У дома / Преглед на Linux / Купете прихващач на мобилен телефон Imsi. Слушане на GSM с HackRF. Как IMSI прихващачите монополизират достъпа до мобилен телефон

Купете прихващач на мобилен телефон Imsi. Слушане на GSM с HackRF. Как IMSI прихващачите монополизират достъпа до мобилен телефон

23.03.2021 Преглед на Linux

GSM прихващане
*GSM 900* Прихващане
Продуктът *GM* е предназначен за приемане и обработка на сигнали
стандарт GSM-900, 1800 както при липса, така и при наличие на криптозащита
(алгоритми A5.1 и A5.2).
"GM" позволява:
- контролирайте директно управление или гласов канал (излъчване
бази)
- наблюдавайте обратния контрол или гласовия канал (излъчване
тръби)
- сканиране на всички канали в търсене на активни в дадено местоположение
- сканиране на канали избирателно и задаване на времето за повторно сканиране
- организирайте слушане от край до край
- организира селективно слушане по известни TMSI, IMSI, IMEI,
AON номер, Ki.
- автоматично записване на разговора на твърдия диск
- контролирайте разговора без запис
- търсене на активен абонат (за отворени канали)
- коригирайте номера, набран от клетъчния абонат
- фиксирайте телефонния номер на обаждащия се на клетъчното устройство (ако
активирана система за идентификация на обаждащия се)
- показва всички регистрации в канала
Продуктът съдържа два приемни канала - прав и обратен.
При липса на криптозащита *GM* може да работи в два режима:
- търсенето е активно мобилен абонат.
При наличие на криптозащита само в режим
- управление на канала за управление на станцията (напред и назад);
Когато наблюдава контролния канал на дадена станция, *GM* определя следното
параметри за всяка връзка:
- IMSI или TMSI (в зависимост от режима на работа на управляваното
моята мрежа, тези сигнали се предават от базовата станция);
- IMEI (при поискване от базовата станция и когато енергията

Наличие на мобилния абонат, тъй като излъчването е фиксирано
тръби);
- набран номер (при свързване, инициирано от мобилния телефон
на абоната и с неговата енергийна обезпеченост, тъй като в този случай на
тръбно излъчване);
- ANI номер (когато се предава от базовата станция).
В режим на търсене на активен абонат всяко следващо обаждане се следи.
съединение. В този режим *GM* постоянно сканира целия диапазон и
когато бъде открит активен абонат, той преминава в режим на управление (разбира се
ако абонатът в момента говори, защото устройството включва предавателя
само за времетраенето на разговора). Ако е необходимо (ако този разговор не е
се интересува) операторът може да нулира режима на управление и „GM“ отново ще отиде
в режим на сканиране, докато намери друга активна страна. Режим
търсенето на активен абонат е препоръчително да се използва при поддържане. AT
*GM* не разпознава абонатни идентификатори в този режим на работа!
При наблюдение на канала за управление на базовата станция са възможни два варианта
върши работа:
- в проходен режим
- в режим на избор на функция
В режим от край до край, първият наличен разговор в
наблюдавана клетка и всички регистрации се показват. Ако се даде
разговорът не е интересен, тогава контролът може да бъде спрян чрез натискане на бутона
почивка.
В режим на избор само връзки с даден
TMSI, IMSI, IMEI, ANI номер или набран номер. Списък за избор
включва до 200 идентификатора. При управление на затворен канал
Изборът на крипто режим се извършва според известното Ki, което позволява
уникално идентифицира абоната, без да посочва TMSI, IMSI или IMEI.
Списъкът за избор включва до 40 абонати.
*GM* се изработва под формата на моноблок с размери 450х250х50 мм. контрол
работата *GM* се извършва от външен компютър (възможно е свързване
лаптоп) чрез RS-232 сериен порт.
Пакетът включва устройство със софтуер,
което позволява четене на параметъра Ki от SIM картата, четенето се извършва в
в рамките на 10 часа.
*GM* се захранва от AC 220V. така
DC напрежение 12 V, например от бордовата мрежа на автомобила.
По поръчка е възможно производството на канали в диапазона 1800 MHz и 450 MHz.

Съкращение и обозначения
TMSI - временен идентификатор (номер) на мобилния абонат
IMSI - Международна идентичност на мобилния абонат
IMEI - Международен идентификационен номер на оборудването
Подвижен
станции
Ki – индивидуален ключ за удостоверяване на абоната
1. Комплексът е предназначен за приемане на сигнали от системата ТТТ.
2. Комплексът разполага с два приемно-обработващи канала - един в горната и един в долната част на диапазона.
3. Комплексът осигурява настройка на всеки от 124-те възможни канала за управление.

4. По време на работа на комплекса са възможни два режима:
- без селекция;
- със селекция.
Таблицата за избор може да включва до 40 идентификатора.
Идентификаторът се състои от IMSI и IMEI (възможно е да посочите само IMSI или само IMEI).
Комплексът извършва подбор по IMSI, IMEI и TMSI. Избор от TMSI след включване на комплекса
предоставя се само след получаване на команда с даден IMEI или IMSI.
внимание! IMEI - идентификационен номер на слушалката (определя се от нейния производител). IMSI -
международен идентификационен номер на абоната (записан в SIM картата). Като цяло няма директен
съответствие с градския номер на абоната. Таблицата за кореспонденция се задава от оператора (фирмата, която издава
тръби).
5. Предоставя се идентификация на изходящ номер.
6. Режимът на предаване се изработва.
7. Не се предоставя обработка в съответствие с алгоритми A5.
8. Комплексът се управлява от Windows програма през сериен порт.
9. Регистрацията може да се извърши както на магнетофон, така и на звуков бластер.
10. При включване на захранването комплексът преминава в режим на активно търсене на абонати. При откриването му
комплексът преминава в режим на приемане. Осигурено е нулиране на абоната. В този режим контролът
не е необходим компютър. В този режим идентификаторите на абонати не се определят.
След стартиране на програмата за управление комплексът преминава в режим на управление на зададения канал
управление (осигурено е прилагането на точки 3 ... 5).

