保密多年的代碼暴露了其缺陷——后門

多年來,銷售該技術的供應商都知道該后門,但客戶不一定知道,該后門存在于關鍵基礎設施中用于商業(yè)用途的無線電中的加密算法中。它用于在管道、鐵路、電網、公共交通和貨運列車中傳輸加密數據和命令。

1.png

本文來自微信公眾號“網絡研究院”。

對于超過25年來,一項用于世界各地關鍵數據和語音無線電通信的技術一直處于保密狀態(tài),以防止任何人仔細檢查其安全屬性是否存在漏洞。但現在,由于荷蘭的一小群研究人員深入了解了它的內部結構并發(fā)現了嚴重缺陷,包括故意的后門,它終于得以公開亮相。

多年來,銷售該技術的供應商都知道該后門,但客戶不一定知道,該后門存在于關鍵基礎設施中用于商業(yè)用途的無線電中的加密算法中。它用于在管道、鐵路、電網、公共交通和貨運列車中傳輸加密數據和命令。它將允許某人窺探通信以了解系統如何工作,然后可能向無線電發(fā)送命令,從而可能觸發(fā)停電、停止天然氣管道流動或改變火車路線。

研究人員在同一無線電技術的不同部分發(fā)現了第二個漏洞,該技術用于專門出售給警察部隊、監(jiān)獄人員、軍隊、情報機構和緊急服務部門的更專業(yè)的系統,例如荷蘭警察、消防隊、救護車服務和國防部用于關鍵任務語音和數據通信的C2000通信系統。該缺陷可能會讓某人解密加密的語音和數據通信,并發(fā)送欺詐性消息,以傳播錯誤信息或在關鍵時刻重定向人員和部隊。

三名荷蘭安全分析師在名為TETRA(地面集群無線電)的歐洲無線電標準中發(fā)現了漏洞(總共五個),該標準用于摩托羅拉、達姆、海能達等公司生產的無線電。該標準自20世紀90年代以來一直在無線電中使用,但由于TETRA中使用的加密算法迄今為止一直保密,因此缺陷仍然未知。

該技術在美國并未廣泛使用,美國更普遍部署其他無線電標準。但是安培工業(yè)安全公司的顧問卡萊布·馬西斯(Caleb Mathis)進行了開源研究,發(fā)現的合同、新聞稿和其他文件顯示,美國至少有兩打關鍵基礎設施使用了基于TETRA的無線電。

由于TETRA嵌入在通過經銷商和PowerTrunk等系統集成商提供的無線電中,因此很難確定誰可能在使用它們以及使用它們的用途。但馬西斯幫助確定了幾家電力公司、一家州邊境管制機構、一家煉油廠、化工廠、東海岸的一個主要公共交通系統、三個使用這些系統在安全和地勤人員之間進行通信的國際機場,以及一個美國陸軍訓練基地。

荷蘭Midnight Blue的Carlo Meijer、Wouter Bokslag和Jos Wetzels于2021年發(fā)現了TETRA漏洞(他們稱之為TETRA:Burst),但同意在無線電制造商能夠創(chuàng)建補丁和緩解措施之前不公開披露這些漏洞。然而,并非所有問題都可以通過補丁解決,并且尚不清楚哪些制造商已為客戶準備了補丁。

荷蘭國家網絡安全中心負責向世界各地的無線電供應商和計算機應急響應小組通報這些問題,并協調研究人員公開披露這些問題的時間表。

在一封簡短的電子郵件中,NCSC發(fā)言人稱TETRA是“荷蘭和世界各地關鍵任務通信的重要基礎”,并強調此類通信需要始終可靠和安全,尤其是在危機情況下。她證實這些漏洞會讓受影響無線電設備附近的攻擊者“攔截、操縱或干擾”通信,并表示NCSC已通知多個組織和政府,包括德國、丹麥、比利時和英國,建議他們如何進行操作。國土安全部網絡安全和基礎設施安全局發(fā)言人表示,他們已經意識到這些漏洞,但不會進一步置評。

研究人員表示,任何使用無線電技術的人都應該咨詢制造商,以確定他們的設備是否使用TETRA以及可以采取哪些修復或緩解措施。

研究人員計劃下個月在拉斯維加斯舉行的BlackHat安全會議上展示他們的發(fā)現,屆時他們將發(fā)布詳細的技術分析以及迄今為止尚未向公眾公開的秘密TETRA加密算法。他們希望其他有更多專業(yè)知識的人能夠深入研究算法,看看是否能發(fā)現其他問題。

