مرحبًا بك في العرض التقديمي "التجسس العملي باستخدام هاتفك الخلوي". قبل أن نبدأ ، سأقدم بعض التعليقات حول الخصوصية. أولاً ، يمكن تسجيل مكالمة هاتفية خلوية مباشرة أثناء المكالمة. مفاجأة! لذلك إذا كنت لا تريد تسجيل مكالمتك ، فأوقف تشغيل هاتفك. إذا كنت تستخدم خدمات مشغلي شبكات الهاتف المحمول Sprint أو Verizon ، فأنت لست في شبكات GSM ، ولن يتمكن نظامي من التحدث إلى هاتفك على الإطلاق ، لذا لا داعي للقلق.
يجب أن أقول إنني أحث الناس على إبقاء هواتفهم في الأفق أثناء المكالمة ، خاصةً إذا كانوا يستخدمون هاتف GSM ، لأن الغرض من ذلك كله هو إظهار كيفية اعتراض مكالماتك الهاتفية. إذا لم تستخدم هاتفك ، فلن تعمل هذه التقنية.
لذلك ، هذا عرض تقديمي للكمبيوتر ، ترى على جانب الكمبيوتر المحمول فجوة كبيرة في المكان الذي يجب أن يكون عليه محرك الأقراص الثابتة ، لكنني أستخدم محرك أقراص فلاش USB قابل للتمهيد ، لأنه يمكن تنزيل المحطة الأساسية BTS لشبكة GSM من الوسائط المحمولة دون استخدام محرك أقراص ثابت . في نهاية العرض التقديمي ، سأقطع محرك الأقراص المحمول هذا إلى النصف باستخدام أداة Leatherman multitool ، لأنني سأكتب معلومات سرية للغاية إليها ، وجميع إعدادات هاتفك ، وسجل المكالمات الهاتفية والمزيد. سيتم تدمير كل هذا في نهاية العرض التقديمي ، لذلك لا تقلق بشأنه.
اسمحوا لي بتوصيل سلك الطاقة مرة أخرى والعودة إلى الموضوع. أنا متصل حاليًا بشبكة Verizon ، لذلك يزودني Verizondroid باتصال VoIP.
إذا كنت تتصل بشبكة الاتصال الخاصة بي ، فإن الطريقة الوحيدة لمعرفة ما إذا كنت متصلاً بالفعل هي محاولة إجراء مكالمة. إذا اتصلت ، ستتلقى رسالة صوتية تفيد بأن المحادثة قد تم اعتراضها ، بلاه بلاه بلاه. لذا ، فقط امسك الهواتف الخاصة بك أثناء العرض التقديمي ، حاول الاتصال برقم ومعرفة ما يحدث. وإذا سمعت هذه الرسالة في جهاز الاستقبال ، فهذا يعني أنك متصل بنظامي. إذا كنت لا تسمع ، فهذا صحيح معك. في أي حال ، في أي وقت ، إذا قام شخص ما بالاتصال بهذه الشبكة ، فسيتم إجراء كل شيء لإجراء المكالمات بأفضل طريقة.
لذا ، قبل أن نتحدث عن اعتراض IMSI ، سأخبرك بما هو عليه. IMSI ، أو المعرف الدولي لمشترك المحمول ، هو رقم فريد مكون من 15 رقمًا يُستخدم لمصادقة مشترك ينتقل من شبكة إلى شبكة أخرى. يمكنك التفكير في الأمر وكأنه اسم مستخدم لشبكة GSM. يتكون من جزأين ، يقعان على بطاقة SIM الخاصة بك وينفذان مصادقتك.
MSI الخاص بك هو اسم المستخدم ومفتاح المصادقة السري على الشبكة الموجودة في الجزء للقراءة فقط من بطاقة SIM. يتم إجراء القليل من الحماية مثل هذا: عند الاتصال بالشبكة ، يتم استبدال IMSI بـ TMSI مؤقت. خلال العرض التقديمي ، سأوضح لك عدد هذه TMSI التي تظهر لإعطائك الفرصة لمعرفة عدد الأشخاص المتصلين بالمحطة الأساسية.
