Bienvenido a la presentación "Espionaje práctico usando su teléfono celular". Antes de comenzar, haré algunos comentarios sobre la privacidad. Primero, una llamada de teléfono celular se puede grabar directamente durante una llamada. Sorpresa! Entonces, si no desea que se grabe su llamada, apague su teléfono. Si utiliza los servicios de los operadores móviles de Sprint o Verizon, no está en redes GSM y mi sistema no podrá hablar con sus teléfonos, por lo que no tiene nada de qué preocuparse.
Debo decir que insto a las personas a mantener sus teléfonos a la vista durante una llamada, especialmente si usan un teléfono GSM, porque el objetivo de esto es mostrar cómo se pueden interceptar sus llamadas telefónicas. Si no usa su teléfono, esta técnica no funciona.
Entonces, esta es una presentación de computadora, ves en el costado de mi computadora portátil una gran brecha donde debería estar el HDD, pero uso una unidad flash USB de arranque, porque la estación base BTS para una red GSM se puede descargar desde medios portátiles sin usar un disco duro . Al final de la presentación, cortaré esta unidad flash a la mitad usando la herramienta múltiple Leatherman, porque voy a escribirle información muy confidencial, todas las configuraciones de su teléfono, el registro de llamadas telefónicas y más. Todo esto se destruirá al final de la presentación, así que no te preocupes por eso.
Permítanme volver a enchufar el cable de alimentación y volver al tema. Actualmente estoy conectado a la red de Verizon, por lo que mi Verizondroid me proporciona una conexión VoIP.
Si se está conectando a mi red, la única forma de averiguar si realmente está conectado es intentar hacer una llamada. Si llama, recibirá un mensaje de voz de que su conversación ha sido interceptada, bla, bla, bla. Así que simplemente tome sus teléfonos durante la presentación, intente marcar un número y vea qué sucede. Y si escucha ese mensaje en el receptor, significa que está conectado a mi sistema. Si no escucha, entonces está bien con usted. En cualquier caso, en cualquier momento, si alguien se conecta a esta red, todo para hacer llamadas se hará de la mejor manera.
Entonces, antes de hablar sobre el interceptor IMSI, te diré de qué se trata. IMSI, o el identificador internacional de un suscriptor móvil, es un número único de 15 dígitos que se utiliza para autenticar a un suscriptor que se mueve de una red a otra. Puedes considerarlo como algo así como un nombre de usuario de red GSM. Se compone de dos partes, que se encuentran en su tarjeta SIM y llevan a cabo su autenticación.
Su MSI es el nombre de usuario y la clave de autenticación secreta en la red ubicada en la parte de solo lectura de la tarjeta SIM. Se hace un poco de protección de esta manera: cuando se conecta a la red, el IMSI se reemplaza por un TMSI temporal. Durante la presentación, le mostraré cuántos de estos TMSI están apareciendo para darle la oportunidad de ver cuántas personas están conectadas a la estación base.
Entonces, IMSI es una especie de secreto, e ICCID, una larga cadena de números impresos en una tarjeta SIM, es un identificador único para la tarjeta en sí, algo así como su número de serie. Estos dos identificadores están estrechamente relacionados. En muchas redes celulares de EE. UU. Y en otros países, puede determinar IMSI por ICCID y viceversa, y esto no es ningún secreto. En otros países, lo hicieron un poco mejor, donde el ICCID no está conectado de ninguna manera con otro identificador y es solo un conjunto aleatorio de números.
Realmente no importa mucho, pero a menudo lo menciono porque al menos en los EE. UU. Puedes aprender de él IMSI. Entonces, ¿qué es un receptor IMSI?
La idea básica es que es una torre GSM falsa, una estación base falsa. En teoría, cuando el teléfono busca una señal, selecciona la torre que proporciona la señal más potente y se conecta a la torre con la mejor señal. Si hay una antena con la mayor ganancia cerca de ti que está dirigida directamente a ti, ¡entonces seré esta torre! Produzco una señal muy débil, solo 25 milivatios, pero estoy cerca y uso antenas direccionales. Por lo tanto, espero que sus teléfonos elijan exactamente mi señal y se conecten a mi red.
Debe tener en cuenta que en la red GSM, la estación base determina todas las configuraciones, por lo que cuando se conecte a mi torre, le dirá a su teléfono si debe usar cifrado, cambiar a otras frecuencias de señal y cosas similares. Si ordeno no usar cifrado, su teléfono pensará: "excelente, sin cifrado, usaré texto sin formato".
Tome mi palabra, no estoy haciendo nada malicioso, mi prueba solo afecta la funcionalidad y no causará ningún cambio permanente en las características de sus teléfonos si se conectan a mi red. Pero si quisiera, podría hacer muchas cosas con ellos, por ejemplo, actualizar la tarjeta SIM y, en general, obtener un gran placer de ella.
Entonces, si tengo la oportunidad de generar una señal realmente poderosa, al cancelar el cifrado A5, puedo tomar fácilmente el control de su teléfono, y usted no puede hacer nada y ni siquiera saberlo. La idea de un interceptor IMSI surgió simultáneamente con el estándar GSM, y la tecnología del interceptor fue patentada por Rode y Schwartz en Europa en 1993. Nunca he encontrado referencias a tales patentes en los EE. UU., Pero en cualquier caso, las patentes en Europa son de dominio público, por lo que esta vulnerabilidad es bien conocida. El significado de la patente es que si contacta a R&S y dice que desea comprar un "receptor" de IMSI, le estafarán un par de millones de dólares.