КРАТКО ОПИСАНИЕ НА СИСТЕМАТА.
Широкото използване на системата започва през 1993 г. със създаването на MTS и
получаване на разрешение за използване на диапазона 890 - 915 MHz и 935 - 960 MHz без 10 MHz,
предназначен за работа на радара.
Според откритата преса в момента има между 180 000 и 220 000
потребители. Според икономическите показатели системата е доста скъпа и нейните потребители, т.к
като правило има прослойка на обществото, принадлежаща към така наречената средна класа (поне).
Този факт създаде предпоставките и необходимостта от разработване на средства за контрол върху информацията,
система, циркулираща в мрежата.
Този стандарт е широко разпространен в райони с висока гъстота на населението.
В момента системата е внедрена и работи в следните градове:
- МОСКВА;
- САНКТ ПЕТЕРБУРГ;
- САМАРА;
- ТОЛЯТИ;
- РОСТОВ НА ДОН;
- КАЛУГА;
- СЕВЕРОДВИНСК;
- МУРМАНСК;
- СМОЛЕНСК;
- ТУЛА;
- ПСКОВ;
- РЯЗАН;
- ВЛАДИМИР;
- АРХАНГЕЛСК;
- ПЕТРОЗАВОДСК.
- КИЕВ
- ДНЕПРОПЕТРОВСК
- ДОНЕЦК
- ОДЕСА
Въвеждането на системата в някои други градове, като Ярославъл, също приключва.
Стандартът осигурява автоматичен роуминг с приблизително 58 страни по света.

Предимствата на системата включват цифров метод за предаване на данни, голям брой
едновременно обслужвани абонати, трудността при създаване на близнаци (клониране на SIM карта), удобство
работа на абоната, възможност за идентифициране на откраднати устройства при използване на законни SIM-карти и
и т.н.
Горните фактори са определили осъществимостта на създаването на контроли.
ОСНОВНИ АЛГОРИТМИ НА ФУНКЦИОНИРАНЕ НА КОМПЛЕКСА.
Алгоритмите за обработка на радио трафик осигуряват най-пълния и висококачествен достъп до
информация, циркулираща в мрежата, и също така ви позволява да увеличите възможностите на комплекса, когато
нови стандарти без промяна на основните софтуерчрез добавяне на допълнителни
модули. Те включват, например, планираното въвеждане на вокодер с подобрен говор,
предаване на данни и факс. По време на пробната експлоатация на комплекса е възможно доуточняване
режими за специфични потребителски задачи.
Комплексът се използва в стационарен и мобилен вариант.
РЕЖИМИ НА РАБОТА.
(основен комплект за доставка)
Режимът на сканиране ви позволява да определите видимите честоти на базовите станции в стоящата точка, както и
основни мрежови настройки. В хода на работа се осигурява избор на време за анализ на конкретна честота и
анализира се режима на работа на каналите за управление. Този режим осигурява оптимално
конфигурация на пътя на получаване. Избраната конфигурация може да бъде заредена или запазена в движение.
Режим на ръчно сканиране #1 предоставя автоматично откриванезаредени канали
видими честоти с индикация за наличие на активност. Позволява на оператора да избере кои активни
речеви слотове. Ако в зоната на радиовидимост има абонат, той осигурява дуплексно приемане.
Ръчен режим на сканиране #2 осигурява автоматична настройка на видими честоти с
спират на активни честотни слотове и формират до четири дуплекса в режим от край до край
машина. Когато активният канал е деактивиран, автоматичното сканиране продължава. Възможно е да продължите
сканиране чрез операторски команди. Този режим ви позволява да коригирате преговорите в машината
при липса или наличие на оператор на максималния възможен брой канали. Използва се главно за
ниска активност на трафика, например, когато няма оператор през нощта или когато има малко
видими честоти. Осигурява дуплексно приемане при наличие на последния в зоната на радиовидимост.
Режимът на работа с временни номера позволява на избрани канали за управление (не повече от шест)
осигурете автоматична настройкадо временни номера на абонати със статистика и при избор
абонат от интерес според получената информация или при пререгистрация в мрежата при работа в
мобилна версия, въведете я в базата данни и постоянно следете с непрекъснат мониторинг.
Вероятността за постоянен контрол зависи от броя на кръстосаните честоти (при 10-12, вероятността
е 80%), както и върху скоростта на движение (до 80 км/ч според стандарта на използвания сигнал).
Допълнителен комплект за доставка.
Режим #1 за определяне на енергия осигурява определяне на наличната енергия
определяне на активни честоти и издаване на резултата на оператора, по команда от последния,
настройка на канала за приемане с едновременно приемане на дуплекс. Брой канали за приемане - до четири
дуплекси.
Режим #2 за определяне на енергия осигурява определяне на наличната енергия
абонати в обхвата на преносими устройства. Позволява ви да осигурите обхват на автоматично сканиране
определяне на активни честоти и автоматична настройка на активни слотове с фиксиране на преговорите. от
Когато сесията приключи, автоматичното управление продължава.
С разширената версия се доставя модул, който ви позволява да определите и идентифицирате кога
наличието на преносимо устройство в зоната на радиовидимост, номера на фиксиран или мобилен абонат, когато
повикване в посока към базовата станция, както и при преминаване на IMEI номера, извършете идентификация
абонат.
Региони в Русия, където абонатите на MTS могат да използват комуникационни услуги:
(данни към 6 април)
1. MTS
Москва, Московска област, Твер, Тверска област, Сиктивкар, Ухта, Кострома, Република Коми.
2. Руска телефонна компания (RTK) - свързана към комутатора на MTS

Владимир, Владимирска област, Калуга, Калужка област, Псков, Рязан, Рязанска област, Смоленск,
Смоленска област, Тула, Тулска област
3. Препоръчвам
Орел, Липецк.
4. Тамбовски телекомуникации
Тамбов, Мичуринск.
5. Национален роуминг
Град, зона на обслужване на оператора
1. Санкт Петербург
Северозападен GSM
(250 02)
Архангелск,
Вологда,
Ленинградска област.,
Мурманск,
Новгород Велики,
Петрозаводск,
Северодвинск,
Череповец
2. Самара
УМНИЦИ
(250 07)
Астрахан,
Толиати,
Уфа
3. Ростов на Дон
Донтелеком
(250 10)
Азов,
Таганрог
4. Краснодар
Кубан GSM
(250 13)
Адлер, Анапа,
Геленджик,
Горещ клавиш,
Дагомис, Йейск,
Лазаревская, Мацеста,
Красная поляна,
Динская, Новоросийск,
Туапсе, Сочи,
Тимашевск, Темрюк,
Кримск, Хоста
5. Екатеринбург
Уралтел
(250 39)
6. Нижни Новгород
НСС
(250 03)
(!!! За изходяща комуникация трябва
международен достъп)
7. Ставропол
Ставайки ТелеСот
(250 44)
Есентуки,
Невиномиск,
Кисловодск,
Пятигорск,
Минерална вода
8. Новосибирск
CCC 900
(250 05)
9. Омск
Мобилни комуникационни системи
(250 05)
10. Сургут
Ермак RMS
(250 17)
Лангепас,
Нижневартовск,
Мегион,
Ханти-Мансийск,
Нефтюганск
11. Хабаровск
Далекоизточни клетъчни
системи-900
10
(250 12)
12. Калининград
EXTEL
(250 28)
Международен роуминг
Държавни оператори
1. Австрия 1. МобилКом
2. макс. мобилен. Телеком Сервиз
3. СВЪРЗВАНЕ
2. Австралия 4. Telstra
3. Азербайджан (СНГ) 5. Azercell
4. Андора 6. STA
5. Бахрейн 7. Бателко
6. Белгия 8. Belgacom Mobile
9 Mobistar S.A.
7. Кот д'Ивоар 10. SIM
8. България 11. МобилТел АД
9. Великобритания 12. Vodafone Ltd.
13. Cellnet
14. Оранжев GSM-1800
10. Унгария 15. Westel 900 GSM Mobile
16. Pannon GSM
11. Германия 17. DeTeMobile (D-1)
18. Mannesmann Mobilfunk (D-2)
12. Гърция 19. Panafon S.A.
20. STET Hellas
13. Грузия (CIS) 21. Geocell
22 Магтиком ЕООД
14. Хонконг 23. Хонг КонгТелеком CSL
24. Hutchison Telephone Comp.
25.SmarTone Mobile Communications
15. Гибралтар 26. Гибтел
16. Дания 27. Сонофон
28 TeleDanmark Mobil A/S
17. о. Джърси 29. Джърси Телекомс
18. Италия 30. ТИМ
31. Omnitel Pronto Italia S.p.A.
19. Исландия 32. Lands siminn
33.TAL
20. Испания 34. Airtel Movil, S.A.
35. Telefonica Moviles
21. Индонезия 36. Сателиндо
37. PT Excelcomindo Pratama
38. Телкомсел
22. Ирландия 39. Aircell
40. Esat Digifone
23. Кипър 41. CYTA
24. Китай 42. China Telecom
25. Латвия 43. LMT
44. Baltcom GSM
26. Литва 45. Bite GSM
46. ​​​​Омнител
27. Ливан 47. LibanCell
48. FTML S.A.L.
28. Люксембург 49. P&T Люксембург
50. Танго
29. о. Мейн 51. Manx Telecom Ltd.
30. Макао 52. CTM
31. Македония 53. GSM MobiMak
11
32. Мавриций 54. Cellplus
33. Малайзия 55. Celcom
34. Малта 56. Telecell Limited
57 Vodafone Малта
35. Молдова 58. Voxtel
36. Норвегия 59. Telenor Mobil AS
60. NetCom GSM as
37. Нова Зеландия 61. BellSouth Нова Зеландия
38. Холандия 62. Libertel B.V.
63. KPN Telecom
64. Телфорт
39. ОАЕ 65. Етисалат
40. Португалия 66. Телесел
67.TMN
41. Полша 68. Polska Telefonia Cyfrowa (ERA)
69. Polkomtel S.A.
70. Centertel GSM-1800
42. Румъния 71. MobilFon SA
72. Mobil Rom
43. САЩ 73. Omnipoint
44. Сингапур 74. SingTel Mobile (GSM 900/1800)
75.Mobile One
45. Словакия 76. Globtel
77. EuroTel Братислава
46. ​​​​Словения 78. Мобител
47. Тайланд 79. Разширена информационна услуга (AIS)
48. Тайван 80. Chunghwa Telecom LDM
81.GSM PCC
82. FarEasTone
83Mobitai Communications Corp.
49. Турция 84. Telsim
85. Turkcell
50. Узбекистан 86. Coscom
51. Украйна 87. UMC
88. Киевстар
89.URS
52. Финландия 90. Oy Radiolinja Ab
91. Сонера
53. Франция 92. SFR
93 France Telecom
54. Хърватия 94. HPT
55. Чехия 95. EuroTel Praha
96.RadioMobil
56. Швеция 97. Europolitan AB
98 Comviq GSM AB
99 Telia Mobile AB
57. Швейцария 100. Swiss Telecom PTT
58. Шри Ланка 101. MTN
59. Естония 102. EMT
103. Radiolinja Eesti
104. А. С. Ритабел
60. Югославия 105. Mobtel *Srbija* BK-PTT
106. ProMonte (Черна гора)
61. Южна Африка 107. MTN
108. Vodacom (Pty) Ltd

Може да се поръча!
Направете си изводите.

Не толкова отдавна проучих възможностите на HackRF за анализиране на трафика на GSM мрежи, часовниковият сигнал на устройството плава донякъде, но във всеки случай резултатът ще бъде достъп до различни системни съобщения. Освен това предполагам, че имате инсталиран Linux с gnuradio и също така сте горд собственик на hackrf. Ако не, можете да използвате live cd, който е посочен в раздела Софтуер на форума. Това е страхотна опция, когато hackrf работи направо от кутията.

Първо трябва да определим честотата на местната GSM станция. За целта използвах gprx, който е включен в компактдиска на живо. След като анализирате честотите около 900 MHz, ще видите нещо подобно:

Можете да видите фиксирани канали на 952 MHz и 944.2 MHz. В бъдеще тези честоти ще бъдат отправните точки.

Сега, с помощта на следните команди, трябва да инсталираме Airprobe.

git клонинг git://git.gnumonks.org/airprobe.git

git клонинг git://git.gnumonks.org/airprobe.git

cd airprobe/gsmdecode
./bootstrap
./configure
направи

cd airprobe/gsm приемник
./bootstrap
./configure
направи

Инсталацията е завършена. Вече можем да приемаме GSM сигнал. Стартирайте wireshark с командата

Изберете „lo“ като приемащо устройство и изберете gsmtap като филтър, както е показано на следващата фигура:

Сега се върнете към терминала и въведете

cd airprobe/gsm-приемник/src/python
./gsm_receive_rtl.py -s 2e6

Ще се отвори изскачащ прозорец и ще трябва да изключите автоматичното събиране и да зададете плъзгача на максимум. След това въвеждаме GSM честотите, получени по-рано, като средна честота.

Също така избираме пиковите и средните стойности в секцията с опции за проследяване, както е показано по-долу:

Ще видите, че само сигналът с правилната последователност (синя графика) надхвърля пиковата стойност (зелена графика) на места, което показва, че това е постоянен канал. Сега трябва да започнем декодирането. В прозореца кликнете върху средата на същия скок на честотата. Може да видите грешки, но това е нормално. Започнах да получавам данни по този начин:

Сега можете да забележите, че gsm данните идват към wireshark. Както споменах в началото на статията, часовниковият сигнал плава, така че трябва да продължите да щраквате върху веригата, за да поддържате зададената честота. Програмата обаче работи доста добре. Колкото и смешно да звучи, увиването на вашия хак радиочестотен сигнал в кърпа (или подобна) ще увеличи термичната стабилност на часовниковия сигнал и ще намали разпространението. Сам по себе си вероятно няма да намерите този метод за много полезен, но мисля, че поне показва огромния потенциал на HackRF.

Преминаваме към разглеждането на хакването на GSM. Статии за уязвимости в A5/1 се появиха преди около 15 години, но все още не е имало публична демонстрация на хакването на A5/1 в реалния свят. Освен това, както се вижда от описанието на мрежата, трябва да се разбере, че в допълнение към кракването на самия алгоритъм за криптиране трябва да бъдат решени редица чисто инженерни проблеми, които обикновено винаги се пропускат от разглеждане (включително при публични демонстрации) . Повечето статии за хакване на GSM се основават на статията на Ели Баркан от 2006 г. и изследванията на Карстен Нох. В своята статия Barkan et al показаха, че оттогава в GSM коригирането на грешки е преди криптирането (и трябва да е обратното), възможно е известно намаляване на пространството за търсене за избор на KC и прилагането на атака с известен шифрован текст (с напълно пасивно слушане на ефир) в приемливо време с помощта на предварително изчислени данни. Самите автори на статията казват, че при получаване без намеса за хакване в рамките на 2 минути са необходими 50 терабайта предварително изчислени данни. В същата статия (в раздела за A5/2) се посочва, че сигналът от въздуха винаги идва със смущения, което усложнява избора на ключ. За A5 / 2 е представен модифициран алгоритъм, който е в състояние да вземе предвид смущенията, но в същото време изисква два пъти повече предварително изчислени данни и съответно времето за кракване се удвоява. За A5/1 е посочена възможността за конструиране на подобен алгоритъм, но самият алгоритъм не е представен. Може да се предположи, че в този случай също е необходимо да се удвои количеството предварително изчислени данни. Процесът на избор на ключ A5/1 е вероятностен и зависим от времето, т.е. как по-дълго отивапрослушване, толкова по-вероятно е да вземете KC. Така посочените в статията 2 минути са приблизително, а не гарантирано време за избор на KC. Карстен Нол разработва най-известния GSM хакерски проект. До края на 2009 г. неговата фирма за компютърна сигурност щеше да пусне дъговидни таблици на сесийни ключове за алгоритъма A5/1, който се използва за криптиране на реч в GSM мрежи. Карстен Нол обяснява демарша си срещу A5/1 като желание да привлече общественото внимание към съществуващия проблем и да принуди телеком операторите да преминат към по-модерни технологии. Например технологията UMTS включва използването на 128-битов A5 / 3 алгоритъм, чиято сила е такава, че не може да бъде хакнат с никакви налични средства днес. Карстен изчислява, че пълна таблица с ключове A5/1 би била с размер 128 петабайта, когато е пакетирана и разпределена между множество компютри в мрежа. За изчисляването му ще са необходими около 80 компютъра и 2-3 месеца работа. Значително намаляване на времето за изчисление трябва да се осигури чрез използването на модерна CUDA графични картии програмируеми масиви Xilinx Virtex. По-специално, речта му на 26C3 (Chaos Communication Congress) през декември 2009 г. предизвика много шум. Накратко формулирайте същността на презентацията, както следва: скоро можем да очакваме появата на евтини системи за онлайн декодиране A5 / 1. Да преминем към инженерните проблеми. Как да получите данни от въздуха? За да прихванете разговори, трябва да имате пълноценен скенер, който трябва да може да разбере кои основни излъчват наоколо, на какви честоти, към кои оператори принадлежат, кои телефони с кои TMSI са активни в момента. Скенерът трябва да може да следи разговора от посочения телефон, да обработва правилно преходите към други честоти и базови станции. В интернет има предложения за закупуване на подобен скенер без декодер за 40–50 хиляди долара. Не може да се нарече бюджетно устройство. По този начин, за да създадете устройство, което след прости манипулации може да започне да слуша разговор по телефона, е необходимо:


а) прилагане на частта, която работи с етера. По-специално, той ви позволява да посочите кой от TMSI съответства на телефона, който търсите или, използвайки активни атаки, да принудите телефоните да „открият“ своите истински IMSI и MSISDN;

b) прилагане на алгоритъм за избор на KC за A5/1, който работи добре върху реални данни (с шум/грешки, пропуски и т.н.);

г) комбинирайте всички тези точки в цялостно работещо решение.

Карстен и останалите изследователи основно решават точката "с". По-специално, той и колегите му предлагат използването на OpenBTS, airdump и Wireshark за създаване на IMSI прихващач (IMSI catcher). Засега можем да кажем, че това устройство емулира базова станция и е вградено между MS и реална базова станция. Говорителите твърдят, че SIM картата може лесно да попречи на телефона да покаже, че работи в режим на криптиране A5/0 (т.е. без криптиране изобщо) и че повечето SIM карти в обращение са точно такива. Наистина е възможно. В GSM 02.07 е записано (Нормативно приложение B.1.26), че SIM картата съдържа специален OFM бит в административното поле, който, ако е зададен на единица, ще деактивира индикацията за криптиране на връзката (под формата на заключване на хамбар) . В GSM 11.11 са посочени следните права за достъп до това поле: четенето е винаги налично, а разрешенията за запис са описани като „ADM“. Специфичният набор от права, които управляват въвеждането в това поле, се задава от оператора на етапа на създаване на SIM карти. По този начин говорителите се надяват, че повечето от картите са пуснати с поставен бит и телефоните им наистина не показват индикация за липса на криптиране. Това наистина значително улеснява работата на IMSI кетъра. собственикът на телефона не може да открие липсата на криптиране и да подозира нещо. Интересен детайл. Изследователите са се сблъскали с факта, че фърмуерът на телефона е тестван за съответствие с GSM спецификациите и не е тестван за справяне с необичайни ситуации, следователно, в случай на неправилна работа на базовата станция (например „фиктивния“ OpenBTS, който е бил използван за прихващане) , телефоните често замръзват. Най-големият резонанс беше предизвикан от твърдението, че само за $ 1500 е възможно да се сглоби готов комплект за слушане на разговори от USRP, OpenBTS, Asterisk и airprobe. Тази информация беше широко разпространена в интернет, само авторите на тези новини и статии, извлечени от тях, забравиха да споменат, че самите говорители не предоставиха подробности и демонстрацията не се състоя. През декември 2010 г. Карстен и Муно (Sylvain Munaut) отново говориха на конференцията 27C3 с доклад за прихващането на разговори в GSM мрежи. Този път те представиха по-пълен сценарий, но той има много "парникови" условия. За откриване на местоположение те използват интернет услуги, които правят възможно изпращането на заявки за „изпращане на информация за маршрутизиране“ в мрежата SS7. SS7 е мрежов/протоколен стек, който се използва за телефонни оператори (GSM и стационарни) за комуникация помежду си и за GSM мрежови компоненти за комуникация помежду си. Освен това авторите правят препратка към изпълнението мобилни комуникациив Германия. Там RAND, получен в резултат на заявката, корелира добре с кода на региона (код на област / пощенски код). Следователно такива заявки там позволяват да се определи с точност града или дори част от града, където се намира този абонат в Германия. Но операторът не е длъжен да го прави. Сега изследователите познават града. След това те вземат снифър, отиват в града, който са намерили по-рано, и започват да посещават всичките му LAC. Пристигайки на територия, която е част от някой LAC, те изпращат SMS на жертвата и слушат дали се извършва пейджинг на телефона на жертвата (това се случва по некриптиран канал, във всички бази наведнъж). Ако има обаждане, те получават информация за TMSI, който е издаден на абоната. Ако не, отиват да проверят следващия LAC. Трябва да се отбележи, че тъй като IMSI не се предава по време на пейджинг (и изследователите не го знаят), но се предава само TMSI (което те искат да знаят), след което се извършва „тайминг атака“. Те изпращат няколко SMS с паузи между тях и виждат кои TMSI се пейджират, като повтарят процедурата, докато само един (или нито един) не остане в списъка със „подозрителни“ TMSI. За да попречи на жертвата да забележи подобно „сондиране“, се изпраща SMS, който няма да бъде показан на абоната. Това е или специално създаден флаш sms, или неправилен (повреден) SMS, който телефонът ще обработи и изтрие, като нищо няма да се покаже на потребителя. След като открият LAC, те започват да посещават всички клетки на този LAC, изпращат SMS и слушат за отговори на пейджинг. Ако има отговор, тогава жертвата е в тази клетка и можете да започнете да разбивате нейния сесиен ключ (KC) и да слушате нейните разговори. Преди това трябва да запишете предаването. Тук изследователите предлагат следното:

1) има направени по поръчка FPGA платки, които могат едновременно да записват всички канали или uplink (комуникационен канал от абонат (телефон или модем) към базова станция мобилен оператор), или връзка надолу (комуникационен канал от базовата станция към абоната) на GSM честоти (съответно 890–915 и 935–960 MHz). Както вече беше отбелязано, такова оборудване струва 40–50 хиляди долара, така че наличието на такова оборудване за обикновен изследовател на сигурността е съмнително;

2) можете да вземете по-малко мощно и по-евтино оборудване и да слушате някои от честотите на всяка от тях. Тази опция струва около 3,5 хиляди евро с решение, базирано на USRP2;

3) можете първо да прекъснете ключа на сесията и след това да декодирате трафика в движение и да следвате прескачането на честотата, като използвате четири телефона, които имат алтернативен фърмуер на OsmocomBB вместо родния фърмуер. Роли на телефона: 1-ви телефон се използва за пейджинг и контрол на отговора, 2-ри телефон се присвоява на абоната за разговор. В този случай всеки телефон трябва да пише както приемане, така и предаване. Това е много важен момент. До този момент OsmocomBB реално не работеше и за една година (от 26C3 до 27C3) OsmocomBB беше завършен до използваемо състояние, т.е. до края на 2010 г. нямаше практически работещо решение. Хакване на ключ за сесия. Намирайки се в една клетка с жертвата, те изпращат SMS до нея, записват комуникацията на жертвата с базата и разбиват ключа, като се възползват от факта, че по време на настройката на сесията (настройка на сесията) има обмен на много полупразни пакети или с предвидимо съдържание. Rainbow таблиците се използват за ускоряване на хакването. По времето на 26C3 тези таблици не бяха толкова добре попълнени и хакването не се извършваше за минути или дори за десетки минути (авторите споменават час). Тоест, преди 27C3, дори Карстен (основният изследовател в тази област) не е имал решение, което да му позволи да кракне KC в приемливо време (през което най-вероятно няма да има промяна на сесийния ключ (повторно ключване)). След това изследователите се възползват от факта, че повторното въвеждане рядко се извършва след всяко обаждане или SMS и сесийният ключ, който научават, няма да се промени известно време. Сега, знаейки ключа, те могат да декодират криптиран трафик към/от жертвата в реално време и да извършват прескачане на честотата едновременно с жертвата. В този случай четири флашнати телефона наистина са достатъчни, за да уловят ефира, тъй като не е необходимо да записвате всички честоти и всички времеви интервали. Изследователите са демонстрирали тази технология в действие. Вярно, "жертвата" седеше мирно и беше обслужена от една стотна. Обобщавайки междинния резултат, можем да отговорим утвърдително на въпроса за възможността за прихващане и дешифриране на GSM разговори в движение. При това трябва да имате предвид следното:

1) Технологията, описана по-горе, не съществува във форма, достъпна за всеки (включително script kiddies). Това дори не е конструктор, а заготовка за части на конструктора, които трябва да бъдат завършени до използваемо състояние. Изследователите многократно забелязват, че нямат ясни планове за излагане на спецификата на внедряването в публичното пространство. Това означава, че въз основа на тези разработки, производителите в Близкия изток не произвеждат масово устройства за $100, които всеки може да слуша.

2) OsmocomBB поддържа само едно семейство чипове (макар и най-често срещаното).

3) Методът за определяне на местоположението чрез заявки към HLR и изброяване на LAC работи по-скоро на теория, отколкото на практика. На практика нападателят или знае физически къде е жертвата, или не може да влезе в същата клетка като жертвата. Ако нападателят не може да слуша същата клетка, в която се намира жертвата, тогава методът не работи. За разлика от демонстрацията, в действителност има хиляди пейджинг съобщения в LA със средно натоварване. Освен това пейджингът не работи в момента на изпращане, а в определени времеви прозорци и на партиди (според групите за пейджинг със собствени опашки, чийто брой е остатъкът от разделянето на IMSI на броя на каналите, които могат да бъдат различни във всяка клетка), което отново усложнява изпълнението.

4) Да кажем, че LA е намерен. Сега трябва да „почувстваме“ отговора на абоната. Предавателят на телефона е с мощност 1-2 вата. Съответно сканирането му от разстояние няколко десетки метра също е задача (не лесна). Получава се парадокс: Ел Ей покрива например цяла област (град). В него например 50 клетки, някои от които с обхват до 30 км. Опитваме се да хванем и дешифрираме радиация на всепосочна антена. За да се изпълни тази задача в това изпълнение, е необходимо много оборудване. Ако изхождаме от предпоставката, под която жертвата е в пряка видимост, т.е. разстоянието, на което прихващането изглежда по-реалистично, много по-ефективен и по-опростен насочен микрофон. Трябва да се отбележи, че в демонстрацията изследователите прихващат телефоните им на разстояние от 2 метра.

5) Движението на плячката между клетките също създава проблеми, т.к вие също трябва да се движите с него.

6) Телефоните, използвани в демонстрацията, изискват хардуерна модификация, те трябва да премахнат филтъра от антената, в противен случай „извънземните“ телефони нагоре няма да „виждат“. Филтърът в телефона е необходим, за да "слуша" не всички честоти, а само "своята".

7) Ако мрежата редовно променя ключа (повторно въвеждане) или променя TMSI (никой от изследователите не е взел това предвид), тогава този метод изобщо не работи или работи много зле (времето за декриптиране може да е по-дълго от времето за разговор ).

8) Слушането на цялата мрежа няма да работи, трябва да знаете телефонния номер.

Вероятно дори домакините знаят тази публика wifi горещи точкиопасно. Което не пречи на обикновените потребители да ги използват с мощ и основно - в крайна сметка, ако не можете, но ви е скучно и наистина искате, тогава можете! И без VPN - въпреки че VPN функцията вече се внедрява дори в сложни антивирусни продукти. Здравословната алтернатива на Wi-Fi винаги се е смятала за редовна мобилна връзка, особено след като всяка година става по-евтино и скоростта му е по-висока. Но дали е толкова безопасно, колкото си мислим? В тази статия решихме да съберем основните въпроси и отговори относно прихващането на мобилни данни и да решим дали си струва да се страхуваме от обикновен потребител, който е далеч от тайните тайни.

Какво е IMSI прихващач?

Това е устройство (с размерите на куфар или дори просто телефон), което използва дизайнерска характеристикамобилни телефони - да се даде предимство на клетъчната кула, чийто сигнал е най-силен (за да се увеличи максимално качеството на сигнала и да се минимизира собствената му консумация на енергия). Освен това в мрежите GSM (2G) само мобилен телефон трябва да премине през процедура за удостоверяване (това не се изисква от клетъчна кула) и следователно е лесно да се подведе, включително да се деактивира криптирането на данни в него. От друга страна, универсална система UMTS (3G) мобилните комуникации изискват двупосочна автентификация; той обаче може да бъде заобиколен с помощта на режима на съвместимост с GSM, намиращ се в повечето мрежи. 2G мрежите все още са широко разпространени - операторите използват GSM като резервна мрежа на места, където UMTS не е наличен. По-задълбочени технически подробности за прихващането на IMSI са налични в доклад на SBA Research. Друго съдържателно описание, превърнало се в настолен документ на съвременното кибернетическо контраразузнаване, е статията „Вашият таен скат, вече не е тайна“, публикувана през есента на 2014 г. в Harvard Journal of Law & Technology.

Кога се появяват първите IMSI прехващачи?

Първите прехващачи IMSI се появиха още през 1993 г. и бяха големи, тежки и скъпи. „Да живеят домашните микросхеми - с четиринадесет крака ... и четири дръжки.“ Производителите на такива прехващачи могат да се преброят на пръсти, а високата цена ограничава кръга на потребителите до изключително държавни агенции. Сега обаче те стават по-евтини и по-малко обемисти. Например, Крис Пейдж построи IMSI Interceptor само за $1500 и го представина конференцията DEF CON през 2010 г. Неговата версия се състои от програмируемо радио и безплатен софтуер с отворен код: GNU Radio, OpenBTS, Asterisk. Цялата информация, необходима на разработчика, е публично достояние. А в средата на 2016 г. хакерът Evilsocket предложи своята версия на преносим IMSI прихващач само за $600.

Как IMSI прихващачите монополизират достъпа до мобилен телефон?

  • Подмами мобилния си телефон да мисли, че това е единствената налична връзка.
  • Те са конфигурирани по такъв начин, че не можете да осъществите повикване без посредничеството на IMSI прихващач.
  • Прочетете повече за монополизацията в SBA Research: IMSI-Catch Me If You Can: IMSI-Catcher-Catchers.

Гамата на продаваните прехващачи е спазена. Ами занаятите?

