Материалы всероссийской научно-технической конференции Автоматизир

Рис. 1. Архитектура Copacobana

Модули ППВМ: было решено использовать недорогие, современ­ ные ППВМ для проектирования: Xilinx Spartan3-1000. Данная ППВМ имеет 1 млн системных портов, 17 280 эквивалентных логических ячеек, 1920 конфигурируемых логических блоков, эквивалентных 7680 секторам, 120 килобит динамической оперативной памяти, 432 килобита блочной оперативной памяти и 4 цифровых блока управления синхронизацией. Выбор данной ППВМ был сделан путем сравнения размеров и цены различных типов и серий ППВМ. Разра­ ботчики решили остановиться на небольших модулях в стандартном формате двустороннего модуля памяти, включающих в себя 6 ППВМ Xilinx XC3S1000. На рис. 2 показана эта реализация на примере сде­ ланной вручную четырехслойной печатной платы. ППВМ непосред­ ственно соединены с общей 64-битной шиной данных на плате моду­ ля ППВМ, который сопряжен с шиной данных соединительной платы через приемопередатчики с тремя состояниями выхода. В то время как ППВМ отключены от шины, они могут взаимодействовать ло­ кально через внутреннюю 64-битную шину на двустороннем модуле памяти. Данный формат двустороннего модуля памяти позволяет осуществить компактное расположение компонентов, что очень важ­ но для тесно связанных шиной модулей.

В данной работе был описан проект экономически-эффективного устройства Copacobana, которое может быть реализовано менее чем за 10 000 долларов и содержать 120 недорогих ППВМ. Оно было предназначено для решения проблем шифрования, но не ограничива­ ется этим. Будут существовать более интересные проблемы, которые могут быть эффективно решены с помощью этого устройства.

Библиографический список

1. Breaking ciphers with COPACOBANA - a cost-optimized parallel code breaker / S. Kumar, C. Paar, J. Pelzl, G. Pfeiffer, M. Schimmler. Chair for Embedded Security Ruhr-University Bochum, Germany. - Elec­ trical Department of the University of Kiel, Germany, 2006.

2. How to Break DES for €8,980 / S. Kumar, C. Paar, J. Pelzl, G. Pfeiffer, M. Schimmler, A. Rupp. Chair for Embedded Security RuhrUniversity Bochum, Germany. - Electrical Department of the University of Kiel, Germany, 2006.

ЗАЩИТА ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ

ОТКРЫТЫХ WI-FI СЕТЕЙ

Студент гр. КОБ-11-1с К.А. Чижиков

Научный руководитель - канд. техн. наук, доцент М.В. Тюлькин Пермский национальный исследовательский политехнический университет

В наше время Wi-Fi составляет часть нашей повседневной жиз­ ни. В кафе, скверах, отелях, вокзалах мы начинаем сразу подклю­ чаться в открытым сетям Wi-Fi, но никогда не задумываемся о безо­ пасности своих данных.

Беспроводные сети из-за своих свойств не могут обеспечить кон­ троль доступа к данным, которые передал либо клиент, либо точка доступа. Эти данные могут быть получены с любого устройства в зоне обслуживания сети.

Перехват и анализ трафика - главные угрозы общественных се­ тей. Не стоит подключаться к первой же открытой общественной се­ ти, подумайте, кому она может принадлежать.

Возможно, человек за соседним столиком с помощью ноутбука и 3G-модема, запустивший точку доступа, собирает из проходящего трафика пароли, cookie и прочую «интересную» информацию.

Так как же защитить свои данные? Главное правило - никогда не используйте открытые сети для доступа к финансовой информа­ ции или совершения платежей.

Отключите общий доступ. При использовании домашней сети у вас может быть открыт доступ к файлам, принтерам и мультиме­ диаресурсам. Но как только вы подключаетесь к общественной сети, сразу же отключайте общий доступ, иначе вы даете большую воз­ можность злоумышленнику проникнуть в ваше устройство.

Используйте VPN. Не ко всем сайтам возможно подключиться, используя протокол SSL или Secure Socket Layer, который обеспечи­ вает безопасность передачи данных. При отсутствии шифрования зло­ умышленник имеет возможность свободного перехвата данных. В связи с этим необходимо использовать VPN для подключения к об­ щедоступным Wi-Fi-сетям. VPN - это Virtual Private Network или вир­ туальная частная сеть, доступ к которой очень трудно получить извне. Включив на своем устройстве функцию VPN, вы обеспечиваете

передачу данных в зашифрованном виде с использованием надежных алгоритмов. Образуется нить, связывающая вас с сервером обработки, предоставляющим услугу VPN, где информация расшифровывается и передается по назначению.

Используйте SSL. Протокол SSL используют многие сайты, чтобы обеспечивать обмен данными в зашифрованном виде. Для лучшей защиты рекомендуется установить расширение для браузера SSL Everywhere, в данном случае данные будут передаваться в за­ шифрованном виде практически на всех используемых вами сайтах.

