Сетевая архитектура LTE
На прошедшей конференции по безопасности сетей и распределённых систем в Сан-Диего NDSS 2018 было немало интересного, но самое большое внимание привлёк доклад американских исследователей из Университета Айовы и Университета Пердью по уязвимостям в сетях связи четвёртого поколения (4G): LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE (pdf). Такое внимание объяснимо, учитывая широкую распространённость сетей 4G LTE.
Исследователи сосредоточились на анализе трёх критических процедур, которые используются в протоколе:
- Attach — процедура, которая связывает абонентское устройство с сетью (например, при включении телефона).
- Detach — осуществляется при выключении устройства или отключении сети (например из-за плохого качества сигнала или если телефон не может пройти проверку подлинности в сети).
- Paging — этот протокол является частью установки вызова, чтобы форсировать на устройстве повторный приём системной информации, а также сообщений экстренного характера.
Процедуры attach, paging и detach
Данные процедуры критически важны для надёжного функционирования остальных. Например, без корректного выполнения процедуры Attach не работает вся последующая цепочка безопасности и возникают серьёзные последствия вроде атак MiTM.
Для тестирования сетей LTE исследователи создали инструмент под названием LTEInspector, который запустили в релевантной модели (код на GitHub).
Архитектура LTEInspector
Уязвимости найдены в модели упрощённой экосистемы LTE после проверки 14 свойств протокола, согласно стандартам. Хотя модель абстрактная и упрощённая, но исследователи проверили, что большинство новых атак (8 из 10) реализуемы на практике с SIM-картами американских операторов связи. Такие атаки обойдутся относительно недорого (стоимость оборудования от $1300 до $3900), если пренебречь юридическими последствиями. В большинстве случаев подобное тестирование в реальных условиях станет нарушением законодательства.
Модель упрощённой экосистемы LTE
По итогам тестирования с помощью LTEInspector удалось обнаружить новые уязвимости, которые можно использовать для проведения 10 новых атак. Особняком среди них стоит атака с передачей аутентификации (authentication relay attack), которая позволяет злоумышленнику подключиться к основным сетям, выдав свой терминал за устройство жертвы. Таким способом можно подменить координаты регистрации устройства в сети — например, это можно использовать для создания «фальшивого алиби» или, наоборот, сфабриковать улики при расследовании уголовного преступления. Если телефон жертвы в момент преступления находился в районе места преступления, то эта информация станет известна следственным органам — и невиновный человек может попасть под подозрение.
Другие варианты использования обнаруженных уязвимостей — получение примерной информации о реальном местонахождении пользователя, атаки типа «отказ в обслуживании» (DoS), внедрение в paging-канал оператора. В последнем случае можно не только заблокировать получение жертвой звонков или SMS, но и передать ему сфабрикованное «экстренное» сообщение по служебным каналам сотовой связи.
Например, атака с передачей аутентификации относится к классу атак против процедуры attach (атака A-4 в таблице внизу). Здесь злоумышленник должен установить промежуточный узел сотовой связи (eNodeB) и знать IMSI устройства жертвы. Для корректной работы фальшивого узла сотовой связи нужно предварительно подключиться к сети оператора с его SIM-картой и узнать параметры, которые оператор передаёт в сообщениях
system_info_block. Для перехвата и прослушки входящих и исходящих сообщений LTE используется сниффер и программа QXDM (Qualcomm Extensible Diagnostic-Monitor). Перехватываются следующие параметры конфигурации из сообщений system_info_block оператора: band, dl_earfcn, mcc, mnc, p0_nominal_pucch, p0_nominal_pusch, q_rx_lev_min, q_hyst, DRX cycle.Номер IMSI абонентского устройства злоумышленник может узнать, когда оно подключиться к его узлу eNodeB. Тогда на устройство отправляется запрос
identity_request — и приходит ответ identity_response.
Атака с передачей аутентификации
Это самая «дорогая» атака, потому что для её валидации требуется установка сразу трёх устройств USRP стоимостью около $1300 каждое. Это необходимо, чтобы поднять собственную фиктивную сеть, аналогичную настоящей сети оператора, и осуществлять валидацию в ней, не нарушая закон.
USRP — периферийная аппаратная платформа для программно-определяемой радиосистемы (SDR). В полевых испытаниях исследователи использовали плату USRP B210 ($1315) с программой srsUE, которая входит в состав srsLTE (исходный код открыт в репозитории на GitHub).
В таблице перечислены все новые атаки, обнаруженные в ходе исследования. Семь из них полностью подтверждены на практике, одна частично (P-4), а две не подтверждены (P-3 и P-5). Стоимость валидации атаки варьируется от $1300 до $3900, в зависимости от количества необходимых плат USRP. Фактически, это максимальная стоимость оборудования для атаки, если не считать стоимости оконечного устройства (UE). В реальности USRP можно найти дешевле, а в некоторых случаях для реальной атаки не нужно столько USRP, как для её валидации.
| ID | Название атаки | Условия | Стандарт/субъект | Следствия |
|---|---|---|---|---|
| A-1 | Ошибка синхронизации аутентификации | Известный IMSI, вредоносное UE | 3GPP | Отказ в подключении, отказ в сервисе |
| A-2 | Отслеживаемость | Валидная команда security_mode, вредоносный eNodeB | Сети операторов, мобильные устройства | Примерная информация о местоположении |
| A-3 | Отключение через auth_reject | вредоносный eNodeB | 3GPP | Отказ во всех сотовых сервисах |
| A-4 | Передача аутентификации | Известный IMSI, вредоносный eNodeB | 3GPP, сети операторов | Чтение входящих/исходящих сообщений жертвы, скрытное отключение всех или определённых сервисов, подмена истории местоположений |
| P-1 | Захват канала paging | Известный IMSI, вредоносный eNodeB | 3GPP | Скрытное отключение входящих сервисов |
| P-2 | Незаметный сброс | Известный IMSI, вредоносный eNodeB | 3GPP | Незаметное для жертвы отключение от сети |
| P-3 | Паника | Вредоносный eNodeB | 3GPP | Массовая рассылка экстренных предупреждений об угрозе жизни: например, искусственный хаос в случае террористической деятельности |
| P-4 | Истощение энергии | Известный IMSI, GUTI, вредоносный eNodeB | 3GPP | Истощение батареи |
| P-5 | Связываемость | Известный IMSI или старый псевдо-IMSI | 3GPP, расширенный 5G AKA | Примерная информация о местоположении |
| D-1 | Отключение/понижение | Вредоносный eNodeB, известный IMSI (для таргетированной версии) | 3GPP | Отказ в сервисе, понижение до 2G/3G |
Отметим что атаки типа «Паника» действительно способны вызвать хаос у населения. В январе 2018 года Агентство по чрезвычайным ситуациям Гавайских островов по ошибке разослало экстренное сообщение о приближении баллистической ракеты, испугав местных жителей, которые массово направились в бомбоубежища.
Авторы исследования скептически относятся к возможности закрыть выявленные уязвимости в существующих протоколах. По их словам, если ретроспективно добавлять меры безопасности в действующие протоколы, не нарушая обратной совместимости, то это часто приводит к ненадёжным решениям типа «заплаток». Поэтому перед применением протоколов связи важно сначала их тщательно тестировать.