لذا فإن IMSI هو نوع من السر ، و ICCID ، سلسلة طويلة من الأرقام المطبوعة على بطاقة SIM ، هي معرّف فريد للبطاقة نفسها ، مثل رقمها التسلسلي. ترتبط هاتان المعرفتان ارتباطًا وثيقًا. في العديد من الشبكات الخلوية الأمريكية وبعض البلدان الأخرى ، يمكنك تحديد IMSI بواسطة ICCID والعكس بالعكس ، وهذا ليس سراً. في بلدان أخرى ، كان أداءهم أفضل قليلاً ، حيث ICCID غير متصل بأي شكل من الأشكال بمعرف آخر وهو مجرد مجموعة عشوائية من الأرقام.
لا يهم الأمر كثيرًا ، لكنني أذكر ذلك كثيرًا لأنه على الأقل في الولايات المتحدة الأمريكية ، يمكنك التعلم منه. إذن ما هو الماسك IMSI؟
الفكرة الأساسية هي أنه عبارة عن برج GSM مزيف ، ومحطة قاعدة وهمية. من الناحية النظرية ، عندما يبحث الهاتف عن إشارة ، فإنه يختار البرج الذي يوفر أقوى إشارة ، ويتصل بالبرج مع أفضل إشارة. إذا كان هناك هوائي به أعلى ربح بالقرب منك يستهدفك مباشرةً ، فعندئذ سأكون هذا البرج! أنتج إشارة ضعيفة جدًا ، فقط 25 مللي واط ، لكنني قريب وأستخدم هوائيات اتجاهية. لذلك ، آمل أن تختار الهواتف الخاصة بك بالضبط إشارة بلدي وسوف تتصل بشبكة بلدي.
عليك أن تضع في اعتبارك أنه في شبكة GSM ، تحدد المحطة الأساسية جميع الإعدادات ، لذلك عند الاتصال ببرجي ، ستخبر هاتفك ما إذا كنت تريد استخدام التشفير ، والتحول إلى ترددات إشارة أخرى وأشياء مماثلة. إذا طلبت عدم استخدام التشفير ، فسوف يفكر هاتفك: "ممتاز ، لا تشفير ، سأستخدم نصًا عاديًا."
خذ كلامي لذلك ، لا أفعل أي شيء ضار ، اختباري يؤثر فقط على الوظيفة ولن يتسبب في أي تغييرات دائمة في خصائص هواتفك إذا كانت متصلة بشبكة الاتصال الخاصة بي. لكن إذا أردت ذلك ، فيمكنني القيام بالكثير من الأشياء معهم ، على سبيل المثال ، تحديث بطاقة SIM والحصول على الكثير من المتعة بشكل عام.
لذلك ، إذا أتيحت لي الفرصة لإنشاء إشارة قوية حقًا ، فعند إلغاء تشفير A5 ، يمكنني التحكم في هاتفك بسهولة ، ولا يمكنك فعل أي شيء ولا حتى تعرفه. نشأت فكرة اعتراض IMSI في وقت واحد مع معيار GSM ، وتم تسجيل براءة اختراع تقنية الاعتراض من قبل Rode و Schwartz في أوروبا في عام 1993. لم أقابل مطلقًا إشارات إلى براءات الاختراع هذه في الولايات المتحدة الأمريكية ، ولكن على أي حال ، فإن براءات الاختراع في أوروبا هي في المجال العام ، لذلك فإن هذه الثغرة معروفة. معنى براءة الاختراع هو أنه إذا اتصلت بشركة R&S وتقول إنك ترغب في شراء "صياد" IMSI ، فسوف يطالبك بملايين الدولارات.
من بين الأجهزة الموجودة على الطاولة ، يعد جهاز الكمبيوتر المحمول الخاص بي هو الأكثر تكلفة ، يليه جهاز إرسال واستقبال USRP ، مقابل 1500 دولار تقريبًا ، والأغلى التالي هو جهاز إرسال فوري بقيمة 20 دولارًا. وبالتالي ، باستخدام هذا الجهاز ، يمكنك أن تفعل الشيء نفسه الذي يجعل المعدات التجارية بقيمة 1000 مرة أكثر تكلفة.
