Ne reizi vien esmu te rakstījis par mēģinājumiem uzlauzt GSM standarta šifrēšanu un ka šie mēģinājumi kļūst arvien spēcīgāki. Protams, ar šifrēšanas uzlaušanu sakari vēl automātiski vēl nekļūs nedroši, jo pirms atšifrēšanas vēl ir jāpārtver aizšifrētā datu plūsma, bet tas nav vienkāršs uzdevums. Ja kādam tomēr sirdī nemiers un gribas pasargāties gan no tīri teorētiskas sakaru noklausīšanās, gan arī no valsts veiktās noklausīšanās, kas notiek caur pārtveršanas punktu, tas var izvēlēties kādu no diezgan daudziem sarunu šifrēšanas produktiem. Šeit protams ir jārēķinās ar to, ka sarunai šifrētā veidā ir nepieciešams, lai abiem sarunas dalībniekiem būtu identiska šifrēšanas programma vai ierīce, un ne visas šifrēšanas ir savietojamas ar visiem telefonu modeļiem, bet atrast kādu risinājumu tomēr ir iespējams. Bet šifrēšana no šifrēšanas atšķiras, un cik droši sakari tiek aizsargāti? Šādu jautājumu uzdeva kāds hakeris, IT drošības eksperts un blogeris Notrax un pats arī pacentās uz šo jautājumu atbildēt. Savas personīgās drošības dēļ viņš savu īsto vārdu neatklāj, bet sava pētījuma rezultātus (pētījums vēl nav pabeigts) publicē savā vietnē Infosecurityguard.
Viņš ir jau notestējis 15 šifrēšanas produktus (16. produkta testēšana vēl notiek) un jau šobrīd 12 no testētajiem ir atzinis par tādiem, kurus var pārtvert, tātad nedrošiem.
Kopsavilkuma tabula ir šāda:
Šeit jāpiezīmē, ka eksperiments vēl nav pabeigts, ka tabula var papildināties un ja Notrax ir atzīmējis kādu produktu kā drošu, tas nozīmē tikai to, ka Notrax nav izdevies to pārspēt, bet tas nenozīmē, ka to nespēs kāds cits. Notrax par sevi raksta, ka viņam ir vairāk kā 20 gadu pieredze un pieejama kaudze dārgas pat valdības līmeņa tehnikas, tādēļ šķiet, ka viņa uzbrukumi varētu būt diezgan spēcīgi.
Notrax nemaz nemēģināja lauzt pašu šifrēšanu, kas daudzos gadījumos ir 256-bitu AES, tātad pavisam nopietna šifrēšana. Tā vietā viņš izmantoja pazīstamu un populāru mobilo telefonu noklausīšanās programmu FlexiSpy. Šī programma tika uzinstalēta uz “aizsargātā telefona” un izmēģināta kopīgā darbībā. “Aizsargātais telefons” tika izsaukts no noklausīšanās telefona un tika aktivizēta klausīšanās. Ja “aizsargātajam telefonam” tajā brīdī bija aktīva “aizsargātā” (tātad – šifrētā) saruna, FlexiSpy ļāva noklausītājam dzirdēt visu, kas tiek teikts mikrofonā un nedaudz arī no pretējā virzienā teiktā. Šifrēšana šo noklausīšanos nespēj ietekmēt, jo FlexiSpy signālu ņem pirms tā aizšifrēšanas. Notrax raksta, ka viņam FlexiSpy uzbūve esot tik ļoti iepatikusies, ka viņš uz tā bāzes esot izveidojis pats savu trojāni, kas noklausās abus sarunas virzienus — gan no mikrofona, gan uz skaļruni. Notrax esot izveidojis arī modifikāciju, kas sarunu ieraksta lokālā telefona atmiņā, ļaujot to noklausītājam lejuplādēt vēlāk.
Komentāros pētījumam bija iebildes, ka produktu drošība/nedrošība tiekot raksturota nepareizi, salīdzinot to ar ļoti stiprām parādes durvīm, kas tiek apietas pa vaļā atstātu logu. Durvju stiprums tur nekā netiek izmantots. Notrax metodē viens no drošajiem — PhoneCrypt veiksmīgi esot neitralizējis noklausīšanos, lietotājam parādot, ka viņa saruna nav droša gan FlexiSpy, gan Notrax paštaisītā trojāņa izmantošanas gadījumā.
Kādi šeit varētu būt secinājumi?
Bezmaksas secinājums ir viens — Nekas nav absolūti drošs 
Atrasts šeit:
- Let the Testing Begin! (Product Background)
- Voice Encryption: 9 out of 10 Products are Worthless (Technical Description)
Agrāk šeit rakstītais par sarunu drošību:
Hi all,
i don’t know how many of you have read “deeply” about the analysis done on http://infosecurityguard.com .
I have made a detailed analysis of their initiative and the result is that:
- it’s most probably a camouflage marketing initiative and not a independent security research
- they consider *only* a security context where local device has been compromised (no software can be secured in that case)
- they do not consider cryptographic security arguments
Below my analysis on this (read it carefully):
http://infosecurity.ch/20100130/about-the-voice-encryption-analysis-phonecrypt-can-be-intercepted-serious-security-evaluation-criteria/
Maybe it’s interesting, maybe not, but for sure some facts are very relevant!
Fabio Pietrosanti (naif)
Interesants komantārs no Fabio!
)))
Palasot par FlexiSpy radās viela pārdomām par darba izsniegtajiem telefoniem un to iespējām
Kriptēšana/šifrēšana jeb sakaru drošums savukārt ir lietotāja problēma!