Компания
313,58
рейтинг
5 декабря 2014 в 13:51

Разработка → Мобильные телефоны и тотальная слежка АНБ: как это работает

image

Имя Эдварда Сноудена последние два года регулярно мелькает в новостях по теме информационной безопасности. Благодаря разоблачениям этого бывшего сотрудника американских спецслужб все уже слышали, что Агентство национальной безопасности (АНБ, NSA) обладает возможностями тотальной мобильной слежки за гражданами. Но как именно устроена эта слежка, мало кто знает. В данном обзоре мы собрали некоторые подробности о технологиях, которыми пользуется NSA — и не только оно.

Одна из первых неприятных новостей от Сноудена касалась подрыва доверия к технологиям криптозащиты. В рамках секретного проекта АНБ под названием Bullrun была получена возможность обхода многих систем шифрования – но не за счёт взлома, а за счёт эксплуатации закладок, специально оставленных производителями по требованию АНБ. А в некоторых случаях вендоров просто обязали сдавать агентству шифровальные ключи. Таким образом, были дискредитированы многие стандарты безопасности, считавшиеся надёжными и применявшиеся в крупном бизнесе и государственных организациях.

image

Буквально на днях в СМИ появилось развитие этой истории – некоторые детали операции AuroraGold, в рамках которой АНБ следило за сотрудниками телекомов, читая их электронную переписку и внутренние документы. Уже в мае 2012 года АНБ собрало таким образом технические данные о 70% мобильных сетей всего мира. Под прослушку попала и GSM Association – международная организация телекомов, где разрабатываются рекомендации по новым стандартам связи. Цель операции AuroraGold – та же, что и у проекта Bullrun: внедрить закладки либо узнать об уязвимостях, которые помогут обойти алгоритм шифрования A5/3 и другие новые технологии защиты. Судя по документам из архива Сноудена, первые попытки взломать G4 удавались агентству АНБ ещё в 2010 году – то есть ещё до того, как этот «безопасный» стандарт получил широкое распространение.

Другой вектор атак АНБ – это мобильные ОS и приложения. Как выяснилось, спецслужба имеет доступ ко множеству данных на смартфонах: списки контактов и звонков абонентов, а также их SMS и GPS-данные. Для этого в АНБ были собраны команды хакеров, каждая из которых занималась взломом одной из популярных OS. В публикации немецкого журнала Spiegel подчёркивается, что одной из первых была взломана операционка Blackberry, хотя традиционно она считалась более защищенной, чем iOS и Android.

image

И конечно же, возможности прослушки значительно расширились благодаря развитию рынка мобильных приложений. Многие из них регулярно передают значительное количество пользовательских данных третьим сторонам. Таким образом, для подслушивания необязательно взламывать OS – достаточно убедить пользователя поставить себе «полезное» мобильное приложение.

Но ещё больше возможностей для слежки обнаружилось в самих сетях мобильной связи. В документах Сноудена нашлось описание шпионского каталога АНБ — проекта Ant, в котором есть решения для манипуляции мобильными сетями на все случаи жизни. Необязательно перехватывать данные через уязвимое ПО — можно установить закладки на стадии изготовления устройств связи. Вот, например, скомпрометированный радио-модуль для телефона:

image

Другой вариант — поддельные базовые станции, с помощью которых можно перехватывать трафик абонента и манипулировать данными на его телефоне:

image

Или целая сотовая сеть в одной коробке:

image

Есть и спектральный анализатор на базе мобильного телефона Motorola L9, который позволяет записать радио-спектр для дальнейшего анализа:

image

Определение местоположения с помощью сотовой сети — достаточно приблизительное. Для точного поиска жертвы на месте есть отдельный портативный инструмент:

image

Конечно, само по себе существование такого каталога устройств не означает, что кто-то уже использует их для тотальной слежки. Однако вслед за публикацией каталога стали появляться и свидетельства практического применения.