  • Днес (през 2017 г.) предприемчиви техници изграждат IMSI прихващачи, използвайки налични в търговската мрежа високотехнологични компоненти в кутия и мощна радио антена за под $600 (вижте версията на Evilsocket на IMSI прихващача). Става въпрос за стабилни IMSI прихващачи. Но има и експериментални, по-евтини, които работят нестабилно. Например през 2013 г. на конференцията Black Hat беше представена версия на нестабилния прихващач IMSI с обща цена от 250 долара за хардуерни компоненти. Днес подобна реализация би била още по-евтина.
  • Ако освен това вземем предвид, че съвременната западна високотехнологична военна техника има отворена архитектура хардуери софтуер с отворен код (това днес е предпоставка за осигуряване на съвместимост на софтуерни и хардуерни системи, разработени за военни нужди), разработчиците, които се интересуват от производството на IMSI прихващачи, имат всички козове за това. Можете да прочетете за тази текуща военна високотехнологична тенденция в списание Leading Edge (вижте статията „Ползите от интеграцията на SoS“, публикувана в броя на списанието от февруари 2013 г.). Да не говорим, че Министерството на отбраната на САЩ наскоро изрази готовност да плати 25 милиона долара на изпълнител, който ще разработи ефективна система за радиочестотна идентификация (вижте месечния брой на Military Aerospace от април 2017 г.). Едно от основните изисквания към тази система е нейната архитектура и компоненти да бъдат отворени. По този начин отвореността на архитектурата днес е задължително условие за съвместимостта на софтуерните и хардуерни системи, разработени за военни нужди.
  • Следователно, производителите на IMSI прихващачи дори не трябва да имат голяма техническа квалификация - те просто трябва да могат да изберат комбинация от съществуващи решения и да ги поставят в една кутия.
  • В допълнение, съвременната микроелектроника, която поевтинява с прекомерни темпове, ви позволява да поставите вашите занаятчийски изделия не само в една кутия, но дори (!) В един чип (вижте описанието на концепцията SoC) и дори повече от това - настройка на чип безжична мрежа(вижте описанието на концепцията NoC на същата връзка), която заменя традиционните шини за данни. Какво можем да кажем за прехващачите IMSI, когато дори технически подробности за хардуерните и софтуерни компоненти на ултрамодерния американски изтребител F-35 днес могат да бъдат намерени в публичното пространство.

Мога ли да стана жертва на „случайно прихващане“?

Доста възможно. Симулирайки клетъчна кула, прихващачите на IMSI слушат целия местен трафик - който, наред с други неща, включва разговорите на невинни минувачи (прочетете "откровенията на по-голямата сестра на Big Brother"). И това е любимият аргумент на „адвокатите по защита на личните данни“, които се противопоставят на използването на IMSI прихващачи от правоприлагащите органи, които използват това високотехнологично оборудване за преследване на престъпници.

Как IMSI прихващач може да проследи моите движения?

  • Най-често за проследяване се използват IMSI прехващачи, използвани от местните правоприлагащи органи.
  • Познавайки IMSI на целевия мобилен телефон, операторът може да програмира IMSI прихващача да комуникира с целевия мобилен телефон, когато е в обхват.
  • Веднъж свързан, операторът използва процес на RF картографиране, за да разбере посоката на целта.

Могат ли да слушат обажданията ми?

  • Зависи от използвания IMSI прихващач. Прехващачите с основна функционалност просто фиксират: "има такъв и такъв мобилен телефон на такова и такова място."
  • За да слуша разговори, IMSI прихващачът изисква допълнителен набор от функции, които производителите вграждат срещу допълнителна такса.
  • 2G разговорите се подслушват лесно. Прихващачите IMSI са достъпни за тях повече от десетилетие.
  • Цената на IMSI прихващач зависи от броя на каналите, работния обхват, типа криптиране, скоростта на кодиране/декодиране на сигнала и кои радио интерфейси трябва да бъдат покрити.

Продължава достъпно само за членове

Вариант 1. Присъединете се към общността на "сайт", за да прочетете всички материали на сайта

Членството в общността през посочения период ще ви даде достъп до ВСИЧКИ хакерски материали, ще увеличи личната ви кумулативна отстъпка и ще ви позволи да натрупате професионален рейтинг на Xakep Score!

Слушане мобилен телефон - един от методите за неоторизиран достъп до лични данни. Включва прихващане и декриптиране на GSM пакети (стандарт за цифрова комуникация, използван в мобилните телефони), SMS и MMS съобщения.

Рискът от намеса в личния живот на собствениците на телефони, смартфони и таблети, или по-скоро техните преговори и кореспонденция, нараства с всеки изминал ден. Устройствата, които сканират и анализират потока от радиосигнали, специалният софтуер за дешифриране на GSM и други технически и софтуерни трикове днес са станали по-достъпни от всякога. Ако желаете, можете да ги закупите или дори да ги получите безплатно (комунални услуги). Слушането на мобилен телефон вече е прерогатив не само на специалните служби.

Кой подслушва телефони

Контингентът на тези, които искат да знаят съдържанието на личните разговори и SMS съобщенията, е достатъчно голям, включва както любители шпиони, така и сложни професионалисти. Тези хора имат различни цели и съответно намерения.

Подслушването на телефоните се извършва от:

  • Органите на реда - предотвратяване на терористични атаки, провокации, събиране на доказателства по време на оперативно-следствения процес, издирване на нарушители. С писмено разрешение на прокурора или съда те могат да прихващат и записват телефонни разговори във всички безжични (включително GSM) и жични комутационни линии.
  • Бизнес конкуренти - те се обръщат към професионалистите за извършване на индустриален шпионаж: събиране на компрометиращи доказателства за управлението на конкурентна компания, откриване на търговски планове, производствени тайни, информация за партньори. Те не жалят пари и усилия за постигане на целта си, използват най-новото оборудване и специалисти от висок клас.
  • Близък кръг (членове на семейството, приятели, познати) - в зависимост от финансовото състояние телефонната комуникация се следи самостоятелно (след кратко запознаване с технологията). Или се обръщат за помощ към "майстори", които предоставят услугата на достъпни цени. Мотивите за шпионаж са предимно от битов характер: ревност, подялба на наследство, интриги, прекомерна загриженост, банално любопитство.
  • Мошеници и изнудвачи - действат изключително самостоятелно. Избирайте целенасочено жертвите (мобилните абонати). По време на прихващането на разговори те откриват цялата информация, която ги интересува (бизнес дейности, срещи, близки планове, кръг от познати). И след това го използват заедно с методите на социалното инженерство, за да повлияят на собственика на телефона, за да го измъкнат от средства.
  • хакери - извършват основно прихващане на разговори софтуерни инструменти- вируси. Но понякога използват и устройства, които сканират GSM. Жертвите за нападението се избират на случаен принцип, на принципа „който се хване“. Техните интереси са извличането на информационни "трофеи". Каламбури, записани от частен телефонен ефир, забавни недоразумения, разправии се излагат от цифрови хулигани в различни онлайн публикации за забавление на посетителите.
  • шегаджии - обикновено известни жертви. Те организират "еднократен" шпионаж с цел "забавление", майтап или да направят някаква изненада. Въпреки че понякога се поддават на подлото изкушение, след като са чули от устата на слушащите събеседници някаква тайна от личния или бизнес живот.

Методи за мобилно слушане

1. Инсталиране на "бъг"

Традиционният метод за наблюдение, но въпреки това е ефективен и достъпен по отношение на финансовия проблем. Малко устройство с размер на глава на карфица (или дори по-малко) се инсталира в телефона на жертвата за не повече от 10 минути. В същото време присъствието му е внимателно маскирано, визуално и апаратно.

„Бубата“ се захранва от батерия, така че функционира дори и да няма телефонни разговори, тоест непрекъснато „слуша“ околното пространство в радиуса на чувствителност на микрофона. Звукът се излъчва чрез GSM-връзка или по даден радиоканал, в зависимост от техническата модификация на устройството.

2. Прихващане на GSM сигнал

От техническа гледна точка един от най-трудните методи. Но заедно с това и един от най-продуктивните, мощни. Принципът му на действие се основава на получаване на неоторизиран достъп до частен GSM канал и последващо дешифриране на неговите пакети. Прихващачът на сигнали инсталира сканиращо оборудване с интегриран софтуер, предназначен да „чете“ сигнали между ретранслаторната кула и абоната. И след това, след като изчака да се установи връзка (ако ловът е за определен номер), започва подслушване.

Алгоритми за мобилно криптиране

Всички мобилни оператори използват тайни алгоритми за криптиране на данни за кодиране на сигнали. Всеки от тях служи за изпълнение на специфични задачи:

  • A3 - предотвратява клонирането на телефона (защитава процедурата за оторизация);
  • A5 - кодира цифровизираната реч на абонатите (осигурява поверителността на преговорите);
  • A8 е сервизен генератор на криптовалути, който използва данните, получени от алгоритмите A3 и A5.

Прехващачите фокусират вниманието си върху алгоритъма A5 (който маскира речта), който прихващат и дешифрират. Поради особеностите на експортирането на криптосистемата A5 бяха разработени две нейни версии:

  • A5/1 - за страните от Западна Европа;
  • A5/2 (съкратена, слаба версия) за други страни (включително страните от ОНД).

Известно време същността на алгоритъма А5 беше мистерия зад седем печата, технологична тайна на ниво държавна тайна. Но в началото на 1994 г. ситуацията се промени радикално - появиха се източници, които разкриват подробно основните принципи на криптиране.

Към днешна дата почти всичко е известно за A5 на заинтересованата общественост. Накратко: A5 създава 64-битов ключ чрез неравномерно изместване на три линейни регистъра, чиято дължина е съответно 23, 22 и 19 бита. Въпреки високата устойчивост на ключа към хакване, хакерите са се научили да го "отварят" на оборудване със средна мощност - както в силната (/1), така и в слабата версия (/2). Те използват специален софтуер (разработен от тях), който разплита "плетеницата" А5 с помощта на различни методи за криптоанализ.

Оборудване за прихващане и наблюдение

Първите мобилни подслушващи устройства се появиха веднага след приемането на стандарта GSM. Има около 20 топ решения, които се използват активно за подслушване от частни и юридически лица. Цената им варира между 2-12 000 долара. СМ. Budyonny - инженерите-конструктори оборудваха отделите на Министерството на вътрешните работи с подслушващи устройства.

Всеки модел GSM-прихващач (снифер), независимо от техническите характеристики (дизайн, скорост, цена), изпълнява следните функции:

  • сканиране на канали, активно откриване;
  • управление на контролния и гласовия канал на повторителя/мобилния телефон;
  • запис на сигнал на външен носител (твърд диск, USB флаш устройство);
  • определение телефонни номераабонати (обаждани и звънящи).

Следните устройства се използват активно за наблюдение на мобилни канали:

  • GSM Interceptor Pro - покрива зона на покритие от 0,8-25 км, поддържа A1 / 1 и / 2;
  • PostWin е комплекс, базиран на компютър от клас P-III. В допълнение към GSM-900, той прихваща AMPS/DAMPS и NMT-450 стандарти;
  • SCL-5020 е произведено в Индия устройство. Определя разстоянието до повторителя, може да слуша едновременно до 16 GSM канала.

3. Смяна на "firmware" на телефона

След техническа модификация телефонът на жертвата копира всички разговори и ги изпраща на хакера чрез GSM, Wi-Fi, 3G и други подходящи комуникационни стандарти (по избор).

4. Въвеждане на вируси

След като зарази операционната система на смартфон, специален шпионски вирус започва скрито да изпълнява „функции за записване на диаграми“ - тоест улавя всички разговори и ги пренасочва към нарушители. По правило се разпространява под формата на заразени MMS, SMS и имейл съобщения.

Мерки за защита на вашия мобилен телефон от подслушване

  1. Инсталиране на защитно приложение в операционната система на телефона, което предотвратява връзката с фалшиви повторители, проверява идентификаторите и подписите на базите мобилен оператор, открива подозрителни канали и шпионски софтуер, блокира други програми от достъп до микрофона и видеокамерата. Топ решения: Android IMSI-Catcher Detector, EAGLE Security, Darshak, CatcherCatcher

  1. Извършване на техническа диагностика на батерията: при слушане бързо се разрежда, загрява, когато телефонът не се използва.
  2. Незабавна реакция при подозрителна активност на телефона (подсветката се включва произволно, инсталирани са неизвестни приложения, появяват се смущения, ехо и пулсиращ шум по време на разговори). Необходимо е да се свържете с сервиза, така че специалистите да изследват телефона за наличие на "бъгове" и вируси.
  3. Изключване на телефона чрез изваждане на батерията през нощта, в идеалния случай - поставете батерията в телефона само за извършване на изходящо повикване.

Както и да е, ако някой иска да слуша телефона ви, рано или късно ще може да го направи, сам или с чужда помощ. Никога не губете бдителност и при най-малката проява на симптоми на прихващане на сигнала вземете съответните мерки.

© Copyright 2022, Новини. игри. Инструкции. Интернет. офис