近期，荷蘭研究人員發(fā)現(xiàn)一種用于全球關(guān)鍵數(shù)據(jù)和語(yǔ)音無(wú)線(xiàn)電通信的技術(shù)存在嚴(yán)重的安全漏洞，甚至還有一個(gè)故意設(shè)置的后門(mén)。值得一提的是，該技術(shù)一直處于保密狀態(tài)，以防止任何人仔細(xì)檢查其安全屬性，查找漏洞。

從披露的信息來(lái)看，該后門(mén)存在于關(guān)鍵基礎(chǔ)設(shè)施中用于商業(yè)用途的無(wú)線(xiàn)電中加密算法中，主要用于管道、鐵路、電網(wǎng)、公共交通和貨運(yùn)列車(chē)中傳輸加密數(shù)據(jù)和命令。潛在的攻擊者可以利用其窺探通信，了解系統(tǒng)的工作原理，然后向無(wú)線(xiàn)電設(shè)備發(fā)送指令，從而引發(fā)停電、天然氣管道斷流或火車(chē)改道。

此外，研究人員在同一無(wú)線(xiàn)電技術(shù)的其它模塊中也發(fā)現(xiàn)另外一個(gè)漏洞，該技術(shù)用于專(zhuān)門(mén)出售給警察部隊(duì)、監(jiān)獄人員、軍隊(duì)、情報(bào)機(jī)構(gòu)和應(yīng)急服務(wù)的專(zhuān)業(yè)系統(tǒng)中（例如荷蘭警察、消防隊(duì)、救護(hù)車(chē)服務(wù)和國(guó)防部用于 關(guān)鍵任務(wù)語(yǔ)音和數(shù)據(jù)通信的 C2000 通信系統(tǒng)）。潛在的攻擊者能夠利用該漏洞解密加密語(yǔ)音和數(shù)據(jù)通信，并發(fā)送欺詐性信息，以傳播錯(cuò)誤信息或在關(guān)鍵時(shí)刻更改部隊(duì)的部署。

無(wú)線(xiàn)電標(biāo)準(zhǔn) TETRA 中曝出漏洞

三名荷蘭安全研究人員在名為 TETRA（地面集群無(wú)線(xiàn)電）的歐洲無(wú)線(xiàn)電標(biāo)準(zhǔn)中發(fā)現(xiàn)了五個(gè)漏洞。自上世紀(jì)  90  年代以來(lái)，TETRA 標(biāo)準(zhǔn)一直被用于無(wú)線(xiàn)電中，摩托羅拉、達(dá)姆、海特拉等公司生產(chǎn)的設(shè)備都用了該標(biāo)準(zhǔn)，但是其使用的加密算法直到今天仍舊處于保密狀態(tài)，因此漏洞可能一直不為人知。

值得注意的是，美國(guó)并沒(méi)有廣泛應(yīng)用 TETRA 標(biāo)準(zhǔn)，但  Ampere 工業(yè)安全公司的顧問(wèn) Caleb Mathis 表示部分合同、新聞稿等文件中顯示美國(guó)至少有二十多個(gè)關(guān)鍵基礎(chǔ)設(shè)施使用了基于  TETRA  標(biāo)準(zhǔn)的無(wú)線(xiàn)電。再加上 TETRA內(nèi)嵌在PowerTrunk等系統(tǒng)集成商提供的無(wú)線(xiàn)電中，因此很難確定那些廠商使用了 TETRA  標(biāo)準(zhǔn)。目前，Mathis 確定僅僅能確認(rèn)美國(guó)一家州邊境控制機(jī)構(gòu)、一家煉油廠、化工廠、東海岸的一家大型公共交通系統(tǒng)、三家將其用于安保和地勤人員通信的國(guó)際機(jī)場(chǎng)，以及一家美國(guó)陸軍訓(xùn)練基地等組織使用了該標(biāo)準(zhǔn)。

