近期，荷蘭研究人員發(fā)現(xiàn)一種用于全球關(guān)鍵數(shù)據(jù)和語音無線電通信的技術(shù)存在嚴(yán)重的安全漏洞，甚至還有一個(gè)故意設(shè)置的后門。值得一提的是，該技術(shù)一直處于保密狀態(tài)，以防止任何人仔細(xì)檢查其安全屬性，查找漏洞。

從披露的信息來看，該后門存在于關(guān)鍵基礎(chǔ)設(shè)施中用于商業(yè)用途的無線電中加密算法中，主要用于管道、鐵路、電網(wǎng)、公共交通和貨運(yùn)列車中傳輸加密數(shù)據(jù)和命令。潛在的攻擊者可以利用其窺探通信，了解系統(tǒng)的工作原理，然后向無線電設(shè)備發(fā)送指令，從而引發(fā)停電、天然氣管道斷流或火車改道。

此外，研究人員在同一無線電技術(shù)的其它模塊中也發(fā)現(xiàn)另外一個(gè)漏洞，該技術(shù)用于專門出售給警察部隊(duì)、監(jiān)獄人員、軍隊(duì)、情報(bào)機(jī)構(gòu)和應(yīng)急服務(wù)的專業(yè)系統(tǒng)中（例如荷蘭警察、消防隊(duì)、救護(hù)車服務(wù)和國防部用于 關(guān)鍵任務(wù)語音和數(shù)據(jù)通信的 C2000 通信系統(tǒng)）。潛在的攻擊者能夠利用該漏洞解密加密語音和數(shù)據(jù)通信，并發(fā)送欺詐性信息，以傳播錯(cuò)誤信息或在關(guān)鍵時(shí)刻更改部隊(duì)的部署。

無線電標(biāo)準(zhǔn) TETRA 中曝出漏洞

三名荷蘭安全研究人員在名為 TETRA（地面集群無線電）的歐洲無線電標(biāo)準(zhǔn)中發(fā)現(xiàn)了五個(gè)漏洞。自上世紀(jì)  90  年代以來，TETRA 標(biāo)準(zhǔn)一直被用于無線電中，摩托羅拉、達(dá)姆、海特拉等公司生產(chǎn)的設(shè)備都用了該標(biāo)準(zhǔn)，但是其使用的加密算法直到今天仍舊處于保密狀態(tài)，因此漏洞可能一直不為人知。

值得注意的是，美國并沒有廣泛應(yīng)用 TETRA 標(biāo)準(zhǔn)，但  Ampere 工業(yè)安全公司的顧問 Caleb Mathis 表示部分合同、新聞稿等文件中顯示美國至少有二十多個(gè)關(guān)鍵基礎(chǔ)設(shè)施使用了基于  TETRA  標(biāo)準(zhǔn)的無線電。再加上 TETRA內(nèi)嵌在PowerTrunk等系統(tǒng)集成商提供的無線電中，因此很難確定那些廠商使用了 TETRA  標(biāo)準(zhǔn)。目前，Mathis 確定僅僅能確認(rèn)美國一家州邊境控制機(jī)構(gòu)、一家煉油廠、化工廠、東海岸的一家大型公共交通系統(tǒng)、三家將其用于安保和地勤人員通信的國際機(jī)場(chǎng)，以及一家美國陸軍訓(xùn)練基地等組織使用了該標(biāo)準(zhǔn)。

2021 年，荷蘭  Midnight Blue 公司的 Carlo Meijer、Wouter Bokslag 和 Jos Wetzels 發(fā)現(xiàn) TETRA  中存在漏洞（此時(shí)他們稱之為 TETRA:Burst），并同意在無線電制造商公開緩解措施以及打補(bǔ)丁之前不公開披露漏洞信息。

此后，荷蘭國家網(wǎng)絡(luò)安全中心（Dutch National Cyber Security Centre）負(fù)責(zé)向全球無線電廠商和計(jì)算機(jī)應(yīng)急小組通報(bào)漏洞問題，并協(xié)調(diào)研究人員公開披露這些問題的時(shí)間框架。NCSC 發(fā)言人 Miral Scheffer 表示 TETRA是荷蘭和全球關(guān)鍵通信的重要基礎(chǔ)，因此此類通信設(shè)備必須時(shí)刻處于安全可靠的狀態(tài)。

在通告中，Miral Scheffer 證實(shí) TETRA 漏洞允許受影響無線電附近的網(wǎng)絡(luò)攻擊者 "攔截、操縱或干擾 "通信，并指出荷蘭國家通信安全委員會(huì)已通知德國、丹麥、比利時(shí)和英國等國，建議這些國家認(rèn)真處理此事。

