dxdt.ru: занимательный интернет-журнал

Кстати, а всё равно многие удивляются, услышав, что можно определить какой именно (физический) передатчик работает в радиоэфире, слушая передачу специальным оборудованием. Между тем, это всего лишь вопрос сбора сигнатур. И речь не о “стиле радиста”, конечно. А, например, о коротковолновой станции или о WiFi.

Каждый передатчик имеет свои физические особенности. Как известно, основная их часть лежит в, так сказать, частотной области: нелинейные процессы, связанные с преобразованием сигналов в электронных устройствах, лучше всего проявляются при преобразовании частот, генерации задающих “чистых” сигналов и т.п..

Фиксируя эти особенности специальным приёмником с достаточно высоким “разрешением”, можно построить сигнатуры, которые позже позволят понять, что в эфире работает другое устройство, даже если оно передаёт то же самое сообщение (тот же сигнал), что и предыдущий передатчик. Более того, передача повторов как раз делает узнавание передатчика более простым: сравнивать отличия динамических характеристик легче.

В развитие темы активных систем защиты техники (противоракетных перехватчиков): прикинем требуемое быстродействие и масштаб временной шкалы, на которой происходит срабатывание всей системы (сперва посмотрим на малые скорости, а потом на гиперзвуковые снаряды).

Понятно, что время нужно измерять от момента обнаружения угрозы сенсорами до момента, в который защищаемый объект (танк там, или самолёт) будет поражён. Предположим, что сенсоры обнаруживают подлетающий снаряд (гранату, ракету) на расстоянии в 1000 метров. Тогда, при средней скорости подлёта в 500 м/с, остаётся аж две секунды на всё про всё, можно хорошо прицелиться и так далее.

Вообще, 1000 метров – это очень далеко. В городе просто нет таких практических дистанций в прямой видимости (разве что с верхней полусферы). В поле – посвободнее, но будет много заведомо лишних целей. С другой стороны, и две секунды – это очень долго, считать не пересчитать.

Более практичное расстояние – 100 метров. Получаем 0.2 сек. = 200 мс при средней скорости подлёта 500 м/с. 200 миллисекунд – это 200 тыс. тактов процессора, работающего на частоте 1 Мгц. 200 тыс. операций – как оценка, выглядит достаточной для вычисления параметров перехвата. При этом, 1 Мгц – по нынешним меркам очень медленно даже для военной специальной ЭВМ. Нужно, впрочем, скинуть время, необходимое для актививрования бортового перехватчика (поджиг ускорителей и т.п.) и передачи в этот перехватчик данных целеуказания.

Тут интересно взглянуть, как же может быть устроен перехватчик: например, противоракета выкидывается пороховым зарядом из стартового “стакана”, выдаёт несколько реактивных импульсов корректирующими двигателями (эти двигатели придают разворачивающий момент; т.е., смотрят, так сказать, вбок) и после этого, включив основной ускоритель, отправляется на встречу с целью. Собственно, именно так работает одна из штатовских систем, насколько можно судить по видео. Думаю, понятно, в чём суть схемы. Противоракета всегда выкидывается из пускового устройства в одном направлении. Скажем, вертикально вверх. Это конструктивно удобнее. Уже в воздухе противоракета очень быстро разворачивается в сторону точки перехвата, обеспечивая прикрытие по полусфере.

Ускорители со специальным топливом – они срабатывают очень быстро, хватит 5-10 мс плюс ещё 10 мс накинем на выполнение разворота. Тут, впрочем, кроется весьма хитрое “ноу-хау”: нужно так устроить корректирующие двигатели, чтобы они точно дозировали создаваемый момент, иначе противоракета будет разворачиваться с ошибкой, что сделает всю систему бесполезной. В используемом нами масштабе, заметным становится время, за которое противоракета достигнет точки перехвата. Предположим, что противоракета также показала среднюю скорость 500 м/с (очень такой прикидочный расчёт). Получается, что через 20 мс (10% от общего интервала в 200 мс) противоракета пролетела 10 метров. С запасом хватает для наземной бронированной техники (с точки зрения защиты пехоты перехват должен осуществляться как можно ближе к танку; у самолётов – там ситуация иная, но это для другой записки).