2021 年，荷蘭  Midnight Blue 公司的 Carlo Meijer、Wouter Bokslag 和 Jos Wetzels 發(fā)現(xiàn) TETRA  中存在漏洞（此時(shí)他們稱(chēng)之為 TETRA:Burst），并同意在無(wú)線(xiàn)電制造商公開(kāi)緩解措施以及打補(bǔ)丁之前不公開(kāi)披露漏洞信息。

此后，荷蘭國(guó)家網(wǎng)絡(luò)安全中心（Dutch National Cyber Security Centre）負(fù)責(zé)向全球無(wú)線(xiàn)電廠商和計(jì)算機(jī)應(yīng)急小組通報(bào)漏洞問(wèn)題，并協(xié)調(diào)研究人員公開(kāi)披露這些問(wèn)題的時(shí)間框架。NCSC 發(fā)言人 Miral Scheffer 表示 TETRA是荷蘭和全球關(guān)鍵通信的重要基礎(chǔ)，因此此類(lèi)通信設(shè)備必須時(shí)刻處于安全可靠的狀態(tài)。

在通告中，Miral Scheffer 證實(shí) TETRA 漏洞允許受影響無(wú)線(xiàn)電附近的網(wǎng)絡(luò)攻擊者 "攔截、操縱或干擾 "通信，并指出荷蘭國(guó)家通信安全委員會(huì)已通知德國(guó)、丹麥、比利時(shí)和英國(guó)等國(guó)，建議這些國(guó)家認(rèn)真處理此事。

美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的發(fā)言人表示，內(nèi)部已經(jīng)察覺(jué)到 TETRA 漏洞，但不愿作進(jìn)一步評(píng)論。

TETRA 漏洞危害極大，研究人員一再?gòu)?qiáng)調(diào)任何使用無(wú)線(xiàn)電技術(shù)的組織都應(yīng)立刻向其制造商詢(xún)問(wèn)，以確定其自身部署的設(shè)備是否使用了 TETRA 標(biāo)準(zhǔn)，以及有哪些可用的修復(fù)或緩解措施。此外，研究人員計(jì)劃在下個(gè)月拉斯維加斯舉行的 BlackHat 安全會(huì)議上公布研究成果，屆時(shí)將公布詳細(xì)的技術(shù)分析以及尚未向公眾公開(kāi)的秘密 TETRA 加密算法，并強(qiáng)調(diào)希望其他擁有更多專(zhuān)業(yè)知識(shí)的組織和個(gè)人能夠深入研究這些算法。

關(guān)于 TETRA

上世紀(jì) 90 年代，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）開(kāi)發(fā)了 TETRA 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)包括 TEA1、TEA2、TEA3 和 TEA4 四種加密算法，無(wú)線(xiàn)電制造商可根據(jù)產(chǎn)品的預(yù)期用途和客戶(hù)，在不同的產(chǎn)品中使用這些算法。

TEA1 用于商業(yè)用途，但根據(jù) ETSI 文件顯示，對(duì)于歐洲和世界其它地區(qū)關(guān)鍵基礎(chǔ)設(shè)施中使用的無(wú)線(xiàn)電來(lái)說(shuō)，TEA1 也是為公共安全機(jī)構(gòu)和軍隊(duì)設(shè)計(jì)的，研究人員發(fā)現(xiàn)警察機(jī)構(gòu)也在使用它；TEA2 在歐洲被警察、應(yīng)急服務(wù)、軍事和情報(bào)機(jī)構(gòu)限制使用；TEA3 可用于歐洲以外被視為對(duì)歐盟“友好”國(guó)家的警察和緊急服務(wù)，例如墨西哥和印度等國(guó)；研究人員表示，商業(yè)算法 TEA4 幾乎不被使用。