美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的發(fā)言人表示，內(nèi)部已經(jīng)察覺到 TETRA 漏洞，但不愿作進(jìn)一步評(píng)論。

TETRA 漏洞危害極大，研究人員一再強(qiáng)調(diào)任何使用無線電技術(shù)的組織都應(yīng)立刻向其制造商詢問，以確定其自身部署的設(shè)備是否使用了 TETRA 標(biāo)準(zhǔn)，以及有哪些可用的修復(fù)或緩解措施。此外，研究人員計(jì)劃在下個(gè)月拉斯維加斯舉行的 BlackHat 安全會(huì)議上公布研究成果，屆時(shí)將公布詳細(xì)的技術(shù)分析以及尚未向公眾公開的秘密 TETRA 加密算法，并強(qiáng)調(diào)希望其他擁有更多專業(yè)知識(shí)的組織和個(gè)人能夠深入研究這些算法。

關(guān)于 TETRA

上世紀(jì) 90 年代，歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）開發(fā)了 TETRA 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)包括 TEA1、TEA2、TEA3 和 TEA4 四種加密算法，無線電制造商可根據(jù)產(chǎn)品的預(yù)期用途和客戶，在不同的產(chǎn)品中使用這些算法。

TEA1 用于商業(yè)用途，但根據(jù) ETSI 文件顯示，對(duì)于歐洲和世界其它地區(qū)關(guān)鍵基礎(chǔ)設(shè)施中使用的無線電來說，TEA1 也是為公共安全機(jī)構(gòu)和軍隊(duì)設(shè)計(jì)的，研究人員發(fā)現(xiàn)警察機(jī)構(gòu)也在使用它；TEA2 在歐洲被警察、應(yīng)急服務(wù)、軍事和情報(bào)機(jī)構(gòu)限制使用；TEA3 可用于歐洲以外被視為對(duì)歐盟“友好”國家的警察和緊急服務(wù)，例如墨西哥和印度等國；研究人員表示，商業(yè)算法 TEA4 幾乎不被使用。

需要指出的是，研究人員在進(jìn)行開源研究后發(fā)現(xiàn)除美國外，全球絕大多數(shù)警察部隊(duì)都使用基于 TETRA 的無線電技術(shù)。據(jù)不完全統(tǒng)計(jì)，包括比利時(shí)和斯堪的納維亞國家，塞爾維亞、摩爾多瓦、保加利亞和馬其頓等東歐國家以及中東的伊朗、伊拉克、黎巴嫩和敘利亞等國的警察部隊(duì)、保加利亞、哈薩克斯坦和敘利亞的國防部、波蘭軍事反情報(bào)機(jī)構(gòu)、芬蘭國防軍、黎巴嫩和沙特阿拉伯情報(bào)部門等也在使用它。美國和部分國家的關(guān)鍵基礎(chǔ)設(shè)施在 SCADA 和其他工業(yè)控制系統(tǒng)設(shè)置中使用 TETRA 進(jìn)行機(jī)器對(duì)機(jī)器通信，尤其是在廣泛分布的管道、鐵路和電網(wǎng)中（這些地方可能無法使用有線和蜂窩通信）

值得注意的是，雖然 TETRA 該標(biāo)準(zhǔn)本身可以公開審查，但加密算法只有在簽署保密協(xié)議的情況下才能提供給受信任的各方，如無線電制造商。供應(yīng)商必須在其產(chǎn)品中包含保護(hù)措施，以使任何人都難以提取算法并對(duì)其進(jìn)行分析。為了獲得這些算法，研究人員購買了一臺(tái)摩托羅拉 MTM5400 無線電設(shè)備，花了四個(gè)月從無線電固件的安全包中找到并提取算法。

研究過程中，研究人員不得不使用一些零日漏洞來破解摩托羅拉的保護(hù)措施，（漏洞上報(bào)給了摩托羅拉進(jìn)行修復(fù)。研究人員表示所有四種 TETRA 加密算法都使用 80 位密鑰，即使在發(fā)布二十多年后，仍能提供足夠的安全性，防止有人破解，但 TEA1 有一個(gè)功能，可以將密鑰減少到 32 位，不到密鑰長度的一半。在進(jìn)行逆向工程算法后，研究人員發(fā)現(xiàn)的第一個(gè)漏洞是 TEA1 中的后門，研究人員使用一臺(tái)標(biāo)準(zhǔn)筆記本電腦和四個(gè)密碼文本，不到一分鐘就破解了它。

