Willkommen zur Präsentation „Praktisches Spionieren mit Ihrem Handy“. Bevor wir beginnen, möchte ich einige Anmerkungen zum Datenschutz machen. Erstens kann ein Mobiltelefonanruf direkt während eines Anrufs aufgezeichnet werden. Überraschung! Wenn Sie also nicht möchten, dass Ihr Anruf aufgezeichnet wird, schalten Sie Ihr Telefon aus. Wenn Sie die Dienste von Sprint- oder Verizon-Mobilfunkbetreibern nutzen, befinden Sie sich nicht in GSM-Netzen, und mein System kann überhaupt nicht mit Ihren Telefonen kommunizieren, sodass Sie sich keine Sorgen machen müssen.
Ich muss sagen, dass ich die Leute dringend auffordere, ihre Telefone während eines Anrufs im Blick zu behalten, insbesondere wenn sie ein GSM-Mobilteil verwenden, da der springende Punkt darin besteht, zu zeigen, wie Ihre Telefonanrufe abgefangen werden können. Wenn Sie Ihr Mobilteil nicht verwenden, funktioniert diese Technik nicht.
Dies ist also eine Computerpräsentation. Sie sehen auf der Seite meines Laptops eine große Lücke, in der sich die Festplatte befinden sollte. Ich verwende jedoch ein bootfähiges USB-Flash-Laufwerk, da die BTS-Basisstation für ein GSM-Netzwerk ohne Verwendung einer Festplatte von tragbaren Medien heruntergeladen werden kann . Am Ende der Präsentation werde ich dieses Flash-Laufwerk mit dem Leatherman-Multitool halbieren, da ich sehr vertrauliche Informationen, alle Einstellungen Ihres Telefons, das Protokoll der Telefonanrufe und vieles mehr darauf schreiben werde. All dies wird am Ende der Präsentation zerstört. Machen Sie sich also keine Sorgen.
Lassen Sie mich das Netzkabel wieder einstecken und zum Thema zurückkehren. Ich bin derzeit mit dem Verizon-Netzwerk verbunden, daher bietet mir mein Verizondroid eine VoIP-Verbindung.
Wenn Sie eine Verbindung zu meinem Netzwerk herstellen, können Sie nur feststellen, ob Sie tatsächlich verbunden sind, indem Sie versuchen, einen Anruf zu tätigen. Wenn Sie anrufen, erhalten Sie eine Sprachnachricht, dass Ihr Gespräch abgefangen wurde, bla bla bla. Nehmen Sie während der Präsentation einfach Ihre Telefone, wählen Sie eine Nummer und sehen Sie, was passiert. Und wenn Sie eine solche Nachricht im Empfänger hören, bedeutet dies, dass Sie mit meinem System verbunden sind. Wenn Sie nichts hören, ist alles in Ordnung mit Ihnen. In jedem Fall wird zu jeder Zeit, wenn sich jemand mit diesem Netzwerk verbindet, alles zum Tätigen von Anrufen auf die beste Weise erledigt.
Bevor wir über den IMSI-Abfangjäger sprechen, werde ich Ihnen sagen, was es ist. IMSI oder die internationale Kennung eines Mobilfunkteilnehmers ist eine eindeutige 15-stellige Nummer, mit der ein Teilnehmer authentifiziert wird, der von einem Netzwerk in ein anderes Netzwerk wechselt. Sie können sich das so etwas wie einen Benutzernamen für ein GSM-Netz vorstellen. Es besteht aus zwei Teilen, die sich auf Ihrer SIM-Karte befinden und Ihre Authentifizierung durchführen.
Ihre MSI ist der Benutzername und der geheime Authentifizierungsschlüssel im Netzwerk im schreibgeschützten Teil der SIM-Karte. Ein kleiner Schutz wird wie folgt ausgeführt: Wenn eine Verbindung zum Netzwerk besteht, wird die IMSI durch eine temporäre TMSI ersetzt. Während der Präsentation werde ich Ihnen zeigen, wie viele dieser TMSIs angezeigt werden, damit Sie sehen können, wie viele Personen mit der Basisstation verbunden sind.
IMSI ist also eine Art Geheimnis, und ICCID, eine lange Folge von Zahlen, die auf einer SIM-Karte gedruckt sind, ist eine eindeutige Kennung für die Karte selbst, etwa ihre Seriennummer. Diese beiden Kennungen sind eng miteinander verbunden. In vielen US-amerikanischen Mobilfunknetzen und einigen anderen Ländern können Sie IMSI durch ICCID bestimmen und umgekehrt, und dies ist kein Geheimnis. In anderen Ländern haben sie es etwas besser gemacht, wo die ICCID in keiner Weise mit einer anderen Kennung verbunden ist und nur eine zufällige Menge von Zahlen ist.
