и число
людей, которые хотели бы получить доступ к информации, курсирующей в сотовых сетях
(наиболее популярным стандартом сотового соединения сейчас является GSM). Диапазон
целей у злоумышленников подобного рода может быть крайне широк: прослушивание
телефонных переговоров, перехват вызовов и клонирование телефонных аппаратов и так
далее.
Стандарт GSM стал первым стандартом сотовой связи, в котором большое внимание было
уделено безопасности. Сети предыдущего поколения практически не имели средств
защиты и постоянно становились объектом криминальных действий, таких как
прослушивание телефонных разговоров, перехват вызовов и клонирование телефонных
аппаратов.
В стандарте GSM термин «безопасность» понимается как исключение
несанкционированного использования системы и обеспечение секретности переговоров
подвижных абонентов. Определены следующие механизмы безопасности в стандарте
GSM:
 аутентификация;
 секретность передачи данных;
 секретность абонента;
 секретность направлений соединения абонентов.
Необходимым условием для работы в сети GSM для абонента является его
аутентификация в ней. В общем случае используется многофакторная схема
аутентификации, в которой задействуется SIM - карта. Процесс начинается во время ввода
PIN - кода пользователем и продолжается идентификацией в сети. Аутентификация
проводится с помощью алгоритма. Для исключения определения (идентификации)
абонента путем перехвата сообщений, передаваемых по радиоканалу, каждому абоненту
системы связи присваивается «временное удостоверение личности» - временный
международный идентификационный номер пользователя TMSI, который действителен
только в пределах зоны расположения LA.
Алгоритм COMP128v1
Основой алгоритма является 32 байтный массив (регистр) х[0..31]. Алгоритм состоит
из 4 шагов.
Шаг 1. В элементы массива х[16..31] загружается значение RAND.
Шаг 2. 8 раз подряд повторяется цикл, состоящий из 4 шагов.
Шаг 2.1. Загрузка Ki в элементы массива х[0..15].
Шаг 2.2. 5 уровневая Компрессия данных.
Шаг 2.3. Из 32 4 битных величин путем псевдослучайной перестановки
получаются 16 8 битных.
Шаг 2.4. Полученные 8 битные величины записываются в байты
х[16..31] входного массива.

Шаги 2.3 и 2.4 в последнем 8 цикле не производятся.
Шаг 3. Из 16 байтного результата компрессии формируется 12 байтный выходной
массив.
Шаг 4. Формирование SRES (0 – 3 байт выходного массива) и Кс (4 – 11 байт
выходного массива).
По в стандарте есть и узкие места, так называемые уязвимости.
Низкий уровень защиты GSM-сетей открывает простор для злоумышленников и
недоброжелателей - от перехвата звонков до отслеживания местоположения абонента,
говорится в новом докладе специалистов по безопасности. Операторы продолжают
игнорировать просьбы обратить внимание на данный факт.
Уязвимость в стандарте GSM позволяет сторонним лицам совершать три типа
действий: перехватывать голосовые звонки и SMS-сообщения, совершать звонки от имени
произвольного лица без его ведома и отслеживать местоположение абонента благодаря
данным о расстоянии до ближайших базовых станций. Низкий уровень защиты GSM-
сетей открывает простор для злоумышленников и недоброжелателей - от перехвата
звонков до отслеживания местоположения абонента, говорится в новом докладе
специалистов по безопасности. Операторы продолжают игнорировать просьбы обратить
внимание на данный факт.
Уязвимость в стандарте GSM позволяет сторонним лицам совершать три типа
действий: перехватывать голосовые звонки и SMS-сообщения, совершать звонки от имени
произвольного лица без его ведома и отслеживать местоположение абонента благодаря
данным о расстоянии до ближайших базовых станций. 
Под пассивным перехватом следует понимать перехват данных сотовой сети без
непосредственного вмешательства в работу сети и излучения в радиоэфир. Такие атаки
полностью скрыты от оператора и абонента.
