Comments 70
компании ничего не было известно о проникновении спецслужб в ее системы


Наивно хлопая глазами сказал он. Я думаю что он все-таки в курсе был, но никогда об этом не признается, а иначе на самом деле страшно становится от того, что те кто разрабатывают технологию и занимаются ее реализацией, даже не в курсе что их обокрали.
Разве менее страшно знать, что те кто разрабатывает в курсе что их обокрали и ничего для этого не делают?
Я вот чего не понимаю — что это за украденные шифры, используемые производителем, и зачем они вообще нужны?

Я-то думал, что все алгоритмы, прописанные в симках — общеизвестны, а ключи от них знает оператор связи.
UFO landed and left these words here
То есть производитель знает приватные ключи операторов связи?.. Или они общие для всех? Но в таком случае зачем вообще их воровать — достаточно прикинуться опсосом и купить их?
я так понимаю что приватный ключ характерен для конкретной сим карты, то есть купив партию вы получите только свои.
но было бы здорово узнать что это за ключ всё таки и для чего он используется
По-хорошему, «ключи оператора связи», а конкретнее — приватные ключи карт — не должен знать никто — включая и самого оператора. В этом сама суть асимметричной криптографии. Карта — криптопроцессор. Она может внутри «нагенерить» пару публичный-приватный ключ, публичный при запросе отдавать, а приватный — никогда никому не показывать, использовать только для подписи и расшифровки, а под пытками при атаке — съесть уничтожить. Предполагаю, что на этапе производства новые карты «просят» сгенерить пару ключей, после чего считывают получившиеся публичные, и передают заказчику с партией карт. Видимо, программная реализация всего этого в картах имеет изъян, позволяющий прочитать закрытые ключи.
Насколько я помню, там используется симметричная криптография и копия ключа хранится у оператора. Подозреваю, что сим-карта просто не потянет криптографию с открытым ключом. Да и для генерации хороших ключей внутри сим-карты нужен хороший источник случайных чисел, а ради одной генерации его никто делать не будет.
Хороший источник случайных чисел не так сложно сделать аппаратно.
Вы эта. Вообще соображаете о чём говорите? SIM карты появились в 1991м году. Вы вспомните те времена! Настольний комп с мегабайтом памяти — это уже было очень круто. 486е только-только появились. А главное — PGP только появилась, а Циммермана ещё даже в суд не успели за это утащить, любая криптуха приравнивается чуть ли не к ядерному оружию. Даже через несколько лет Netscape не мог просто так давать скачивать версию со 128-битным шифрованием, всем, кроме американцев, полагалась версия с 40-битным шифрованием, которое раскалывалось не то за минуты, не то за секунды.

Какие нафиг приватные ключи? Какие публичные ключи? Там и алгоритм-то изначально был дырявый — иначе его бы просто не позволили использовать. Потом, конечно, алгоритмы немного поменяли, но база… база осталась неизменной.
Могу предположить, что прошивка сим-карты должна быть подписана закрытым ключом производителя, а в сим-карте прописан открытый ключ. Таким образом воровство закрытого ключа позволяет прошивать любой телефон удалённо любой прошивкой. Пришла вам системная SMS, телефон её даже не отобразит, но в ней пришёл подписанный код прошивки, который телефон установит в свою сим-карту. А дальше сим-карта начнёт сливать нужные данные кому надо.
На хабре еще была такая статья
habrahabr.ru/post/187542/

Вопрос остался открытым, как понять насколько защищена конкретная сим карта.