Es ist nicht wirklich wichtig, aber ich erwähne es oft, weil man zumindest in den USA daraus IMSI lernen kann. Was ist ein IMSI-Catcher?
Die Grundidee ist, dass es sich um einen gefälschten GSM-Turm handelt, eine gefälschte Basisstation. Wenn das Telefon nach einem Signal sucht, wählt es theoretisch den Turm aus, der das stärkste Signal liefert, und verbindet sich mit dem Turm mit dem besten Signal. Wenn es eine Antenne mit dem höchsten Gewinn in Ihrer Nähe gibt, die direkt auf Sie gerichtet ist, dann werde ich dieser Turm sein! Ich produziere ein sehr schwaches Signal, nur 25 Milliwatt, aber ich bin nah dran und benutze Richtantennen. Daher hoffe ich, dass Ihre Telefone genau mein Signal auswählen und Sie eine Verbindung zu meinem Netzwerk herstellen.
Beachten Sie, dass die Basisstation im GSM-Netz alle Einstellungen festlegt. Wenn Sie also eine Verbindung zu meinem Tower herstellen, wird Ihrem Telefon mitgeteilt, ob Verschlüsselung verwendet werden soll, auf andere Signalfrequenzen umgeschaltet werden soll und ähnliche Dinge. Wenn ich bestelle, keine Verschlüsselung zu verwenden, wird Ihr Telefon denken: "Hervorragend, keine Verschlüsselung, ich werde einfachen Text verwenden."
Nehmen Sie mein Wort dafür, ich mache nichts Bösartiges, mein Test wirkt sich nur auf die Funktionalität aus und führt zu keinen dauerhaften Änderungen der Eigenschaften Ihrer Telefone, wenn diese eine Verbindung zu meinem Netzwerk herstellen. Aber wenn ich wollte, könnte ich viele Dinge mit ihnen machen, zum Beispiel die SIM-Karte aktualisieren und im Allgemeinen viel Freude daran haben.
Wenn ich also die Möglichkeit habe, ein wirklich starkes Signal zu erzeugen, kann ich durch Aufheben der A5-Verschlüsselung problemlos die Kontrolle über Ihr Telefon übernehmen, und Sie können nichts tun und wissen nicht einmal davon. Die Idee eines IMSI-Abfangjägers entstand gleichzeitig mit dem GSM-Standard, und die Abfangtechnologie wurde 1993 von Rode und Schwartz in Europa patentiert. Ich habe in den USA noch nie Hinweise auf solche Patente erhalten, aber auf jeden Fall sind Patente in Europa gemeinfrei, daher ist diese Sicherheitsanfälligkeit bekannt. Die Bedeutung des Patents ist, dass wenn Sie sich an R & S wenden und sagen, dass Sie einen IMSI "Catcher" kaufen möchten, diese ein paar Millionen Dollar von Ihnen abreißen.
Von den Geräten auf dem Tisch ist mein Laptop der teuerste, gefolgt von einem USRP-Transceiver für etwa 1.500 US-Dollar, und der nächstteuerste ist ein Instant Messenger für 20 US-Dollar. Mit diesem Gerät können Sie also das Gleiche tun, was kommerzielle Geräte 1000-mal teurer macht.
Ich werde Ihnen kurz sagen, welche Verschlüsselung im IMSI-Interceptor enthalten ist. Wenn ich ein Angreifer bin, der seine Basisstation erstellt hat, und Sie ein Telefon haben, das damit verbunden ist, fordere ich ihn einfach auf, die Verschlüsselung zu deaktivieren. Ich muss keine Chiffren knacken, keine „Regenbogentabellen“ bauen, ich brauche keine Festplatten für die schnelle Anzeige. Ich sage Ihrem Telefon nur, dass es die Verschlüsselung deaktivieren soll. So einfach ist das.
