Информационная безопасность сети сотовой связи стандарта UMTS

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 00:24, 27 января 2015.
Данная статья была согласована с её автором Р.А. Бельферым 28 апреля 2012 года.

__NUMBEREDHEADINGS__

Список угроз ИБ в сети UMTS

В настоящем Дополнении приведен список, включающий большую часть угроз ИБ в сети UMTS, описание которых изложено в документе ETSI[1]. Обозначение угроз принято в соответствии с указанным документом. Все приведенные угрозы ИБ распределены в зависимости от места воздействия соответствующих им атак:

  • на участке радиодоступа (радио-интерфейса);
  • на других участках сети;
  • в терминалах и UICC/USIM. Под UICC (UMTS integrated Circuit Card) понимается физический прибор, который может вставляться и выниматься из оборудования терминала. Он применяется для различных приложений, одним из которых является модуль идентификации абонента USIM.

Угрозы, связанные с атаками на участке радиодоступа

Радио-участок между терминалом и обслуживающей сетью является одним из наиболее уязвимых мест воздействия атак в UMTS. Угрозы, связанные с этим участком и описанные ниже, разделены на следующие категории:

  • несанкционированный доступ к данным;
  • угрозы целостности данных;
  • «отказ в обслуживании»;
  • несанкционированный доступ к услугам. Ниже приведены таблицы с описанием угроз ИБ. Принятые обозначения угрозы TAn соответствуют: Т – первая буква английского слова «угроза» (threat): А – цифра соответствует номеру группы угроз (номер таблицы); n – буква соответствует порядковому номеру угрозы в группе угроз (в соответствии со списком угроз в документе ETSI[1]).

В таблице 3 приведено описание некоторых угроз несанкционированного доступа к данным на радио-участке.

Таблица 3.
Обозначение угрозы Название угрозы Описание угрозы
Т1а Перехват трафика пользователя Нарушители могут перехватить трафик пользователя.
Т1в Перехват данных сигнализации и управления Нарушители могут перехватить данные сигнализации и данные управления. Перехваченные данные могут быть использованы для доступа к данным управления безопасностью или к другой информации, которыми можно воспользоваться при проведении активных атак на систему UMTS.
Т1с Маскирование под участника Нарушители могут маскироваться под элемент сети для того, чтобы перехватить пользовательский трафик, данные сигнализации и данные управления.
Т1d Пассивный анализ трафика Нарушители могут наблюдать за характеристиками сообщений (время, скорость, длина, источники и назначение) для того, чтобы получить доступ к информации.
Т1е Активный анализ трафика Нарушители могут активно инициировать соединение, а затем получать доступ к информации с помощью полученных наблюдений за характеристиками (время, скорость, длина, источники и назначение) связанных друг с другом сообщений.

В таблице 4 приведено описание некоторых угроз целостности информации.

Таблица 4.
Обозначение угрозы Название угрозы Описание угрозы
Т2а Манипуляция с трафиком пользователя Нарушители могут модифицировать, вставить, повторить или уничтожить трафик пользователя. Эта манипуляция может быть случайной или намеренной.
Т2в Манипуляция с данными сигнализации Нарушитель может модифицировать, вставить, повторить или уничтожить данные сигнализации или управления.

В таблице 5 приведено описание некоторых угроз «отказ в обслуживании».

Таблица 5.
Обозначение угрозы Название угрозы Описание угрозы
Т3а Физическое вмешательство Нарушители могут создать физическим способом препятствие передаче трафика пользователя, данных сигнализации и данных управления. Пример физического вмешательства может радиоглушение.
Т3в Вмешательство в протокол Нарушители могут ввести специальные отказы в протоколе, которые создают препятствия передаче трафика пользователя, данных сигнализации и данных управления. Эти отказы в протоколе могут быть введены физическими способами.
Т3с Отказ в обслуживании в результате маскирования под участника в связи Нарушители могут отказать в обслуживании законному пользователю, создавая препятствия трафика пользователя, данных сигнализации и данных управления. Для осуществления такого отказа нарушитель маскируется под элемент сети.

В таблице 6 приведено описание угрозы несанкционированного доступа к услугам.

Таблица 6.
Обозначение угрозы Название угрозы Описание угрозы
Т4а Маскирование под другого пользователя Нарушитель маскируется под другого пользователя сети. Сначала нарушитель маскируется под базовую станцию в отношении пользователя. После проведения аутентификации нарушитель захватывает соединение.