Двухэтапная аутентификация. Для авторизации вам требуется использовать информацию двух видов: та, которая у вас есть, и ту, которую вы знаете. Чаще всего это сводится к тому, что у вас просят заранее установленный пароль, а также код, присланный по SMS. Таким образом, если кто-то украдет у вас пароль, его одного будет недостаточно для того, чтобы использовать вашу учетную запись.

Включите файервол. Практически все операционные системы имеют встроенный файерволом, который отслеживает входящие и ис­ ходящие соединения. Файервол не гарантирует 100-процентной уве­ ренности в безопасности, но эту опцию стоит держать включенной.

Библиографический список

1. Можно ли доверять VPN-сетям свои секреты? - 2013. - 3 октября [Электронный ресурс]. - URL: https://xakep.ru/2013/10/ 03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety (дата обращения: 28.04.2015).

2.Безопасность в сетях Wi-Fi. Ч. 1. Открытые сети. - 2014. - 2 мая [Электронный ресурс]. - URL: http://interface31.ru/tech_it/2014/ 05/bezopasnost-v-setyah-wi-fi-chast-1 -otkrytye-seti.html (дата обраще­ ния: 28.04.2015).

3.Бесплатный WiFi - 9 правил безопасности. - 2013. - 6 марта [Электронный ресурс]. - URL: http://www.aif.ru/society/web/41189 (дата обращения: 28.04.2015).

СКВОЗНОЕ ШИФРОВАНИЕ ТЕЛЕФОННОГО ТРАФИКА

В СЕТЯХ GSM

Студент гр. КОБ-11-2с Д.С. Якушин

Научный руководитель - канд. физ.-мат. наук, доцент Е.Л. Кротова Пермский национальный исследовательский политехнический университет

Мобильные технологии прочно укоренились в нашей повседнев­ ной жизни. Во время переговоров по сотовым телефонам передается множество различной информации, которая в некоторых случаях мо­ жет оказаться конфиденциальной. Это могут быть сведения, состав­ ляющие коммерческую, служебную или профессиональную тайну, персональные данные, а также любая другая информация, подлежащая защите в соответствии с законодательством Российской Федерации. Однако в сотовых сетях имеются уязвимости, которые могут быть ис­ пользованы злоумышленниками для незаконного прослушивания пе­ реговоров. Поэтому передача такой информации в разговоре по сото­ вому телефону может привести к утрате ее конфиденциальности.

Несмотря на стремительное распространение технологий мо­ бильной связи третьего и четвертого поколений, сегодня все еще ши­ роко используется стандарт сотовой связи GSM (Global System for Mobile Communications), который относится ко второму поколению. По эффективности средств аутентификации и криптографической защиты телефонных переговоров этот стандарт значительно уступает стандартам новых поколений, таким как UMTS (Universal Mobile Tel­ ecommunication System). Уязвимости GSM необходимо учитывать при обеспечении безопасности переговоров по мобильным телефо­ нам даже в тех случаях, когда задействованы более совершенные технологии третьего и четвертого поколений. Это связано с тем, что почти все современные мобильные устройства поддерживают этот стандарт и в случае недоступности сотовых сетей нового поколения могут переключаться в режим GSM. Зная эту особенность, злоумыш­ ленник может подавить сигналы всех доступных сотовых сетей, кро­ ме GSM, путем наведения помех на их частоты, таким образом пере­ вести вокруг себя все мобильные телефоны в слабозащищенный ре­ жим GSM [1].

Прежде чем перейти к рассмотрению уязвимостей этого стан­ дарта, необходимо рассмотреть структуру сотовой сети GSM. Глав­ ными ее компонентами являются мобильная станция, подсистема базовых станций и базовая сеть, как показано на рисунке.

Р ис. Структура сети GSM

Под мобильной станцией подразумевается совокупность мобиль­ ного телефона и модуля идентификации абонента SIM (Subscriber Iden­ tity Module). В этом модуле реализованы алгоритмы аутентификации

игенерации ключа АЗ и А8 соответственно, а также ключ аутентифи­ кации К\. Алгоритм шифрования телефонного трафика А5 реализован непосредственно в мобильном телефоне. В подсистему базовых стан­ ций входят приемопередающие базовые станции BTS (Base Transceiver Station) и контроллеры базовых станций BSC (Base Station Controller), которые управляют переключением BTS при перемещении абонента

ираспределяют частоты между BTS. Базовая сеть представляет собой централизованную часть сети GSM. Центр коммутации MSC (Mobile Services Switching Center) управляет соединением между абонентами внутри сети, а также обеспечивает соединение сотовой сети с внешней телефонной сетью общего назначения. Домашний регистр местополо­ жения HLR (Home Location Registry) содержит информацию обо всех абонентах, подлежащих обслуживанию в сети. Гостевой регистр VLR (Visitors Location Registry) местоположения содержит оперативную

информацию об абонентах, находящихся в зоне действия определенно­ го центра коммутации. Регистр идентификации оборудования EIR (Equipment Identity) хранит базу разрешенных и запрещенных для ра­ боты в сети международных идентификаторов мобильного оборудова­ ния. Центр аутентификации AuC (Authentication Center) содержит ключи аутентификации Kj всех абонентов сети, в нем также реализова­ на поддержка алгоритмов аутентификации АЗ, генерации ключей А8 и шифрования А5.