Tatsächlich sieht die Spezifikation des GSM-Standards vor, dass eine Nachricht an den Teilnehmer gesendet wird, wenn Ihr Telefon eine Verbindung zu einem Netzwerk herstellt, das keine Verschlüsselung verwendet. Wenn Sie jedoch weiterlesen, werden Sie feststellen, dass in der Spezifikation noch eine Stelle steht, an der steht: "Wenn Sie die Warnmeldung deaktivieren möchten, stellen Sie diese kleine Bitkonfiguration auf der SIM-Karte ein." Jede SIM-Karte, die ich gesehen habe, und ich habe viele verschiedene Netze von Mobilfunkbetreibern auf der ganzen Welt gesehen, enthält diese Bits. Jeder Betreiber, den ich jemals getroffen habe, deaktiviert diese Warnung, sodass ich nie auf ein Telefon gestoßen bin, auf dem die Meldung "Sie stellen eine Verbindung zu einem unsicheren Netzwerk her!" Angezeigt wird, wie in der GSM-Spezifikation vorgeschrieben.
Dies ist eine bewusste Wahl der Bediener. Die Idee ist, dass wenn Sie in ein Land wie Indien reisen, in dem die Mobilfunkverschlüsselung nicht unterstützt wird, da dies dort illegal ist, Sie Ihr Telefon jedoch verwenden möchten, die unverschlüsselte A5 / 0-Anruffunktion unterstützt werden muss. Wenn Sie jedes Mal, wenn Sie eine Verbindung zu einem neuen GSM-Tower herstellen, eine Warnung erhalten, werden Sie sich überlegen, was zum Teufel los ist, AT & T oder jemand anderen verfluchen und so weiter.
Achten wir auf das Spektrum des verwendeten Frequenzbereichs. Eine der von der Presse aufgeworfenen Fragen betraf ein Problem, bei dem Betreiber unterschiedliche Frequenzen verwenden. Daher wurde weltweit beschlossen, nur 4 GSM-Standards zu verwenden: 850, 900, 1800 und 1900. Die Frequenzen 850 und 1900 werden hauptsächlich in den USA und 900 und 1800 - in Europa - verwendet.
Wenn Sie sich die Größe des Bandes dieser Frequenzen ansehen, werden Sie feststellen, dass es eine Überlappung zwischen der europäischen Frequenz 900 und der amerikanischen 850 gibt. Tatsächlich arbeitet der GSM 900-Standard im Bereich von 880 bis 914 MHz und der US-amerikanische ISM-Standard von 902 bis 928 MHz, sodass sich die Frequenzen dieser Standards im Bereich von 902 bis 912 MHz überschneiden.
Also werde ich meinen Sender in einem absolut legalen Frequenzbereich starten und mich dem europäischen Kommunikationsstandard nähern. Gleichzeitig ist es Ihrem Telefon absolut egal, es kümmert sich nicht um die geografischen Merkmale der Verbindung, es fängt nur das stärkste Signal und sagt: "Gut, hier ist mein Turm"!
Wenn Sie ein europäisches Telefon oder ein 4-Band-Telefon haben, das in allen 4 Kommunikationsstandards funktioniert, sehen Sie ein Netzwerk. Wenn Sie ein amerikanisches Telefon haben, das nur amerikanische Frequenzen sieht, wird das Netzwerk nicht angezeigt.
Was ist der amerikanische ISM-Standard? Es steht für Industrial, Scientific, Medical, dh es wurde für industrielle, wissenschaftliche und medizinische Mobilfunknetze entwickelt. Die Idee des Standards ist, dass er für Geräte mit geringem Stromverbrauch entwickelt wurde, die die Frequenz sehr schnell ändern und deren Design nur minimale Benutzereingriffe in das Telefon ermöglicht.
Formal ist dies ein Hilfskommunikationsbereich, der hauptsächlich für Funkamateure gedacht ist, aber sie verwenden diese Frequenzen nicht gern, weil sie zu laut sind. Außerdem glauben Amateure, dass dies einfach ein lahmer Bereich ist. Es ist jedoch für unsere Zwecke gut geeignet, und wir können unsere BTS-Basisstation legal im Amateur-GSM-Bereich starten. Wir werden also als Funkamateur auftreten.
Was wir zuallererst brauchen, ist eine Lizenz für die Nutzung von Amateurfrequenzen, und es ist extrem einfach, sie zu bekommen. Sie können zu
kb0mga.net/exams gehen und Prüfungsfragen beantworten. Sie können dies immer wieder tun, bis Sie versehentlich auf die richtige Antwort stoßen. Wenn Sie falsch antworten, werden Ihnen weiterhin Fragen gestellt. Sie können mehrere Stunden damit verbringen. Wenn Sie schließlich alle Fragen richtig beantwortet haben, bestehen Sie die Prüfung. Ich würde Ihnen trotzdem raten, das Material zu studieren, wenn Sie sich entscheiden, Amateur zu werden, da ich durch die Beantwortung von Prüfungsfragen definitiv viel gelernt habe. Die nächste Anforderung für einen Amateurfunksender ist, dass seine Leistung 1500 Watt nicht überschreiten sollte, was für unsere Zwecke mehr als ausreichend ist. Ich habe einen anderen Verstärker, den ich für RFID verwende. Seine Leistung beträgt 600 Watt, und dies ist eine erschreckende Energiemenge. Seine Leistung ist zu hoch, sodass 1500 Watt für jeden Zweck ausreichen.