Угрозы, связанные с атаками на других участках системы

Хотя атаки на радио-участке представляют наиболее серьезные угрозы, атаки на других участках системы также требуют анализа с точки зрения ИБ. Это относится к радио-участку второго пользователя, участвующего в соединении, а также к проводной части сети. При этом к категориям угроз ИБ на отдельном радио-участке добавляется категория, соответствующая отказу пользователя соединения в том, что он был его участником. В таблице 7 приведено описание некоторых угроз несанкционированного доступа к данным. Угрозы Т5а, Т5в, Т5с, Т5d не приведены в таблице, так как они аналогичны угрозам Т1а, Т1в, Т1с, Т1d таблицы 3. Отличие состоит лишь в том, что угрозы Т5а-Т5d имеют место не только на беспроводных участках системы, но и на проводных участках.

Таблица 7.
Обозначение угрозы Название угрозы Описание угрозы
T5e Несанкционированный доступ к данным на объекте системы. Нарушители (с помощью физического воздействия или логического управления) могут получить доступ к локальным или удаленным данным.
T5f Компрометация информации о местоположении. Законный пользователь услуги системы UMTS может получить информацию о местоположении других пользователей системы в результате анализа данных сигнализации или голосовых сообщений, полученных при установлении соединения.

В таблице 8 приведено описание некоторых угроз целостности информации. Угрозы Т6а и Т6в аналогичны угрозам соответственно Т2а и T2в. Отличие состоит в том, что угрозы Т6а и Т6в имеют место на только на беспроводных участках системы, но и на проводных участках.

Таблица 8.
Обозначение угрозы Название угрозы Описание угрозы
T6с Манипуляция маскированием под участника связи. Нарушители могут маскироваться под элемент сети для того, чтобы модифицировать, вставить, повторить или уничтожить трафик пользователя, данные сигнализации или данные управления в любом системном интерфейсе, как проводном, так и беспроводном.
T6f Манипуляция с данными на объектах системы Нарушители могут модифицировать, вставить, уничтожить данные, которые содержатся на объектах системы. Нарушители либо физическим воздействием, либо логическим управлением могут получить доступ к данным локально или удаленно.

В таблице 9 приведено описание угроз ИБ, относящихся к «отказу в обслуживании».

Таблица 9
Обозначение угрозы Название угрозы Описание угрозы
T7а Физическое вмешательство Нарушители могут физическими методами препятствовать передаче на любом интерфейсе системы (проводном или беспроводном участке) трафика пользователя или данных сигнализации. Например, физическим способом препятствия на проводном интерфейсе может быть обрыв провода. На проводном или беспроводном участке физическим препятствием может быть прерывание работы системы подачи питания.
T7в Вмешательство в протокол Нарушители могут препятствовать передаче на любом интерфейсе системы (проводном или беспроводном участке) трафика пользователя или данных сигнализации путем отказа в работе протокола. Эти протокольные отказы могут быть введены физическими методами.
T7с Отказ в обслуживании путем маскирования участников связи Нарушители могут отказать в обслуживании пользователям путем препятствия в передаче трафика пользователя и данных сигнализации, управления путём их блокировки в результате маскирования под сетевой элемент.
T7d Неправильное использование услуг по обслуживанию аварийных ситуаций Нарушители могут препятствовать доступу к услугам других пользователей и вызывать при этом нарушение работы оборудования по выполнению функций при аварийных ситуациях. Это может быть достигнуто нарушением услуги по обслуживанию аварийных ситуаций созданием вызовов без использования модуля USIM. Если такие вызовы удастся нарушителю позволить установить, то провайдер может не иметь способа препятствовать нарушителю доступ к обслуживанию.

В таблице 10 приведено описание некоторых угроз, вызванных отказом одного из участников соединения в том, что он был его участником.

Таблица 10
Обозначение угрозы Название угрозы Описание угрозы
T8а Несогласие с представленным счетом Несогласие с представленным счетом. Это может быть выражено в отказе попытки предоставления услуги или в отказе того, что услуга была действительно предоставлена.
T8в Отказ источника трафика пользователя Пользователь может отказаться в том, что он отправлял трафик.
T8с Отказ доставки трафика пользователя Пользователь может отказаться в том, что он получил трафик пользователя.

В таблице 11 приведено описание несанкционированного доступа к услугам.