TETRA是由歐洲電信標準協會(ETSI)在90年代開發(fā)的。該標準包括四種加密算法:TEA1、TEA2、TEA3和TEA4,無線電制造商可以根據其預期用途和客戶在不同產品中使用這些算法。TEA1用于商業(yè)用途;不過,根據ETSI文件,對于歐洲和世界其他地區(qū)關鍵基礎設施中使用的無線電,它也設計供公共安全機構和軍隊使用,研究人員發(fā)現警察機構也在使用它。

TEA2在歐洲僅限警察、緊急服務部門、軍隊和情報機構使用。TEA3適用于歐洲以外的警察和緊急服務,在墨西哥和印度等被視為對歐盟“友好”的國家;那些不被視為友好的國家(例如伊朗)只能選擇使用TEA1。研究人員表示,另一種商業(yè)算法TEA4幾乎沒有被使用。

研究人員在進行開源研究后發(fā)現,除美國外,世界各地絕大多數警察部隊都使用基于TETRA的無線電技術。比利時、斯堪的納維亞國家、塞爾維亞、摩爾多瓦、保加利亞和馬其頓等東歐國家以及伊朗、伊拉克、黎巴嫩和敘利亞等中東國家的警察部隊都在使用TETRA。

此外,保加利亞、哈薩克斯坦和敘利亞的國防部也使用它。波蘭軍事反情報機構、芬蘭國防軍、黎巴嫩和沙特阿拉伯情報部門都使用它。

美國和其他國家的關鍵基礎設施使用TETRA在SCADA和其他工業(yè)控制系統設置中進行機器對機器通信,特別是在可能無法使用有線和蜂窩通信的廣泛分布的管道、鐵路和電網中。

盡管該標準本身可供公開審查,但加密算法僅在簽署保密協議后才可供受信任方(例如無線電制造商)使用。供應商必須在其產品中加入保護措施,以使任何人都難以提取算法并對其進行分析。

為了獲得這些算法,研究人員購買了現成的摩托羅拉MTM5400無線電,并花了四個月的時間從無線電固件的安全區(qū)域中定位并提取算法。他們不得不使用一些零日漏洞來破壞摩托羅拉的保護措施,并報告給摩托羅拉進行修復。一旦他們對算法進行逆向工程,他們發(fā)現的第一個漏洞就是TEA1中的后門。

研究人員表示,所有四種TETRA加密算法都使用80位密鑰,即使在發(fā)布二十多年后,仍然提供足夠的安全性來防止有人破解它們。但TEA1有一個功能,可以將其密鑰減少到僅32位,即不到密鑰長度的一半。研究人員能夠使用標準筆記本電腦和四個密文在不到一分鐘的時間內破解它。

負責TETRA標準的ETSI技術機構主席反對稱其為后門。他說,當他們開發(fā)該標準時,他們需要一種商業(yè)用途的算法,可以滿足在歐洲以外使用的出口要求,并且在1995年,32位密鑰仍然可以提供安全性,盡管他承認,以今天的計算能力,情況并非如此。

約翰·霍普金斯大學密碼學家兼教授馬修·格林(Matthew Green)稱密鑰被削弱是一場“災難”。我不會說這相當于不使用加密,但這真的非常糟糕。

德國波鴻魯爾大學安全研究團隊CASA的計算機科學和密碼學家教授Gregor Leander表示,關鍵基礎設施使用TEA1是“愚蠢的”,尤其是在不添加端到端加密的情況下,沒有人應該依賴這個。

任何人對后門所能做的最多的事情就是解密和竊聽數據和對話。TETRA具有強大的身份驗證功能,可以防止任何人注入虛假通信。

這不是真的,TETRA僅要求設備向網絡驗證自身身份,但無線電之間的數據和語音通信不需要數字簽名或以其他方式進行身份驗證。無線電和基站相信任何具有正確加密密鑰的設備都經過身份驗證,因此可以像研究人員那樣破解密鑰的人可以用它加密自己的消息并將其發(fā)送到基站和其他無線電。

雖然TEA1的弱點并未向公眾公開,但它顯然在業(yè)界和政府中廣為人知。在2006年泄露給維基解密的美國國務院電報中,美國駐羅馬大使館描述了一家意大利無線電制造商詢問向伊朗市政警察部隊出口TETRA無線電系統的情況。美國拒絕了該計劃,因此該公司代表提醒美國,他們計劃向伊朗出售的基于TETRA的無線電系統的加密“少于40位”,這意味著美國不應該反對出售,因為該系統沒有使用強密鑰。

研究人員發(fā)現的第二個主要漏洞并不存在于其中一個秘密算法中,但它影響了所有算法。問題在于標準本身以及TETRA如何處理時間同步和密鑰流生成。

當TETRA無線電與基站聯系時,它們會啟動時間同步的通信。網絡廣播時間,無線電確定時間同步。然后,它們都生成相同的密鑰流,該密鑰流與該時間戳綁定,以加密后續(xù)通信。

問題在于網絡以未經身份驗證和未加密的數據包廣播時間。

因此,攻擊者可以使用簡單的設備來攔截和收集無線電和基站之間傳遞的加密通信,同時記錄發(fā)起通信的時間戳。然后,他可以使用惡意基站聯系同一無線電或同一網絡中的不同無線電,并廣播與截獲的通信相關的時間相匹配的時間。無線電是愚蠢的,它認為正確的時間就是基站所說的時間。因此它將生成當時用于加密攻擊者收集的通信的密鑰流。攻擊者恢復該密鑰流并可以使用它來解密之前收集的通信。

為了注入虛假消息,他會使用基站告訴收音機時間是明天中午,并要求收音機生成與未來時間相關的密鑰流。一旦攻擊者擁有它,他就可以使用密鑰流來加密他的惡意消息,并在第二天中午使用當時正確的密鑰流將它們發(fā)送到目標無線電。

墨西哥販毒集團可以利用這一點攔截警方通訊,竊聽調查和行動,或者通過向無線電發(fā)送虛假信息來欺騙警方。攻擊者需要靠近目標無線電,但接近程度僅取決于惡意基站信號的強度和地形。

你可以在幾十米的距離內做到這一點,建造這個惡意基站的成本不超過5000美元。

ETSI的Murgatroyd淡化了此次攻擊,稱TETRA強大的身份驗證要求將阻止未經身份驗證的基站注入消息。TETRA只要求設備向網絡進行身份驗證,而不是相互進行身份驗證。

研究人員沒有發(fā)現歐洲警察、軍隊和緊急服務部門使用的TEA2算法有任何弱點,但他們最初認為他們在TEA3中發(fā)現了另一個后門。鑒于TEA3是TEA2的可導出版本,有充分的理由相信它也可能有后門來滿足導出要求。

他們認為他們在算法中使用的替換盒(S-box)中發(fā)現了一些可疑的東西,其中包含一個他們所說的“永遠不會出現在嚴肅的密碼學中”的不良屬性。研究人員沒有足夠的技能來檢查它以確定它是否可被利用。但利安德的團隊確實對其進行了檢查,但他說事實并非如此。

在許多密碼中,如果你使用這樣的盒子,它會非常嚴重地破解密碼,但從TEA3中使用它的方式來看,我們看不出這是可利用的。這并不意味著其他人可能找不到其中的內容,但如果這導致了實際的攻擊,會感到非常驚訝。

關于研究人員發(fā)現的其他問題的修復,Murgatroyd表示ETSI在去年10月發(fā)布的修訂版TETRA標準中修復了密鑰流/時間戳問題,并且他們創(chuàng)建了三種額外的算法供供應商使用,其中包括一種替代TEA1的算法。供應商已經創(chuàng)建了修復密鑰流/時間戳問題的固件更新。但TEA1的問題無法通過更新解決。

唯一的解決方案是使用另一種算法(切換起來并不容易),或者在TETRA之上添加端到端加密,這是不切實際的。它非常昂貴,因為加密必須應用于每臺設備,需要一些停機時間來進行升級,這對于關鍵基礎設施來說并不總是可行,并且可能會產生與其他組件的不兼容問題。

至于要求他們的供應商將TEA1換成一種旨在取代它的新算法,這也是有問題的,因為ETSI計劃像其他算法一樣對這些算法保密,要求用戶再次相信這些算法沒有嚴重的弱點。

研究人員不知道他們發(fā)現的漏洞是否正在被積極利用。但他們確實在愛德華·斯諾登泄密事件中發(fā)現了證據,表明美國國家安全局(NSA)和英國GCHQ情報機構過去曾針對TETRA進行過竊聽。

一份文件討論了美國國家安全局和澳大利亞信號局在2007年巴厘島舉行的氣候變化會議期間收集馬來西亞警方通訊的項目,并提到他們獲得了一些有關印度尼西亞安全部隊通訊的TETRA信息。

斯諾登的另一份泄密內容描述了英國政府通信總部GCHQ(可能是在NSA的協助下)2010年在阿根廷收集TETRA通信的情況,當時阿根廷與英國因??颂m群島沿岸深海油田的石油勘探權問題而關系緊張。它描述了收集阿根廷高優(yōu)先級軍事和領導層通信的行動,并揭示了該項目成功收集了TETRA。

這并不表明他們利用了我們發(fā)現的這些漏洞,但它確實表明……即使在2000年代初,國家資助的參與者也在積極研究和收集這些TETRA網絡。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論