Например не будет поддержки Java аплетов (Java Card), принципиально не будет одного из векторов атаки. Как определить такую карту при покупке?
Gemalto вообще-то – один из крупнейших поставщиков чипов для банковских карт. От них ключи тоже украли, но скромно молчат?
Насколько я понимаю, это касается только смартфонов и планшетов, простые мобильники в безопасности?
Ясно, спасибо.
Но мне все же непонятно, как именно через СМС можно установить программу на мобильник. Каков механизм?
Установить программу не на мобильник, а на SIM-карту, в которой крутится собственная Java-машина. Соответственно, «из первых рук» имеем содержимое всех SMS и звонков.
Не всех, а отправленных через GSM-сервисы. У меня больше половины звонков проходит не через GSM. Часть идёт через Мультифон Мегафона (российский номер), часть — через другие voip службы.
Не знаю насчёт SMS, но голосовые данные не проходят через SIM-карту. У неё просто мощности для этого не хватит, это вообще жутко тормозное поделие. Метаинформацию — да, слить, наверняка, могут.
Насколько старая? Я ни одной своей симки без него не помню (с самого начала 2000-х). Правда, в старых и памяти мало, не разгуляешься.
У меня в старой и контактов под 200 штук, и смсок 30 можно, а в новой 10 смсок (а контактов не помню сколько, но тоже меньше).
Спасибо всем за ответы.
Но ведь чтобы установить на сим-карту программу через СМС (которая, кстати, по умолчанию не больше 160 символов ) надо, чтобы на этой сим-карте уже было весьма специфичное приложение, которое обнаруживает в теле СМС программу, устанавливает и запускает ее. Т.е., надо, чтобы сим-карты еще перед продажей были соответствующим образом начинены.
надо, чтобы на этой сим-карте уже было весьма специфичное приложение


… или просто существовала уязвимость, которую можно найти и эксплуатировать.
Насколько я понимаю, речь идет о внутренностях SIM-карт — java-приложения, похоже, тоже оттуда же. Да, там внутри вполне полноценная система. То есть, на очень низком уровне, скрыто от пользователя и какого-либо контроля ОС смартфона, что-то там крутится, и вот туда спецслужбы, по крайней мере, АНБ, имеют доступ.
Неважно — смартфон или просто «трубка», шифр касается установки соединения и шифровки передачи данных/голоса.
К слову, примерно 3 месяца назад российский сотовый оператор МегаФон (по крайней мере, Столичный филиал) сменил поставщика SIM-карт как раз с Gemalto на ОРГА-Зеленоград.
О! Очередной вброс для истерии маглов.
Минусующие, налетай!
Наверное мало кто знает, но в России трафик GSM обычно не шифрован даже на убогом ключе A5. По крайней мере так было 5 лет назад, когда мне демонстрировали приборчик (инженеры сотового оператора), перехватывающий протокол. Законодательство РФ, запрещающее шифровать голосовой трафик не изменилось.
Хотя 100% не поручусь. Тему не мониторил.

Завод, выпускающий карты для заказчика (банковские или SIM) обычно получает ключи от заказчика (или наоборот, но это не принципиально). И они загружаются сразу в HSM. Ни одна процедура не подразумевает появления ключей в открытом виде (кроме как на бумажных компонентах, уничтожаемых сразу после ввода в HSM, если не используются схемы с ассиметричными транспортными ключами).
Ключи у операторов хранятся с гораздо большей безалаберностью чем на заводе, занимающемся выпуском карт.
На заводах GemAlto (на которых я был), очень строго с безопасностью.

Разрекламированный взлом A5 требует наличия самой SIM карты и в 20% случаях приводит к ее сдыханию (количество обращений за ключом ограничено). Хотя да… A5 взламывается не bruteforce атакой, но все равно не так просто, как об этом пишут.

Уязвимость SIM Java карт через OTA — вообще бред. Приложение SimToolkit активируется, если явно выбрать его функционал на телефоне (попробуйте найти его в современном смартфоне… хотя на всех картах MTC оно есть).
И вообще, оно работает по строго ограниченному протоколу (показать что то на экране, послать SMS п т.п.). Древняя и уже морально устаревшая технология.
Да и 3DES ключи для формирования канала OTA — вообще то принадлежат оператору. Зачем оператору заниматься атаками для получения вашего A5 ключа и пр. данных SIM карты, которые он и так знает? (а больше ничего и не получить).

Особенно умиляет упоминание уязвимости DES, при том что DES на 56 битных ключах давно никто не использует. Стандарт для Java card — doubleDES(56*2). Что исключает bruteforce атаку (есть расчеты на энергетических затратах).