Gr-gsm+Kraken
Суть метода заключается в записи радиоэфира на определенной частоте (ARFCN -
абсолютный радиочастотный канал) и последующей его дешифрации ключом,
полученным с помощью утилиты Kraken и радужных таблиц. Атакуемый абонент должен
быть подключен к базовой станции без включения функции перестройки частоты на
базовой станции - Frequency Hopping’а. В сети есть патч для программы airprobe,
позволяющий записывать радиоэфир с перестройкой частоты, но он предназначен для
конкретного оператора связи. Есть возможность адаптировать этот патч для нужного
оператора.
Для записи радиоэфира используется GR-GSM - проект Gnu Radio для стандарта
GSM. В качестве SDR радиомодуля используются такие устройства как Hack RF One,
USRP B210 и т.п. Этот метод работает в 90 % случаев.
Немецкий компьютерный криптоаналитик Керстин Нол сообщил  о создании метода
взлома системы шифрования самого популярного в мире стандарта сотовой связи GSM.
По его словам, система шифрования разговоров в сетях GSM имеет фундаментальные
уязвимости и программный код, созданный им, использует эти уязвимости. При этом, сам
инженер говорит, что его целью было не предоставить всем желающим возможность

прослушивать мобильные разговоры людей, а указать телекоммуникационным компаниям
на фундаментальные недочеты, чтобы те могли их исправить.
Сам разработчик алгоритма взлома говорит, что его технология является первой с
1988 года реально обходящей систему и ставящей под угрозу приватность разговоров до
80% пользователей сотовой связи в мире. "Этот пример показывает, что существующие
техники защиты GSM не соответствуют современным нормам", - говорит разработчик.
Демонстрацию своей разработки инженер провел в рамках конференции Chaos
Communication Congress в Берлине. "Мы уже давно пытались призвать операторов связи
реализовать более надежные системы защиты", - говорит Нол.
В Ассоциации GSM сообщили, что им уже удалось изучить код представленный
разработчиком и передать его образцы представителям сотовых операторов.
Представители называют разработки инженера с одной стороны незаконными, а с другой
отмечают, что разработчик значительно преувеличивает опасность своих разработок. "Это
(взлом) теоретически возможно, но практически вряд ли. Можно сказать, что пока еще
никому не удавалось полностью обойти систему шифрования GSM. Также можно
отметить, что в ряде стран, в частности в США или Великобритании, такие разработки
вообще незаконны", – говорит представительница Ассоциации Клэр Крентон.
Впрочем, с позицией Ассоциации не согласны многие эксперты, утверждающие, что
представленный код вполне можно усовершенствовать и при запуске на современных
многоядерных многопроцессорных системах он может быть вполне эффективен. К
примеру, в исследовательской компании ABI Research, занимающейся мобильными и
телекоммуникационными исследованиями, говорят, что всем заинтересованным сторонам
следовало бы отнестись к данной угрозе серьезно, так как примерно через полгода уже
может появиться более продвинутая версия программы, тем более, что ее код свободно
доступен в интернете.
Сам немецкий инженер рассказывает, что код создавал он не один. Ему помогали
энтузиасты, которых он нашел на одном из хакерских форумов в Амстердаме. Всего над
созданием системы взлома работали почти 25 человек из разных европейских стран.
Говоря о законности или незаконности своих разработок Керстин Нол заявил, что его
интерес при разработке программы был исключительно академическим и в реальности ни
одного звонка он не прослушал и не нарушил ни одного закона. Проверяли
работоспособность программы они на специальных программных симуляторах,
воспроизводящих режимы работы сети. "Сейчас образцы кода уже доступны на многих
сайтах, в сетях Bit Torret, на форумах", – говорит он.
Напомним, что система защиты GSM базируется на так называемом алгоритме A5/1,
представляющем собой 64- битный двоичный код. Отметим, что на сегодня большинство
современных компьютерных систем работает с ключами длиной 128-512 бит, что
считается более надежным. В 2017 году Ассоциация GSM разработала стандарт A5/3,
обладающий длиной ключа в 128 бит, однако лишь незначительное число операторов
развернуло поддержку этой технологии.