سوف أخبرك باختصار ما هو التشفير المتورط في اعتراض IMSI. إذا كنت مهاجمًا أنشأ محطته الأساسية ، وكان لديك هاتف متصل به ، أقول له فقط أن يقوم بإيقاف تشغيل التشفير. لست بحاجة إلى كسر الأصفار ، وإنشاء "طاولات قوس قزح" ، ولا أحتاج إلى أي محركات أقراص صلبة للعرض السريع. أنا فقط أخبر هاتفك بإيقاف تشغيل التشفير ، إنه بهذه البساطة.
في الواقع ، توفر مواصفات معيار GSM إرسال رسالة إلى المشترك عندما يتصل هاتفك بشبكة لا تستخدم التشفير. لكن إذا قرأت المزيد ، فسوف ترى أن هناك مكانًا آخر في المواصفات حيث تقول: "إذا كنت ترغب في تعطيل رسالة التحذير ، فقم بضبط هذا التكوين الصغير على بطاقة SIM". تحتوي كل بطاقة SIM التي رأيتها ورأيت العديد من شبكات مشغلي الهواتف المحمولة حول العالم على هذه البتات. يقوم كل مشغل قابلته على الإطلاق بتعطيل هذا التحذير ، لذلك لم أصادف هاتفًا يعرض الرسالة: "أنت تتصل بشبكة غير آمنة!" ، وفقًا لما تتطلبه مواصفات GSM.
هذا هو الاختيار الواعي للمشغلين. الفكرة هي أنه إذا كنت مسافرًا إلى بلد مثل الهند ، حيث لا يتم دعم التشفير الخلوي ، نظرًا لأنه غير قانوني هناك ، لكنك تريد استخدام هاتفك ، فيجب أن يدعم وظيفة المكالمة غير المشفرة A5 / 0. إذا بدأت في تلقي تحذير في كل مرة تتصل فيها ببرج GSM جديد ، فستفكر فيما يحدث بحق الجحيم ، وتبدأ في شتم AT&T أو أي شخص آخر وما إلى ذلك.
دعنا ننتبه إلى طيف مدى التردد المستخدم. كان أحد الأسئلة التي أثارتها الصحافة يتعلق بمشكلة يستخدم فيها المشغلون ترددات مختلفة. لذلك ، تقرر في جميع أنحاء العالم استخدام 4 معايير GSM فقط: 850 و 900 و 1800 و 1900. وتستخدم الترددات 850 و 1900 بشكل رئيسي في الولايات المتحدة الأمريكية ، و 900 و 1800 - في أوروبا.
إذا نظرت إلى حجم نطاق هذه الترددات ، فسترى أن هناك تداخلًا بين التردد الأوروبي 900 و 850 الأمريكي. في الواقع ، يعمل المعيار GSM 900 في النطاق من 880 إلى 914 MHz ، ومعيار ISM الأمريكي من 902 إلى 928 MHz ، لذلك ستتداخل ترددات هذه المعايير في المدى من 902 إلى 912 MHz.
لذا ، سأطلق جهاز الإرسال في نطاق تردد قانوني تمامًا ، وانتقل إلى معيار الاتصال الأوروبي. في الوقت نفسه ، لن يهتم هاتفك مطلقًا ، فهو لا يهتم بالسمات الجغرافية للاتصال ، بل سيحظى بأقوى إشارة ويقول: "حسنًا ، هذا هو برجي"!
إذا كان لديك هاتف أوروبي ، أو هاتف رباعي النطاق ، يعمل في جميع معايير الاتصالات الأربعة ، فسترى شبكة. إذا كان لديك هاتف أمريكي لا يرى سوى الترددات الأمريكية ، فلن ترى الشبكة.
ما هو معيار ISM الأمريكية؟ وهو يشير إلى الشبكات الصناعية والعلمية والطبية ، أي أنه تم إنشاؤه للشبكات الخلوية الصناعية والعلمية والطبية. فكرة المعيار هي أنه مصمم للأجهزة منخفضة الطاقة التي تغير التردد بسرعة كبيرة ، وتصميمها يوفر الحد الأدنى من تدخل المستخدم في الهاتف.