В сентябре 2014 года была обнаружена подозрительная будка на крыше IZD-Tower, напротив комплекса UNO-city (Венский международный центр). Будка огорожена прочным металлическим забором, под наблюдением 10 камер. Вероятнее всего, это поддельная базовая станция мобильной сети.

image

Вена является третьим городом-резиденцией ООН (после Нью-Йорка и Женевы), там же расположены штаб-квартиры ОПЕК и ОБСЕ. Вполне понятен интерес АНБ к месту, где собираются высокопоставленные лица большинства стран. А вот предположительная зона покрытия данной станции:

image

Такие базовые станции могут перехватить IMSI (так называемые IMSI-catcher), а затем через сеть SS7 отслеживать местоположение жертвы. Однажды отследив IMSI жертвы, можно отслеживать ее перемещение по всему миру до тех пор, пока пользователь не сменит SIM-карту. Подробнее о таких атаках мы уже рассказывали здесь.

Документы Сноудена говорят о том, что станция в Вене (Vienna-Annex) является лишь частью глобальной сети слежения SIGINT. Дальше уже можно искать по списку стран и городов, упомянутых в этих документах. Вот фото похожей структуры, найденной на крыше в Риме:

image

Кстати, американские спецслужбы не ограничиваются стационарными системами слежения. Они уже давно используют станции-перехватчики StingRay на специальных автомобилях, которые могут подъехать к заданной цели. А в ноябре журнал Wall Street Journal сообщил, что Министерство юстиции США использует самолеты Cessna с поддельными базовыми станциями для перехвата данных пользователей:

image

Кто виноват и что делать?


Прежде всего нужно отметить, что невзирая на громкие заголовки газет, описанные технологии сейчас доступны не только спецслужбам. По сути, прослушка мобильных сетей и защита от неё стали новым высокотехнологичным рынком. И как на всяком рынке, здесь постоянно появляются новые, более дешевые решения.

В августе 2014 года журнал Popular Science рассказал о том, как группа специалистов по безопасности ESD America продвигает собственную разработку – «особо защищенный» смартфон CryptoPhone 500 на базе Android. Поскольку подобных продуктов на рынке уже несколько, разработчики использовали небанальный рекламный ход. С помощью своего продвинутого смартфона они обнаружили на территории США 17 поддельных базовых станций, которые в принудительном порядке отключают шифрование данных:

image

Одну такую станцию прослушки обнаружили около крупного казино в Лас-Вегасе, ещё несколько — вблизи военных баз США. Кто, кроме АНБ, может использовать такую технику? Да кто угодно. Правда, коммерческие комплексы дороговаты — более $100 тыс. Однако можно значительно удешевить решение, если воспользоваться бесплатным ПО для создания своей собственной базовой станции.

Как от этого спастись? Один из вариантов уже упомянут выше – «защищенный» смартфон. Однако удовольствие недешёвое: CryptoPhone стоит $3.500. За эти деньги клиент получает «закрытие» ряда векторов атаки, которые фигурировали выше в нашем списке. В частности, здесь есть контроль известных уязвимостей Android OS, контроль подозрительной деятельности мобильных приложений, и даже мониторинг baseband-процессора: именно эта фича позволяет определить подключение фальшивой базовой станции-перехватчика, чего не замечают обычные смартфоны.

Защититься от поддельных базовых станций с обычным телефоном сложнее, но кое-что сделать всё-таки можно. В сетях UMTS (G3) используется взаимная аутентификация мобильной станции в сотовой сети, и сотовой сети — в мобильной станции. Поэтому одним из признаков прослушки является принудительное переключение из режимов G4 и G3 в менее безопасный режим G2. Если пользователь заранее отключит у себя 2G-режим, это усложнит злоумышленнику задачу перехвата радио-эфира. Некоторые модели мобильных телефонов позволяют переключать используемый тип сети:

image

Также во многих телефонах на базе Android есть сервисное меню, вызываемое командой *#*#4636#*#*, где можно выбрать тип сети. Правда, такое решение чревато повышенным потреблением батареи, а также потерей связи в случае отсутствия покрытия сети 3G.

image

Поддельные базовые станции позволяют перехватывать любые данные, передаваемые через сотовую сеть – однако для этого требуется физическое нахождение абонента в зоне действия базовой станции. Поэтому более продвинутым методом слежки можно считать атаки на сеть SS7, позволяющие перехватывать данные абонента, а также его местоположение, из любой точки земного шара. Здесь тоже есть свои коммерческие решения: в одном из прошлых постов мы рассказывали о системе SkyLock американской компании Verint, которая позволяет отслеживать любых абонентов по всему миру.

