-
Kiitos todella paljon.
-
On hienoa olla täällä puolentoista vuoden vastuullisen haavoittuvuuksien raportoinnin jälkeen.
-
Vihdoin voimme puhua tästä tekemästämme tutkimuksesta.
-
Olemme siis Midnight Blue.
-
Tämä alkaa todella hyvin...
-
Me olemme Midnight Blue.
-
Minä olen Wouter Bochslag.
-
Tässä ovat Karlo Meyer ja Jos Wetzels.
-
Yhdessä muodostamme Midnight Bluen – tietoturvakonsultointiyrityksen, joka toimii Alankomaissa.
-
Olemme erikoistuneet pääasiassa sulautettujen järjestelmien turvallisuuteen ja kriittisen infrastruktuurin viestintäjärjestelmiin ja vastaaviin.
-
Olette ehkä kuulleet meistä aiemmin.
-
Tutkimme ajoneuvojen käynnistyksenestojärjestelmiä, murtauduimme joihinkin niistä, löysimme haavoittuvuuksia BlackBerry UNX -käyttöjärjestelmästä, mursimme kovennetun version MiFare RFID -sirusta – ja paljon muuta.
-
Ja tietysti tämä Tetra-tutkimus.
-
Jotkut teistä ovat ehkä jo nähneet tutkimuksiamme esimerkiksi CCC Campissä, DevConissa tai Black Hat -konferensseissa.
-
Tänään esittelemme teille uutta materiaalia, mutta myös vanhaa, koska kaikki eivät ehkä ole näihin vielä tutustuneet.
-
Uutena asiana kerromme yksityiskohtia deanonymisointi-hyökkäyksestä, jonka avulla voidaan tunnistaa, kuka käyttää Tetra-verkkoja ja milloin.
-
Keskustelemme myös salauksen takaportin leviämisestä ympäri Eurooppaa – ja mitä seurauksia sillä on ollut tietyissä erittäin arkaluontoisissa käyttötapauksissa.
-
Olemme saaneet useita raportteja toimittajista, jotka ovat antaneet harhaanjohtavaa tietoa omille asiakkailleen, joten pureudumme myös tähän asiaan hieman.
-
Käsittelemme myös uusia kehityskulkuja, jotka liittyvät Tetra-teknologiaan.
-
Mikä siis on Tetra?
-
Tetra on maailmanlaajuisesti käytetty radioteknologia.
-
Näitä on kuitenkin myös muitakin.
-
On esimerkiksi P25, DMR ja Tetra-Pole.
-
Mutta Tetra on hyvin, hyvin laajasti käytetty.
-
Se standardoitiin vuonna 1995 ETSI-organisaation toimesta – saman tahon, joka oli mukana myös GSM:n, 3G:n, 4G:n, DMR:n ja DECTin ja muiden vastaavien standardoinnissa.
-
Sitä käytetään puheviestintään, kuten kannettaviin radioihin ja vastaaviin.
-
Mutta sitä käytetään myös tiedonsiirtoon, kuten koneiden väliseen viestintään, IP- tai sarjaliikenteen muodossa.
-
Tetrassa mielenkiintoista on se, että se perustuu salaiseen ja suljettuun salausteknologiaan.
-
Siksi sen todellista turvallisuutta on vaikea myös arvioida.
-
Ja sitä käytetään maailmanlaajuisesti.
-
Sen ensisijainen käyttäjä on ollut Poliisi.
-
Valtaosa Poliiseista ympäri maailmaa käyttää Tetraa, lukuun ottamatta Yhdysvaltoja sekä Ranskaa, jotka käyttävät Tetra-Polea, koska se on ranskalainen.
-
Saatatte tuntea myös Alankomaiden kansallisen verkon, joka otettiin käyttöön 2000-luvulla.
-
Täällä se tunnetaan nimellä Bosnet.
-
Ja on monia, monia muitakin paikkoja, joissa Poliisi käyttää tätä järjestelmää.
-
Mutta myös asevoimat ja tiedustelupalvelut käyttävät niitä.
-
Huomaa, että nämä esityksessä korostetut maat ovat paikkoja, joissa olemme voineet vahvistaa, että tätä teknologiaa käytetään jollain tavalla kyseisten tahojen toimesta.
-
Todennäköisesti käyttöä on paljon enemmänkin, mutta emme löytäneet niistä julkista dokumentaatiota tai asiakirjoja.
-
Mutta ainakin nämä maat käyttävät tätä teknologiaa.
-
Ja mikä on ehkä vielä tärkeämpää huomata; myös kriittinen infrastruktuuri käyttää sitä.
-
Esimerkiksi lentokentät, satamat, rautatieasemat ja sähkönjakeluverkot käyttävät Tetraa puheviestintään — esimerkiksi insinöörit, jotka tarvitsevat viestintää työmaalla, tai vartiointihenkilöstö, jotka käyttävät kannettavia radiopuhelimia.
-
Mutta kuten mainitsin, Tetraa käytetään myös tiedonsiirtoon.
-
Esimerkiksi energiaverkoissa Tetraa voidaan käyttää SCADA-järjestelmätietojen siirtoon ja etäohjaukseen.
-
Ja tämä on varsin arkaluontoinen käyttötapaus.
-
Palaamme tähän myöhemmin.
-
Yleinen väärinkäsitys on, että Tetra olisi avoin standardi.
-
Se ei varsinaisesti ole "avoin standardi".
-
Se on julkinen standardi.
-
Suurin osa standardin tiedoista on kyllä julkisesti saatavilla.
-
Voit siis selailla tuhansia sivuja dokumentaatiota, jotka käsittelevät monia Tetra-radioteknologian osa-alueita.
-
Mutta kun päästään kryptografiaan ja tietoturvaan, vastaan tulee yleensä tämänkaltaista.
-
Näet joitakin kaavioita ja laatikoita, joissa on nimiä.
-
Ja nämä nimet viittaavat kryptografisiin primitiiveihin – salaisiin sellaisiin.
-
Jos haluaisit tietää, miten tällainen primitiivi toimii, sinun pitää hankkia tiedot ETSI:ltä salassapitosopimuksen nojalla (NDA).
-
Ja ETSI päättää, oletko heidän mielestään oikeutettu saamaan nämä tiedot.
-
He antavat nämä spesifikaatiot vain hyvämaineisiksi katsomilleen tahoille – mitä se sitten heidän näkökulmastaan tarkoittaakaan.
-
Lisäksi, valmistajana, jos saat nämä spesifikaatiot haltuusi, sinua sitoo NDA:n ehto, jonka mukaan sinun on suojattava algoritmeja niin, ettei niitä voida purkaa laitteistostasi.
-
Voit siis joko toteuttaa Tetra-kryptografian suoraan piisirulle, mikä tekee sen takaisinmallintamisesta vaikeaa esimerkiksi elektronimikroskoopeilla ja muilla laitteilla.
-
Tai jos haluat tehdä sen ohjelmistopohjaisesti, sinun on lisättävä kontrolleja, jotka estävät salaisten algoritmien paljastumisen.
-
Ongelmana on, että nykyään on olemassa jo paljon hyvämaineisia valmistajia.
-
Lähes jokaisella geopoliittisella alueella on oma valmistajansa omalla vastuualueellaan.
-
Valmistajia on Yhdysvalloissa, Isossa-Britanniassa, Ranskassa, Venäjällä ja Kiinassa.
-
Näissä maissa on siis valmistajia, joilla on hallussaan nämä spesifikaatiot.
-
Ja jos esimerkiksi jokin valtiollinen taho haluaisi tutkia tämän teknologian turvallisuutta, se voisi vain vaatia paikallista valmistajaa luovuttamaan spesifikaatiot — eikä sen tarvitsisi käydä läpi samoja haasteita kuin meidän.
-
Hyökkääjäkin voisi todennäköisesti vain valita jonkun pienemmän toimijan tältä listalta, murtautua SharePointiin ja napata spesifikaatiot sieltä.
-
Mutta missään näistä tapauksissa ei voitaisi käydä julkista keskustelua Tetran turvallisuudesta.
-
Tetran tietoturva perustuu kahteen osaan.
-
Ensimmäinen on TAA1-sarja, joka toteuttaa todennuksen, avainten jaon ja identiteettien hallinnan salauksen.
-
Lisäksi on useita algoritmeja varsinaista salausta varten.
-
Langattomanrajapinnansalaus eli TEA-algoritmiperhe.
-
TEA1, joka on vapaasti käytettävissä mihin tahansa tarkoitukseen.
-
Sitten on TEA2, joka on tarkoitettu Euroopan pelastusviranomaisille.
-
Sitten on TEA3, joka on myös viranomaisille, mutta EU:n ulkopuolisille maille, joiden kanssa EU:lla on hyvät suhteet.
-
Eli niin sanotuille "liittolaisille".
-
Ja sitten on TEA4, jolla on samanlainen luokitus kuin TEA1:llä, mutta jota ei käytännössä juuri käytetä.
-
Halutessaan voi myös lisäksi parantaa Tetra:n turvallisuutta lisäämällä päästä päähän -salauksen.
-
Tämä ei ole varsinaisesti osa Tetra-standardia, mutta standardissa on ohjeita ja mahdollisuuksia päästä päähän -salauksen integroimiseksi Tetra-verkkoon.
-
Varsinainen toteutus jää valmistajien vastuulle.