Время на передачу данных по проводам: похоже, им можно пренебречь (примем, что около 4 нс на метр, при использовании оптоволокна в качестве среды распространения). Также не рассматриваем задержки на распространние сигнала радара. Загрузка данных в противоракету: несколько байтов, несколько десятков тактов, получается – в пределах миллисекунды, при условии, что данные передаются по интерфейсу с основной частотой в 1 Мгц.

Промежуточный итог: для медленных целей (500 м/с) времени на вычисление параметров и на сам перехват – целый вагон (у нас специально занижена потенциальная производительность ЭВМ). Выглядит всё реально.

Теперь предположим, что появились упомянутые в комментах гиперзвуковые кинетические снаряды. Скорость такого боеприпаса – 1500 – 2000 м/с. То есть, времени меньше в четыре раза (скорость в четыре раза выше). Но, собственно, для вычислительной части времени всё равно достаточно (мы же взяли самую медленную ЭВМ) и даже задержки на передачу данных опять не заметны. Если противоракета продолжает тратить 40 мс на прибытие в точку встречи, то гиперзвуковой снаряд за это время пролетает всего 80 метров, что укладывается в предложенную схему (дистанция 100 метров). Так что, в теории, не так всё плохо. А ведь есть ещё лазеры. Для перехвата.

Вот в автомобильных сигнализациях сейчас сплошь используется обратная связь – блок в автомобиле передаёт некие сведения об изменении состояния на брелок (например). При этом, как часто утверждают, автосигнализации не устойчивы к перехвату радиосканером сигналов управления. Такой перехват, – понятно, с последующим воспроизведением, – делается угонщиками для снятия автомобиля с охраны. Ну, так пишут.

Задача разработчика охранной системы формулируется довольно просто: есть брелок, есть управляющий модуль на автомобиле, нужно обеспечить надёжный защищённый обмен командами через открытый эфир. (Всякие особенности, типа кражи брелока, расположения владельца относительно автомобиля в момент снятия с охраны и т.п., не учитываем.) Подобные задачи успешно решались давно. Из сложных реализаций с историей, можно, например, вспомнить системы гос.опознавания на самолётах.

Очевидно, что современное развитие микроэлектроники и криптографии позволяет сделать систему управления практически неуязвимой для взлома. Интересно разобрать ситуацию с автомобильной системой по шагам. Ну да, понятно, что элементарное решение, когда брелок просто передаёт радиокоманду “Сим-сим откройся”, – не подходит: тут срабатывает тот самый простой перехват с записью и повтором сообщения. Рассчитывать на то, что атакующему злоумышленнику не известна частота, или, например, модуляция, нельзя (купил он образец сигнализации и всё определил). Но много экономим на изготовлении самой сигнализации: ни памяти, ни каких-то сложных микроэлектронных схем не требуется.

Более сложное решение использует “одноразовые пароли”. Дистанционный брелок и автомобильный блок используют некий общий (уникальный относительно комплекта оборудования) секрет для генерации последовательностей ключей. Каждый ключ используется один раз. Повторная передача использованного ключа не работает. Требуется, чтобы и брелок и управляющий блок имели память и могли генерировать последовательности ключей. Это не очень сложно реализовать. Справится простой микроконтроллер.

Да, кстати, возникает некоторое количество проблем с юзабилити, которые научились решать. Например, нужно бороться с непреднамеренным использованием очередного ключа автовладельцем (игрался с брелоком, отправил в пустоту десяток запросов, брелок и блок на машине стали “несинхронными”). Для борьбы вводят интервал валидных ключей: то есть, система срабатывает не только на конкретный, ранее не использовавшийся, ключ, но и на его соседей в ключевой последовательности. В общем, всё это давно обкатано в банковских системах.