Как можно помешать прослушке в этом случае? Поскольку атаки базируются на легитимных сообщениях сигнальной сети SS7, грубая фильтрация этих сообщений может оказать негативное влияние на весь сервис. По опыту экспертов Positive Technologies, адекватная защита от атак на SS7 должна представлять собой комплекс мероприятий на стороне оператора, включая мониторинг трафика SS7 и «умный» контроль фильтрации, который позволяет блокировать только попытки атак и фрода. Подробнее о том, как это реализуется на основе наших продуктов, можно прочитать в статье «Безопасность сетей мобильной связи на основе SS7».
Автор: @ptsecurity
Positive Technologies
рейтинг 313,58

Комментарии (31)

  • 0
    Сначала подумал, что все Motorola L9 имеют возможность анализа спектра, а потом увидел стоимость в $15k :(
  • +1
    Ах, если бы за нами следило только АНБ.

    В их слежке по крайней мере есть слабое место: слежка ведется скрытно и без нашего согласия, поэтому данный вид слежки можно всегда хотя бы морально осудить.

    А то, что сейчас каждое второе приложениестремится установить в операционную систему резидентный компонент и отслеживать действия пользователя? И никуда не денешься от этого. Возможность слежки включена в лицензионное соглашение. Отказаться от слежки можно, только отказавшись от приложения. И винить пользователям некого, кроме себя: сам же на слежку и согласился.
    • 0
      Эмм, а можно пример такого приложения, устанавливающего «резидентный компонент»?
      • 0
        Uber, например, geektimes.ru/post/242206/
      • +2
        Возможно, «резидентский компонент» — не вполне верное название. Но вот после установки Xprivacy на своем телефоне я узнал, например, что CoolReader, Aimp и AVG зачем-то ведут лог звонков.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Кстати, в Cyanogen я видел возможность выбора разрешенных действий для каждого приложения, это было довольно круто.

            Такое было в одной из версий стокового KitKat, но фичу почти сразу убрали.
            • +1
              А потом взяли и запилили свою собственную. На данный момент там эта штука есть и развивается.
              • 0
                Upd: речь о CM, конечно.
          • +1
            Проблема в том, что подавляющее большинство приложений требуют доступ к куче лишних данных. В итоге получается, что если не устанавливать такие программы, придется свою написать. Ну или пользоваться инструментами типа Xprivate.
            А во многих билдах CM менеджер прав доступа есть, да. Но Xprivate лучше, т.к. она не тупо запрещает доступ, а подсовывает ненастоящие данные, тем самым не вмешиваясь в работу приложений. Например, возвращает пустую телефонную книгу.
            • 0
              Xprivate — а что за приложение? Откуда можно установить?
              • 0
                Имеет смысл устанавливать, если есть рут. Сначала надо установить Xposed installer с офф. сайта. Это что-то типа фреймворка, с помощью которого можно залезать глубоко под капот андроида. Xprivate, в свою очередь, является чем-то типа плагина. На гуглплей есть Xprivacy installer. Далее все по инструкции в приложениях :)
          • +1
            Стоковый андроид в плане установки приложений ведет себя крайне плохо. Обычный пользователь ( коих подавляющее большинство) при установке чего либо решает ровно одну задачу — поставить любой ценой и не смотреть какие он там права хочет. Да даже если он и посмотрит, то все равно согласиться желание поставить программу гораздо сильнее.

            Вот ios ведет себя гораздо более адекватней, требует только когда нужно и пользователь может спокойно запретить доступ и продолжить работу.
            Посему очень расстраивает политика гугла выпилившего нормальную реализацию ограничений для приложений из стока. Ведь хоть на андройде это и можно добиться сторонними методами, но большинство людей даже задумываться об этом не будут.
          • +1
            Meizu позволяет снимать разрешения после установки приложения. Есть три варианта, разрешить, запросить разрешение при попытке доступа и запретить.