-
Tämä on käytännössä johtanut siihen, että ratkaisut ovat erittäin kalliita, hankalia avainhallinnan kannalta ja jälleen kerran hyvin läpinäkymättömiä.
-
Tämän mielessä pitäen puhutaan nyt Tetra-projektista, jonka toteutimme.
-
Oletan, että suurin osa teistä tuntee 'Kirchhoffin' periaatteen, mutta selitän sen lyhyesti.
-
'Kirchhoffin' periaatteen mukaan kryptojärjestelmän tulisi olla turvallinen, vaikka kaikki sen toiminnasta olisi julkista tietoa – lukuun ottamatta avaimia.
-
Miksi haluamme noudattaa tätä periaatetta?
-
Koska salausjärjestelmien murtajille ei yleensä käy hyvin.
-
Aiemmin on nähty lukuisia tapauksia salaisista, suljetuista kryptojärjestelmistä, jotka on murrettu – tai joista on löytynyt takaportteja heti, kun salaisuus on paljastunut ja spesifikaatiot ovat tulleet julkisiksi.
-
Tästä tulee mieleen vanhat GSM-salaimet, GMR- ja GEA-algoritmit sekä DECT-puhelimet, joiden salausten turvallisuus osoittautui heikoksi heti kun ymmärsimme, miten ne toimivat.
-
ETSI:llä näyttää olevan tästä asiasta kuitenkin eri näkemys.
-
Teknisen komitean Tetra-puheenjohtaja Kim Zetter totesi haastattelussa, että heille hämäryys on myös keino säilyttää turvallisuus, ja saamme selville, onko tässä todella näin.
-
Projektimme motiivi on nyt luultavasti tullut jo selväksi.
-
Emme ole samaa mieltä näistä väitteistä.
-
Halusimme avata Tetra-teknologiaa ja tuoda nämä tiedot kaikkien käyttöön, jotta sen todellista tietoturvallisuutta voitaisiin arvioida.
-
Otimme yhteyttä NLNet-säätiöön, joka usein rahoittaa tämänkaltaista avointa tutkimusta, ja sen tuella pystyimme viemään projektin myös loppuun.
-
Carlo kertoo meille seuraavaksi tästä projektista lisää.
-
Kiitos paljon, Wouter.
-
Meidän piti keksiä tapa purkaa algoritmit radiosta, koska emme tietenkään halunneet allekirjoittaa salassapitosopimusta (NDA).
-
Joten ensin kartoitettiin saatavilla olevien radiolaitteita, ja lopulta törmäsimme tähän Motorolan MTM5400-malliin, jonka ostimme käytettynä eBaysta.
-
Sen jälkeen analysoimme laiteohjelmiston.
-
Tunnistimme, missä kohtaa laiteohjelmistoa salaiset algoritmit voisivat sijaita – luonnollisesti ei-luottavassa muodossa.
-
Sitten kehitimme joukon takaisinmallinnustyökaluja.
-
Meidän piti löytää useita nollapäivähaavoittuvuuksia radiosta, jotta saimme algoritmit ulos.
-
Sen jälkeen analysoimme ne, arvioimme niiden turvallisuutta, etsimme mahdollisia heikkouksia ja kokeilimme, voisimmeko tehdä toimivia esimerkkihyökkäyksiä.
-
Tuo oli siis meidän lopullinen tavoite.
-
Kyllä.
-
Mutta miten pääsimme käsiksi algoritmeihin, kun meillä on vain tämä radiolaite?
-
Tässä on yksinkertaistettu kaavio prosessista.
-
Tästä aiheesta saisi kokonaan oman esityksen.
-
Kertoisin siitä mielelläni myös lisää.
-
Mutta meillä on täällä vain 15 minuuttia aikaa.
-
Joten viittaan tässä aiemmin tänä vuonna pidettyyn CCC Campin esitykseemme.
-
Kyseessä on siis MTM5400, jossa on Texas Instrumentsin peruskaistasiru.
Kyseessä on siis MTM5400-radio, joka sisältää Texas Instrumentsin baseband-sirun.
-
Tämä on TI OMAP L138.
-
Siinä on ARM-ydin ja DSP-ydin.
-
ARM-ydin hoitaa luonnollisesti korkeamman tason sovelluksia, ja DSP-ydin on digitaalinen signaaliprosessori, joka käsittelee signaaleja.
-
DSP:n sisällä on vielä ns. 'toteuttamisympäristö' (trusted execution environment).
-
Ensin löysimme haavoittuvuuden ARM-ytimessä – tarkemmin sanottuna ohjelmistosta, joka pyörii ARM-ytimellä.
-
Laitteeseen voi kommunikoida oheisliitännän kautta, ja sieltä löysimme merkkijonon haavoittuvuuden (format string), jonka avulla saimme suoritettua omaa koodia ARM-ytimellä.
-
Sen jälkeen siirryimme DSP:lle ja hyödynsimme jaetun muistin virheellistä konfigurointia.
-
Lopulta saimme DSP:n 'toteutusympäristöstä' haltuumme salaisen avaimen, jonka avulla pystyimme purkamaan salatut algoritmit. Tarkemmin avain saatiin järjestelmän välimuistiin perustuvan ajoituksen 'side channel'-analyysin avulla.
-
Toivottavasti tämä kuulostaa kiinnostavalta ja katsotte tämän koko esityksen.
-
Hyvä.
-
Nyt kun meillä on nämä algoritmit, katsotaanpa tarkemmin, mitä löysimme.
-
Aloitetaan ensin todennuksesta.
-
Järjestelmän TAA1-sarjaa käytettiin siis todennukseen ja langattomaan avainten uudelleenjakoon.
-
Ja muistutuksena, että Standardi määrittelee yleisiä kaavioita, mutta ei varsinaisia kryptografisia primitiivejä.
-
Me onnistuimme palauttamaan nämä kaikki, ja huomasimme, että kaikki TA-alkuiset primitiivit liittyvät salaukseen, kun taas TB-alkuiset olivat yksinkertaisia muunnosfunktioita, kuten laajennuksia ja tiivistyksiä.
-
Kyllä.
-
Hyvä.
-
Todennusprosessissa verkon infrastruktuurin ja radiolaitteen välillä on pitkäaikainen jaettu salaisuus.
-
Tätä salaisuutta kutsutaan avaimeksi K.
-
Todennuksessa osapuolet tekevät kädenpuristuksen (handshake).
-
Tämä yhdistää avaimen K satunnaiseen "siemeneen", RS:ään, ja lopputuloksena syntyy KS.
-
Infrastruktuuri todentaa radion, ja radio todentaa infrastruktuurin – molemmat ottavat nämä KS-arvot ja yhdistävät ne satunnaislukuihin rand1 ja rand2, ja lopulta syntyy jaettu salainen istuntoavain, DCK.
-
Tämä ei itsessään vaikuta erityisen turvattomalta, mutta kun mennään syvemmälle, huomataan että jotkin käytetyistä menetelmistä ovat itse asiassa samoja tai hyvin läheisesti toisiinsa liittyviä.
-
Esimerkiksi TA21 on lähes TA11, mutta satunnaissiementä (RS) käytetään siinä käänteisessä tavu-järjestyksessä, ja TA22 on täsmälleen sama kuin TA12.
-
Ja TB4 osoittautui olevan vain XOR-operaatio.
-
Hyvä.
-
Oletetaan nyt, että esiinnymme verkon infrastruktuurina radiolle ja lähetämme sille siemenen RS, joka on sellainen, että se on sama käänteisessä järjestyksessä – eli palindromi, sanotaan näin.
-
Jos pystyt sitten ennustamaan purskeen, jonka radio lähettää – ja MTM5400:n tapauksessa se oli mahdollista, koska siinä on heikko satunnaislukugeneraattori, mikä on varsin yleistä sulautetuissa laitteissa.
-
Ja jos käytämme tätä pursketta satunnaislukuna infrastruktuurin puolella, niin lopulta syntyy XOR-operaatio kahden identtisen arvon välillä, mikä tuottaa avaimen, joka koostuu pelkistä nollista.
-
Tämä mahdollistaa osittaisen man-in-the-middle-hyökkäyksen, jolloin voit siepata kaiken radiosta ulospäin lähtevän liikenteen.
-
Et tietenkään pysty lähettämään sitä varsinaiselle infrastruktuurille, koska siellä käytetään eri avainta, mutta saat silti melko hyvän jalansijan.
-
Pääset käsiksi niin sanottuun todennuksen jälkeiseen hyökkäysrajapintaan, jos niin voidaan sanoa.
-
Eli jollain tapaa ihan hyödyllistä.
-
Hyvä.
-
Sitten on myös identiteetin salaus.
-
Tetrassa ei ole vahvaa anonymiteettiä, mutta siinä on pseudonyymisointijärjestelmä.
-
Jokainen tunnus on 24-bittinen numero, joka obfuskoidaan avaimen avulla.
-
Ja kävi ilmi että tämä (pseudonymisointi) voidaan helposti murtaa, ja sen jälkeen alkuperäinen tunniste on mahdollista palauttaa selväkieliseksi.
-
Ja joidenkin merkittävien sidosryhmien huolien vuoksi päätimme aikanaan olla julkaisematta kyseistä menetelmää – mutta tänään aiomme julkistaa sen.
-
Tämä löytyy GitHubista, jos olet kiinnostunut.