А если судить по бреду, с вкраплениями верной информации, в статьях, на которые есть ссылки на этой странице, то и в этом случае журналисты «слышали звон»…

Конечно SIM карты делают, обычно по более упрощенной технологии, чем банковские карты, но эта тема отдельная…
Ну вы ещё скажите, что Карстен Ноль бред говорит.

И да, а как же доступ в роуминге, когда зарубежный оператор запрашивает ключ шифрования для нужной симки? Получается, что ключи таки покидают HSM?
«Мы можем дистанционно (через SMS) установить программу на мобильный телефон жертвы, причем эта программа будет работать полностью независимо от телефона. Мы можем шпионить за вами. Можем добыть ваши криптоключи, используемые для шифрования телефонных звонков. Мы можем читать ваши SMS. Помимо же просто шпионажа, мы (так же через SMS) можем похищать из SIM-карты телефона критично важные данные о владельце — вашу мобильную личность — и снимать деньги с вашего счета».


Это — пафосный бред расчитанный на журналистов и дилетантов. Либо вольный пересказ журналиста, того что он от него услышал.
Что не утверждение в этой цитате — то лож.
Стандарты (OTA, GSM SimToolkit и прочие GSM стандарты, определяющие что хранится на SIM карте) открытые и легкодоступные. Можно прочитать и убедится что это пафосный бред.
Что такое приложение на SIM карте я прекрасно знаю (разрабатывал их).

Про реверс инженеринг, который он якобы сделал по Mifare и GSM A5. Может быть..., но более вероятно утечка.
«Что знают двое — то знает и свинья».
Mifare карты китайского noname производства с возможностью заказа любого SN или вообще с динамическим прошиваемым SN появились еще в 2007 году. К NXP (Siеmens в девичестве) эти чипы никакого отношения не имели. Так что информация о Mifare алгоритмах утекла раньше…

Даже A5 предполагает работу с сессионным ключом. Это стандартная практика, когда мастер ключ из HSM наружу не выходит, а выдается в открытом виде сессионный ключ.
Хотя не удивлюсь, что у каких то операторов и software реализации с хранением мастер ключей в открытом виде.
Что бы не было недоразумений, разберу цитату Карстен Ноль по фразам:

Мы можем дистанционно (через SMS) установить программу на мобильный телефон жертвы, причем эта программа будет работать полностью независимо от телефона.

Апплет устанавливается на SIM карту через OTA, а не телефон и этот апплет полностью пассивен, пока к нему телефон не обратится по протоколу SIMToolkit. А протокол весьма ограничен.
Так что врет.

Мы можем шпионить за вами.

Слушая RF и/или притворяясь базовой станцией — без проблем. В общем случае не врет, но в статье речь идет о другом.

Можем добыть ваши криптоключи, используемые для шифрования телефонных звонков.

Ага. если получить физический доступ к карте минут на 20. Пробовал гонять эту программку. Да и исходники где A5 то валяются. Только лишнее это все. Идешь в офис MTC и говоришь, что потерял/сломал карту. За мелкую взятку сотрудника офиса дают новую карту без паспорта.
Не доверяйте банк клиентам и пр. критичным вещам где аутентификация выполняется на основе SMS.
Так что с одной стороны не врет, но способ уж очень сомнительный.

Мы можем читать ваши SMS. Помимо же просто шпионажа, мы (так же через SMS)

Здесь не врет… без проблем. Трафик вскрывается быстро.

можем похищать из SIM-карты телефона критично важные данные о владельце — вашу мобильную личность — и снимать деньги с вашего счета

В общем случае врет (если аутентификация не на SMS).
Покажите мне хоть одну программу, общающуюся с сервером (интернет) по открытому протоколу. Как минимум SSL прикручивают.
этот апплет полностью пассивен, пока к нему телефон не обратится по протоколу SIMToolkit

Насколько я помню, с апплетом можно общаться специально сформированными SMS сообщениями.
SMS получает все же телефон, передавая потом его приложению в команде:
public void processToolkit(byte event) {

if (event == EVENT_FORMATTED_SMS_PP_ENV) {
execInputSMS();
}
if (event == EVENT_MENU_SELECTION) {