Обкатаны и процедуры атаки. Стандартный подход напрашивается сразу же: нужно заставить брелок выдать несколько ключей в эфир, но так, чтобы до автомобильной части системы эти ключи не добрались. Реализация: в эфире ставится помеха, но таким образом, чтобы сканер ключ, выданный брелоком, принял. Неспециалисту часто кажется, что это нереальный расклад. А он – реальный. Помеху в эфире конструирует атакующий. Его задача – записать из эфира суммарный сигнал, содержащий и помеху, и ключ. Помеху потом можно вычесть, так как она известна. А вот блок приёмника на автомобиле может не справиться с отстройкой от помехи. Конечно, есть помехоустойчивое кодирование и другие способы защиты, но их реализация усложняет и саму аппаратуру автосигнализации, и процесс её разработки. Итак, вычисленный и записанный ключ (несколько ключей) – позже используются для “взлома” системы (если, конечно, не успеют выпасть из синхронного интервала).

Почему недостаточно хорошо работает этот “продвинутый” метод? Потому что отсутствует добротная аутентификация со схемой запрос-ответ. Не используется “обратная связь”, хотя она есть, как упомянуто в самом начале заметки.

Так что следующее, ещё более продвинутое, решение устроено иначе: брелок инициирует сеанс связи (передавая несекретную команду), принимает специальный запрос от блока на автомобиле, вычисляет ответ, соответствующий запросу, и передаёт его в эфир. Запрос при этом содержит некий “одноразовый ключ”, используемый только в конкретном запросе (могут быть просто случайные значения), а вычисление ответа требует знания секрета, который хранится только в брелоке и в автомобильном блоке. (Понятно, думаю, что перехват вычисленных ответов из эфира не позволяет, на практике, определить значение секрета. Атака с повторной передачей не работает, так как очередной запрос будет другим.)

Что получилась? Получилась схема, похожая на механизм из сетей GSM. Алгоритм, существенно более стойкий, чем вариант с простыми одноразовыми паролями. Правда, реализация тоже существенно сложнее. Например, в управляющем блоке не только должна быть память, а он также должен отслеживать “возраст” переданных в эфир запросов, отменять устаревшие, иначе схему легко “подвесить”, организовав что-то вроде DoS-атаки, путём имитации запросов брелока.

Злоумышленник может организовать гипотетическую атаку типа “человек посередине”, пытаясь имитировать работу автомобильного блока в ответ на старт сеанса связи. Но так как, в отличие от GSM, здесь авторизация начинается только по нажатию кнопки владельцем автомобиля, успех – скорее призрачен. Хотя, есть варианты. Да и никто не гарантирует, что в конкретной реализации алгоритма не обнаружат дыр.

Используя цифровые подписи и криптографию с открытым ключом, можно вообще организовать закрытый двусторонний канал связи между брелоком и автомобилем.

Итог: микроконтроллеры сейчас научились выпускать довольно мощные и очень компактные, с минимальным энергопотреблением. Микроконтроллеры при этом дешёвые. Алгоритмы защиты – известен. Вопрос такой: а защищены ли на практике все современные автосигнализации от перехвата команд?

Вот обсуждали недавно тему про возможность дистанционного полного дезориентирования операторов комплекса ПВО с помощью сложных помех, то есть, так называемый “перехват управления” комплексом ПВО посредством инструментов РЭБ. Я уже писал ранее об этой, на первый взгляд, совершенно фантастической, возможности. Но нужно добавить ещё буквально пару интересных моментов.

Речь, напомню, о том, что противник, обладающий информацией об устройстве комплекса и мощными вычислительными ресурсами, использует тот фундаментальный факт, что современный комплекс ПВО – это система, в существенной мере управляемая внешними данными (внешними сигналами), принимаемым без проверки и защиты. (Такое положение дел, кстати, позволяет активировать аппаратные закладки, которые, теоретически, могут быть встроены в микроэлектронную начинку изделия.)