需要指出的是，研究人員在進(jìn)行開(kāi)源研究后發(fā)現(xiàn)除美國(guó)外，全球絕大多數(shù)警察部隊(duì)都使用基于 TETRA 的無(wú)線(xiàn)電技術(shù)。據(jù)不完全統(tǒng)計(jì)，包括比利時(shí)和斯堪的納維亞國(guó)家，塞爾維亞、摩爾多瓦、保加利亞和馬其頓等東歐國(guó)家以及中東的伊朗、伊拉克、黎巴嫩和敘利亞等國(guó)的警察部隊(duì)、保加利亞、哈薩克斯坦和敘利亞的國(guó)防部、波蘭軍事反情報(bào)機(jī)構(gòu)、芬蘭國(guó)防軍、黎巴嫩和沙特阿拉伯情報(bào)部門(mén)等也在使用它。美國(guó)和部分國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施在 SCADA 和其他工業(yè)控制系統(tǒng)設(shè)置中使用 TETRA 進(jìn)行機(jī)器對(duì)機(jī)器通信，尤其是在廣泛分布的管道、鐵路和電網(wǎng)中（這些地方可能無(wú)法使用有線(xiàn)和蜂窩通信）

值得注意的是，雖然 TETRA 該標(biāo)準(zhǔn)本身可以公開(kāi)審查，但加密算法只有在簽署保密協(xié)議的情況下才能提供給受信任的各方，如無(wú)線(xiàn)電制造商。供應(yīng)商必須在其產(chǎn)品中包含保護(hù)措施，以使任何人都難以提取算法并對(duì)其進(jìn)行分析。為了獲得這些算法，研究人員購(gòu)買(mǎi)了一臺(tái)摩托羅拉 MTM5400 無(wú)線(xiàn)電設(shè)備，花了四個(gè)月從無(wú)線(xiàn)電固件的安全包中找到并提取算法。

研究過(guò)程中，研究人員不得不使用一些零日漏洞來(lái)破解摩托羅拉的保護(hù)措施，（漏洞上報(bào)給了摩托羅拉進(jìn)行修復(fù)。研究人員表示所有四種 TETRA 加密算法都使用 80 位密鑰，即使在發(fā)布二十多年后，仍能提供足夠的安全性，防止有人破解，但 TEA1 有一個(gè)功能，可以將密鑰減少到 32 位，不到密鑰長(zhǎng)度的一半。在進(jìn)行逆向工程算法后，研究人員發(fā)現(xiàn)的第一個(gè)漏洞是 TEA1 中的后門(mén)，研究人員使用一臺(tái)標(biāo)準(zhǔn)筆記本電腦和四個(gè)密碼文本，不到一分鐘就破解了它。

負(fù)責(zé) TETRA 標(biāo)準(zhǔn)的 ETSI 技術(shù)機(jī)構(gòu)主席 Brian Murgatroyd 反對(duì)此漏洞稱(chēng)為后門(mén)。Brian Murgatroyd 指出在制定標(biāo)準(zhǔn)時(shí)，需要一種能滿(mǎn)足出口要求的商業(yè)用途算法，以便在歐洲以外地區(qū)使用。1995 年時(shí)，32 位密鑰仍能提供安全性，但以今天的計(jì)算能力，32 位密鑰的安全性可能不太能夠應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)威脅形式。

約翰-霍普金斯大學(xué)密碼學(xué)家兼教授馬修-格林（Matthew Green）稱(chēng)削弱的密鑰無(wú)疑是一場(chǎng) “災(zāi)難”。德國(guó)波鴻魯爾大學(xué)（Ruhr University Bochum）計(jì)算機(jī)科學(xué)教授兼安全研究團(tuán)隊(duì) CASA 的密碼學(xué)家 Gregor Leander 更是指出在沒(méi)有添加端到端加密的情況下，關(guān)鍵基礎(chǔ)設(shè)施使用 TEA1 是愚蠢行為。對(duì)于外界的評(píng)論，Murgatroyd 堅(jiān)稱(chēng) TETRA 具有強(qiáng)大的身份驗(yàn)證功能，可以防止注入虛假通信，任何人利用該后門(mén)最多只能對(duì)數(shù)據(jù)和通話(huà)進(jìn)行解密和竊聽(tīng)。

Wetzels 強(qiáng)調(diào) TETRA 僅要求設(shè)備向網(wǎng)絡(luò)驗(yàn)證自身身份，但無(wú)線(xiàn)電之間的數(shù)據(jù)和語(yǔ)音通信不需要數(shù)字簽名或以其它方式進(jìn)行身份驗(yàn)證。無(wú)線(xiàn)電和基站相信任何具有正確加密密鑰的設(shè)備都經(jīng)過(guò)身份驗(yàn)證，因此可以像研究人員那樣破解密鑰的人可以用它加密自己的消息并將其發(fā)送到基站和其他無(wú)線(xiàn)電。