من الناحية الرسمية ، هذا نطاق اتصال إضافي ، مخصص بشكل أساسي لهواة الراديو ، لكنهم لا يحبون استخدام هذه الترددات لأنها صاخبة للغاية ، بالإضافة إلى ذلك ، يعتقد الهواة أن هذا مجرد نطاق عرجاء. ومع ذلك ، فهي مناسبة تمامًا لأغراضنا ، ويمكننا تشغيل محطة BTS الأساسية الخاصة بنا في نطاق الهواة GSM. لذلك ، سوف نعمل بمثابة هواة الراديو.
ما نحتاج إليه أولاً هو ترخيص لاستخدام ترددات الهواة ، ومن السهل للغاية الحصول عليها. يمكنك الذهاب إلى
kb0mga.net/exams والبدء في الإجابة على أسئلة الاختبار. يمكنك القيام بذلك مرارًا وتكرارًا حتى تتعثر الإجابة الصحيحة بطريق الخطأ ، لأنه إذا أجبت بشكل غير صحيح ، فسوف يستمرون في طرح الأسئلة عليك. يمكنك قضاء عدة ساعات على ذلك ، وفي النهاية ، الإجابة على جميع الأسئلة بشكل صحيح ، ثم اجتياز الاختبار. ما زلت أنصحك بدراسة المادة إذا قررت أن تصبح أحد الهواة ، لأنني بالتأكيد تعلمت الكثير من خلال الإجابة على أسئلة الامتحانات. الشرط التالي لمحطة راديو الهواة هو ألا تتجاوز قوتها 1500 واط ، وهو أكثر من كافٍ لأغراضنا. لدي مكبر صوت آخر أستخدمه في RFID ، وقوته 600 واط ، وهذه كمية مرعبة من الطاقة ، وقوتها عالية جدًا ، لذا فإن 1500 واط يكفي لأي غرض.
فيما يتعلق بما سنبثه ، يمكننا القول أنه من الناحية الفنية ، سننقل رمزًا رقميًا غير محدد - هذه هي البتات التي تتحرك ذهابًا وإيابًا بين الهاتف وبرجي. وبالتالي ، فيما يتعلق براديو الهواة ، يُسمح لك بإرسال رمز رقمي غير معرف حتى يتم نشر مواصفاته. في حالتنا ، يتم نشر جميع البروتوكولات والمواصفات GSM ، لذلك لا يمكنك عناء هذه المشكلة.
كما لا يُسمح لك باستخدام التشفير ، أي أنه لا ينبغي تشفير رسائلك بأي شكل من الأشكال. لذلك ، بموجب القانون ، عندما أقوم بتشغيل المحطة الأساسية الخاصة بي ، يجب ببساطة إيقاف تشغيل التشفير! ما أفعله.
بالنسبة لعشاق لحم الخنزير ، لا توجد قيود على حجم الهوائي ، والشيء الوحيد المحدود هو التعرض للتردد اللاسلكي. تنشر لجنة الاتصالات الفيدرالية FCC إرشادات حول معامل امتصاص RF آمن للبشر. أجهزتي بعيدة عن هذه الحدود ، لأنها تنبعث منها فقط 25 مللي واط. إذا كان هاتفك يعمل في نطاق التردد الأعلى لـ GSM 1800/1900 ، فهو يدرس حوالي 1 واط ، أي أكثر 40 مرة ، وفي GSM 800/900 السفلي - حوالي 2 واط ، أي 80 مرة أخرى. وبالتالي فإن الهاتف الموجود في جيبك يشع أكثر بكثير من هوائي "كبير ومخيف".
الشرط الوحيد المهم هو أن المحطة يجب أن تعرف نفسها كل 10 دقائق. إشارة النداء اللاسلكي هي موجة حاملة مباشرة ، شفرة مورس ، وهي إشارة يتم بثها دوريًا. دمج هذا في GSM أمر صعب للغاية ، وبالتالي فإن الحل الأمثل هو محطة الإرسال الثانية ، التي تعمل على تردد المحطة الأساسية الرئيسية. إنها أقوى قليلاً وتحل محل إشارة محطة GSM الأساسية ، مما يؤدي إلى هجوم DoS عليها لمدة ثانية واحدة لإرسال إشارة النداء. لقد قمت فقط بدمج هذه الوظيفة في جهاز إرسال USRP ، إنها ليست معقدة على الإطلاق. لذلك كل ما نحتاج إليه هو جهاز إرسال 900 ميغا هرتز يمكن التحكم فيه بسهولة.
