Проверь верность своей супруги: как слушают, на чем слушают, кто слушает мобильные разговоры

Можно ли в самом деле прослушивать GSM (в частности, получать расшифровки SMS-обмена) и если да, то сколько это реально стоит? Вопрос этот обсуждается уже не первый год (скорее даже – не первое десятилетие), но ясности у широкой публики так и не достигнуто – что и служит основой для деятельности многочисленных мошенников. 

Спамерские письма с подобным содержанием заполонили Сеть в конце прошлого года. «Компьютерра Онлайн» уже пыталасьвыяснить, что кроется за предложениями о получении распечатки месячной базы чужих SMS-сообщений за 4 тыс. рублей, и пришла к выводу, что это с огромной степенью вероятности всего лишь мошенничество.

Да и априори понятно, что превентивно записать абсолютно все сообщения со всех мобильников едва ли в состоянии даже система ECHELON, так что чисто теоретически получить рекламируемую информацию можно, очевидно, лишь через инсайдера в сотовых компаниях-операторах. Причём не просто инсайдера, а с соответствующим уровнем доступа, каковых в данных компаниях, по понятным причинам, вполне счётное количество. Не думаю, что службы безопасности операторов совсем не обратили внимания на столь обширную рекламу утечек из своей вотчины…

Однако большинство комментаторов этих новостей, не вдаваясь в суть предлагаемых услуг, сразу обратили внимание на несколько иную сторону вопроса: можно ли в самом деле прослушивать GSM (в частности, получать расшифровки SMS-обмена) и если да, то сколько это реально стоит? Вопрос этот обсуждается уже не первый год (скорее даже – не первое десятилетие), но ясности у широкой публики так и не достигнуто – что и служит основой для деятельности многочисленных мошенников.

Мошенники и законы

Вот лишь одно из скромных предложений на эту тему – всего за 2800 рублей предлагается некая программа, которая в совокупности с ПК и обычным мобильником якобы способна перехватывать и в реальном времени расшифровывать все разговоры и сообщения по заданному мобильному номеру. Для инициализации требуется всего лишь дополнительная SIM-карта и несколько минут разговора с данным абонентом. Описание программы настолько убедительно и детально, включая скриншоты настроек и подробные предупреждения о снятии ответственности с автора программы, что рука невольно тащит указатель мыши к кнопке «Оплатить» – просто из спортивного интереса хочется убедиться, что это всё так просто, что дальше некуда.

Базовая станция GSM
Базовая станция GSM

Останавливает лишь одно соображение: зачем же тогда все вот эти аппаратно-программные комплексы стоимостью от полумиллиона евро (с ограничением круга потенциальных покупателей государственными спецслужбами) и кропотливые исследования Карстена Нола (вот ещё на ту же тему)? Если бы можно было без проблем прослушивать любой мобильник с помощью всего лишь ПК и дополнительной «симки», то это как минимум означало бы переворот в детективно-охранной деятельности, а все законодательные акты насчет незаконности прослушки телефонных разговоров разом просто перестали бы работать.

Аналогично тому, как давно не работают эти законы в части защиты от банальных «жучков», в качестве которых может выступать любой имеющийся в широкой продаже диктофон, MP3-плеер и даже многие мобильники, а специализированное устройство такого рода можно приобрести на Митинском рынке рублей за 300 (или, при наличии соответствующей квалификации, собрать между делом самому). Похожая ситуация и со «шпионскими» видеокамерами: меньше, чем за две штуки деревянных можноприобрести весьма совершенное следящее устройство с передатчиком, приёмником и цветной камерой (даже с автофокусом!), замаскированной «под шуруп» или под дверной глазок.

Из этих примеров ясно, что в том числе и для сотовых сетей реальная защищенность зависит совсем не от суровости законов (как почти не зависит от них существование онлайновых библиотек и файлообменных сетей с «пиратским» контентом), а от технологического и, соответственно, стоимостного порога сложности преодоления препятствий на пути перехвата и расшифровки сотового трафика. Вот в оценке этого порога мнения и расходятся.

Насколько это работает?

Я не стал полагаться только лишь на собственное мнение (ибо неспециалисту выработать достаточно обоснованную позицию за сколько-нибудь приемлемый срок ввиду многочисленности и разрозненности информации невозможно), а обратился за помощью к создателю научно-технического блога dxdt.ru Александру Венедюхину, который следит за темой уже многие годы. Далее – резюме нашей с ним переписки и некоторых самостоятельных изысканий.

Прежде всего, отметим, что для успешного «взлома GSM» нужно выполнить несколько отдельных задач:

– научиться находить трафик конкретного телефона в эфире;

– научиться записывать и декодировать этот трафик;

– вычислить ключи и дешифровать трафик.

Первые две задачи даже при знании соответствующих технологий тоже не совсем тривиальны, но главный вопрос, очевидно, в выполнении третьей задачи. Сразу отметим, что её можно решить теоретически простым (но довольно сложным в практической реализации) методом подложной базовой станции (так называемый «активный перехват»).

При этом станции необязательно пропускать весь трафик между телефоном и оператором через себя, и дешифровать его в реальном времени, что, наверное, не так-то просто. Во время обмена телефона с базовой станцией на предмет аутентификации генерируется так называемый сеансовый ключ (Кс) для шифрования трафика, который открыто по сети не передается, но однозначно связан со случайным числом (RAND), посылаемым в каждом таком сеансе со стороны базовой станции по необходимости в открытую.