雖然 TEA1 的”弱點(diǎn)“一直不為公眾所知，但它在業(yè)界和政府中中顯然是廣為人知。在 2006 年泄露給維基解密的美國(guó)國(guó)務(wù)院電報(bào)中，美國(guó)駐羅馬大使館表示一家意大利無(wú)線(xiàn)電制造商詢(xún)問(wèn)向伊朗市政警察部隊(duì)出口TETRA 無(wú)線(xiàn)電系統(tǒng)的問(wèn)題，美國(guó)曾反對(duì)該計(jì)劃，因此該公司代表提醒美國(guó)，其計(jì)劃出售給伊朗的基于 TETRA 無(wú)線(xiàn)電系統(tǒng)中加密“小于40位”，這就意味著該系統(tǒng)沒(méi)有使用強(qiáng)密鑰，美國(guó)不應(yīng)該反對(duì)出售。

研究人員發(fā)現(xiàn)的第二個(gè)漏洞并不存在于某個(gè)秘密算法中，但仍舊能夠影響所有算法。當(dāng) TETRA 無(wú)線(xiàn)電設(shè)備與基站聯(lián)系時(shí)，它們通過(guò)時(shí)間同步啟動(dòng)通信。網(wǎng)絡(luò)廣播時(shí)間，無(wú)線(xiàn)電則確定時(shí)間同步，然后兩者生成與時(shí)間戳相關(guān)聯(lián)的相同密鑰流，對(duì)隨后的通信進(jìn)行加密。

Wetzels  表示網(wǎng)絡(luò)以未經(jīng)驗(yàn)證和加密的數(shù)據(jù)包形式廣播時(shí)間，因此網(wǎng)絡(luò)攻擊者可以使用一個(gè)簡(jiǎn)單的設(shè)備攔截和收集無(wú)線(xiàn)電與基站之間的加密通信，同時(shí)記下啟動(dòng)通信的時(shí)間戳。然后就可以利用一個(gè)惡意基站與同一無(wú)線(xiàn)電或同一網(wǎng)絡(luò)中的不同無(wú)線(xiàn)電聯(lián)系，并廣播與截獲通信相關(guān)的時(shí)間相符的時(shí)間。無(wú)線(xiàn)電是沒(méi)有”判斷能力的“，它認(rèn)為正確的時(shí)間就是基站所廣播的時(shí)間。因此，無(wú)線(xiàn)電會(huì)生成當(dāng)時(shí)用于加密攻擊者收集到的通信密鑰流。攻擊者在恢復(fù)該密鑰流后，就可以用它來(lái)解密之前收集到的通信。

整個(gè)過(guò)程中，為了注入虛假信息，網(wǎng)絡(luò)攻擊者可以利用基站告訴無(wú)線(xiàn)電時(shí)間是明天中午，并要求無(wú)線(xiàn)電生成與未來(lái)時(shí)間相關(guān)的密鑰流，一旦攻擊者得到密鑰流，就可以使用密鑰流加密自己的虛假信息，并在第二天中午使用該時(shí)間的正確密鑰流向目標(biāo)無(wú)線(xiàn)電發(fā)送信息。

但是 ETSI 的 Murgatroyd 淡化了這種攻擊，稱(chēng) TETRA 的強(qiáng)認(rèn)證要求可以防止未經(jīng)認(rèn)證的基站注入信息，對(duì)于這一說(shuō)法，Wetzels 很是反對(duì)并指出 TETRA 只要求設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證，而不是相互認(rèn)證。

研究人員在歐洲警方、軍方和緊急服務(wù)部門(mén)使用的 TEA2 算法中沒(méi)有發(fā)現(xiàn)任何弱點(diǎn)，但最開(kāi)始認(rèn)為在 TEA3 中發(fā)現(xiàn)另一個(gè)后門(mén)，再加上 TEA3  是 TEA2 的可出口版本，有充分理由懷疑它也可能有后門(mén)，以滿(mǎn)足出口要求。

