全局监控:通过无线方式黑客入侵GSM网络

在前几期的GSM系列博文中,有一期我们提到了通过无线方式劫持加密密钥的”都市传奇”故事。其中介绍了不法分子在无需任何物理操作的情况下,就能克隆受害人的SIM卡,即使可能只是短暂的克隆。但问题关键在于Ki码同时保存在本地SIM卡和运营商数据库内,因此按常理来说通过无线方式根本无法盗取。那不法分子到底是如何做到的呢?

在前几期的GSM系列博文中,有一期我们提到了通过无线方式劫持加密密钥的”都市传奇”故事。其中介绍了不法分子在无需任何物理操作的情况下,就能克隆受害人的SIM卡,即使可能只是短暂的克隆。但问题关键在于Ki码同时保存在本地SIM卡和运营商数据库内,因此按常理来说通过无线方式根本无法盗取。那不法分子到底是如何做到的呢?

从理论上讲,不法分子能通过建立伪基站发送强信号,并通过发送随机RAND请求来模仿对SRES的合法请求(如果你不确定这是什么意思的话,请参阅该系列博文的首篇故事)。采用这一方法,网络攻击者可借助加密分析计算出Ki码—就如同物理访问SIM卡时所进行的操作一样。

但这一方法相当复杂:加密分析需要花费很长的时间,并需要大量的伪造请求。尽管攻击者能利用RAND对受害人实施攻击,但目标手机机主随时可能离开伪基站的无线接受范围,因此不法分子需要携带设备紧跟在受害人身旁。当然,如果这是一场精心策划的有针对性网络攻击,那攻击者一定会将设备安放在住宅区的某个位置。黑客攻击最终能否成功取决于加密算法:如果运营商上采用COMP128v2算法的话,则攻击将无法成功。

事实上,无线方式黑客攻击的主要目的是让不法分子能窃听用户的通话内容。据我们所知,无线通讯之所以加密(除了某些特殊情况,比如在执法机构日常工作中禁用加密)的主要原因是:限制窃听私人通话的能力。加密采用带64位密钥的A5算法。A5算法目前有两个版本:更具可持续性的A5/1算法和欠缺弹性的A5/2算法,一些对所有”潜在攻击者”毫无限制措施的国家往往采用A5/2算法。

公平地讲,就连A5/1都不算是64位密钥而只有54位:前10位属于’低位’,只是为了简化的目的而存在。采用A5/2旨在为了方便情报机构在海外执行任务。

在此之前,黑客入侵A5/1的方法是:对本地存储的数据进行暴力破解,但耗时极长,同时在攻破前所需的信息也将失去其关联性。但最新的PC电脑(就算不用目前最新的PC电脑,早在2010年就首次演示了相应的概念验证)却能在短短几秒钟内成功破解,并借助所谓的”彩虹表”计算出密钥。一套1.7 TB大小的表格可以存储在大容量的高速固态硬盘上,此类硬盘价格相对便宜且随处都可以买到。

由于不法分子”被动式”的操作,且不会通过无线方式传送任何信息,因此也难以追踪。破解密钥的整套工具仅包括:带”彩虹表”的Kraken软件,及适度微调过的老式诺基亚手机。这些工具准备齐后,攻击者就能窃听受害人通话,并拦截、阻止或修改短信内容(因此双因素认证并非是你在线银行的’数字堡垒’)。

一旦获得密钥,不法分子就能劫持受害人并模仿受害人通话了。另一个杀手锏:动态克隆。即便受害人在会话中,不法分子也能向蜂窝网络发起呼出电话请求。在网络发回授权请求时,攻击者能对其进行劫持并转发给受害人,从而获得Kc密钥。这一过程一旦完成,受害人会话将因此结束,接下来不法分子将能模仿受害人启动网络会话。

此后,不法分子能启动呼叫给受害人造成巨额话费,或者用来从事其它犯罪活动,比如向收费号码发送短信,以及通过内容提供商合作伙伴计划”吸取”用户话费。这一方法曾在莫斯科使用过:一群人驾驶面包车专门在人多的地方转悠,他们这样做的目的是大规模克隆SIM卡并从这些受害人手机中窃取小笔话费。

在这些案例中,犯罪分子设法将自己的不法行为隐藏很久时间:而一旦合法用户拨出电话后就能发现这些不法操作。唯一有助于发现自己受到诈骗的信息是:在某个特定基站范围内向某个收费内容提供商发出了一连串可疑的相似请求。

为加密数据包流量(GPRS/EDGE),可以采用另一种Kc密钥。尽管这有别于用于语音流量的Kc密钥,但却采用同一种算法进行计算— GPRS-A5,又称”GEA”(GPRS加密算法),存在于GEA1、GEA2和GEA3等格式中。这意味着不法分子甚至能拦截移动网络流量。而如今网络流量通常通过3G和LTE传输,因此上述问题也不再显得重要。但另一方面,许多类似于ATM机、POS终端机和远程信息处理系统依然采用的是2G数据传输方式。

有一种方式可防范此类攻击:采用更具弹性的最新A5/3算法,该算法即使借助”彩虹表”也依然无法破解。然而,大多运营商并不太愿意部署这项新技术:首先,升级成本高昂但却无法产生额外利润(这意味着投入巨额资金却回报很少,这绝不是运营商的风格)。其次,大多数手机并不支持A5/3,或至少无法正确支持,因此也可能导致这一计划将最终流产。

第三,A5/3并不能阻止不法分子窃听用户通话内容:如果攻击者使用伪造基站,将能被授权降级手机加密权限,最终帮助黑客们得到他们所想要的密钥(注意,所有算法中的密钥都是完全相同)。如果威胁依然存在,那为何还要花费更多资金和精力升级至更高的加密算法呢?最后,整个升级花费实在难以承受。

好的方面是,今天我们提到的所有攻击方式都将很快被淘汰。虚拟SIM卡和 eSIMs卡的时代已经拉开序幕,新一代的SIM卡技术将至少能修复现有SIM卡内存在的一些安全漏洞。

CTB-Locker勒索软件感染70台网络服务器

与其它成功商业诈骗案例类似的是,网络犯罪分子也在不遗余力地寻找新的市场。他们进行各种试验、不断更换攻击目标并从受害人那儿得到”效果反馈”—所有这一切都是为了赚取更多的”不义之财”。这就是我们研究了最新版本CTB-Locker后所得到的结果。

提示