Потому схема атаки может быть, например, такой: перехватывается и записывается шифрованный трафик, из него выделяется число RAND. Затем подложная станция один раз проводит сеанс авторизации атакуемого телефона с тем же самым числом RAND, установив при этом шифрование в наиболее уязвимую для взлома версию алгоритма для обеспечения конфиденциальности связи A5/2 (когда-то, на заре мобильной связи, целенаправленно ослабленную наивными разработчиками стандарта из Франции). На основе полученных данных вычисляется сеансовый ключ и производится расшифровка переговоров.

Есть и совсем «тупой» способ активного перехвата – заставить телефон прослушиваемого работать в режиме с отключенным шифрованием (так называемый вариант A5/0 алгоритма — он, например, включался во время теракта на Дубровке по требованию спецслужб). Правда, некоторые «продвинутые» телефоны могут оповещать о таком безобразии своих владельцев, поэтому, вероятно, такой способ не очень распространён.

Очевидно, на принципе активного перехвата и работает то самое оборудование стоимостью от полумиллиона долларов, что якобы продается только государственным службам. В Сети можно найти и другие предложения на ту же тему, причём цена вопроса, по наиболее правдоподобным сведениям, начинается от приблизительно 100 тыс. долларов и более. Вполне вероятно, что наиболее «продвинутые» охранно-детективные конторы могут себе такое оборудование позволить, но едва ли их услуги на этой основе будут дешёвыми: в любом случае, кроме дорогого оборудования, требуется ещё и оператор высокой квалификации (по словам Александра, даже на готовой станции перехвата «человек с улицы – однозначно не справится») и достаточно громоздкий комплекс собственно оперативных мероприятий (как минимум, нужно всё время находиться вблизи телефона абонента).

Последние два требования, впрочем, справедливы и для пассивного перехвата – когда лишь перехватывается и записывается трафик между оператором и аппаратом, без вмешательства в процесс обмена. Такой способ требует менее навороченного оборудования (а, следовательно, и более дешёвого), зато потом ещё требуется взломать шифрованный трафик. Именно этим вопросам и посвящено большинство теоретических и практических работ по «взлому GSM», в которых в своё время приняли участие многие крупнейшие криптографы (Росс Андерсон, Ами Шамир и др.). Здесь не место подробно излагать их суть – сведения об этом можно найти в большом количестве мест в Сети (тем, кто читает «по-аглицки», рекомендую, в частности, вот этот интереснейший документ).

Как сообщалось в новостных отчётах о результатах одной из последних работ на эту тему – о том самом проекте хакера Карстена Нола, – трафик старой, но наиболее распространённой по сей день версии алгоритма A5/1, может быть дешифрован с помощью оборудования за 30 тыс. долларов менее, чем за минуту (т.е. не в реальном времени, но близко к тому). Понятно, что с увеличением допустимого времени взлома цена вопроса будет прогрессивно снижаться.

Система для взлома алгоритма A5/1
Система для взлома алгоритма A5/1

О взломе более современной версии A5/3 (в настоящее время используется, например, в сетях 3G) ходят противоречивые слухи, которые можно свести к следующему: теоретически уязвимость A5/3 показана, но практически пригодных устройств ещё нет (примерно то же самое говорит и Карстен Нол в своих интервью).

Но несомненно, со временем найдут дыру и тут: когда перед вами вещь, которой пользуются миллиарды людей, можно быть уверенным, что её рано или поздно обязательно разберут по молекулам. Не забудем ещё и то, что необязательно ломать шифрование или подкупать инсайдера на предмет распечаток сообщений каждый раз, когда это потребуется – куда проще один раз выцыганить у него секретный ключ Ki, который прошивается в SIM-ку и, кроме того, хранится у оператора для аутентификации абонента и применяется для вычисления сеансовых ключей. Так что путей «взлома GSM», как видите, не один и не два.

Нас прослушивают?

В результате всех этих изысканий вырисовывается такая картина: нет, любому ревнивому мужу отследить контакты своей половины на халяву не получится. Но за какие-то вменяемые деньги (по некоторым оценкам – начиная от $500-1000) получить распечатки SMS-сообщений и расшифровки разговоров вполне реально. Потому в серьёзных случаях, как в свое время отмечал в КТ Бёрд Киви, «к конфиденциальности разговоров по сотовой связи следует относиться примерно так же, как к секретности доверительной беседы в наполненной народом кабине лифта какого-нибудь крупного учреждения».

Александр Венедюхин отмечает, что сотовых операторов, по сути, упрекнуть не в чем: «Например, традиционная проводная телефония технически никак не защищена вообще – и что?». Просто не надо, говорит он, полагаться на секретность сотовой сети там, где безопасность должна играть ключевую роль: «одноразовые пароли по SMS, связь платёжных терминалов, – даже банкоматов, – с процессинговым центром и тому подобные решения».

И в случае обычной телефонии специально для особо параноидально настроенных личностей есть и такая экзотика, как криптофоны, и такая банальность, как Skype (ещё никто не доказал, что его реально можно взломать, разве только перехватить голосовой трафик непосредственно в компьютере, ещё до шифрования). Тут, как всегда – да, на всякую хитрую гайку найдется болт с левой резьбой, но не забудьте, что и на каждый болт можно подобрать ключ подходящего размера. Напомним заодно, что во многих случаях совершенно необязательно что-то взламывать: банальная «прослушка» в офисе или в квартире может быть и дешевле и эффективнее.

Юрий Ревич, КОМПЬЮТЕРРА

Читайте также: