Gemalto — что это за устройство? (Sentinel, IDBridge)
USB-ключ или аппаратный/программный токен, который используется для защиты важных цифровых данных, также используется при авторизации в программах/сервисах, может применяться для доступа к электронной почте.
Что за аппаратный ключ Gemalto?
- Есть корпоративные компьютеры, сервера, рабочие станции с важными данными, софтом.
- Для доступа к важным данным может использоваться пароль, но если забыть — будут проблемы. Вместо пароля можно использовать USB-устройство, внутри которого содержится также пароль, но очень сложный (никогда в жизни его не подобрать).
- Данные могут быть зашифрованы, чтобы получить доступ — нужен USB-модуль, то есть ключ/токен. Также существуют программные токены, в некотором смысле это программные ключи, конечно надежность немного ниже.
- Для настройки аппаратного USB-ключа необходимо специальное программное обеспечение, например eToken PKI Client, SafeNet Authentication Client (более новое решение), которое позволяет установить пароль, PIN-код, очистить, задать одноразовый пароль и много других функций.
- Для домашних компьютеров данные устройства Gemalto, софт — почти бесполезны, почти не используются.
Внешний вид приложения eToken PKI Client:
Внешний вид SafeNet Authentication Client (на самом деле более новая версия, работающая на современных операционных системах):
Вообще Gemalto — крупная компания, которая производит:
- Симкарты по всему миру, возможно самый популярный производитель, в год выпускает около 2 млрд карт, включая для таких операторов как Мегафон, Билайн, Йота.
- Производит некие чипы EMV для банковских карт, более 3000 компаний пользуется услугами компании, выпускается более 2 млрд карт EMV.
- Производит чипы NFC, которые используются для оплаты товаров в магазине. Эти чипы можно встретить в смартфонах OS Android, при помощи которых собственно и можно оплатить товар на кассе в некоторых супермаркетах.
- Занимается созданием биометрических паспортов (США), чипом и антенн.
- Производит аппаратные ключи Gemalto безопасности — токены IDBridge, IDProve.
- Создает системы авторизации для машин Ауди, БМВ.
Интересный факт — в 2009 году компания SafeNet купила другую компанию — Aladdin Knowledge Systems. В 2014 году Gemalto купила SafeNet.
И ещё раз про Gemalto
Я уже писал свои мысли и чувства про взлом Gemalto, но этих самых мыслей накопилось вот ещё на один пост.
Давайте представим, что GCHQ поимело Gemalto полностью, как написано на их слайде (надо, правда, учесть, что слайды делаются для руководства, а значит успехи GCHQ могут быть преувеличены).
Что тогда? Какие риски и возможные последствия могут наступить для нас с вами?
Подобный анализ будет так же полезен тем, что он может показать насколько вся наша инфраструктура уязвима в случае компрометации всего одного вендора.
Кто такой Gemalto?
1. Крупнейший производитель симкарт в мире
— 450+ опсосов в мире (включая Мегафон, Билаин, Yota)
— производит 2 миллиарда симкарт в год (!)
2. Крупнейший производитель EMV чипов для банковских карт в мире
— 3000 финансовых организаций пользуются продукцией Gemalto
— 2 миллиарда EMV кард (!)
3. Крупнейший производитель NFC чипов в мире
4. Производитель биометрических паспортов в США (чипов и антенн) (а в России?)
5. Производитель USB токенов IDBridge, IDProve
6. Производитель систем аутентификации для Audi и BMW
7. 10 000 сотрудников в 85 странах.
В 2009 году основанная выходцами из АНБ американская компания SafeNet купила Aladdin Knowledge Systems — мирового лидера в производстве токенов (HASP, eToken ). В 2014 году Gemalto купила SafeNet.
Ночной кошмар наяву: 2 миллиарда скомпрометированных SIM-карт
Недавно Эдвард Сноуден обнародовал информацию о том, что британские и американские спецслужбы (АНБ и его ближайший союзник — Центр правительственной связи Британии) взломали сеть компании Gemalto и украли секретные ключи, защищающие миллионы, а то и миллиарды симок.
Взлом такого масштаба способен поставить под вопрос работу всей мировой системы связи, ведь в этом случае хакер получает возможность в любой момент прослушать ваши разговоры и получить доступ к прочим данным, просто нажав на клавишу.
Gemalto — международный производитель мобильных SIM-карт. Журнал The Economist подсчитал, что Gemalto выпускает больше симок, чем любая другая организация в мире. Клиенты компании — AT&T, T-Mobile, Verizon и Sprint и еще около 450 сотовых сетей в 85 компаниях по всему миру.
Каждая SIM-карта содержит уникальный международный идентификатор абонента мобильной связи (IMSI) и зашифрованный ключ аутентификации, необходимые для того, чтобы подтвердить, что этот телефон именно ваш. Можно сказать, что эти данные — это логин и пароль, с той только разницей, что они «зашиты» в SIM-карту на аппаратном уровне и не могут быть изменены абонентом или оператором.
Похититель секретных ключей может отслеживать обмен данными (в том числе и голосовые коммуникации) на любом устройстве с SIM-картой, использующей один из похищенных ключей шифрования. Если разоблачения Сноудена — правда, то АНБ и Центр правительственной связи Великобритании могут массово отслеживать передачу данных по сотовой сети по всему миру, причем без ордера и прочих видов судебного одобрения.
Периодически СМИ обсуждают факт хранения АНБ метаданных. С их помощью можно понять, где был человек, с кем общался и по большому счету кто он такой. Но это все блекнет в сравнении с массированным взломом SIM-карт, поскольку последнее позволит взломщикам видеть переписку и слышать звонки пользователей вообще без каких-либо сложностей. В секретном сообщении АНБ, опубликованном Сноуденом, говорится, что агентству «удалось успешно внедриться на несколько машин (в Gemalto); мы полагаем, вся сеть в нашем распоряжении».
SIM-карта сокровищ: как потерять все, потеряв один лишь телефон — http://t.co/ElKB4U1unJ
— Kaspersky Lab (@Kaspersky_ru) November 17, 2014
В этом деле большую роль играют не только соображения конфиденциальности, но и деньги. Изначально вся система с SIM-картами проектировалась не столько для защиты коммуникаций, сколько для того, чтобы поставить на поток надежный биллинг и не дать пользователям обмануть операторов сотовых сетей. Кроме того, в настоящее время многие системы полагаются на SIM-карты как на способ оплаты — например, популярная в Латинской Америке система мобильных микроплатежей M-Pesa.
Кроме того, следует иметь в виду, что Gemalto производит не только SIM-карты. Это основной производитель микропроцессоров для всех видов смарт-карт, в том числе для платежных карточек с чипом (EMV). Загляните в свой кошелек и изучите, кто является производителем ваших пластиковых карточек (это всегда написано мелким шрифтом на задней стороне карты). Даже у россиянина наверняка найдется карта производства Gemalto, а то и не одна. Теоретически эти карты также могут быть скомпрометированы.
Также чипы Gemalto используются при создании электронных пропусков и паспортов, идентификационных карт и в качестве ключей для автомобилей премиум-класса, таких как BMW и Audi.
В настоящее время Gemalto категорически отрицает факт взлома системы безопасности.
В официальном сообщении компании говорится, что в Gemalto «не обнаружили следов взлома в инфраструктуре, отвечающей за работу с SIM-картами (а также с банковскими картами, паспортами и другими продуктами и платформами). Каждая из этих сетей находится в полной изоляции и не подключена к каким-либо внешним сетям».
Тем не менее в компании также отметили, что ранее были безрезультатные попытки взломать корпоративную сеть и, возможно, за них в ответе как раз АНБ и Центр правительственной связи Британии.
2 млрд скомпрометированных SIM-карт #Gemalto — ночной кошмар наяву:
Tweet
Помимо всего прочего весьма беспокоит тот факт, что обнародованные Сноуденом сведения датированы 2010 годом. Если взлом действительно был успешным, то вся схема работает уже пять лет.
Перспективные решения PT Electronics и партнеров. Модули для беспроводных приложений компании Cinterion/GEMALTO
К своему 20-летию в 2012 году компания «ПетроИнТрейд» сменила название на PT Electronics (организационно холдинг ООО «ПТ Электроникс») и определила новую стратегию развития на пятилетку. Название «ПетроИнТрейд» было сохранено только для вновь организованной отдельной компании, занимающейся работой исключительно с клиентами оборонно-промышленного комплекса.
Новая стратегия холдинга PT Electronics на период до конца 2016 года предусматривала ряд организационных мероприятий, а также выход компании на зарубежные рынки и открытие представительств в Европе с ориентацией на стиль работы ведущих мировых дистрибьюторов электронных компонентов, таких как EBV ElektroniK и Arrow Electronics. В рамках новой стратегии компания перешла от политики «ключевых клиентов» (Key Account) к классической политике «формирования спроса» (Demand Creation), то есть от решения запросов клиентов к продвижению инновационных продуктов ведущих мировых производителей электронных компонентов. В период действия новой стратегии компания заключила контракты с рядом новых брендов, например Linear Technology, SEMIKRON, Cinterion, GE Energy.
Изменился подход компании и к системе контрактного производства; для этой цели в холдинге была создана компания PT Technology, нацеленная на предпроизводственный консалтинг производства и выстраивание единой цепочки – клиент – поставщики компонентов – контрактные производства. Такой подход позволяет эффективно реализовывать внедрение инновационных продуктов ведущих мировых производителей компонентов в реальные продукты, выпускаемые на российских предприятиях.
Компания Cinterion Wireless Modules GmBH (Мюнхен, Германия), созданная в 1995 году, в 2010 году была приобретена холдингом Gemalto и стала подразделением Gemalto M2M. Дистрибьюторский договор с Gemalto M2M на поставку продукции под брендом Cinterion PT Electronics заключила в 2012 году. В настоящее время компания Gemalto M2M является мировым лидером на рынке модулей для беспроводной межмашинной связи М2М (Machine-to-Machine). Продукты компании позволяют различным стационарными и мобильным устройствам обмениваться данными через сотовые сети связи с использованием соединений типа E2E (Edge-to-Enterprise), используемых в «Интернете вещей» (IoT). В отличие от сотовых технологий потребительского уровня, устройства для М2М Cinterion рассчитаны на длительную (не менее 10 лет) эксплуатацию в жестких условиях окружающей среды с большими перепадами температур, высокой влажностью, вибрационными и ударными воздействиями. Основные области применения технологий М2М: интеллектуальная энергетика, автомобилестроение, транспорт, мобильное здравоохранение, системы безопасности, платежные системы, отслеживание объектов и другие.
Корпорация (холдинг) Gemalto NV (Амстердам, Нидерланды) возникла в 2006 году в результате объединения двух компаний – Axalito (Париж, Франция) и Gemplus International (Люксембург). К настоящему времени компания представлена в 47 странах, в том числе в России, число сотрудников превысило 15,000 (3,000 инженеров). Gemalto представляет решения в следующих областях: банкинг и платежи, государственные проекты, корпоративная безопасность, «Интернет вещей», мобильные решения, монетизация ПО, автомобильные решения, транспорт. В качестве примера на Рисунке 1 показано применение терминалов компании Cinterion IoT Terminal в торговых автоматах. Такие терминалы могут работать в сетях 2G, 3G, LTE, 4G. Приборы оснащены интерфейсами Ethernet, USB 2.0, RS-232, GPIO, I 2 C, а также разъемами для телефонных линий и подключения антенн.
Рисунок 1. | Терминал Gemalto в торговых автоматах. |
Компания Gemalto M2M выпускает продукты для направления М2М преимущественно под торговой маркой Cinterion. Российское подразделение компании при участии PT Electronics обеспечивает поддержку заказчиков не только по вопросам поставки продуктов, но и оказывает помощь разработчикам в решении сложных технических задач и проведении тестирования изделий в своей лабораторно-научной базе в Берлине на электромагнитную совместимости, вибростойкость и ударопрочность, воздействие высокой влажности и перепадов температур. В ассортименте PT Electronics представлено несколько типов интегральных модулей, предназначенных для работы в сотовых сетях 2G, 3G, LTE, 4G
Cinterion BGS2 (представлен в 2012 году) – интегральный GSM модуль для сетей 2G, выполненный в корпусе LGA с размерами 18.8 × 26.7 × 2.7 мм, на момент создания являлся самым миниатюрным в мире модулем для GSM М2М приложений. Основные сферы применения модулей: энергоучет, системы безопасности, торговые автоматы, платежные терминалы, банкоматы, персональные трекеры, портативные медицинские устройства и многие другие. Модули выполнены по технологии, позволяющей обеспечивать прямую связь между М2М устройствами, датчиками и навигационными приемниками. Приборы выпускаются в двух исполнениях – для Северной Америки BGS2-W (GSM850/900/ 1800/1900, GPRS класс 10) и для Европы BGS2-E (GSM900/1800, GPRS класс 8). Основной чипсет модулей выполнен по технологическим нормам 65 нм, благодаря чему модуль отличается высокой энергоэффективностью и высоким быстродействием. Используемый стек TCP/IP (сетевой модуль передачи данных, созданный в 1972 году Винтоном Серфом), обеспечивает работу во всех регионах России. Внешний вид модуля показан на Рисунке 2.
Рисунок 2. | Внешний вид модуля BGS2. |
Основные параметры и возможности прибора:
- Сервисы TCP/IP стека:
- TCP сервер/клиент,
- UDP (User Datagram Protocol – протокол пользовательских датаграмм),
- HTTP (Hyper Text Transfer Protocol – протокол передачи «гипертекста»),
- FTP (File Transfer Protocol – протокол передачи файлов),
- SMTP (Simple Multi Transfer Protocol – простой протокол передачи почты),
- POP3 (Post Office Protocol Version 3 – интернет-протокол для получения электронной почты);
- антенный вход 50 Ом,
- UICC (для SIM карты),
- 8 GPIO (интерфейс ввода/вывода общего назначения) 1.8 В, 2 GPIO 2.8 B,
- 2 последовательных порта (ASC0/ASC1),
- АЦП/ЦАП (ШИМ);
- RIL для Pocket PC и смартфонов (Microsoft-совместимое),
- TCP/IP, AT Commands для управления,
- SAT Release 99 для SIM-приложений;
Cinterion EHS5 (2013 г.) – на момент создания самый маленький в мире 3G модем для М2М приложений, совместимый по выводам с модулем BGS2. Главной особенностью модуля является наличие встроенной виртуальной Java машины, позволяющей разработчикам аппаратуры использовать собственные приложения. Разработчик может написать собственную программу на языке Java, что позволяет использовать модуль в качестве микроконтроллера. Модуль отлично подходит для приложений, требующих передачи больших объемов данных, таких как фото и видео, например, в устройствах фото- и видеофиксации. Модули выпускаются в исполнения для США (EHS-US, диапазоны 850/ 1900 МГц) и Европы (EHS-E, 900/ 2100 МГц). Структура и внешний вид модулей примерно такие же, как показанные на Рисунке 2.
Основные функциональные возможности и характеристики приборов:
- Поддерживаемые форматы связи – GSM (3G), GPRS класс 12, EDGE, HSPA+, UMTS; здесь EDGE – надстройка к технологии GSM 2G с модуляцией 8PSK, HSPA+ – высокоскоростной пакетный доступ в сетях 3G, UMTS – универсальная мобильная телекоммуникационная система (разработана Европейским Институтом Стандартов Телекоммуникаций ETSI);
- Технология передачи данных CSD (Circuit Switch Data) со скоростью 9.6 кбит/с, встроенный протокол TCP/IP;
- Драйверы – Linux, Android, Windows, технология обновления прошивок программного обеспечения по «воздуху» FOTA;
- Криптографические протоколы шифрования SSL (Security Sockets Layer – уровень защиты сокетов) и TLS (Transport Layer Security), обеспечивающие надежную защиту передаваемых данных;
- Скорость передачи/приема данных 7.2/5.76 Мбит/с;
- Поддерживаемые интерфейсы – USB 2.0 HS (480 Мбит/с), RS-232, последовательные ASC0, ASC1, 4 GPIO, 8 Мбайт флеш, 2 Мбайт PSRAM (динамическая оперативная память), I 2 C, АЦП/ЦАП, UICC и U/SIM (для SIM-карт);
- Встроенный модуль для телетайпа TTY и голосовые кодеки FR, HR, EFR, AMR;
- Возможность сканирования сети и одновременного запуска нескольких приложений.
Cinterion BGS5 (2013 г.) – совместимый по выводам с BGS2 модуль, отличающийся наличием встроенной виртуальной машины Java ME Embeded и большим набором аппаратных интерфейсов. Модуль предназначен для применения в системах автоматического снятия показаний счетчиков, автоматизированных системах коммерческого учета электроэнергии (АСКУЭ), автоматизированных системах управления наружным освещением (АСУНО), в которых каждый осветительный прибор управляется индивидуально. Приборы также могут найти применение в блоках охранно-пожарной сигнализации, в торговых и почтовых терминалах, кассовых аппаратах и терминалах оплаты.
Несколько модулей Gemalto M2M ориентированы на применение в системах экстренного реагирования при чрезвычайных ситуациях. Российская государственная система экстренного реагирования при авариях ЭРА-ГЛОНАСС технологически совместима с европейской системой eCall аналогичного назначения. ЭРА-ГЛОНАСС имеет две составляющие: наземную инфраструктуру оператора системы и устройства в транспортных средствах (приемники ЭРА-ГЛОНАСС). В приемниках имеется навигационная часть, обеспечивающая определение координат транспортного средства по сигналам спутниковой системы ГЛОНАСС (или GPS), модуль сотовой связи и устройство для определения аварийных столкновений. В случае тяжелых аварий приемник автоматически посылает сигнал бедствия через сотовую сеть любого оператора (в системе задействованы все операторы). Имеется возможность связаться с оператором ЭРА-ГЛОНАСС вручную с помощью кнопки SOS. Один из приемников системы показан на Рисунке 3. С 2018 года наличие приемников ЭРА-ГЛОНАСС стало обязательным практически для всех новых автомобилей и других транспортных средств, продаваемых на территории России.
Рисунок 3. Приемник системы ЭРА-ГЛОНАСС. Cinterion AHS2 (2013 г.) – совмещенный 3G/GSM + ГЛОНАСС модуль для работы в системе ЭРА-ГЛОНАСС, выполненный в корпусе размерами 33 × 29 × 2.4 мм (Рисунок 4). Основой модуля является чипсет компании Qualcomm, обеспечивающий высокоскоростную связь в форматах HSPA+/UMTS и выдачу навигационных данных по протоколу NMEA. Прибор оснащен аналоговыми выходами для подключения динамика и микрофона, двумя антенными входами для приемников GSM/UMTS и ГЛОНАСС. Для реализации приемника ЭРА-ГЛОНАСС на основе AHS2 требуется минимальное число внешних компонентов.
Рисунок 4. Модуль AHS2. Основные особенности, функциональные возможности и характеристики модуля AHS2-E:
- Поддержка eCall и ЭРА-ГЛОНАСС, определение координат в системах GPS/A-GPS и ГЛОНАС по протоколу NMEA;
- Диапазоны частот GSM 900/1800 МГц, UMTS (WCDMA/FDD) 900/2100 МГц;
- Чувствительность приемника GPS/ГЛОНАСС более –155 дБ;
- Скорость передачи/приема данных 5.7/14.4 Мбит/с;
- Интерфейсы:
- USB 2.0,
- десять GPIO,
- I 2 C,
- UICC/SIM,
- два антенных разъема для GSM/UMTS,
- антенный разъем для ГЛОНАСС/GPS;
Cinterion PLS8 LTE (2014 г.) – LTE модуль четвертого поколения, выполненный в корпусе с размерами 29 × 33 × 2 мм. Внешний вид исполнения PLS8-E, установленного на отладочную плату, показан на Рисунке 5. Основной особенностью модуля является поддержка беспроводной широкополосной связи стандарта LTE со скоростью передачи/приема данных 50/100 Мбит/с. Кроме традиционных для М2М сфер применения, модули PLS8 отлично подходят для приложений, требующих большой пропускной способности, например, для потокового видео, высококачественных охранных и мультимедийных систем.
Рисунок 5. Модуль PLS8. Основой модуля является чипсет компании Qualcomm с трактом LTE/UMTS и навигационным приемником сигналов спутниковых систем GPS/A-GPS/ГЛОНАСС, для связи с хост-процессором используется скоростной USB-интерфейс.
Модули PLS8-E обеспечивают работу в следующих стандартах и видах беспроводной связи: GSM/GPRS (900/ 1800 МГц), LTE (800/900/1800/ 2600 МГц), HSPA+, UMTS (900/1800/ 2100 МГц), EDGE. Программное обеспечение поддерживается в операционных системах Windows, Linux, Android.
Cinterion BGS8 (2014 г.) – 2G GSM/GPRS модуль со встроенной навигацией GPS/ГЛОНАСС на основе чипсета Intel. От модели BGS2 отличается пониженным энергопотреблением – пиковый ток не более 1.6 А, в спящем режиме – 1.2 мА, основные характеристики и сферы применения – как у BGS2.
Cinterion ELS31 (2015 г.) – LTE модуль в форм-факторе модулей BGS2 и EHS5. Данный прибор является первым LTE-модулем первой категории (LTE Cat 1) для работы в сетях 4G/LTE и предназначен для промышленных решений в сфере «Интернета вещей», таких как системы слежения и управления перевозками, мобильные технологии для здравоохранения, системы автоматизации, «Умный дом», АСКУЭ, измерительные системы и многие другие.
Кроме модулей Gemalto выпускает и законченные изделия – М2М терминалы на основе собственных модулей. Например в каталоге компании 2019 года представлены терминалы ELS61T/ELS31T на основе модулей ELS61/ELS31, EHS6T на основе моделей EHS6, BGS5T на основе моделей BGS5, BGS2T (модуль BGS2). Внешний виде этих терминалов показан на Рисунке 6.
Рисунок 6. Терминалы Gemalto. Cinterion ELS61T – М2М терминал на основе 4G/LTE модуля первой категории ELS61 с поддержкой сетей 3G/2G. Терминал предназначен для промышленных М2М приложений, торговли, систем безопасности и «интеллектуальных городов». На Рисунке 7 показан пример такого города в представлении Gemalto. К особенностям терминала относятся такие возможности, как питание через интерфейс Ethernet (PoE – Power over Ethernet), встроенная Java машина для разработки приложений, гибкая процедура монтажа для быстрого и простого внедрения.
Рисунок 7. Умный город Gemalto. Основные возможности и характеристики терминала:
- Поддержка высокоскоростной пакетной передачи данных HSDPA (High-Speed Downlink Packet Access) в сетях 3G;
- Диапазоны часто 4G/LTE, 3G, 2G (в зависимости от регионов поставки);
- Скорости приема/передачи данных 10.3/5.2 Мбит/с (для исполнения ELS61T-E);
- Поддержка GPRS класс 12 со скоростью приема/передачи данных 85.6 кбит/с, SMS-текста;
- Интерфейсы – Ethernet (с PoE), высокоскоростной последовательный, 20 GPIO, опционный встроенный SIM чип, RS-232;
- Напряжение питания 8-30 В, габариты 115 × 86 × 26 мм, вес 130 г.
В России беспроводные терминалы, спутниковые трекеры и оборудование для М2М и «Интернета вещей» разрабатывает, производит или поставляет целый ряд компаний, в продукции которых используются и М2М модули Cinterion. Широкому распространению М2М решений способствуют и ведущие российские операторы сотовой связи, активно продвигающие М2М услуги и SIM-карты потребителям. Например, Мегафон развивает услуги связи по технологии NB-IoT (Narrow Band Internet of Things) – стандарту сотовой связи для устройств телеметрии с малым объемом обмена данными. Этот стандарт разработан консорциумом 3GPP. В декабре 2017 года ГКРЧ России принял решение о предоставлении частот для NB-IoT в различных участках диапазонов, выделенных для сотовой связи (в узких участках от 453 МГц до 2690 МГц).
Компания Мегафон с партнерами (Huawei, «Большая Тройка») в марте 2017 года впервые в России продемонстрировала работоспособность технологии NB-IoT в приложении к ЖКХ для обеспечения автоматической передачи данных счетчиков потребления ресурсов в управляющие компании. Жителям, перешедшим на новую технологию, не придется вручную снимать показания счетчиков, а получать необходимую статистику они смогут с помощью специального приложения.
Не отстают от Мегафона и другие компании. МТС в конце 2018 года начала развертывание сетей NB-IoT, ориентированные на B2B (Business to Business) решения для «умного дома» и «умного города» в таких направлениях, как ЖКХ, безопасность и мониторинг. К началу 2019 года запуск сетей уже состоялся не только во всех городах-миллионщиках, но и в других городах России.
Билайн в 2018 году запустила в тестовом режиме сервис NB-IoT на нескольких базовых станциях Москвы и Новосибирска и планирует быстро расширить охват на всю сеть. В планах Теле 2 также намечено развертывание сетей NB-IoT.