-
Anonymisointimenetelmä toimii siten, että saadaan tämä salaisuus "C", joka perustuu avaimeen ja hurdle-salaukseen.
-
Hurdle-lohkosalausta käytetään tavalla, joka muistuttaa tiivistefunktiota.
-
Tarkemmat yksityiskohdat löytyvät jälleen GitHubista.
-
Kyseessä on siis eräänlainen mukautettu muunnosmenetelmä – joka on kryptografian ja "salaus" -ratkaisun välimaastossa.
-
Oikealla puolella on avain, joka XORataan tunnuksen selväkieliseen arvoon.
-
Sen jälkeen käytetään muunnosfunktiota, joka sekin on nyt tänään julkaistu julkisesti.
-
Menetelmä tekee ensin muunnoksen, sitten XORataan lisää bittejä, tehdään toinen muunnos — ja lopputuloksena on salattu tunniste.
-
Kävi ilmi, että tämä järjestelmä on itse asiassa haavoittuva niin sanotulle man-in-the-middle -hyökkäykselle.
-
Tarvitset vain kohtuullisen määrän laskentatehoa, ja pystyt palauttamaan salaisen C-arvon. Se ei paljasta varsinaista verkkoavainta, mutta mahdollistaa kaiken liikenteen deanonymisoinnin välittömästi.
-
Mitä hyötyä tästä siis on?
-
Kuvitellaanpa seuraava tilanne.
-
Tunnukset ovat salattuja.
-
Onnistut purkamaan ne.
-
Sitten huomaat, että kuvioissa on tiettyjä välejä.
-
Esimerkiksi välillä 0–10 on poliisivoimat, ja 11–20 salaisia operaatioita.
-
21–30 on palokunta — ja niin edelleen.
-
Tällaiset kuviot on helppo havaita, ja tämä antaa sinulle varsin kiinnostavan vastatiedustelun työkalun.
-
Tämän voi toteuttaa kätevästi Raspberry Pi:llä ja RTL-SDR -radiovastaanottimilla. Erittäin halvalla. Laitteet pitää vain sijoittaa eri paikkoihin, ja koska kyseessä on passiivinen hyökkäys, kukaan ei huomaa mitään.
-
Seuraavaksi pieni demo.
-
Verkkoliikennemallien analyysiä vastaan Tetra tarjoaa identiteetin salausjärjestelmän, joka muuntaa tilaajan selväkielisen tunnisteen pseudoanonymisoiduksi versioksi.
-
Tutkiessamme Tetran tietoturvaa paljastimme, että TA61 – identiteetin salauksesta vastaava primitiivi – sisältää helposti hyödynnettävän heikkouden, jonka avulla hyökkääjä voi deanonymisoida tämän liikenteen välittömästi.
-
Hyökkääjän on tunnistettava kolme identiteettiparia ja niiden salatut vastineet.
-
Nämä voidaan saada tarkkailemalla salaamattomia todennuksia, joissa käytetään sekä salattua että salaamatonta tunnistetta.
-
Tämä on mahdollista tehdä täysin passiivisesti.
-
Analysoimalla, mikä avain sopii havaittuihin identiteettipareihin, hyökkääjä voi saada identiteettien salausavaimen selville noin kahdessa minuutissa viisi vuotta vanhalla kannettavalla tietokoneella.
-
Tämän avaimen avulla hyökkääjä voi nyt välittömästi purkaa identiteettien salauksen ja käyttää tietoja myös myöhempään jatkoanalyysiin.
-
Esimerkiksi hyökkääjä voisi yhdistää tiettyjä tunnusvälejä tietyille käyttäjäryhmille, kuten peitepoliiseille tai erikoisjoukoille, ja rakentaa tehokkaan vastatiedustelu- ja ennakkovaroituksen järjestelmän.
-
Tätä ongelmaa ei voida ratkaista laiteohjelmistopäivityksellä, mutta se on otettu huomioon ja korjattu uudessa, taaksepäin yhteensopimattomassa Tetra-algoritmiperheessä B.
-
Hyvä.
-
Siirrytään siis suoraan asiaan.
-
Puhutaanpa nyt varsinaisesta ilmaliitynnän virherajapinnan salauksesta, jota Tetra käyttää.
-
Löysimme protokollatason ongelman, joka koskee kaikkia salausalgoritmeja niiden vahvuudesta riippumatta.
-
Kalvolla näette yhden signalointiviestin.
-
Sen sisältö on salattu, mutta vasemmalla oleva MAC-otsake ei ole, joka sisältää perusasioita, kuten viestin pituus ja vastaanottaja.
-
Salaus alkaa vasta LLC-otsakkeesta eteenpäin.
-
Tärkeää on siis ymmärtää, että Tetra-viesteissä ei ole kryptografisia eheys- tai todennustarkastuksia.
-
Mukana on kyllä tarkistussumma, mutta se koskee vain salattua dataa, joten se ei ole hyökkääjän kannalta merkityksellinen.
-
Keystream-generaattori toimii siten, että se tarvitsee uutta tietoa jokaista ruutua varten, eikö niin?
-
Muuten se käyttää aina samoja salausbittejä.
-
Tätä ohjataan kehysnumeroilla tai vaikka verkon ajalla.
-
Jokaisella viestillä on oma ainutlaatuinen kehysnumero, joten jokaiseen viestiin syntyy oma salausbittisarja, joka sitten yhdistetään viestiin XOR-toiminnolla.
-
Kyllä.
-
Ongelma on siis se, että oletetaan että olet radio ja haluat liittyä verkkoon.
-
Mitä aikaa silloin käytetään?
-
No, verkko kertoo sen sinulle.
-
Miten se tapahtuu?
-
No, itse asiassa verkko lähettää sen sinulle ilman salausta tai varmennusta.
-
Hyökkääjä voi käyttää tätä hyväkseen ja pakottaa käytettäväksi tietyn salausbittisarjan.
-
Kuvitellaanpa, että hyökkääjä lähettää vahvemman signaalin.
-
Tämän voidaan tehdä monella tapaa, kuten lisäämällä lähetystehoa, olla lähempänä kohdetta tai käyttää suunta-antennia – tai käyttää näiden menetelmien yhdistelmää.
-
Ja kun päätät kertoa radiolle, että ”tässä on se verkon aika”, niin laite alkaa käyttää juuri sitä aikaa.
-
Ja silloin salausbitit muodostuvat sen verkon ajan mukaan, vaikka aika olisi menneisyydessä.
-
Tämä toimii riippumatta siitä, mitä TEA-salausta käytetään, eikä verkon todennus (josta puhuttiin aiemmin) estä tätä.
-
Hyökkäys toimii siten, että kun saat viestin, se tallennetaan passiivisesti, ja sen jälkeen halutaan tietää mitä siinä viestissä oikeasti luki.
-
Eli halutaan sen viestin selkokielinen sisältö.
-
Sitä aikaa kun viesti kaapattiin kutsutaan hetkeksi "T". Myöhemmin voi myös palata samaan hetkeen tai mennä toiseen.
-
Ei ole oikeastaan väliä.
-
Voit mennä minne tahansa.
-
Kunhan kohderadio käyttää samoja avaintietoja kuin se radio, joka lähetti alkuperäisen viestin.
-
Hyvä.
-
Jossain vaiheessa sanotaan kuitenkin tälle kohteena olevalle radiolle, että aika on nyt sama kuin se oli menneisyydessä ajankohtana T, ja radio alkaa tuottaa bittivirtaa tuolle ajalle, ja sitten tanssitaan vähän tanssia radion kanssa, ja se kertoo vähitellen, mikä bittivirta on.
-
Menen vähän syvemmälle tähän asiaan.
-
Avaimen bittivirran palauttamiseksi oletetaan, että meillä on jo N bittiä, ja haluamme laajentaa tätä tietoa.
-
Rakennamme siis viestin, jonka pituus on täsmälleen N plus yksi bitti, ja varmistamme, että siinä on tarkistussumma, ja varmistamme, että viesti on kuitattava aina, kun se vastaanotetaan asianmukaisesti.
-
Millä siis salaamme tuon ylimääräisen avainvirran bitin?
-
No, valitsemme vain nollan.
-
Hyvä.
-
Jos salaamme sen ja lähetämme sen kohteena olevalle radiolle, radio luultavasti tekee vain jotain, mutta jos nollabitti on arvattu oikein, se kuittaa viestin.
-
Jos arvauksemme oli väärä, ja se olikin ykkönen, viesti jätetään hiljaa pois.
-
Meidän tapauksessamme saimme selville, mikä arvo tällä avaimen bittivirran bitillä on, ja voimme toistaa tämän yhä uudelleen ja lopulta saamme koko bittivirran.
-
Hyvä.
-
Miten sitten saamme ne ensimmäiset bitit avaimen bittivirrasta?
-
Kävi ilmi, että tämän neljän bitin viestin voi murtaa raa'alla voimalla.
-
Eli kokeilemme kaikki 16 vaihtoehtoa, joista vain yksi hyväksytään – ja silloin tiedämme, mikä avaimen bittivirta vastaa niitä neljää bittiä.
-
Loppujen lopuksi tarvitsemme 40 bittiä avaimen bittivirtaa, neljä ei riitä.
-
Miten pääsemme neljästä 40:een?
-
Käytämme hyväksi MAC-kerroksen fragmentaatiota eli pilkkomista.
-
Voimme siis käyttää kymmenen neljän bitin jaksoa peräkkäin.
-
Käytämme fragmentaatiota ja rakennamme viestin sen päälle.
-
Ja sitten radio saa koota kaikki nämä palaset takaisin yhteen.
-
Ja jos tarkistussumma osoittautuu oikeaksi, radio kuittaa tyytyväisenä että viesti vastaanotettiin.
-
Eli voidaan käyttää mitä tahansa noista fragmentoidun viestin osista ja laajentaa sillä bittivirtaa – näin meillä on kyky palauttaa koko avaimen bittivirta.
-
Okei.
-
Siinä oli siis tämä hyökkäys kokonaisuudessaan.
-
Ja kun esittelimme tämän ETSI:lle, heilläkin oli myös jotain sanottavaa.
-
Heidän mielestään tämä oli kiva teoreettinen löytö, mutta ei käytännöllinen ollenkaan.
-
Kuten että miten muka voisit lähettää voimakkaamman signaalin ja niin edelleen.
-
Joten me sitten esitimme ystävällisen pyynnön ja kysyimme, voisivatko he antaa meille tukiaseman, jotta voisimme testata ja osoittaa tämän asian heidän puolestaan.
-
He vastasivat että haha, no ei käy.
-
Lol.
-
Siihen aikaan olimme yhteydessä myös useisiin sidosryhmiin, ja he sanoivat aika lailla samaa - saimme saman viestin.
-
Me todella halusimme testata tämän.
-
Miten tämä sitten tehdään käytännössä?
-
No, emme tietenkään halunneet käyttää aikaa koko Tetra-järjestelmän rakentamiseen alusta asti, koska nykyisellään pidämme aika lailla omasta elämästämme.
-
Joten päätimme vain ostaa yhden tukiaseman eBaysta.
-
Tässä on Motorolan tukiasema vuodelta 2004.
-
Tämä on todella vanha.
-
Tämä on todella iso ja kömpelö.
-
Tämä painaa 75 kiloa.
-
Se on minun kotonani.
-
Aluksi se ei oikein halunnut tehdä yhteistyötä, eikä se tarkistanut laiteohjelmiston allekirjoituksia, mutta oli helppo suostutella.
-
Löysimme tästä haavoittuvuuksia ja rakensimme hyökkäysalustamme sen päälle.
-
Avainten palautushyökkäys näyttää suunnilleen tältä.
-
Hei, me olemme Midnight Blue.
-
Olemme löytäneet useita vakavia haavoittuvuuksia Tetra-radiojärjestelmästä.
-
Näytämme ensin Oracle-hyökkäykse, jolla puretaan salaus ja palautetaan tekstiviesti.
-
Hyökkäystä voidaan soveltaa myös puheviestintään ja dataan.
-
Demonstraatio tapahtuu meidän testiympäristössä.
-
Radio vastaanottaa salatun viestin, jonka myös hyökkääjä kaappaa ja tallentaa.
-
Näemme, että viestissä lukee "salainen".
-
Hyökkääjän täytyy seuraavaksi kohdistaa hyökkäys johonkin radioon, esittää olevansa tukiasema ja purkaa aiemmin kaapattu ja tallennettu viesti.
-
Olemme nopeuttaneet tätä prosessia.
-
Hyökkääjä on nyt saanut kaiken tarvitsemansa viestin salauksen purkamiseen.
-
Tämä hyökkäys koskee kaikkia Tetra-konfiguraatioita, mutta sen voi korjata laiteohjelmistopäivityksellä.
-
Lisätietoja julkistetaan 9. elokuuta.
-
Okei.
-
Seuraavaan haasteeseen.
-
Katsotaan vähän tarkemmin avainten bittivirran tuottajia.
-
Niillä kaikilla on hyvin samanlainen rakenne, joka koostuu useista LFSR-rekistereistä, joistakin epälineaarisista funktioista ja muutamista S-laatikoista.
-
Tässä kuvassa näkyy TEA2:n kaavio – se, jota esimerkiksi Euroopan poliisi käyttää.
-
Ja se vaikuttaa melko vahvalta.
-
Emme löytäneet siitä mitään selkeää heikkoutta.
-
Mutta toisaalta minun on myönnettävä, etten ole mikään kovan luokan kryptografi.
-
TEA1:n kohdalla tilanne on toinen ja muuttuu todella vakavaksi.
-
Kun katsoimme sitä, niin käytännössä ensimmäinen asia mitä se tekee on se, että se ottaa 80-bittisen avaimen, syöttää sen funktioon, joka tuottaa 32-bittisen avaimen - kaikki perustuu tähän avaimeen.
-
Joten joo, aika huono juttu
-
Voimme nyt murtaa tämän 32-bittisen avaimen, mikä kestää kannettavalla tietokoneella noin minuutin.
-
Ja sen jälkeen voi käytännössä siepata ja sotkea liikennettä miten haluaa.
-
Ja muistutuksena tähän väliin, että tätä TEA1-järjestelmää käytetään kriittisissä infrastruktuureissa, eikä vain Euroopan ulkopuolella vaan myös Euroopassa.
-
Kriittinen infrastruktuuri ei ole julkisen hallinnon omaisuutta.
-
Se on yleensä yksityisessä omistuksessa.
-
Eikä se ole Poliisin käytössä.
-
Käytännössä kriittisen infrastruktuurin omistajana sinulla on valittavana joko ei salausta ollenkaan tai TEA1 – joka osoittautuu olevan melkein sama kuin ei salausta ollenkaan.
-
Okei.
-
Mikä sitten oli ETSI:n vastaus tähän?
-
Haastattelussa, johon myös Wouter viittasi ja jossa puhui ETSI:n teknisen komitean puheenjohtaja, he väittivät, että demo-hyökkäyksemme tehtiin erittäin tehokkaalla näytönohjaimella – mikä ei pidä paikkaansa, koska kyseessä oli kuluttajalaitteisto vuodelta 2016.
-
Rehellisesti sanottuna se oli luultavasti hyvin tehokas 25 vuotta sitten, kun nämä laitteet keksittiin.
-
Ja sitten hän jatkaa väittämällä, että 32 bittiä saattoi tai ei saattanut riittää tuohon aikaan.
-
Joten, mitä jos jätettäisiin tämä keskustelu nyt omaan arvoonsa?
-
Ei oleteta mitään...
-
Ei käytetä "kohtuuttomia" laitteita.
-
Katsotaan, mihin tämä poika pystyy.
-
Hei, me olemme Midnight Blue.
-
Noin kaksi viikkoa sitten ilmoitimme Tetra Burst -haavoittuvuuksista – viidestä haavoittuvuudesta Tetra-radiojärjestelmässä, joista kaksi on luokiteltu kriittisiksi.
-
Sen jälkeen ETSI, joka vastaa Tetra-standardeista, on julkaissut lausuntoja, joissa se vähättelee haavoittuvuuksien vakavuutta.
-
Näissä lausunnoissa he turvautuvat semanttiseen väittelyyn, eivätkä kutsu asioita niiden oikeilla nimillä, tai tarkemmin sanottuna – eivät kutsuneet takaporttia takaportiksi.
-
Lisäksi he esittivät selvästi vääriä väitteitä, kuten että pakettien syöttäminen TEA1-salattuihin verkkoihin olisi mahdotonta, ja että 32 bittinen salaus olisi riittänyt 1990-luvun lopulla.
-
Kenelle tahansa tietoturva-asiantuntijalle on täysin selvää, ettei näin ole.
-
Ja poistaaksemme loputkin epäilykset päätimme ottaa tämän haasteen vastaan ja murtaa TEA1:n tällä kauniilla koneella, joka on vuodelta 1998 ja käyttää vanhaa kunnon Windows 95:tä.
-
Rehellisesti sanottuna tämä laitteisto on niin vanhaa, että sitä oli vaikea saada käsiin.
-
Kun ajoimme murtotyökalua, näimme raporteista, että se tarvitsee noin 13 tuntia koko hakutoiminnon suorittamiseen.
-
12 ja puolen tunnin kuluttua avain löytyi, mikä osoittaa, että TEA1:n murtaminen 90-luvun kuluttajalaitteilla on täysin mahdollista.
-
No niin, ETSI – nyt kun tämä on selvää, kertokaa jos haluatte että näytämme myös miten pakettien syöttäminen verkkoihin on mahdollista.
-
Terve.
-
Ai niin, me olemme Midnight Blue.
-
Kiitos.
-
Tämähän on selvästi vakava takaportti – mutta eihän tämä ole ongelma Euroopalle, vai mitä?
-
Tämähän pitäisi olla ongelma vain niille pahoille maille Euroopan ulkopuolella.
-
Eihän kukaan nyt suunnittelisi takaporttia ja sitten ampuisi itseään jalkaan.
-
Haastattelussa, jossa puhui Brian Murgatroyd, ETSI:n Tetra-teknisen komitean puheenjohtaja, hän sanoi: "No, odottaisin, että jokainen, joka tarvitsee paljon suojaa, ei käyttäisi pelkkää TEA1:tä.
-
Euroopassa suosittelisin, että jos tarvitaan korkeaa turvallisuutta, käytettäisiin TEA2:ta."
Joten eihän tässä ole mitään todellista ongelmaa ja kriisi vältetty – eikö totta?
-
Paitsi että tämä puhe on täyttä roskaa.
-
Kävimme läpi useita tarjouspyyntöjä, hankintoja ja julkisia asiakirjoja, ja löysimme, että useat EU-maat käyttävät poliisi- ja sotilastarkoituksissa edelleen TEA1:tä.
-
Yksi esimerkki näkyy diassa: Puola, joka on ollut EU:n jäsen vuodesta 2004. Siellä kunnille myytiin TEA1-radioita niinkin myöhään kuin vuonna 2019 tai 2020.
-
Ja tämä tapahtui kaupungeissa kuten Varsovassa, Krakovassa ja Lotzissa – ja näissä käytetään TEA1:tä.
-
Toinen esimerkki on Bulgaria.
-
Se on ollut EU:n jäsen vuodesta 2007, ja siellä puolustusministeriö on hankkinut TEA1-radioita vielä vuonna 2020 eri järjestelmiin.
-
Kolmas esimerkki on Slovenia, joka on ollut EU:n jäsen vuodesta 2004.
-
Heillä oli hiljattain pieni Tetra-skandaali, kun riippumaton tutkija osoitti, etteivät he itse asiassa salanneet mitään, toisin kuin luulivat.
-
Tämä tutkija tuli julkisuuteen asian kanssa, sai siitä vankeutta, ja pian tämän jälkeen maa alkoi hankkia poliisihelikoptereita ja ilmoitti käyttävänsä TEA1:tä – joka ei siis käytännössä ole salaus ollenkaan.
-
Neljäs esimerkki on Montenegro.
-
Se on ollut EU-jäsenyyden ehdokasmaa vuodesta 2010.
-
He ovat kamppailleet kansainvälisen järjestäytyneen rikollisuuden ja huumekartellien kanssa, erityisesti Barin kaupungissa.
-
Siellä Poliisi on hankkinut TEA1-radioita vielä niinkin myöhään kuin vuonna 2018.
-
Ja koska näiden radioiden käyttöikä on pitkä, kaikki nämä laitteet ovat edelleen käytössä.
-
Ja 32-bittinen salaus ei ole huono vain valtioiden kannalta – se on huono myös järjestäytyneen rikollisuuden torjunnassa.
-
Viides esimerkki – jatketaan samalla linjalla – on Moldova.
-
Moldova on ollut EU-jäsenyyden ehdokasmaa vuodesta 2022, ilmeisistä syistä.
-
He ovat tällä hetkellä geopoliittisesti hyvin herkällä alueella johtuen jännitteistä Venäjän kanssa.
-
Moldovan Poliisi ja karabinieerit ovat hankkineet TEA1-radioita vuosina 2017–2020, osin myös Yhdistyneiden Kansakuntien avustuksella.
-
Tämä osoittaa hyvin, että vaikka geopoliittiset suhteet voivat muuttua ajan myötä, teknologiapinot (tecnhology stacks) eivät muutu niin helposti.
-
Saatat ajatella, että näillä mailla täytyy olla TEA1, että heillä täytyy olla takaportti – mutta kun suhteesi näihin maihin muuttuu, päädyt ampumaan itseäsi jalkaan.
-
Näin on käynyt myös Euroopan ulkopuolella, kuten Yhdysvaltojen paikallisten liittolaisten kanssa.
-
Löysimme useita hankintadokumentteja, joissa kuvataan, että Yhdysvaltojen paikallisille liittolaisille annettiin TEA1-radioita, ei TEA3-radioita – kuten koko Irakin poliisivoimille, koko Libanonin poliisivoimille, Afrikan sarven yhdistetylle tehtäväjoukolle Somaliassa ja YK:lle Afganistanissa, kun he vielä olivat siellä.
-
Kaikki nämä käyttivät TEA1-laitteita – eli 32-bittistä salausta.
-
Mutta tämän lisäksi, mielestäni vielä pahempaa on TEA1:n käyttö kriittisessä infrastruktuurissa.
-
Kuten Carlo jo mainitsi, kriittisen infrastruktuurin käyttötapauksissa on yleensä kaksi vaihtoehtoa:
-
Joko käytetään salaamatonta viestintää tai sitten käytetään TEA1:tä.
-
Ja tämän vaikutuksen ymmärtämiseksi pitää tietää hieman taustaa Tetra-järjestelmän käytöstä kriittisessä infrastruktuurissa.
-
Verkkoyhteyksiä voidaan toteuttaa usealla eri tavalla.
-
Voit käyttää radiosta radioon -yhteyksiä.
-
Tai voit käyttää yhdyskäytävää, johon kaikki radiot yhdistyvät.
-
Tämän lisäksi on kaksi pääasiallista viestintätapaa.
-
Lyhyt datapalvelu, joka on vähän kuin tekstiviesti, mutta Tetraa varten.
Ensimmäinen on 'short data' -palvelu, joka on vähän kuin SMS, mutta Tetra-verkossa.
-
Toinen on pakettidata, jossa IP-aliverkko siirretään Tetra-verkon yli.
-
Näiden viestintätapojen päällä kulkee lisäksi vielä varsinainen data.
-
Ja se voi olla sarjaviestintää, sarjaviestintää IP:n yli tai täysin IP-pohjaista verkkoliikennettä Tetra-yhteyksien päällä.
-
Kriittisessä infrastruktuurissa käytetään tuttuja protokollia, kuten IEC 101, 104, DNP3 ja Modbus – jotka, kuten ehkä tiedät, ovat kaikki lähtökohtaisesti suunniteltu ilman tietoturvanäkökulmaa.
-
Näissä protokollissa ei ole omia tietoturvaominaisuuksia, vaan ne luottavat verkon alempien kerrosten suojauksiin.
-
Esimerkkinä tästä on liikenne.
-
Tässä näkyvä dialla näkyvä dokumentaatio perustuu siis todellisiin järjestelmiin, jonka öysimme verkosta.
-
On monia tapauksia, joissa liikennettä Yhdysvalloissa, Isossa-Britanniassa, täällä Saksassa, Espanjassa, Kreikassa, Etelä-Amerikassa ja Itä-Euroopassa hoidetaan Tetra-verkon kautta – kuten busseja ja kevytraideliikennettä.
-
Ja tämä voi olla jotain yksinkertaista, kuten vartijan viestintä junassa.
-
Mutta se voi olla myös jarrujen, ovien, tai matkustajien tai rataturvallisuuden tietojärjestelmien ohjausta.
-
Ja kaikki tämä saattaa mennä Tetran-verkon kautta.
-
Ensimmäinen skenaario, jossa kaikki voisi mennä pahasti pieleen, on matkustajien huijaaminen.
-
Dian yläosassa näkyy anonymisoituja kohtia, jotka löysimme verkosta todellisesta Tetra-järjestelmästä. Niissä hallitaan matkustajatietoja, jota näkyvät junissa ja asemilla, SDS-viestien ja äänen avulla Tetra-verkon kautta.
-
Jos pystyt syöttämään liikennettä Tetra-verkkoon – mikä onnistuu, kun olet murtanut TEA1-avaimen – voit lähettää tekaistuja viestejä.
-
Voisit esimerkiksi ilmoittaa tekaistun pommiuhkauksen.
-
Voisit häiritä matkustajien tietojärjestelmiä
-
Vastaavanlainen tapaus sattui muutama vuosi sitten Iranissa, kun matkustajien tietojärjestelmät hakkeroitiin.
-
Järjestelmiin lisättiin tekaistuja myöhästymisiä, ja näytettiin viesti: "Jos junassa on ongelmia, soita tähän numeroon." Numero osoittautui olevan Ayatollahin yksityinen numero.
-
Tämä aiheutti vakavia viivästyksiä pitkäksi aikaa.
-
Eli vaikka ei suoraan hyökätty junien turvalaitteisiin, pelkkä tällainen häirintä voi jo aiheuttaa vakavaa haittaa.
-
Toinen skenaario on liikenteenohjaajan harhauttaminen.
-
Tetra-pohjaisissa liikennejärjestelmissä voi lähettää esimerkiksi bussin tai raitiovaunun GPS-koordinaatit SDS-viestinä, ja komentokeskuksessa oleva liikenteenohjaaja kertoo ajoneuvolle minne mennä.
-
Jos voit väärentää nämä viestit, voit kertoa ohjaajalle, että ajoneuvot ovat väärässä paikassa – tai ohjata ajoneuvot paikkaan, mihin niiden ei pitäisi mennä.
-
Jotain vastaavanlaista tapahtui Ukrainan sodan alussa, kun Yandex taksin järjestelmä hakkeroitiin ja satoja takseja lähetettiin samaan paikkaan Moskovassa – aiheuttaen täydellisen liikenneruuhkan, jonka selvittäminen kesti kauan.
-
Tällaista voisi periaatteessa tapahtua muuallakin.
-
Kolmantena, ja huolestuttavampana esimerkkinä: kuten dioista näkyy, jotkut Tetraan perustuvat liikennejärjestelmät mahdollistavat junien etäohjauksen – kuten junan käynnistämisen tai pysäyttämisen, hätäjarrutuksen, käyttöjarrun pois kytkemisen tai palohälytysten manipuloinnin.
-
Jos pystyt aktivoimaan hätäjarrutuksen junassa, se ei välttämättä heti aiheuta turvallisuusriskiä.
-
Tämä riippuu siitä, miten järjestelmä on suunniteltu.
-
Mutta se aiheuttaa varmasti häiriötä, etenkin jos tätä tehdään laajassa mittakaavassa.
-
Ja tämä tapahtui tänä vuonna Puolassa, kun toisessa analogisessa radiopuhelinjärjestelmässä injektoitiin viesti, joka laukaisi hätäjarrutuksen ja pysäytti useita junia.
-
Vuonna 2008 puolalainen tiimi teki demo-hyökkäyksen raitiovaunun hätäjarrutusjärjestelmään – ja se johti suistumiseen raiteilta.
-
Tämänkaltaisten hyökkäysten mahdolliset vaikutukset ovat erittäin vakavia.
-
Ja se, että kaikki tämä on jätetty 32-bittisen salauksen varaan, on täysin käsittämätöntä.
-
Lopuksi puhutaan vähän TEA3:sta – eli kolmannesta algoritmista – joka on mielenkiintoinen tapaus, koska sitä ei ole tarkoitettu niille maille, joiden kanssa on huonot suhteet.
-
Sitä ei myöskään ole tarkoitettu Eurooppaan.
-
Se on tarkoitettu liittolaisille Euroopan ulkopuolella.
-
Ja löysimme tästä mielenkiintoisen asian: S-laatikko, joka on tärkeä salauskomponentti, sisälsi kahteen kertaan saman arvon.
-
En aio mennä yksityiskohtiin siitä, mitä se tarkoittaa, mutta tätä ei todellakaan tehdä, jos halutaan vahvistaa jotain algoritmia.
-
On myös epätodennäköistä, että kyse olisi vahingosta, koska kaikkien valmistajien täytyy käyttää samaa toteutusta yhteensopivuuden vuoksi – ja tähän salaukseen on tehty muutoksia, jotka erottavat sen selvästi TEA1:stä ja TEA2:sta.
-
Tämän vaikutukset ovat meille tällä hetkellä epäselviä.
-
Haluaisimme, että tätä tarkasteltaisiin enemmän julkisesti.
-
Mutta jos osoittautuu, että tässä on vielä yksi takaportti, se on kyllä erittäin mielenkiintoista.
-
Hyvä.
-
Puhutaan seuraavaksi vähän haavoittuvuuksien ilmoittamisesta.
-
Kuten huomaatte, tämä on hyvin pitkä aikajana.
-
Aloitimme tämän projektin tammikuussa 2021.
-
Neljässä kuukaudessa meillä oli algoritmit, ja käytimme loppuvuoden hyökkäysten viimeistelyyn ja raporttien kirjoittamiseen.
-
Joulukuussa 2021 otimme ensimmäisen kerran yhteyttä Alankomaiden kansalliseen kyberturvallisuuskeskukseen.
-
Tammikuussa 2022 pidimme tapaamisia Alankomaiden Poliisin, ETSI:n ja tiedusteluyhteisön kanssa saadaksemme nämä tiedot ulos.
-
Vuonna 2022 ja 2023 annoimme tiedotteita ja varoituksia, jotta tieto saataisiin kaikille – koska näitä järjestelmiä on erittäin vaikea päivittää, suojata tai kiertää.
-
Halusimme antaa eri tahoille riittävästi aikaa valmistautua ennen kuin julkistamme tämän.
-
Mitä tulee suojastoimiin, eri hyökkäyksiä vastaan on erilaisia keinoja.
-
Mitä tulee keystream recovery -hyökkäykseen, laitevalmistajat ovat julkaisseet siihen firmware-päivityksiä.
-
Palaan siihen vielä myöhemmin tarkemmin.
-
TEA1-takaportin osalta joudut todennäköisesti joko siirtymään uuteen TEA-salausalgoritmiin, jos se on mahdollista – taikka sinun on lisättävä päästä päähän -salaus TEA1:n päälle – ja kriittisessä infrastruktuurissa sinun on alettava miettiä, miten voit suojata ylemmät kerrokset Tetran päällä.
-
De-anonymisointihyökkäykselle ei oikeastaan voi tehdä mitään.
-
Sinun on otettava käyttöön tietoturvatoimia ja odotettava, kunnes laitevalmistajat julkaisevat uudet Tetra-algoritmit.
-
Ja lopuksi, mitä tulee DCK-pinning -hyökkäykseen, myös siihen on saatavilla laiteohjelmistopäivityksiä valmistajasta riippuen.
-
Seuraavaksi hieman asiaa väärästä tiedosta.
-
Halusimme lisätä tämän osion, koska julkaisumme jälkeen olemme olleet useita kertoja yhteydessä eri valmistajiin, käyttäjiin ja järjestelmäintegraattoreihin – ja olemme jatkuvasti kuulleet, että valmistajat ja standardointiorganisaatiot levittävät väärää tietoa.
-
Ensinnäkin, ETSI:n ja TCCA:n (Tetra-alan teollisuusjärjestö) virallisessa lausunnossa heinäkuussa 2023 sanottiin aluksi: "TEA1 ei ole takaportti".
-
Se on "salakavalasti heikennetty algoritmi" – semanttista hölynpölyä. Lisäksi he eivät maininneet mitään muista haavoittuvuuksista.
-
Ainoa asia, jonka he mainitsivat avainten bittivirran palautuksesta, de-anonymisoinnista ja DCK-pinningistä oli: "tutkimus paljasti joitakin yleisiä kehityskohteita Tetra-protokollassa."
-
No, voit toistaa edellisen.
-
Tämän vuoden joulukuussa nämä organisaatiot jatkoivat lausuntojaan ja väittivät, että vain TEA1-ongelma olisi merkittävä – mikä ei pidä paikkaansa.
-
Joten jos työskentelet Tetran kanssa – tai tunnet jonkun, joka työskentelee – pyri korjaamaan tämä väärä tieto.
-
Tänä vuonna he myös suosittelevat, mielestäni hyvin vastuuttomasti, Tetraa erittäin turvallisena langattomana linkkinä SCADA-järjestelmiin, puolitoista vuotta sen jälkeen, kun olimme paljastaneet heille nämä ongelmat.
-
Esimerkiksi he väittävät, että "monet juna-, metro- ja kuljetusyritykset käyttävät Tetraa julkisen liikenteen ohjaukseen ja toimintaan."
-
"Tetran korkea tietoturva ja salaus tukevat näitä turvallisuuskriittisiä toimintoja."
Ja he jatkavat sanomalla, että sama pätee öljy- ja kaasuputkiin ja muuhun vastaavaan.
-
Eli he yrittävät myös rakentaa uusia järjestelmiä näillä teknologioilla.
-
Mitä taas tulee valmistajiin ja järjestelmäintegraattoreihin – suurin osa ei ole kommentoinut juuri mitään.
-
He eivät ole antaneet julkista lausuntoa.
-
Jotkut eivät ole edes informoineet asiakkaitaan.
-
Toiset puolestaan toistavat vaan sen, mitä ETSI sanoo – mikä on ymmärrettävää, koska valmistaja on ETSI ja päinvastoin.
-
He sanovat: "Tämä kaikki on vain hypoteettista."
-
"Nämä ovat laboratorio-olosuhteissa tehtyjä testejä."
-
"Ei ole todisteita oikean maailman hyökkäyksistä."
-
Ja tämä tekee meidän ja NCSC:n työn paljon raskaammaksi.
-
Joten pyydämme: lopettakaa tämä puhe. Mielenkiintoista kyllä, he tekevät riskianalyysejä asiakkailleen.
-
Mutta he sanovat – täysin epäitsekkäästi – että "teemme riskien arvion ilmaiseksi", mikä on vähän sama asia kuin arvioisit itse omaa murrettasi, eikö?
-
Se on kuin teurastaja arvioisi omaa lihaansa – ja kyseessä on muka vain "hypoteettinen haavoittuvuus". Tiedämme siis jo etukäteen, millaiseen lopputulokseen he päätyvät.
-
Tämä ei olisi edes niin paha asia, elleivät he ymmärtäisi perusasioita täysin väärin.
-
Esimerkiksi osa laitevalmistajista väittivät, että avainten bittivirran -palautushyökkäys on "man-in-the-middle" -tyyppinen hyökkäys, mikä tarkoittaa, etteivät he ymmärtäneet hyökkäystä ollenkaan.
-
Ja tämän seurauksena he antavat vielä huonoja neuvoja.
-
Olemme myös kuulleet useista valmistajista, jotka ovat yrittäneet myydä TEA1-takaporttialgoritmia Euroopan kriittiselle infrastruktuurille vielä toukokuussa tänä vuonna – väittäen joko, että kaikki on kunnossa tai että se korjataan päivityksellä, mikä ei ole edes mahdollista.
-
Useat laitevalmistajat lisäksi väittivät eurooppalaisille kriittisen infrastruktuurin toimijoille, että verkon todennus suojaisi viestien väärentämiseltä – mikä on hölynpölyä, koska Tetrassa ei ole tämän tason kryptografista allekirjoitusta.
-
Tämä on siis yksinkertaisesti väärää tietoa.
-
Ja ainakin yhdessä tapauksessa näimme, että valmistaja julkaisi "paikkauksen", joka ei oikeasti tehnyt mitään.
-
En sano, että se olisi huono päivitys.
-
Se ei vain tehnyt yhtään mitään.
-
Ja nämä ovat siis ne tahot, jotka antavat neuvoja ja tekevät riskianalyysejä.
-
Joten suhtautukaa näihin tietoihin varauksella – ja pyytäkää myös toinen mielipide asiasta tai riippumaton asiantuntija-arvio.
-
Puhutaan seuraavaksi vielä vähän siitä, mitä tämän kaiken jälkeen on tapahtunut.
-
Ehkä minä vain liioittelen.
-
Ehkä tämä kaikki onkin ollut vain turhaa kohua.
-
Kuten ETSI sanoi: "Virallinen kantamme on, että tällä hetkellä meillä ei ole tietoa toimivista hyökkäyksistä operatiivisia verkkojamme vastaan. Kahdessa näistä viidestä hyökkäyksestä on ollut kyse passiivisesta kuuntelusta."
-
Mutta mistä he edes tietäisivät, onko näitä hyökkäyksiä tapahtunut?
-
Me tutkimme hieman myös Snowdenin vuotamia asiakirjoja.
-
Ja löysimme, että vuonna 2007 NSA ja Australian signaalivirasto tekivät yhteisoperaation, jossa kerättiin Indonesian poliisin viestintää YK:n ilmastokokouksen aikana Balilla.
-
Vuodetuissa asiakirjoissa mainitaan, että he saivat haltuunsa kulkueiden reitit, Balin poliisipäällikön matkapuhelinnumeron, ja onnistuneesti keräsivät tämänkaltaista viestintäliikennettä.
-
Emme väitä, että he hyödynsivät juuri meidän löytämiämme haavoittuvuuksia.
-
Meillä ei ole tästä teknistä näyttöä tai yksityiskohtia tiedossa.
-
Mutta tämä tapaus kuitenkin osoittaa, että valtiolliset toimijat ovat aktiivisesti kohdistaneet hyökkäyksiä Tetra-verkkoihin.
-
Löysimme myös Snowdenin asiakirjoista, että Ison-Britannian GCHQ toteutti vaikutusoperaation nimeltä 'Operation Quito' Argentiinaa vastaan Falklandinsaarten alueella, liittyen öljy-oikeuksien kiistaan vuonna 2009.
-
Ja he keräsivät Tetra-viestintää armeijalta ja johtajilta, mikä osoittaa jälleen, että Tetra on ollut aktiivisesti hyökkäyksen kohteena.
-
Mitäs seuraavaksi?
-
Annetaan Wouterin jatkaa tästä.
-
Kiitos.
-
Okei.
-
Jokin aika sitten ETSI julkaisi uuden version standardista, jossa on "algoritmipaketti B". Se sisältää uudet salausalgoritmit ilmarajapintaan, uudet todennuskokonaisuudet uusilla peruskomponenteilla sekä uudenlaisen identiteettien salauksen.
-
Aluksi he aikoivat pitää nämä algoritmit jälleen salassa – eli tehdä saman virheen uudestaan.
-
Mutta tutkimuksemme jälkeen he ovat käyneet ensin keskustelua keskenään sekä laitevalmistajien kanssa, ja päättäneet tehdä sekä vanhat että uudet algoritmit julkisiksi, jotta niitä voidaan tutkia avoimesti.
-
Tämä on suuri voitto avoimille teknologioille.
-
Kiitos.
-
Koska läpinäkyvyys on ETSI:n perusta.
-
Jihuu – pelkkä kryptografisten peruskomponenttien julkistaminen ei kuitenkaan riitä
-
Ja kuten puhuimme TEA3:sta, siinä on jotain outoa.
-
Haluaisimme saada koko suunnitteluprosessin julkiseksi.
-
Kukaan ei ole kertonut, miten tämä toimii.
-
Haluamme ymmärtää, miksi algoritmit on suunniteltu juuri niin kuin ne on.
-
Vain siten voimme saada käsityksen algoritmien vahvuudesta sekä luottaa niihin paremmin.
-
Nyt myös vähemmän huomiota saanut lausunto, joka koski TEA7-algoritmia, myönnettiin todellisuudessa käyttävän vain 56 bitin avaimia.
-
Tässä on toinen avainten pienennysfunktio, joka lyhentää avaimen 56 bittiin, Wassenaarin järjestelyn mukaisesti.
-
Suhteutetaan tämä asia käytäntöön.
-
Tehdään myös muutamia oletuksia.
-
Oletetaan, että uudet avainten bittivirta-generaattorit ovat suunnilleen yhtä nopeita kuin vanhat.
-
Ja otetaan nopein TEA1-murtotyökalumme pohjaksi.
-
Tällöin yksi todella tehokas Amazon-palvelin tarvitsisi noin 170 päivää kaikkien mahdollisten avainten läpikäymiseen löytääkseen TEA7-avaimen, joka vastaa tiettyä verkkoa.
-
Ja jos käytetään spot-hinnoittelua – eli alennettua hinnoittelua vajaakäytössä olevilla palvelimilla – voit katsoa internetistä, millä alueella on kyseisellä hetkellä alhaisin hinnoittelu, niin arvioimme, että tämä voi maksaa vain 5 000 euroa.
-
Ja tietenkin voit nopeuttaa prosessia ottamalla käyttöön useampia palvelimia.
-
Voisit hankkia vaikka pari tusinaa palvelinta.
-
Pidämme myös täysin realistisena, että hyökkäysalustan voi rakentaa AWS:n päälle ja että 5 000–6 000 eurolla saadan TEA7-avain haltuun viikossa.
-
Ja tämä kaikki ilman, että edes keskustellaan GPU- tai FPGA-toteutuksista.
-
Kyseessä on todella matala kynnys.
-
Tässä ei ole otettu huomioon sitä, että laskentateho tulee halpenemaan seuraavien vuosikymmenten aikana.
-
Joten kyseessä on rahasumma, johon kuka tahansa hieman motivoitunut hyökkääjä voi kohtuullisesti yltää.
-
Tämä on lisäksi järjestäytyneen rikollisuuden ulottuvilla – ja ehkä myös jonkun varakkaan teinin, jolla on tylsää.
-
Tulevaisuudessa tämä ei siis millään tavalla ole kestävä ratkaisu.
-
Meille sanotaan jatkuvasti, että Wassenaarin sopimus on syy on syy siihen, miksi nämä takaportit ovat olemassa ja miksi niitä täytyy olla.
-
Vaikka vahvan salauksen vientiin liittyy rajoituksia, Wassenaarin järjestelyssä on myös poikkeuksia.
-
Poikkeuksia on muun muassa julkiselle kryptografialle, siviilikäytölle (kuten mobiilikäyttöön) ja niin sanotuille siviili-teollisille sovelluksille.
-
Eli monissa, ja monissa tapauksissa verkkoja ei tarvitsisi rajoittaa näin heikkoon tietoturvaan.
-
Saako kriittinen infrastruktuuri nyt sitten käyttöönsä TEA 7:n?
-
Vai tuleeko meille taas uusi TEA1-fiasko?
-
Tämä on mahdollista.
-
Toivotaan, ettei näin tapahdu.
-
Mutta ainakin nyt tiedämme etukäteen, mihin olemme ryhtymässä.
-
TEA 6 on TEA 3:n vastine
-
Tämä on tarkoitettu Euroopan liittolaisille – Poliisille ja pelastusviranomaisille EU:n ulkopuolella.
-
Pitäisikö tähän luottaa?
-
Niin.
-
Voisimme kysyä tätä ETSI:ltä.
-
Aiemmin mainitussa haastattelussa teknisen komitean puheenjohtaja sanoi, ettei heillä ole mitään syytä tuottaa "epäilyttäviä" algoritmeja.
-
He myös sanovat, että loppukäyttäjällä on myös oma vastuunsa.
-
Eli jos käytät heikkoa salausta, sinun olisi luultavasti pitänyt tietää tämä ja valita jotain muuta.
-
Aiemmin tämä väite oli naurettava, koska algoritmit olivat salaisia.
-
Mutta nyt voit muodostaa oman mielipiteesi – ja todennäköisesti tulet siihen tulokseen, ettei kannata sitoutua vuosikymmeniksi heikkoon salausstandardiin.
-
Yhteenvetona: Me olemme esittäneet ensimmäisen julkisen tietoturva-analyysin Tetrasta.
-
Kyseessä on teknologia, jota käytetään yli 100 maassa monilla eri aloilla.
-
Löysimme useita haavoittuvuuksia.
-
Informoimme valmistajia ja sidosryhmiä, jotka ovat työskennelleet päivitysten ja korjausten parissa, ja jakaneet näitä käyttöön.
-
Vielä on kuitenkin paljon tehtävää.
-
Mutta pääsemme kyllä maaliin aikanaan.
-
Lopuks kehotus toimenpiteitä varten.
-
Jos organisaatiosi käyttää Tetraa, perehdy kunnolla käsittelemiimme ongelmiin. Selvitä suojauskeinot ja varaa riittävästi resursseja – koska tämä vaatii aikaa ja rahaa.
-
Älä luota sokeasti myyjiin.
-
Jos epäilet, etteivät he kerro sinulle koko totuutta tai etteivät he itse ymmärrä ongelmaa, ota meihin yhteyttä.
-
Olisi hienoa, jos kryptografian asiantuntijayhteisö tarkastelisi tarkemmin näitä algoritmeja – sekä tulevia uusia versioita että nykyisiä, kuten TEA3:a tai ns. "hurdle"-salausta.