بعد ذلك ، أمتلك هذا الصندوق الوردي الصغير للمراسلة الفورية. جهاز المراسلة الفورية ، يطلق عليه ID-ME ، أو "تعرفني". لقد أحضرتها لي ترافيس غودسبيد. يتمتع بقدرة خرج تبلغ +10 ديسيبل ، وتغطية نطاق تردد عريض ومبرمجة بلغة C. لا يحتوي هذا الجهاز على أي برامج ثابتة آمنة ، ويمكن "وميضه" باستخدام الأداة المساعدة Travis المسماة GoodFET. لسوء الحظ ، إنه غير متوافق مع واجهة JTAG وموصلات التردد اللاسلكي ، لكن من السهل إضافتها.
لذلك ، يمكننا كتابة البرنامج الثابت لهذا الجهاز ، ونحن نعرف الترددات المقابلة ، حتى نتمكن من تحقيق التردد والقوة وفقا ل USRP ، والجمع بين وتضخيم إشارات المحطة الرئيسية وجهاز الإرسال الإضافي.
الآن النظر في تركيب محطة الإرسال والاستقبال الأساسي BTS. لذلك ، لدي IMEI لراديو لحم الخنزير ، هذا ما أحتاج إليه من أجل GSM ، والآن أحتاج إلى الراديو العالمي لبرنامج USRP. تتوفر جميع الأجهزة الطرفية له عبر الإنترنت ، حيث تبلغ تكلفتها حوالي 1500 دولار لوحيتي RFX900.
بالإضافة إلى ذلك ، تحتاج إلى جهاز يسمى ClockTamer -
code.google.com/p/clock-tamer ، والذي يسمح لك بإنشاء ساعة دقيقة للغاية للمزامنة مع GPS. تم تصميمه خصيصًا للاستخدام مع USRP.
تستقبل الهواتف تردداتها من المحطات الأساسية. توفر المحطات الأساسية ترددات دقيقة للغاية ، وتكتشف الهواتف مدى توافق ترددها مع تردد محطة الإرسال.
لذلك إذا جئت من جانب المحطة الخاصة بي ، والتي لا يتوافق استقرار ترددها مع استقرار تردد الأبراج المحلية الموجودة حولها ، فستتم معايرة جميع الهواتف وفقًا لتكرار هذه الأبراج المحلية ولن تولي اهتمامًا لمحطتي ، حتى لو كان هناك اختلاف في تردداتنا سيكون سوى عدد قليل من كيلو هرتز.
"خارج الصندوق" يقوم ClockTamer بضبط التردد بدقة بزيادات ± 100 هرتز في المدى الذي يصل إلى 1.9 جيجا هرتز ، مقارنة بهذه الدقة ، تمتص وحدة GPS ببساطة. هذا الجهاز هو ببساطة مجنون الدقة وأنه قابل للبرمجة بمرونة.
يوفر برنامج المحطة الخلوية الخاص بي جهاز كمبيوتر محمول مزودًا بـ Debian و OpenBTS و Asterix. يوفر OpenBTS كل ما يتعلق بنظام GSM ، يتلقى Asterix المكالمات من OpenBTS ويرسلها عبر بروتوكول VoIP. لقد استخدمت الإصدار الأساسي من BTS ، فهو ينقل الصوت والرسائل النصية القصيرة ، لكنه لا ينقل البيانات.
بالنسبة لهذا العرض التقديمي ، أوقفت القدرة على استخدام الرسائل القصيرة ، ويرجع ذلك أساسًا إلى صعوبة الحصول على معرف المتصل الخاص بك عند إرسال الرسائل القصيرة. نعم ، يمكنني إرساله عبر الإنترنت وتوصيله بالمكان الذي يجب أن يكون متصلاً به ، لكن الشخص الذي يستلمه لن يكون قادرًا على تحديد من جاء ولن يتمكن من الإجابة. لذلك اعتقدت أنه سيكون من الأسهل تعطيل هذه الوظيفة BTS ، على الرغم من أن النظام يدعمها.