  • 0
    Зачем АНБ перехватывать радиосигнал, запускать чОрные вертолеты с поддельными базовыми станциями, если можно прийти к оператору и сказать слушать вон того абонента? (на территории США, естественно).
    • +2
      собственно, они так и делают.
    • +10
      на территории своей страны. А на чужой земле приходится грабить корованы.
  • +2
    Было бы здорово узнать поподробнее о том меню выбора работы сети, которое выскакивает после набора *#*#4636#*#*.
    • 0
      Ну, берем чистый андроид и набираем. Сервис меню бывает отключено в большинстве прошивок самсунга — но на тех же нексусах и HTC работает.
      Подробней тут.
      www.simplemobilereview.com/how-to-fix-data-connectivity-using-androids-secret-language/
      • 0
        Я имею ввиду больше технического разжевывания :)
  • +1
    Иногда кажется, что в этих сливах есть и обратная сторона: если АНБ и не сделала технологии на 100% работоспособными, то уж слух, что они у них есть (и что деньги освоены по делу) пустили точно. «Господин президент, газеты пишут, что АНБ может узнать место расоложения подозреваемого даже в толпе, и сопровождать его по всему миру!» — «Отлично, не зря мы им ассигнования выделили! Выделяем в 5 раз раз больше, и позвоните в газеты, чтобы в другой раз писали поменьше!»
    • 0
      Да, в прошлом году после разоблачений Сноудена некоторые эксперты шутили, что данные разоблачения на самом деле — просто скрытая реклама новых дата-центров.
      webscience.ru/visuals/trillion-ryober-za-milliard-baksov

      Однако публикация телефонных переговоров разных знатных говорунов говорит о том, что технологии прослушки всё-таки работают. Другое дело, что мы не знаем, какие именно. Может, дедовский плёночный магнитофон в подвале, с огромным микрофоном в батарее центрального отопления? :)

  • 0
    Глобальная сеть слежения SIGINT — это громко сказано. Но в целом статья отличная.
  • 0
    — Какая-то у тебя на смарте ось новая, стрёмная по виду правда, а чо интернета нет?
    — Еще не реализовал.
  • –1
    Спасибо, Эдик! Пиши еще!
  • 0
    Липовые станции «хорошо» конечно, но перехватив сигнал- его все равно надо передать далее в пункт назначения, к вышке сотового оператора. И все на столько круто, что оператор не может заметить это¿
    Да, даже я имея не самый большой опыт в сетях gsm найду способ как им определить перехвачен канал или нет.
    Та же геолокация по сотовой сети. Оператор в большинстве случаев использует данные от трех вышек, которые изначально знают примерное расстояние до абонента. И если одна из вышек будет перехвачена и сигнал ретранслирован, то оператор явно должен заметить «перелеты»абонента в течении короткого времени на большие расстояния, т.к. расстояние до фальшивой вышки и до того места где сейчас абонент будут разные. Не говоря уже о том, что явно подозрительно когда расстояние до предполагаемого абонента всегда фиксированное. И да- если подумать, что они и данные расстояния подделываю и отправляют нужные, скажу что это у них не получится. Не имея данных с соседних вышек.
    Так что либо операторы ленивые и не проверяют перехватывают их или нет, или в доле и молчат, или просто молчат)) Как то так.
  • +2
    Не подскажите, почему телефоны с end-to-end шифрованием разговоров не становятся популярными? Чтобы можно было шифровать разговор прямо на телефоне и расшифровывать только на телефоне респондента так, чтобы никто, в том числе и оператор связи, не мог бы прослушать разговор? Было бы ещё классно, если бы телефоны могли общаться друг с другом, тогда удалось бы сделать рапределённую сеть типа Tor, и тогда нельзя было бы отследить отдельного абонента, и вообще, во многих случаях можно было бы обходиться без сотовых станций.
    • +1
      Вопрос филосовский, аналогичный почему так мало людей используют шифрование почты. Неудобно, лишние движения, не работает на системе ABC, глючит в XYZ…

      Решений множество, бери и пользуйся

      silentcircle.com
      zfoneproject.com
  • 0
    Lenta.ru сплагиатничала вашу статью lenta.ru/articles/2014/12/05/positive/

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка