Взломы GSM: продолжение

В продолжение темы про взлом шифрования GSM хочется отметить несколько важных моментов – наверное, нужно было их включить в предыдущую заметку по теме, но там уже и места-то не было.

Во-первых, речь в исходной работе, действительно, шла только о демонстрации атаки на сам шифр, а не о полноценном перехвате GSM. Это важно, потому что разговор нужно ещё записать из эфира (что, впрочем, задача многократно реализованная – ведь, очевидно, сами операторы связи и телефонные аппараты её с лёгкостью решают).

Во-вторых, странно ожидать от операторов связи какой-то особенной реакции на очередную демонстрацию слабостей GSM в плане обеспечения секретности переговоров абонентов. Операторам действительно должно быть мало дела до секретности мобильных коммуникаций. Например, традиционная проводная телефония технически никак не защищена вообще – и что? Повышенная безопасность услуг связи обычных пользователей – никогда не была приоритетной задачей провайдеров связи (иначе они бы просто разорились на массовых услугах). Например, в случае с доступом к Интернету, провайдеры сколь-нибудь реально озаботились всякими ботнетами когда стали замечать ущерб для себя. При этом люди постоянно используют незащищённые каналы связи: вспомните Wi-Fi (который часто плохо настроен, открыт) и другие беспроводные технологии, нешифрованные сообщения e-mail, беседы “по аське” и тому подобные вещи. Так что проблема не в защите каналов, а в верном использовании этих каналов. И тут как раз начинается “в-третьих”.

Итак, в-третьих, проблемы как раз создаёт то, что каналы GSM иногда используют без дополнительной защиты в самых разных приложениях, требующих секретности связи (одноразовые пароли по SMS, связь платёжных терминалов, – даже банкоматов, – с процессинговым центром и тому подобные решения). Понятно, что все подобные решения должны исходить из открытости сетей связи, учитывать возможность перехвата и самостоятельно обеспечивать защиту по схеме “точка-точка”. И GSM тут не виноват. Скажем, для телефонии есть специальные криптофоны, или, на худой конец, какой-нибудь Skype+Интернет.

Кстати, в случае с Интернетом, ситуация ничуть не лучше: пароли постоянно пересылаются по электронной почте, на эту же почту завязываются “напоминалки” паролей, логины на сайты проходят через обычный http, или, хуже того, через простые гиперссылки “с ключами” (привет, “Мой Круг” “Яндекса”) и творятся ещё всякие неприятные штуки, разнообразие которых велико.

Адрес записки: https://dxdt.ru/2010/01/12/2885/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 9

  • 1. 12th January 2010, 10:19 // Читатель sarin написал:

    Я считаю что в вопросах информационной безопасности в данном контексте намного важнее быть информированным об уязвимостях используемых систем нежели использовать всегда стойкую систему связи. При этом (опять таки это моё мнение и только) оценку надёжности лучше проводить исходя не из конкретных взломов, а из эмпирической что-ли оценки стойкости. У меня телефон почему-то всегда ассоциировался с тем, что можно прослушать. И не у меня одного.

    Редкий наркоторговец, например, согласится обсуждать детали сделки по телефону. Помнится итальянская полиция жаловалась, что они, подонки, используют для связи скайп и из-за этого полицейские не в состоянии прослушать переговоры наркобаронов.

    С другой стороны прогресс в области взлома таких популярных систем как GSM (его же и раньше ломали, но как-то по другому, не через вскрытие шифра) может привести к уменьшению цены атаки до величины приемлемой для удовлетворения бытовой шпиономании (прослушать телефон жены, мужа или собаки).

    Полагаю в ближайшие годы место GSM-телефонов займут универсальные устройства вроде интернет-таблеток, а операторы будут обеспечивать лишь доступ в Интернет. Понятно что на такой таблетке заменить слабого клиента (например скайп к тому времени поломают) на стойкого не составит труда.

  • 2. 12th January 2010, 10:57 // Читатель wolf550e написал:

    Да, помню как однажды пытался объяснить большему интернет-магазину в рунете что хранить мой пароль, с помощью которого можно использовать мою кредитную карточку, клир-текстом это нехорошо (они на “я забыл свой пароль” посылают сам пароль на email).

  • 3. 12th January 2010, 14:44 // Читатель sarin написал:

    кажется я знаю что это за магазин :)

  • 4. 12th January 2010, 15:34 // Читатель sashket написал:

    > …а операторы будут обеспечивать лишь доступ в Интернет.

    Вряд ли ОПСОСы так просто откажутся от такого жирного куска пирога, как поминутная оплата разговоров и роуминг.

  • 5. 12th January 2010, 16:41 // Читатель wolf550e написал:

    RE: sashket. За это и идет борьба. Nexus One есть попытка Google отдавить telcos на предоставление дешевых data-only SIMs, превращая товар telco в fungible resource и заставляя конкурировать только по цене.

  • 6. 12th January 2010, 17:16 // Читатель Шурик написал:

    Извините, Александр, но эта заметка совершенно слаба, никчемна и необоснованна. В отличие от большинства предшествующих.

    Вы ли это?

  • 7. 12th January 2010, 17:18 // Читатель Шурик написал:

    Впрочем, судя по обилию откликов, тема горячая.
    Стало быть, “любыми средствами, во имя истины”?

  • 8. 12th January 2010, 18:35 // Читатель sarin написал:

    2 sashket
    ОПСОСов никто спрашивать не будет. либо они переориентируются на продажу интернета либо останутся без денег. что характерно: безлимитный интернет продают уже кажется все GSM-операторы. правда стоит он мама не горюй. кроме этого WiMAX неизбежен. повсеместный переход на использование Интернета для телефонной связи вопрос не двух-трёх лет. думаю семи-десяти в лучшем случае. что характерно, желающие могут полностью отказаться от использования GSM уже сейчас.

  • 9. 13th January 2010, 17:34 // Читатель Forever написал:

    Согласен. Постепенно gsm будет отмирать, впрочем как и 3g. Будущее за интеграцией всех видов связи в Интернет. И я думаю, что ОПСОСы понимают это лучше всех.