In Bezug auf das, was wir senden werden, können wir sagen, dass wir technisch gesehen einen undefinierten digitalen Code übertragen werden - dies sind die Teile, die sich zwischen dem Telefon und meinem Turm hin und her bewegen. In Bezug auf Amateurfunk dürfen Sie also einen undefinierten digitalen Code senden, bis seine Spezifikation veröffentlicht ist. In unserem Fall werden alle GSM-Protokolle und -Spezifikationen veröffentlicht, sodass Sie sich nicht mit diesem Problem befassen können.
Sie dürfen auch keine Verschlüsselung verwenden, dh Ihre Nachrichten sollten in keiner Weise verschlüsselt werden. Wenn ich meine Basisstation starte, muss ich laut Gesetz einfach die Verschlüsselung deaktivieren! Was ich tue.
Für Schinkenliebhaber gibt es keine Einschränkungen hinsichtlich der Größe der Antenne. Das einzige, was begrenzt ist, ist die Hochfrequenzbelastung. Die FCC veröffentlicht Richtlinien, nach denen der HF-Absorptionskoeffizient für den Menschen sicher ist. Meine Ausrüstung ist weit von diesen Grenzen entfernt, da sie nur 25 Milliwatt abgibt. Wenn Ihr Telefon im höheren Frequenzbereich von GSM 1800/1900 arbeitet, werden etwa 1 W, dh 40-mal mehr, und im niedrigeren GSM 800/900 - etwa 2 W, dh 80-mal mehr - untersucht. Das Telefon in Ihrer Tasche strahlt also viel mehr aus als meine "große und beängstigende" Antenne.
Die einzige wichtige Anforderung ist, dass sich die Station alle 10 Minuten ausweisen muss. Ein Funkrufzeichen ist eine direkte Trägerwelle, ein Morsecode, ein Signal, das regelmäßig gesendet wird. Die Integration in GSM ist ziemlich schwierig, daher ist die zweite Sendestation, die mit der Frequenz der Hauptbasisstation arbeitet, die optimale Lösung. Es ist etwas leistungsfähiger und ersetzt das Signal der GSM-Basisstation, sodass es 1 Sekunde lang von DoS angegriffen wird, um das Rufzeichen zu übertragen. Ich habe diese Funktion gerade in den USRP-Sender integriert, sie ist überhaupt nicht kompliziert. Wir brauchen also nur einen leicht steuerbaren 900-Megahertz-Sender.
Als nächstes habe ich diese kleine rosa Box für Instant Messaging. Instant Messaging-Gerät heißt ID-ME oder "Identifiziere mich". Sie wurde von Travis Goodspeed zu mir gebracht. Es hat eine Ausgangsleistung von +10 dBm, einen weiten Frequenzbereich und ist in C-Sprache programmiert. Dieses Gerät verfügt über keine sichere Firmware und kann mit dem Travis-Dienstprogramm GoodFET „geflasht“ werden. Leider ist es nicht mit der JTAG-Schnittstelle und den HF-Anschlüssen kompatibel, aber sie sind recht einfach hinzuzufügen.
Wir können also die Firmware für dieses Gerät schreiben, wir kennen die entsprechenden Frequenzen, damit wir die Frequenz und Leistung gemäß USRP bringen, die Signale der Hauptstation und des zusätzlichen Senders kombinieren und verstärken können.
Betrachten Sie nun die Installation einer Basis-Transceiver-Station BTS. Also, ich habe IMEI für das Amateurfunkgerät, das ist es, was ich für GSM brauche, und jetzt brauche ich das universelle USRP-Software-Radio. Alle Peripheriegeräte stehen ihm online zur Verfügung, wobei zwei RFX900-Tochterplatinen etwa 1.500 US-Dollar kosten.
Darüber hinaus benötigen Sie ein Gerät namens ClockTamer -
code.google.com/p/clock-tamer , mit dem Sie eine sehr genaue Uhr für die Synchronisierung mit GPS erstellen können. Es wurde speziell für die Verwendung mit USRP entwickelt.