Таблица 11
Обозначение угрозы Название угрозы Описание угрозы
T9а Маскирование под пользователя Нарушители могут представиться пользователем для того, чтобы воспользоваться санкционированными услугами этого пользователя. Нарушитель смог получить такую возможность от других объектов таких, как обслуживающая сеть, домашняя среда и даже сам пользователь.
T9в Маскирование под обслуживающую сеть Нарушители могут представиться обслуживающей сетью или частью инфраструктуры обслуживающей сети для того, чтобы использовать попытки санкционированного доступа и получить самому доступ к услугам.
T9с Маскирование под домашнюю среду Нарушители могут представиться домашней средой для того, чтобы получить информацию, которая дает ему возможность маскироваться под пользователя.
T9d Неправильное использование приоритетов пользователя Пользователи могут неправильно использовать назначенные им приоритеты для того, чтобы получить несанкционированный доступ к услугам или просто бесплатно интенсивно использовать их подписку.
T9е Неправильное использование приоритетов обслуживающей сети Обслуживающие сети могут неправильно использовать их приоритеты для получения несанкционированного доступа к услугам. Обслуживающая сеть могла бы, например, не использовать аутентификационные данные пользователя или замаскироваться под этого пользователя, или просто создать фальшивые счета и получить дополнительный доход от домашней среды.

Угрозы, связанные с атаками на терминал и UICC/USIM

В таблице Д.10 приведено описание некоторых угроз, связанных с атаками на терминал и UICC/USIM. В смарт-карте UICC (UMTS Integrated Circuit Card) находится модуль идентификации абонента USIM (UMTS Service Identity Module).

Таблица Д.10.
Обозначение угрозы Название угрозы Описание угрозы
T10h Маскирование с целью приема данных на интерфейсе UICC – терминал. Нарушители могут маскироваться под USIM или терминал для того, чтобы перехватить данные на интерфейсе UICC – терминал.
T10j Конфиденциальность определенных данных пользователя в терминале и UICC/USIM Нарушители могут пожелать получить доступ к персональным данным пользователя, хранимых в терминале или UICC, например, телефонная книга взаимодействующих абонентов.
T10k Конфиденциальность данных аутентификации в UICC/USIM Нарушители могут пожелать получить доступ к данным аутентификации, хранимых провайдером услуг, например, ключ аутентификации.

Требования по защите от угроз в сети UMTS с помощью механизмов аутентификации

В настоящем приложении приведена таблица 13 некоторых из угроз ИБ в сети UMTS, которые требуют защиту с помощью механизмов аутентификации. Защита мобильного устройства 3G обеспечивается модулем идентификации услуг USIM (UMTS Service Identity Module). Таблица включает номера угроз (в соответствии с таблицами раздела 1 Дополнения), описание требований по защите, и указания группы угроз по требованиям по защите.

Таблица 13.
Номера угроз Описание требований по защите Группа требований по защите
T4а, Т9а, Т9с Должна быть обеспечена возможность не допустить получение маскирующимся под законных пользователей несанкционированный доступ к обслуживанию 3G. Требования по безопасности доступа к обслуживанию.
T4а, Т8а, Т9d, T9e Должна быть обеспечена сигнализация провайдеру, оповещающая его о связанном с безопасностью событии. Обеспечить провайдерам услуг возможность аутентифицировать пользователей при запросе и во время предоставления услуги для того, чтобы препятствовать нарушителю получить незаконный доступ к услугам 3G в результате их маскирования или неправильного использования приоритетов. Требования по безопасности предоставления обслуживания
T7в, Т7с Должна быть обеспечена защита от несанкционированной модификации трафика пользователя. Требования на целостность системы
T7а, Т7в, Т7с Должна быть обеспечена защитита от несанкционированной модификации определенных данных сигнализации и управления.
T1a, Т1b Должна быть обеспечена пользователю возможность проверки того, что его трафик и информация о его вызовах конфиденциальны. Требование к защите персональных данных
T10h, T10k Не должна быть возможность доступа к данным USIM, которые предназначены для использования только внутри USIM, например ключи аутентификации и алгоритмы. Требование к безопасности USIM

Количественная оценка угроз информационной безопасности

В основу количественной оценки угрозы безопасности в UMTS положен метод, предложенный в документе ETSI ETR 332, описание которого приведено в Приложении A (раздел А3). Приведенные в документе ETSI[1] угрозы по количественной характеристике относятся к высокому, среднему или незначительному риску[2]. Угрозы Т1a, Т1b, Т1c, Т9a, Т9d относятся к группе с высоким риском. Угрозы Т4a, Т9b относятся к группе со средним риском.

Примечания

  1. 1,0 1,1 1,2 3GPP TS 121 133 V3.2.0. Universal Mobile Telecommunications Systems (UMTS); 3G Security; Security Threats and Requirements. 2001.
  2. Бельфер Р.А. Способы классификации угроз безопасности сетей связи ВСС России (на примере ISDN, IN, UMTS) и возможные методы их количественной оценки // Электросвязь. 2002, №7, С. 14-18.