Так вот, для точного вычисления текущего режима работы комплекса требуется считывание информации из потоков данных, которые циркулируют между составляющими комплекс структурными элементами (понятно, что у хорошего мощного комплекса ПВО обычно пространственно разнесены собственно разные радары, командные пункты, пусковые установки, вспомогательные машины и т.д.). Можно предположить, что внутрисистемные потоки данных – зашифрованы, криптографически защищены (хотя это далеко не всегда так). Как же по ним ориентироваться? Оказывается, можно построить сигнатуры состояний комплекса, нерасшифровывая поток “внутренних команд”. Помогут всё те же “побочные эффекты” и утечки.

Вот упрощённый пример. Предположим, что шифрованием защищается некое полезное содержание передаваемых данных, например, координаты сопровождаемых целей. Хорошо, выяснить координаты не получается. Однако пакет данных, содержащий эти самые координаты имеет разную длину, в зависимости от количества целей (вполне обычная, самоочевидная практика – ПО для комплексов разрабатывают нормальные программисты, не сомневайтесь). При этом старт передачи пакета по каналам связи (пусть они даже кабельные, а не УКВ) и окончание передачи – отмечаются хорошо известным сигналом, который определяется используемым протоколом обмена (последовательного, как обычно). Опять же – ничего фантастического, ситуация типичная. Инженер РЭБ противника, с помощью специального оборудования, принимает только утечки стартовых и стоповых импульсов, но это позволяет ему измерять длину пакета. Изменение этой длины будет свидетельствовать о том, принял ли комплекс на сопровождение дополнительную цель или, наоборот, цель он потерял – очень важная информация, между прочим, судите сами.

Ведь теперь у РЭБ противника есть инструмент, позволяющий определить, захватил атакуемый комплекс активную помеху, имитирующую сопровождение цели или ещё нет. Не мало, правда? Развиваем схему дальше. Например, если активная помеха захвачена, то можно приблизительно вычислить, какие координаты получит фиктивная цель в ЭВМ комплекса. Предположим теперь, что РЭБ противника принимает не только импульсы начала/окончания передачи данных, но и шифрованные пакеты с координатами целей. Если это так, и помеха захвачена (вывод из изменения длины пакета), то можно провести стандартную атаку на шифр – ведь известна часть шифротекста. Теперь можно читать внутренние команды и подстраивать под них помехи. Даже если читать пакеты не получается, то наличие флага “захват/потеря” позволяет определять эффект от разных типов помех, тоже не мало.

Совокупность многих утечек-признаков, их последовательность, с учётом порядка и времени появления, позволяет построить сигнатуры состояний атакуемого РЭБ комплекса и автоматически их использовать в помехопостановщиках.

Ну и так далее.

Все описанные способы атак давно и хорошо известны в смежных областях. Однако многие и многие комплексы ПВО разрабатывались тогда, когда суперкомпьютеры не могли уместиться даже на борту тяжёлого транспортного самолёта. Поэтому многие теоретические хитрости не учитывали, как неосуществимые на практике.

Сейчас ситуация с суперкомпьютерами сильно поменялась. Вернее, то, что десятилетия назад называлось суперкомпьютером и занимало целый зал в здании, нынче летает в небольшом реактивном самолёте. Анализ утечек сигналов и сопоставление его с моделью атакуемого комплекса ПВО для выработки сложных помех в реальном времени – это, как раз, вопрос для мощного компьютера с соответствующим ПО, то есть, не фантастика. Результат работы такой системы РЭБ – как раз и есть тот самый “перехват управления”, который пока не включает прямой передачи вредоносных команд атакуемому комплексу, а просто позволяет водить этот комплекс за нос, рисуя перед операторами совсем неожиданную картину воздушной обстановки.

Такие перспективы.

Ранее по теме я писал, например, вот что:

Активация аппаратных “закладок” в специальных ЭВМ;
“Вскрытие” управления комплексом ПВО;
Атаки на специальные сети извне.

Замечательная атака на электронные паспорта с RFID-чипами: авторы работы предлагают способ, позволяющий автомату узнавать заданный паспорт, отличая его от других. Работает всё благодаря уязвимости в протоколах, регламентирующих обмен данными между чипом в паспорте и считывающими устройствами. Атака подтверждает то, что разработчики постоянно наступают на одни и те же грабли годами.

В кратком изложении, суть такова. Для предотвращения повторной передачи перехваченных “радиозапросов” (а они – шифруются) в паспорт, каждое сообщение снабжается случайным идентификатором (всем известный nonce; решение вполне верное). Кроме того, каждое сообщение содержит другой идентификатор (MAC), который генерируется сеансово, на основе уникального “номера паспорта”. Детали не важны. Важны два момента: первый идентификатор привязан к конкретному сообщению, второй – привязан к конкретному паспорту. При этом всё шифруется, то есть, допустим, восстановить из перехваченной сессии ни то, ни другое – не реально.

Оказывается – и не нужно ничего восстанавливать, для успешного решения одной полезной злоумышленнику задачи. Дело в том, что при получении реплики (копии) перехваченного сообщения, чип паспорта по разному отвечает в следующих двух состояниях: “получен неверный идентификатор сообщения (nonce)” и “получен неверный MAC (читай – “номер паспорта”)”. При этом, как пишут, обрабатываются чипом обязательно оба случая. Отличия заключаются в разных кодах ошибок (для некоторых типов паспортов), возврашаемых чипом, и в разном времени, которое тратится на генерацию ответа (для всех исследованных типов паспортов). То есть, достаточно записать один запрос считывающего устройства к атакуемому паспорту, чтобы потом отличать этот паспорт от всех других – иначе говоря, не зная никаких ключей, построить устройство, срабатывающее только на определённый паспорт.

Как работает устройство? Очень просто: в адрес чипа паспорта передаётся записанный ранее легитимный запрос настоящего считывающего устройства (так как обмен происходит в радиоэфире, то скрытно записать запрос – не так уж сложно) и – анализируется ответ паспорта (измеряется время ответа, проверяется код ошибки, если он доступен). Думаю, дальнейшие шаги очевидны: если получается, что чипом паспорта получен некорректный MAC, то мы “разговариваем” с другим паспортом. Если выходит – что недопустимый (повтор) nonce, то, очевидно, это тот же паспорт, для которого записывался “перехват”.

Так вот, самое интересное, что аналогичные атаки известны во множестве, довольно давно, и в самых разных схемах. Наиболее характерный пример: отличающееся время ответа системы авторизации (например, на веб-сайте) в зависимости от того, был ли предложен существующий логин (имя пользователя). В этом случае, происхождение уязвимости, позволяющей атакующему проверять существование в системе произвольного логина, связано, скажем, с защитой от подбора паролей: предполагалось, что ответ о том, верный пароль или неверный – приходит с искусственной задержкой, ограничивающей сверху скорость перебора паролей взломщиком. Однако типичная реализация вводит такую задержку только для существующих логинов, если предложен несуществующий в системе логин, то он отвергается без задержки.

Ну и если взглянуть на ситуацию “в фундаментальном смысле”, то описанная атака – типичное использование “побочных явлений”, сопровождающих работу защищённой системы, для получения нужной информации (а кто-то ещё сомневается насчёт комплексов ПВО, что там такое возможно?).

(Лечение – понятное: ответы в подобной системе авторизации не должны иметь измеримых прослушивающим канал злоумышленником характеристик, которые строго коррелируют с внутренним состоянием системы.)

(via)

Аппаратные “закладки” – это такие элементы в микроэлектронных схемах, которые позволяют нештатно вмешиваться в работу вычислительной системы, например, выводить её из строя. То есть, активировал вредитель “закладку” – процессор сгорел, важное изделие неработоспособно. Я писал про такие “жучки” в давней заметке. Возможность наличия таких “закладок” – как раз является причиной для того, чтобы иметь собственный цикл производства микроэлектронных схем для военных применений.

Разовьём тему (направление развития, собственно, указано в упомянутой заметке). Вот, распространено мнение, что если вычислительная система, например, комплекса ПВО, “не подключена к другим сетям”, то активировать аппаратную закладку практически невозможно. Вообще, это довольно старая идея, являющаяся развитием взгляда продвинутого пользователя ПК: если компьютер к Интернету не подключен, то и вирус на него проникнуть не сможет (или что-то в подобном стиле). Действительно, на “изолированную систему” извне ничего попасть не может, а значит и закладку, как бы, не активировать. Однако в реальности всё по другому.

Судите сами. Обдумывая реальную ситуацию с комплексом ПВО (возьмём такой “аппарат” для примера) нужно иметь в виду, что это не изолированный ПК, а система, вполне себе работающая с данными, поступающими из внешнего мира. Конечно, так как система довольно сложная, многослойная, то фундаментальные свойства могут скрыться из области внимания. Тем не менее, комплекс ПВО – он просто в существенной мере управляется электромагнитными импульсами (если хотите – ЭМ-полями), поступающими извне. И важная часть этих импульсов – как раз поступает со стороны потенциального вредителя. Если эти импульсы строго игнорировать, не обрабатывать, то и комплекс оказывается бесполезен, по, думаю, понятным причинам. (Даже “отстройка от помех” – это тоже обработка принимаемых из эфира “чужих” сигналов, которые сперва нужно детектировать, “расфильтровать”, проанализировать; и только потом – не “обращать внимания”.) Так что “изолированные системы” – тут просто бесполезны.

Теперь взглянем на то, как разрабатывается специальное программное обеспечение для, гипотетически, комплекса ПВО. Программисты тут обучались по всем известным хорошим книгам (и это правильно, так как знание теории – основа всего в программировании). Для решения рутинных задач используются столь же “рутинные” алгоритмы.

Вот, например, есть такой фильтр Калмана, который даёт в руки разработчика системы наблюдения инструмент оценки вероятной траектории движения цели (если заданы некоторые ограничения на динамические характеристики движения цели). Программные реализации этого фильтра – давно и хорошо изучены, алгоритмы понятны. Фильтр широко используется на практике и для аналитика не будет архисложным предсказать в деталях, как именно данный фильтр реализован в конкретной вычислительной системе. Оказывается, это первый шаг к активации закладки, которая, понятно, встроена в аппаратуру комплекса ПВО (потому что микроэлектронные компоненты закупались “где-то не там”).

Теперь делаем второй шаг. Понятно, что у аналитика, нанятого вредителями, есть подробная документация, рассказывающая и о логике работы микроэлектронных устройств, которые установлены в атакуемом комплексе, и, что не менее важно, о логике работы “закладки”. Последняя, скажем, активируется после того, как микропроцессор-носитель прочитал из памяти (увидел “на шине”), некоторую ключевую последовательность байтов. Очевидно, что реализации фильтра Калмана как раз используют последовательности байтов (ну так этот фильтр программируют), которые напрямую связаны с наблюдаемыми параметрами движения цели. И вот эти параметры-то не менее прямым образом поступают из внешней среды, со стороны “потенциальных вредителей” – их принимает радар, наблюдающий цели.

Вопрос в том, насколько же реально для практики так сформировать передаваемые в сторону радара комплекса ПВО активные помехи, чтобы реализация фильтра Калмана, сопровождая ложную цель, наткнулась на ключевую последовательность байтов в памяти (куски которой, понятно, сформировали другие фрагменты кода и другие устройства, измеряющие скорость, “приводящие координаты” и т.п.). Учитывая, что можно помехопостановщиком быстро перебирать много вариантов, и атаковать не только фильтр Калмана (взятый здесь лишь в качестве утрированного примера), то благоприятный для вредителя исход атаки не кажется невероятным.

В СМИ сегодня пишут (вот, например, на “Ленте”), что “хакер взломал GSM”. Речь идёт о работе Карстена Нола (Karsten Nohl), а точнее, речь о завершении важного этапа работы. Подробности реального положения дел такие: атаки на алгоритм шифрования A5/1, используемый GSM для защиты переговоров в радиоэфире, известны уже лет десять. Правда, известны они были скорее в теории, а не на практике. Для получения доступного практичного механизма перехвата и дешифровки GSM-разговоров (SMS, конечно, тоже) в пассивном режиме не хватало предвычисленной базы данных (таблиц ключей), делающей возможным раскрытие произвольного ключа за разумное время.

Нол в 2008-2009 гг. создал проект по генерации нужных таблиц, предложив поучаствовать в создании распределённой вычислительной сети добровольцам. В итоге, сейчас нужные таблицы вычислены общими усилиями и, как утверждают, доступны в P2P-сетях. Тут нужно отметить, что полная “таблица ключей” для A5/1 – требует очень большого объёма для хранения, и огромного машинного времени для вычисления. Поэтому использовался отработанный на “взломах” хешированных (например, MD5) паролей метод: в БД сохранются не все возможные “ключевые варианты” (в таком случае, дискового пространства потребовалось бы слишком много), а лишь определённая их часть, представленная в виде “сжатой” структуры (так называемые rainbow tables), многократно ускоряющей перебор ключей. Это известный в криптологии подход, позволяющий найти “алгоритмический компромисс” между количеством вычислений и объёмом памяти. В данном случае подход, похоже, качественно реализовали на практике (что далеко не всегда удаётся).

Интересно, что для генерации таблиц ключей использовались системы с современными графическими ускорителями (3D-ускорители для игрушек), которые, как известно, позволяют многократно ускорить многие криптографические операции. Вот какая польза от компьютерных игр. (Между прочим, летом 2008-го года с помощью кластера из нескольких сотен Sony PlayStation исследователи реализовали на практике уязвимость в SSL, выпустив полностью валидный, но при этом поддельный SSL-сертификат.)

Кстати, имея соответствующее радиооборудование, получать ключи для дешифрования GSM-трафика можно было и раньше, в активном режиме, используя запрос к телефону с фиктивной базовой станции. Сейчас же речь идёт о быстром пассивном методе: записали трафик из эфира и за какие-то минуты (быстрее?) расшифровали, вычислив ключ.

Шумная история: “вдруг” выяснилось, что видеопотоки, транслируемые самыми разными штатовскими летательными аппаратами на землю – не шифруются, и, более того, не удостоверяются. Некая система ROVER, построенная, как говорят, на гражданских технологиях, массово установлена на самых разных военных самолётах (в том числе, на A-10 и т.п.) и беспилотниках.

Этот ROVER (там есть приёмники и передатчики) как раз используется для обеспечения канала загрузки видео в реальном времени. “Гражданские технологии” не используют криптографии – видео можно смотреть с помощью слегка модифицированного приёмника спутникового сигнала (гражданского, опять же). Хуже того, понятно, что если обладать более совершенным инструментарием, то, при определённых обстоятельствах, можно сигнал подменять.

Возможно, конечно, что журналисты преувеличивают, рисуют ситуацию в более страшных красках. Скорее всего, внедряя подобную систему, штатовские “ответственные лица” руководствовались не только соображениями “подешевле”, но и соображениями “попроще”: потому что система распределения ключей сильно усложнила бы использование полезного технологического решения. С ключами – нужен некий компетентный “шифровальщик”; в открытом варианте, без использования ключей – смотреть трансляцию, используя нехитрое оборудование, могут практически все, независимо от квалификации. Простые “автоматические” схемы с распределением ключей не слишком улучшают секретность: посмотрите, как обходятся подобные схемы в практике платного спутникового телевидения. (А вот удостоверять источник, кстати, можно было бы и в автоматическом режиме – там всё равно для проверки используются открытые ключи.)

Важный момент: наверняка расчёт делался на технологическое отставание противника, над территорией которого подобная технология используется – всё ж нужна “спутниковая тарелка”, ноутбук, специальная программа и умение всё это устанавливать.