Telefone empfangen ihre Frequenzen von Basisstationen. Basisstationen liefern sehr genaue Frequenzen, und Telefone finden heraus, wie kompatibel ihre eigene Frequenz mit der Frequenz der Sendestation ist.
Wenn ich also von der Seite mit meiner eigenen Station komme, deren Frequenzstabilität nicht der Frequenzstabilität der lokalen Türme entspricht, werden alle Telefone auf die Frequenz dieser lokalen Türme kalibriert und achten nicht einmal auf meine Station, selbst wenn sich unsere Frequenzen unterscheiden wird nur ein paar Kilohertz sein.
"Out of the Box" ClockTamer stellt die Frequenz in Schritten von ± 100 Hz im Bereich von bis zu 1,9 GHz äußerst genau ein. Im Vergleich zu dieser Genauigkeit ist das GPS-Modul einfach nur zum Kotzen. Dieses Gerät ist einfach verrückt Präzision und es ist flexibel programmierbar.
Meine Mobilstationssoftware bietet einen Laptop mit Debian, OpenBTS und Asterix. OpenBTS bietet alles rund um GSM, Asterix empfängt Anrufe von OpenBTS und sendet diese per VoIP. Ich habe die Basisversion von BTS verwendet, die Sprache und SMS überträgt, aber keine Daten überträgt.
Für diese Präsentation habe ich die Verwendung von SMS deaktiviert, hauptsächlich aufgrund der Tatsache, dass es für mich schwierig ist, Ihre Anrufer-ID beim Senden von SMS zu erhalten. Ja, ich kann es über das Internet senden und mit dem Ort verbinden, an dem es verbunden werden soll, aber die Person, die es empfängt, kann nicht feststellen, von wem es stammt, und kann nicht antworten. Daher dachte ich, es wäre einfacher, diese BTS-Funktion zu deaktivieren, obwohl das System sie unterstützt.
Kommen wir also zur ersten Demo und führen BTS im Testmodus aus. Ich verbinde USRP mit dem Laptop, alles andere ist bereits eingeschaltet, also starten wir die Basisstation. Ich weiß nicht, wie viel Sie auf dem Bildschirm meines Laptops sehen können. Jetzt bewege ich es näher an die Kamera. Das einzige, was ich anzeigen möchte, ist der Start des TMSI-Befehls. Er zeigt mir eine Liste aller temporären MSIs, die von der Basisstation zugewiesen wurden, dh wie viele Personen derzeit damit verbunden sind. Am unteren Rand des Bildschirms sehen Sie, dass in Tabelle 0 das heißt, im Moment ist niemand mit meinem Netzwerk verbunden.
Jetzt schreibe ich noch ein paar Teams. Die Zellen-ID ist eine Zellen-ID, die anzeigt, dass der von mir derzeit verwendete mobile Ländercode 001, 00 der Ländercode gemäß der GSM-Spezifikation ist. 1 bedeutet Test. Dann benutze ich den Mobilfunknetzcode MNC, es ist 01, das Gerät bedeutet hier auch Test, also ist dies ein Testnetzwerk in einem Testland, es ist nicht Europa und nicht Amerika. Unten ist der Name des Mobilfunknetzes, das ich vertrete, dies ist DEFCON18. Einige Telefone zeigen es an, andere nicht.
Ich möchte Ihre Aufmerksamkeit auf die Tatsache lenken, dass dies derzeit keine „feindliche“ Konfiguration ist, dies ein Testmodus ist, dies keine Werbung für ein bekanntes Netzwerk ist und nicht auf der US-Mobilfunkfrequenz funktioniert, sodass niemand in der Lage sein wird, dieses Ding zu starten verbinde dich mit meinem Netzwerk.
Wenn Sie verfügbare Mobilfunknetze scannen möchten, können Sie dies tun. Ich empfehle jedoch, Ihre Telefone einfach in Ruhe zu lassen. Nehmen Sie sie einfach alle paar Minuten aus der Tasche und versuchen Sie anzurufen. In nur einer Minute werde ich Ihnen zeigen, wie einfach es funktioniert.
Wie tausche ich ein bestimmtes Netzwerk aus, um den IMSI-Sniffer nicht nur in einem zufälligen Netzwerk zu verwenden? , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. Wow! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . Teil 2Vielen Dank für Ihren Aufenthalt bei uns. Gefällt dir unser Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung
aufgeben oder Ihren Freunden empfehlen, einen
Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von $ 20 oder wie teilt man den Server? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Januar kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie
hier bestellen.
Dell R730xd 2 mal günstiger? Nur wir haben
2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über
den Aufbau eines Infrastrukturgebäudes. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?