研究人員表示在算法中使用的 S-box 中發(fā)現(xiàn)了可疑之處，該 S-box 包含一種其認(rèn)為 ”絕不會(huì)出現(xiàn)在嚴(yán)肅的密碼學(xué)中 “的不良屬性。研究人員沒(méi)有足夠的技術(shù)來(lái)檢查它，以確定它是否可被利用。但 Leander 的團(tuán)隊(duì)確實(shí)對(duì)其進(jìn)行了檢查并表示事實(shí)并非如此。

Leander 指出在許多密碼中，如果使用 S-box  這樣一個(gè)盒子，就會(huì)嚴(yán)重破壞密碼，但在 TEA3 中的使用方式，看不出留給了攻擊者的可乘之機(jī)。此外，Leander 表示雖然這并不意味著其他人不會(huì)發(fā)現(xiàn)其中的蛛絲馬跡，但 如果 S-box 能導(dǎo)致一種實(shí)用的攻擊，自己會(huì)感到非常驚訝。

美英等國(guó)或已經(jīng)利用 TETRA 漏洞竊取信息

對(duì)于研究人員發(fā)現(xiàn)的其它問(wèn)題的修復(fù)方法，Murgatroyd 表示 ETSI 在去年 10 月發(fā)布的 TETRA 標(biāo)準(zhǔn)修訂版中修復(fù)了密鑰流/時(shí)間戳問(wèn)題，內(nèi)部還創(chuàng)建了另外三種算法以便供應(yīng)商使用，其中一種算法取代了 TEA1。供應(yīng)商已經(jīng)創(chuàng)建了修復(fù)密鑰流/時(shí)間戳問(wèn)題的固件更新，但TEA1 的問(wèn)題無(wú)法通過(guò)該更新來(lái)解決，目前唯一的解決辦法是使用另一種算法。

對(duì)于供應(yīng)商的操作，Wetzels 表示由于加密必須應(yīng)用于每臺(tái)設(shè)備，因此成本非常高昂，而且升級(jí)需要一定的停機(jī)時(shí)間，這對(duì)于關(guān)鍵基礎(chǔ)設(shè)施來(lái)說(shuō)顯然很有難度，甚至可能造成與其他組件不兼容的問(wèn)題。至于要求供應(yīng)商換一種新算法取代 TEA1 ，Wetzels 指出這也是個(gè)問(wèn)題，因?yàn)?ETSI 計(jì)劃將這些算法和其它算法一樣保密，并要求用戶(hù)再次相信這些算法沒(méi)有關(guān)鍵弱點(diǎn)。

目前，研究人員表示尚不清楚其發(fā)現(xiàn)的漏洞是否正在被積極利用，但是已經(jīng)在愛(ài)德華-斯諾登披露的信息中找到了漏洞被利用的證據(jù)，這就意味著美國(guó)國(guó)家安全局（NSA）和英國(guó) GCHQ 情報(bào)機(jī)構(gòu)過(guò)去曾以 TETRA 為竊聽(tīng)目標(biāo)。

另一份文件也顯示了美國(guó)國(guó)家安全局（NSA）和澳大利亞信號(hào)局（Australian Signals Directorate）在 2007 年巴厘島氣候變化會(huì)議期間竊聽(tīng)了馬來(lái)西亞警方通信的項(xiàng)目，并提到其獲得了一些關(guān)于印尼安全部隊(duì)通信的 TETRA 收集信息。此外，斯諾登泄密的文件中還描述了 2010 年，英國(guó)政府通信總部（GCHQ）可能在美國(guó)國(guó)家安全局（NSA）的協(xié)助下，在阿根廷收集 TETRA 通信信息，（此時(shí)阿根廷與英國(guó)之間因福克蘭群島（Falkland Islands）海岸外深海油田的石油勘探權(quán)關(guān)系緊張）。

文章來(lái)源：https://www.wired.com/story/tetra-radio-encryption-backdoor/