負(fù)責(zé) TETRA 標(biāo)準(zhǔn)的 ETSI 技術(shù)機(jī)構(gòu)主席 Brian Murgatroyd 反對(duì)此漏洞稱為后門。Brian Murgatroyd 指出在制定標(biāo)準(zhǔn)時(shí)，需要一種能滿足出口要求的商業(yè)用途算法，以便在歐洲以外地區(qū)使用。1995 年時(shí)，32 位密鑰仍能提供安全性，但以今天的計(jì)算能力，32 位密鑰的安全性可能不太能夠應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)威脅形式。

約翰-霍普金斯大學(xué)密碼學(xué)家兼教授馬修-格林（Matthew Green）稱削弱的密鑰無疑是一場(chǎng) “災(zāi)難”。德國波鴻魯爾大學(xué)（Ruhr University Bochum）計(jì)算機(jī)科學(xué)教授兼安全研究團(tuán)隊(duì) CASA 的密碼學(xué)家 Gregor Leander 更是指出在沒有添加端到端加密的情況下，關(guān)鍵基礎(chǔ)設(shè)施使用 TEA1 是愚蠢行為。對(duì)于外界的評(píng)論，Murgatroyd 堅(jiān)稱 TETRA 具有強(qiáng)大的身份驗(yàn)證功能，可以防止注入虛假通信，任何人利用該后門最多只能對(duì)數(shù)據(jù)和通話進(jìn)行解密和竊聽。

Wetzels 強(qiáng)調(diào) TETRA 僅要求設(shè)備向網(wǎng)絡(luò)驗(yàn)證自身身份，但無線電之間的數(shù)據(jù)和語音通信不需要數(shù)字簽名或以其它方式進(jìn)行身份驗(yàn)證。無線電和基站相信任何具有正確加密密鑰的設(shè)備都經(jīng)過身份驗(yàn)證，因此可以像研究人員那樣破解密鑰的人可以用它加密自己的消息并將其發(fā)送到基站和其他無線電。

雖然 TEA1 的”弱點(diǎn)“一直不為公眾所知，但它在業(yè)界和政府中中顯然是廣為人知。在 2006 年泄露給維基解密的美國國務(wù)院電報(bào)中，美國駐羅馬大使館表示一家意大利無線電制造商詢問向伊朗市政警察部隊(duì)出口TETRA 無線電系統(tǒng)的問題，美國曾反對(duì)該計(jì)劃，因此該公司代表提醒美國，其計(jì)劃出售給伊朗的基于 TETRA 無線電系統(tǒng)中加密“小于40位”，這就意味著該系統(tǒng)沒有使用強(qiáng)密鑰，美國不應(yīng)該反對(duì)出售。

研究人員發(fā)現(xiàn)的第二個(gè)漏洞并不存在于某個(gè)秘密算法中，但仍舊能夠影響所有算法。當(dāng) TETRA 無線電設(shè)備與基站聯(lián)系時(shí)，它們通過時(shí)間同步啟動(dòng)通信。網(wǎng)絡(luò)廣播時(shí)間，無線電則確定時(shí)間同步，然后兩者生成與時(shí)間戳相關(guān)聯(lián)的相同密鑰流，對(duì)隨后的通信進(jìn)行加密。

Wetzels  表示網(wǎng)絡(luò)以未經(jīng)驗(yàn)證和加密的數(shù)據(jù)包形式廣播時(shí)間，因此網(wǎng)絡(luò)攻擊者可以使用一個(gè)簡(jiǎn)單的設(shè)備攔截和收集無線電與基站之間的加密通信，同時(shí)記下啟動(dòng)通信的時(shí)間戳。然后就可以利用一個(gè)惡意基站與同一無線電或同一網(wǎng)絡(luò)中的不同無線電聯(lián)系，并廣播與被攔截通信相關(guān)聯(lián)時(shí)間相匹配的時(shí)間戳。無線電是沒有”判斷能力的“，它認(rèn)為正確的時(shí)間就是基站所廣播的時(shí)間。因此，無線電會(huì)生成當(dāng)時(shí)用于加密攻擊者收集到的通信密鑰流。攻擊者在恢復(fù)該密鑰流后，就可以用它來解密之前收集到的通信。

整個(gè)過程中，為了注入虛假信息，網(wǎng)絡(luò)攻擊者可以利用基站告訴無線電時(shí)間是明天中午，并要求無線電生成與未來時(shí)間相關(guān)的密鑰流，一旦攻擊者得到密鑰流，就可以使用密鑰流加密自己的虛假信息，并在第二天中午使用該時(shí)間的正確密鑰流向目標(biāo)無線電發(fā)送信息。