Кусок кода для иллюстрации. И ничего более чем позволяет протокол, приложение в ответ не вернет.
Так что говорить о самостоятельно работающем приложении с потенциально деструктивным кодом на SIM карте — не корректно. Ничего особо деструктивного оно в принципе сделать не может
А много он не позволяет.
Телефон получает SMS сообщение и передает его приложению на SIM карте. При этом без каких-либо оповещений пользователя. Приложение на SIM-карте по команде, содержащейся в SMS сообщении, может отправить список контактов, например, или, если мне не изменяет память, GPS координаты и номера базовых станций.
Если мы говорим о STK GSM 11.14, то там такой функционал не предусмотрен.

А карты, USIM — это, на мой взгляд, экзотика.

Видел и работал с ними только в виде семплов. И то это были экзотические карты c NFC (Mifare) и подключением антенны в задней крышке телефона. Для проекта «помахать флагом» — транспортные карты.

Полез в спецификацию. Вот, что потенциально опасного может делать SIM c STK GSM 11.14:
— отправлять sms и ussd сообщения
— звонить
— управлять входящими и исходящими звонками
— взаимодействовать с пользователем
— блокировать SIM
— получать информацию: the mobile country code (MCC), mobile network code (MNC), location area code (LAC) and cell ID, IMEI.
Все правильно.
Но лично я не считаю, что здесь есть какие то уязвимости.

И, к слову, послать SMS-PP апплету, без не будучи оператором или доверенной организацией, которой оператор дал канал для этого — фактически невозможно.
А для оператора это не нужно.
не будучи оператором или доверенной организацией

Или тем, кто знает секретный ключ, про что, собственно, и пост.
Сразу добавлю, что с под USIM Application Toolkit приложения не писал и сходу, без заглядывания в спеку ничего про них не скажу.

Но в любом случае. Загрузка приложений — это оператор. Сессионный ключ OTA — это double DES. ПО платформы OTA стоит у оператора и без интрудера (внутри компании) просто так апплет не послать. Есть более простые и дешевые способы украсть данные…
Во время московских терактов (на Дубровке, в метро), телефоны показывали иконку «открытый замок» — знак того, что сигнал не шифруется. В мирное время этого замка не было. Если «в России трафик GSM обычно не шифрован даже на убогом ключе A5», то что тогда означало наличие/отсутствие этой иконки?
Честно — не разбирался и не задумывался.
Сказали когда то давно сервисные инженеры (был проект по банковскому приложению на SIM карте), что не шифруется — вот и запомнил.

Да и какая мне персонально разница.
Большой брат все равно слушает штатно (законодательно установлено) прямо у GSM оператора.

То что телефон показывает режим шифрования — интересно. Не знал и не интересовался о такой возможности.
Ну Большой Брат — да слушает штатно. Но, как насчёт того, что на Ваш телефон может получить доступ не только он?
Кстати, а где этот значок на android?
Сходу информацию не нашел. Если знаете — подскажите, pls.
Я никогда его не видел на Андроиде, в то время у меня были более простые телефоны.

Сейчас нашёл вот такой баг: code.google.com/p/android/issues/detail?id=5353 — из него следует, что Андроид сейчас этого в принципе не умеет.
В общем то это и не принципиально. Сессионный ключ A5 (голосовой и SMS трафик) взламывается в пределах 5 минут. Ток что вся разница — в режиме реального времени или с задержкой.

У меня значке был, а еще писалось что типа, бла бла, соединение не шифровано, тоже замочек, тогда у меня был с 2.1
Но какая ценная информация хранится на СИМ карте? Ключи криптографии голосового трафика? Но его могут слушать и так (СОРМ). Деньги? Я доверяю NSA достаточно, чтобы верить, что они не будут отправлять платные SMS'ки с моего номера.

Трекинг по базовым станциям? Ок, у опсоса эти данные и так есть.