لذلك ، دعونا ننتقل إلى العرض التوضيحي الأول وتشغيل BTS في وضع الاختبار. أقوم بتوصيل USRP بالكمبيوتر المحمول ، كل شيء آخر قيد التشغيل بالفعل ، لذلك دعونا نطلق المحطة الأساسية. لا أعرف كم يمكنك رؤية الصورة على شاشة جهاز الكمبيوتر المحمول الخاص بي ، وأنا الآن أقربها من الكاميرا. الشيء الوحيد الذي أرغب في عرضه هو بدء تشغيل أمر TMSI - فهو يعرض علي قائمة بجميع MSI المؤقتة التي تم تخصيصها بواسطة المحطة الأساسية ، بمعنى آخر ، عدد الأشخاص المرتبطين بها حاليًا. في الجزء السفلي من الشاشة ، يمكنك رؤية ذلك في الجدول 0 ، أي أنه في الوقت الحالي لا يوجد أحد متصل بشبكة الاتصال الخاصة بي.
الآن سأكتب بضعة فرق أخرى. Cell ID هو معرف خلية يوضح أن رمز البلد للجوال الذي أستخدمه حاليًا هو 001 ، 00 هو رمز البلد وفقًا لمواصفات GSM ، يعني 1 اختبار. ثم أستخدم رمز شبكة الجوال MNC ، إنه 01 ، والوحدة هنا تعني أيضًا اختبار ، لذلك هذه شبكة اختبار في بلد اختبار ، وليست أوروبا وليست أمريكا. يوجد أدناه اسم الشبكة الخلوية التي أمثلها ، وهذا هو DEFCON18. بعض الهواتف سوف يعرضها ، بعضها لا.
أريد أن ألفت انتباهكم إلى حقيقة أنه في الوقت الحالي ليس هذا تكوين "معادي" ، بل هو وضع اختبار ، وليس إعلانًا عن أي شبكة معروفة ولا يعمل على التردد الخلوي الأمريكي ، لذلك لا يمكن لأحد الاتصال بشبكة بلدي.
إذا كنت ترغب في مسح الشبكات الخلوية المتاحة ، فيمكنك القيام بذلك ، لكنني أوصي بأن تترك هواتفك وحدها. ما عليك سوى إخراجها من جيوبك مرة واحدة كل بضع دقائق ومحاولة الاتصال. في دقيقة واحدة فقط ، سأريك مدى سهولة العمل.
لذلك ، كيف أقوم بتبديل شبكة محددة لاستخدام جهاز IMSI الشم ليس فقط على شبكة عشوائية؟ , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . الجزء 2شكرا لك على البقاء معنا. هل تحب مقالاتنا؟ تريد أن ترى المزيد من المواد المثيرة للاهتمام؟ ادعمنا عن طريق تقديم طلب أو التوصية به لأصدقائك ،
خصم 30٪ لمستخدمي Habr على تناظرية فريدة من خوادم الدخول التي اخترعناها لك: الحقيقة الكاملة حول VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1 جيجابت في الثانية من 20 $ أو كيفية تقسيم الخادم؟ (تتوفر خيارات مع RAID1 و RAID10 ، ما يصل إلى 24 مركزًا وما يصل إلى 40 جيجابايت من ذاكرة DDR4).
VPS (KVM) E5-2650 v4 (6 مراكز) 10GB DDR4 240GB SSD 1 جيجابت في الثانية حتى يناير مجانًا عند الدفع لمدة ستة أشهر ، يمكنك طلب
هنا .
ديل R730xd 2 مرات أرخص؟ لدينا فقط
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD بسرعة 1 جيجابت في الثانية 100 TV من 249 دولارًا في هولندا والولايات المتحدة الأمريكية! اقرأ عن
كيفية بناء البنية التحتية فئة باستخدام خوادم V4 R730xd E5-2650d تكلف 9000 يورو عن بنس واحد؟