但是 ETSI 的 Murgatroyd 淡化了這種攻擊，稱 TETRA 的強(qiáng)認(rèn)證要求可以防止未經(jīng)認(rèn)證的基站注入信息，對(duì)于這一說法，Wetzels 很是反對(duì)并指出 TETRA 只要求設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行認(rèn)證，而不是相互認(rèn)證。

研究人員在歐洲警方、軍方和緊急服務(wù)部門使用的 TEA2 算法中沒有發(fā)現(xiàn)任何弱點(diǎn)，但最開始認(rèn)為在 TEA3 中發(fā)現(xiàn)另一個(gè)后門，再加上 TEA3  是 TEA2 的可出口版本，有充分理由懷疑它也可能有后門，以滿足出口要求。

研究人員表示在算法中使用的 S-box 中發(fā)現(xiàn)了可疑之處，該 S-box 包含一種其認(rèn)為 ”絕不會(huì)出現(xiàn)在嚴(yán)肅的密碼學(xué)中 “的不良屬性。研究人員沒有足夠的技術(shù)來檢查它，以確定它是否可被利用。但 Leander 的團(tuán)隊(duì)確實(shí)對(duì)其進(jìn)行了檢查并表示事實(shí)并非如此。

Leander 指出在許多密碼中，如果使用 S-box  這樣一個(gè)盒子，就會(huì)嚴(yán)重破壞密碼，但在 TEA3 中的使用方式，看不出留給了攻擊者的可乘之機(jī)。此外，Leander 表示雖然這并不意味著其他人不會(huì)發(fā)現(xiàn)其中的蛛絲馬跡，但 如果 S-box 能導(dǎo)致一種實(shí)用的攻擊，自己會(huì)感到非常驚訝。

美英等國或已經(jīng)利用 TETRA 漏洞竊取信息

對(duì)于研究人員發(fā)現(xiàn)的其它問題的修復(fù)方法，Murgatroyd 表示 ETSI 在去年 10 月發(fā)布的 TETRA 標(biāo)準(zhǔn)修訂版中修復(fù)了密鑰流/時(shí)間戳問題，內(nèi)部還創(chuàng)建了另外三種算法以便供應(yīng)商使用，其中一種算法取代了 TEA1。供應(yīng)商已經(jīng)創(chuàng)建了修復(fù)密鑰流/時(shí)間戳問題的固件更新，但TEA1 的問題無法通過該更新來解決，目前唯一的解決辦法是使用另一種算法。

對(duì)于供應(yīng)商的操作，Wetzels 表示由于加密必須應(yīng)用于每臺(tái)設(shè)備，因此成本非常高昂，而且升級(jí)需要一定的停機(jī)時(shí)間，這對(duì)于關(guān)鍵基礎(chǔ)設(shè)施來說顯然很有難度，甚至可能造成與其他組件不兼容的問題。至于要求供應(yīng)商換一種新算法取代 TEA1 ，Wetzels 指出這也是個(gè)問題，因?yàn)?ETSI 計(jì)劃將這些算法和其它算法一樣保密，并要求用戶再次相信這些算法沒有關(guān)鍵弱點(diǎn)。

目前，研究人員表示尚不清楚其發(fā)現(xiàn)的漏洞是否正在被積極利用，但是已經(jīng)在愛德華-斯諾登披露的信息中找到了漏洞被利用的證據(jù)，這就意味著美國國家安全局（NSA）和英國 GCHQ 情報(bào)機(jī)構(gòu)過去曾以 TETRA 為竊聽目標(biāo)。

另一份文件也顯示了美國國家安全局（NSA）和澳大利亞信號(hào)局（Australian Signals Directorate）在 2007 年巴厘島氣候變化會(huì)議期間竊聽了馬來西亞警方通信的項(xiàng)目，并提到其獲得了一些關(guān)于印尼安全部隊(duì)通信的 TETRA 收集信息。此外，斯諾登泄密的文件中還描述了 2010 年，英國政府通信總部（GCHQ）可能在美國國家安全局（NSA）的協(xié)助下，在阿根廷收集 TETRA 通信信息，（此時(shí)阿根廷與英國之間因?？颂m群島（Falkland Islands）海岸外深海油田的石油勘探權(quán)關(guān)系緊張）。

文章來源：https://www.wired.com/story/tetra-radio-encryption-backdoor/