А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Недокументированные возможности современных аппаратов (в особенности IP) являются еще одной угрозой для конфиденциальности речевой информации даже в особо защищаемых помещениях. Программное обеспечение современных IP-телефонов представляет собой сложный программный комплекс, в т. ч. реализующий стек протоколов TCP IP. и может содержать:

• недокументированные возможности, специально внесенные разработчиками аппарата в целях упрощения его тестирования пли на определенных этапах разработки (введения новых функциональных возможностей) аппаратов;

• случайные ошибки в реализации протокола, например приводящие к уязвимостям класса «переполнение буфера» и позволяющие в итоге получить полный контроль над программным обеспечением аппарата до его перезагрузки.

Конкретным реальным примером угрозы первой группы является действительно имевшаяся в одной пз первых версий ПО возможность отправки на IP-телефоны наиболее популярных моделей 7940 и 7960 компании Cisco Systems Inc. специального управляющего XML-сообшения CiscoIPPhoneExecute, которое среди прочих универсальных возможностей (ускоренный набор номера, эмуляция нажатия клавиш и т. п.) могло включать микрофон аппарата и передавать абсолютно весь голосовой трафик на указанный в XML-сообщенпи IР-адрес.

К сожалению, различные варианты реализаций угроз прослушивания телефонных разговоров, сегодня реализуемых для всех современных компьютерных сетей, использующих в своей структуре широковещательные сегменты (Ethernet, в т. ч. коммутируемый, радио-Ethernet и т. п.), создают еще один уровень потенциальных атак на все известные сегодня системы IP-телефонип. При отсутствии шифрования трафика на сетевом пли более высоких уровнях модели OSI существует сразу несколько вариантов нарушения конфиденциальности передаваемых сообщений.

Так, в условиях отсутствия у злоумышленника административных прав на активное сетевое оборудование наиболее эффективной в коммутируемых Ethernet-сетях является атака типа ARP spoofing, выполняющая несанкционированное изменение таблицы маршрутизации на канальном (МАС) уровне с помощью специально сформированных злоумышленниками (или спецслужбами противника) ARP-пакетов. Также к раскрытию определенной части передаваемой информации может привести перевод коммутатора в режим концентратора с помощью посылки большого количества фальшивых пакетов (MAC storm), хотя надо сказать, что этот способ обладает определенными демаскирующими признаками, выражающимися в резком снпжешш качества работы сети (эффекты «эхо» и «пропадание слов»).

При получении злоумышленником каким-то образом административных прав на коммутирующем или маршрутизирующем оборудовании (например, в результате специальной атаки на компьютер администратора или при перехвате его пароля, передававшегося в открытом виде) у него появляются гораздо более мощные средства перехвата IP-трафика. Они включают:

— возможность активации на коммутаторах «зеркальных» (SPAN) портов, получающих абсолютно точную копию передаваемого по определенным портам трафика;

— использование иных технологии «ответвления» трафика от производителей сетевого оборудования, например:

• протокола ERSPAN (Encapsulated Remote SPAN), инкапсулирующего каждый перехватываемый пакет в пакет протокола GRE, что позволяет мгновенно передавать его по IP-сетям, причем без каких-либо ограничений дальности;

• опции IP Traffic Export, реализующей «ответвление» трафика при его маршрутизации на 3-м уровне модели OSI.

Следует отметить, что оба этих протокола поддерживают возможность тонкой настройки фильтрации перехватываемых пакетов, что позволяет копировать трафик только от определенных групп IP-устройств.

Очевидно, что все современные беспроводные сети при отсутствии стойких алгоритмов шифрования также являются потенциальным источником раскрытия передаваемого по ним голосового трафика.

Традиционная методика централизованного управления IP телефонными вызовами (реализуемая в УАТС) содержит еще один возможный путь перехвата разговоров абонентов. В начальный момент установления IP-соединения первоначальный обмен информацией, содержащей номера абонентов, их имена, технические возможности аппаратов и т. п., в т. ч. IP-адреса оконечных устройств, идет непосредственно между серверами IP-телефонпи. На этом этапе также возможна подмена (средствами атак сетевого уровня) информации об одном (пли обоих) IP-адресах в целях внедрения агента противника в стандартную цепочку’ передачи голосового трафика по принципу’ прозрачного прокси-сервера.

Понятно, что подобный класс атак остается совершенно незаметным на прикладном (пользовательском) уровне, т. к. пользователю обычно не видны сетевые координаты удаленного абонента, а стек протоколов не способен обнаружить сам факт подмены, хотя такой факт может быть выявлен только с помощью специализированного мониторинга сетевого трафика, но это уже задачи служб безопасности.

Надо сказать, что технической предпосылкой для появления возможности подобных атак является то, что в современных протоколах IP-телефонии (Н.323, SCC’P и др.) оконечное оборудование при приеме и передаче голосового потока является «ведомым» относительно «ведущего» сервера УАТС и полностью полагается на информацию, сообщенную ему в управляющем канале (в т. ч., например, не проверяет соответствие IP-адресов отправителя и получателя голосового потока в рамках одного и того же разговора, хотя эта задача легко сегодня решается спецслужбами).

Поэтому очевидно, что проблема обеспечения защиты от внедрения в голосовой поток прокси-сервера поднимает вопрос об обеспечении целостности передаваемых в управляющем канале данных стойкими криптографическими методами.

В заключение этого короткого раздела следует сказать, что даже очень краткий поверхностный анализ результатов только опубликованных в открытой печати поисковых исследовании DAPRA (например. [1,7]) говорит как о появлении эти угроз, так и о необходимости разработки эквивалентных и эффективных методов и технических средств для нейтрализации этих новых утроз кибербезопасности. Не говоря уже об экспертах по безопасности и спецслужбах, которые активно работают в этом направлении, даже журналисты СМИ активно обсуждают эти проблемы и возможные пути их решения. Например, известные публикации авторитетной газеты The Washington Post (США) на основе заявлении Э. Сноудена подтверждают реализацию упомянутых киберугроз, на практике приводя соответствующие конкретные факты и цифры. Так, по их информации разведслужбы США в течение только одного 2011 года провели против других стран 231 кибератаку, на что были потрачены более 652 млн долл. США. При этом важно, что три четверти этих кибератак были направлены против России, Прана, Китая и Северной Кореи. Всего за последние десять лет не какие-то виртуальные «злоумышленники», а конкретные спецслужбы США (ЦРУ. АНБ и ФБР) провели более 61 тысячи хакерских кибератак по всему миру.