-
Avoimia teknologiakokonaisuuksia on myös tarjolla ja ne ovat lupaavia, mutta niissä on vielä paljon työtä tehtävänä.
-
Koodareille: tässä on teille paljon mahdollisuuksia osallistua.
-
Ja lopuksi: lopettakaa salaiset kryptograset-ratkaisut.
-
Erityisesti Tetran päästä päähän -salaus on ongelmallinen, koska se on varattu kaikkein arkaluontoisimpaan käyttöön.
-
En ole varma, että onko meillä enää aikaa kysymyksille, mutta haluan ainakin kiittää teitä huomiostanne.
-
Kiitos.
-
Kiitos.
-
Kiitos.
-
Se on päällä.
-
Okei.
-
Meillä on joitakin kysymyksiä.
-
Meillä on vielä vähän aikaa.
-
Aikataulusta olemme jo jäljessä, mutta meillä on pitkä tauko tulossa.
-
Yrittäkää olla hiljaa, jos poistutte nyt huoneesta.
-
Tiedän, että Signal Angelilla on joitakin kysymyksiä.
-
Aloitamme teistä.
-
Niin?
-
Niin?
-
Luulen, että internetin puolella ollaan tyytyväisiä esitykseen.
-
Joten ei ehkä ole enempää kysymyksiä, mutta ilmoitan jos tulee.
-
Selvä.
-
Täällä olisi yksi kysymys.
-
Oikealla puolella.
-
Hei.
-
Indonesian lippunne oli väärinpäin.
-
Mutta minulla on myös kysymys: eikö ole GDPR-rikkomus, jos viranomaiset käyttävät tätä teknologiaa ja puhuvat epäillyistä, todistajista, potilaista ja niin edelleen?
-
Ja mitä tulee Indonesian lippuun, siitä voitte olla yhteydessä NSA:han.
-
GDPR:n osalta en ole sääntelyn asiantuntija.
-
Luulen, että tämä saattaa olla ongelmallista.
-
Mutta en ole kuullut, että tätä olisi oikeasti tutkittu tarkemmin.
-
Jos tämä kiinnostaa sinua, voisi olla hyvä idea kaivella asiaa vähän enemmän.
-
Asiasta voisi olla tuomioistuimen päätös, että tämän käyttö on laitonta.
-
Ehkä.
-
Tilanne on tällä hetkellä hieman epäselvä.
-
Yksityisyydensuoja on tässä järjestelmässä todella rajallinen.
-
Se on varmaa.
-
Okei.
-
Numero neljä, sinulla on kysymys.
-
Yksi esityksenne keskeisistä pointeista oli, että meidän pitäisi käyttää julkisesti arvioituja ja standardoituja algoritmeja.
-
Miten voimme helpottaa turvallisten protokollien rakentamista näiden kryptografisten peruskomponenttien päälle, ja onko teillä suosituksia NIST:lle heidän nykyiseen standardointiprosessiinsa liittyen – erityisesti SConin ja SHAKE-standardin osalta, jota saatetaan käyttää myös Tetrassa?
-
Aivan.
-
Nykyään on saatavilla paljon julkisia algoritmeja, joita voi vapaasti ottaa käyttöön – ne toimivat kuten Lego-palikat.
-
Eli voit käyttää niitä.
-
Ja rakentaa protokollan niiden ympärille.
-
Käytännössä usein käy niin, että nämä järjestelmät murtuvat ajan mittaan, ja sitten ne vasta kehittyvät ajan myötä.
-
Kuten meillä on nyt esimerkiksi IPv4 tai IPv6 ja TLS 1.3.
-
Ne eivät vain "ilmestyneet taivaalta".
-
Nämä standardit kehittyivät kivuliaan prosessin kautta, ja ovat nyt melko turvallisia.
-
Lisäksi: näiden asioiden täytyy olla helposti ylläpidettävissä – toisin kuin Tetrassa, jossa päivitykset ovat todella vaikeita toteuttaa, ja käyttäjä on täysin riippuvainen valmistajasta.
-
Numero yksi, ole hyvä.
-
Kiitos erinomaisesta esityksestä.
-
Kysymykseni on: aiotteko tutkia muita algoritmeja – mukaan lukien uudet Tetra-algoritmit sekä muiden valmistajien ja organisaatioiden protokollat ja algoritmit?
-
Joo, aiomme ehdottomasti katsoa uusia Tetra-algoritmeja.
-
Valitsimme Tetran, koska se on yksi viimeisistä jäljellä olevista suljetun kryptografian toimijoista puolustushallinnon toimialan ulkopuolella.
-
Meillä on jo joitakin ideoita tulevaa tutkimusta varten, mutta jos jollain on hyviä ehdotuksia, niin meille saa ehdottomasti vinkata.
-
Okei.
-
Täällä edessä, numerolla kaksi, on kysymys.
-
Oletteko tutustuneet DMR:n salaustekniikkaan?
-
Emme ole, mutta tiedän, että siinä käytettiin aiemmin RC4:ää 40 bitillä,
ja sittemmin on tullut AES-pohjaisia versioita, joita ei ole juuri tutkittu. Epäilen, että protokolla-tasolla saattaa olla ongelmia sekä DMR:ssä että mahdollisesti myös P25 Phase 2:ssa.
-
Joten tämä on myös kiinnostava ja mahdollinen tutkimuskohde.
-
Meillä on ammattitaitoinen tiimi.
-
Numero yksi.
-
Hei.
-
Käyttävätkö teolliset laitteet Tetraa sovelluskerrokseen asti, kun puhutte väärennetyistä viesteistä ja muusta, vai onko kyse esimerkiksi verkkokerroksesta?
-
Sitä käytetään periaatteessa verkkona, ja Tetran päällä kuljetetaan sarjaviestejä tai IP-paketteja SDS:n tai pakettidatamoodin kautta, ja tämä kaikki on SCADA-järjestelmille ja RTU:ille läpinäkyvää – ne eivät tiedä Tetrasta mitään.
-
Ne kohtelevat sitä kuten mitä tahansa muuta sarja- tai IP-verkkoa, ja siksi tietoturva-ominaisuudet pitää toteuttaa Tetran-verkon yläpuolelle.
-
Mutta yleensä niitä ei ole salattu.
-
Ei, ei, ei.
-
Yleensä OT-verkot ja kriittiset infrastruktuurit ovat turvattomia.
-
Kysymys ykköspaikalta.
-
Kyllä, sir.
-
Miten S-laatikko (S-box) voi olla epäsymmetrinen?
-
Mitä tapahtuu salauksen purkupuolella?
-
Arvaatteko vaan?
-
Tarkoitin, miten se voi olla muuta kuin permutaatio?
-
Sillä ei oikeastaan ole väliä, koska S-boxia käytetään avainrekisterissä.
Avainrekisteri alustetaan 80-bittisellä avaimella, ja se vain pyörii ja tuottaa avainmateriaalia, joka syötetään – joten takaisinpäin ei koskaan tarvitse mennä.
-
Aivan, nyt ymmärrän.
-
Voimalla.
-
Salaus puretaan käyttämällä samaa avaimen bittivirtaa uudelleen.
-
Lisäksi he tekivät joitain muutoksia rakenteeseen, jotka estävät tilojen yhdistämisen.
-
Ja Signal Angel heiluttaa jotain ulkoavaruudesta.
-
Kyllä, verkossa haluttaisiin tietää: Mikä teidän mielestänne on ETSI:n motiivi olla epäselvä lausunnoissaan paljastuksista, ja miksi luulette että he eivät ole oppineet aiemmista julkisista salausalgoritmeista?
-
En ihan saanut selvää.
-
Joo, en täysin kuullut sitä.
-
Mikä teidän mielestänne on ETSI:n motiivi olla harhaanjohtava paljastusten suhteen, ja miksi luulette, etteivät he ole oppineet aiemmista julkisista salausmenetelmistä?
-
En usko, että kyse on oppimisesta.
-
Kyse on, kuten sanoit, kannustimista.
-
ETSI on päättänyt aiemmin ja haluaa yhä pitää nämä asiat yksityisinä ja salaisina.
-
He tekivät näin myös GSM:n, satelliittipuhelimien ja GPRS:n kanssa.
-
Kyse on tietoisesta valinnasta noudattaa vientirajoituksia ja sisällyttää takaportteja salausratkaisuihin eri maailman osissa — tämä ei ole vahinko, tämä on politiikkaa.
-
Nyt he tekevät uudet algoritmit avoimiksi julkisen paineen ja tutkimuksemme seurauksena, mutta aikovat silti heikentää vähintään yhtä algoritmia, ja mahdollisesti muitakin.
-
Kyse on heidän politiikastaan — tämä on tapa, joka on juurtunut heidän toimintakulttuuriinsa.
-
Vau, tässä tuli kyllä vastattua aika moneen kysymykseen.
-
Kiitos teille.
-
Heihin saa yhteyden tuosta sähköpostiosoitteesta.
-
Voit tietenkin laittaa meille myös viestiä.
-
Paljon on vielä tehtävää jäljellä.
-
Kiitokset Jos Wetzels, Carlo Mayer ja Wouter Bokslag.
-
Tekstityksen on luonut Otto Heikkilä
KYBS2004 kurssitehtävä Jyväskylän yliopistossa