Вот установка приложений за пределы карты посредстом атаки на хост систему — это уже серьёзно.
Вот установка приложений за пределы карты посредстом атаки на хост систему — это уже серьёзно.
Однако крайне маловероятно. Протокол общения между SIM-картой и телефоном достаточно простой и жёсткий. Засунуть туда программу, которая поймёт какой и вас телефон и какая в нём прошивка сложно. Да и зачем? В любом телефоне есть здоровый кусок кода, который и так слушает эфир всё время, никому не подконтролен и может делать с телефоном что угодно — радиомодем. Его наверняка проще взломать, что вырезать гланды автогеном через жопу… пардон, взламывать хост-систему через «бутылочное горлышко» интерфейса между SIM-картой и хост-системой.
Но его могут слушать и так (СОРМ).
Тут предполагается, что российские (пакистанские, афганские и другие интересные США) спецслужбы и операторы связи не дадут просто так доступ АНБ до СОРМ или аналогов.
Забавно получается.
Если бы то же самое сделали хакеры — величайший взлом в истории, заведено куча уголовных дел, поиск подозреваемых и т.д.
Сделали спецслужбы — вот блин, опять они отличились, ну что поделать.
И все.
Ну, может конгресс пальчиком помахает.
Почему международные суды не возбуждают дела по таким случаям?
возможно украли ключи от Gemalto ROOT CA, но это тоже не так много возможностей дает.
OTA ключи и Ki для сим карт случайные и никакого алгоритма их генерации не существует.
и чего люди бояться — не очень понятно?
Никому не показалось странным, что все эти данные хранились в Gemalto? Их же после производства карт спокойно можно было передать заказчику и удалить. Если они хранились, то с какой-то целью (это же надо инфраструктуру поддерживать, добавлять новые данные в базу и т.п.). Backup? Но это уже карта заказчика, т.е. копия чужих данных. Скорее похоже на то, что эти данные выдавались/продавались по требованию и кто-то не захотел платить потому что смог взять всё.
Думаю так сильно беспокоиться не стоит. Насколько понимаю, этим ключем шифруется только трафик с ближайшей БС, а от БС либо другим ключем (оператора), либо вообще без шифрования (типа зачем шифрование в своей инфраструктуре).
Если бы за худший топик месяца и худшие комментарии давали бы награды, они точно вместе отображались бы на этой странице. Автор вместо краткого пересказа по делу цитирует… ТАСС (даже не смешно), для красоты половину статьи посвятив другой, не имеющей отношения к делу атаке, оригинала он не то что не читал, но даже и ссылку не озаботился найти и поставить, комментаторы статью в «Intercept» тоже не осилили и занимаются гаданием на кофейной гуще.

Ключи перехватывались как раз в промежутке между записью на сим-карты и передачей данных и сим-карт сотовым операторам вследствие тотального контроля систем сотрудников фирмы и методов обмена информацией с клиентами. Можно ещё вспомнить/предположить, что и сами провайдеры являются предметом интереса NSA, и что кража ключей из их инфраструктуры тоже вполне возможна. А из-за отсутствия PFS в стандартах шифрования сотовых сигналов их можно записать как есть, потом, не торопясь, через несколько месяцев получить доступ к ключам, и без проблем расшифровать. И зачем только у них такой большой датацентр, да?

Проблема тут не столько в перехвате данных с сотовых — для этого кто-то всё же должен их записать, находясь относительно близко с приёмником (хотя массовость кражи такого уровня позволяет поставить его в центре крупного города и писать всё, что можно, расшифровывая доступное для расшифровки и вычленяя интересное; кроме того, можно предположить, что не только они этим интересуются, и что лет через десять, грубо говоря, «базы ключей по Москве» будут продавать на дисках в переходе). Особо отмечается, что заражались вирусами и подвергались наблюдению заведомо ни в чём не виновные граждане других стран, что (в который раз) прямо противоречит заявлениям государственных деятелей и структур.

И это всё было в 2010, за пять лет можно ещё много интересного придумать.
О какой статье в Intercept идет речь? Тут даже ссылки на нее нет.

Но за комментарий спасибо. Наконец-то хоть кто-то объяснил, что вообще произошло.
Only those users with full accounts are able to leave comments. Log in, please.