Взаимодействие компонентов базовой сети происходит с исполь­ зованием устаревшей сигнальной сети SS7 (Signalling System No. 7). Уязвимости SS7 позволяют злоумышленнику осуществлять целый спектр несанкционированных действий при помощи стандартных ко­ манд SS7, в том числе прослушивание исходящих и входящих вызо­ вов. Для осуществления этого необходимы компьютер на базе опера­ ционной системы Linux и доступ к сети SS7. Прослушивание осуще­ ствляется путем манипуляций с данными об абоненте, хранящимися в VLR и MSC, и внедрения фальшивых VLR и MSC [2].

Реализация процесса аутентификации в сетях GSM не предпола­ гает проверку подлинности базовой станции. Кроме того, в стандарте GSM предусмотрен режим работы без шифрования. Это дает воз­ можность злоумышленнику установить фальшивую BTS, которая будет выдавать себя за легитимную базовую станцию оператора, что,

всвою очередь, позволит перехватывать весь телефонный трафик подключенных к ней мобильных станций [1].

Алгоритм шифрования телефонного трафика А5, используемый

вGSM, также не обладает должной криптостойкостью. В стандарте предусмотрена возможность использования нескольких разновидно­ стей алгоритма А5: А5/1, А5/2 и А5/3. Алгоритм А5/2 является самым уязвимым и не поддерживается современными мобильными телефо­ нами [3]. В настоящее время существуют реализуемые на практике атаки на алгоритмы А5/1 и А5/3, которые позволяют расшифровы­ вать трафик за короткое время [4-6].

Таким образом, учитывая перечисленные выше уязвимости, ка­ нал передачи голосового трафика между телефонами в сетях мобиль­ ной связи нельзя считать защищенным. Для обеспечения гарантиро­ ванной конфиденциальности телефонных переговоров требуются существенные изменения инфраструктуры сети GSM, что потребует значительных затрат для операторов сотовой связи. Эффективным решением этой проблемы может стать введение сквозного шифрова­ ния между мобильными станциями во время переговоров. При ис­

пользовании такого подхода голосовой трафик зашифровывается и дешифруется непосредственно на абонентской мобильной станции.

Сквозное шифрование может быть осуществлено путем непо­ средственного шифрования кодированного аудиопотока, передавае­ мого мобильной станцией. Этот метод работает в том случае, если сеть GSM поддерживает режим TFO (Tandem Free Operation).

Во время телефонного разговора мобильная станция кодирует аудиопоток для его последующей передачи по радиоканалу на базо­ вую станцию. Битрейт выходного потока зависит от используемой системы кодирования речи, которая назначается в зависимости от качества радиосигнала. В стандарте GSM определены следующие кодеки: GSM-HR (Half Rate) - 6,5 Кбит/с, GSM-ER (Full Rate) - 13,2 Кбит/с и GSM-EFR (Enhanced Full Rate) - 12,2 Кбит/с. Затем происходит адаптация потока для дальнейшей его передачи в базо­ вую сеть GSM, где скорость передачи аудиопотока составляет 64 Кбит/с [7]. Эта операция выполняется блоком транскодирования

иадаптации скоростей TRAU (Transcoding Rate and Adaptation Unit), который обычно являются частью BTS. В обычном режиме TRAU транскодирует аудиопоток из формата, в котором он был закодиро­ ван мобильной станцией, в формат G.711 для передачи в базовой сети

инаоборот. Соединение двух транскодеров также называется танде­ мом. TFO позволяет избавиться от тандема транскодеров. В этом ре­ жиме сжатый аудиопоток, отправленный мобильной станцией, пере­ дается в базовой сети в неизменном виде [8], что позволяет осущест­ влять его шифрование.

Для реализации шифрования на стороне мобильной станции тре­ буется программная модификация мобильного телефона, поэтому еще одним условием работы этого метода является открытость ис­ ходных кодов прошивки телефона. Этим параметром обладают смартфоны на базе открытой операционной системы Android, кото­ рые получили сегодня широкое распространение и поэтому могут быть использованы в этих целях [9].

Таким образом, использование вышеописанного метода позволя­ ет значительно повысить защищенность телефонных переговоров в сетях GSM.

Библиографический список

1. Perez D., Pico J. A practical attack against GPRS/EDGE/UMTS/ HSPA mobile data communications [Электронный ресурс] // Black Hat Technical Security Conference: DC 2011 Archives. - URL: https://media.blackhat.com/bh-dc-l l/Perez-Pico/BlackHat_DC_201 l_Pe- rez-Pico_Mobile_Attacks-wp.pdf (дата обращения: 17.04.2015).