Теперь, соответственно, выводы. Как-то в этом интернет-журнале публиковалось несколько заметок о возможностях технологически продвинутой стороны дистанционно вмешиваться во внутреннюю работу комплексов ПВО, ставя очень сложные “интеллектуальные” помехи его работе и даже перехватывая управление.

Собственно, одна из тех заметок рассказывала о сложных атаках-взломах, использующих побочные эффекты работы электронных систем, а другие о, например, “вторжениях” в системы управления и об автоматическом анализе внутренней работы комплекса ПВО. В комментариях читатели сильно сомневались, что рассуждения полностью применимы к практике военных систем – мол, там все каналы проектируются криптографически защищёнными и устойчивыми к атакам. Так вот реальность очередной раз показала, что даже в Штатах (а как ни крути – технологический лидер) – это далеко не так: каналы и архитектуру систем не делают стойкими, напротив, разработчики и функционеры-администраторы больше надеются на “технологический авось” и на то, что противник ничего не слышал, скажем, о спутниковых системах связи, да и ноутбуков у него нет.

В комментарии к цитате про ГЛОНАСС пишут, что, мол, точность работы в схеме GPS+ГЛОНАСС зависит от алгоритмов и стабильности сигналов ГЛОНАСС, так что необязательно на практике двойная система работает лучше. Это верное замечание.

Вообще, почти два года назад я упоминал о том, что лучшая помеха GPS – это интеллектуальная помеха с орбиты, транслируемая соответствующим спутником.

В большинстве своём приёмники GPS, особенно гражданские, они довольно “глупые” (в компьютерном смысле). Поясню. Существуют наземные комплексы – имитаторы сигналов GPS. С помощью таких комплексов удавалось на практике обманывать разнообразные системы безопасности, типа автомобильных устройств слежения. Этим системам подсовывали ложный сигнал GPS, который “был как настоящий”. Эффект, думаю, понятен: условно говоря, система слежения думает, что оборудованный этой системой грузовик, нагруженный ценностями, движется по дороге, в соответствии с маршрутом (и эти данные передаёт в “центр, на пульт”); на самом деле – грузовик давно стоит на обочине, на несколько километров в стороне от маршрута.

Такая помеха – она гораздо опаснее простого аналога, который, предположим, лишь забивает несущую частоту сигнала. Ведь простую помеху может обнаружить даже самый “глупый” приёмник. Потеряв сигнал GPS, такой приёмник поднимет, например, тревогу. А вот интеллектуальный уводящий сигнал определить гораздо сложнее. Это проблема. А если уводящий сигнал передаётся со спутника, то проблема ещё более усугубляется.

Корень неприятностей тут в том, что сигнал GPS не удостоверяется. Приемник должен верить тому, что слышит из эфира. Да, особо продвинутый приёмник может для проверки использовать данные от дополнительных навигационных систем и сенсоров, вычисляя физически невозможные ситуации – типа, грузовик движется с ускорением, а GPS передаёт, что координаты вообще не меняются (ну или ускорение там вычисляется другое). Но это всё полумеры, общую практическую ситуацию с GPS улучшающие слабо. (Положение дел, по понятным “общетеоретическим причинам”, сильно напоминает DNS и DNSSEC.)

Конечно, разработчики GPS давно в курсе проблем с аутентификацией сигнала системы на стороне приёмника. И как раз сейчас проводится обновление протоколов и отправка новых спутников на орбиту. Новые спутники будут генерировать сигнал по новым алгоритмам, содержащим некое подобие цифровой подписи. Конечно, актуально это прежде всего для военных применений GPS Штатами. Правильная схема использования GPS включает в себя механизмы распределения ключей (секретных, понятно): ключи загружаются в военные GPS-приёмники и позволяют последним выполнять аутентификацию принимаемых сигналов, эффективно обнаруживая и отсеивая не только примитивные пассивные помехи (с ними вообще проще), но и интеллектуальные активные “ложные сигналы”.