Del equipo en la mesa, mi computadora portátil es la más cara, seguida de un transceptor USRP, por alrededor de $ 1,500, y la siguiente más cara es una mensajería instantánea de $ 20. Por lo tanto, al usar este equipo, puede hacer lo mismo que hace que el equipo comercial valga 1000 veces más caro.
Te diré brevemente qué cifrado está involucrado en el interceptor IMSI. Si soy un atacante que creó su estación base y tienes un teléfono conectado, solo le digo que desactive el cifrado. No necesito descifrar cifras, construir "tablas de arcoíris", no necesito ningún disco duro para una visualización rápida. Solo le digo a su teléfono que apague el cifrado, es así de simple.
De hecho, la especificación del estándar GSM permite enviar un mensaje al suscriptor cuando su teléfono se conecta a una red que no utiliza cifrado. Pero si sigue leyendo, verá que hay un lugar más en la especificación donde dice: "si desea desactivar el mensaje de advertencia, configure esta configuración de bits pequeños en la tarjeta SIM". Cada tarjeta SIM que vi, y vi muchas redes diferentes de operadores móviles en todo el mundo, contiene estos bits. Cada operador que he conocido deshabilita esta advertencia, por lo que nunca he encontrado un teléfono que muestre el mensaje: "¡Se está conectando a una red insegura!", Como lo requiere la especificación GSM.
Esta es una elección consciente de los operadores. La idea es que si viaja a un país como India, donde el cifrado celular no es compatible, ya que es ilegal allí, pero desea utilizar su teléfono, debe admitir la función de llamada no cifrada A5 / 0. Si comienza a recibir una advertencia cada vez que se conecta a una nueva torre GSM, pensará qué demonios está sucediendo, comenzará a maldecir a AT&T u otra persona, y así sucesivamente.
Prestemos atención al espectro del rango de frecuencia utilizado. Una de las preguntas planteadas por la prensa fue sobre un problema en el que los operadores usan diferentes frecuencias. Por lo tanto, en todo el mundo se decidió utilizar solo 4 estándares GSM: 850, 900, 1800 y 1900. Las frecuencias 850 y 1900 se utilizan principalmente en los EE. UU., Y 900 y 1800, en Europa.
Si observa el tamaño de la banda de estas frecuencias, verá que hay superposición entre la frecuencia europea 900 y la estadounidense 850. De hecho, el estándar GSM 900 funciona en el rango de 880 a 914 MHz, y el estándar ISM de EE. UU. De 902 a 928 MHz, por lo que las frecuencias de estos estándares se superpondrán en el rango de 902 a 912 MHz.
Entonces, lanzaré mi transmisor en un rango de frecuencia absolutamente legal, avanzando hacia el estándar de comunicación europeo. Al mismo tiempo, a su teléfono no le importará en absoluto, no le importan las características geográficas de la conexión, solo captará la señal más fuerte y dirá: "¡bien, aquí está mi torre"!
Si tiene un teléfono europeo o un teléfono de 4 bandas que funciona en los 4 estándares de comunicación, verá una red. Si tiene un teléfono estadounidense que solo ve frecuencias estadounidenses, no verá la red.
¿Cuál es el estándar estadounidense ISM? Es sinónimo de Industrial, Científico, Médico, es decir, fue creado para redes celulares industriales, científicas y médicas. La idea del estándar es que está diseñado para dispositivos de baja potencia que cambian de frecuencia muy rápidamente, y cuyo diseño proporciona una mínima intervención del usuario en el teléfono.
Formalmente, este es un rango de comunicación auxiliar, destinado principalmente a los radioaficionados, pero no les gusta usar estas frecuencias, porque son demasiado ruidosas, además, los aficionados creen que esto es simplemente un rango poco convincente. Sin embargo, es bastante adecuado para nuestros propósitos, y podemos lanzar legalmente nuestra estación base BTS en el rango GSM aficionado. Entonces, actuaremos como radioaficionados.
Lo primero que necesitamos es una licencia para el uso de frecuencias de aficionados, y es extremadamente fácil de obtener. Puede ir a
kb0mga.net/exams y comenzar a responder preguntas del examen. Puede hacer esto una y otra vez hasta que accidentalmente se encuentre con la respuesta correcta, porque si responde incorrectamente, continuarán haciéndole preguntas. Puede pasar varias horas en él y, finalmente, responder correctamente todas las preguntas y luego aprobar el examen. Todavía te recomendaría que estudies el material si decides convertirte en un aficionado, porque definitivamente aprendí mucho respondiendo preguntas del examen. El siguiente requisito para una estación de radioaficionado es que su potencia no debe exceder los 1500 vatios, lo cual es más que suficiente para nuestros propósitos. Tengo otro amplificador que utilizo para RFID, su potencia es de 600 vatios, y esta es una cantidad aterradora de energía, su potencia es demasiado alta, por lo que 1500 vatios son suficientes para cualquier propósito.
Con respecto a lo que vamos a transmitir, podemos decir que, técnicamente, vamos a transmitir un código digital indefinido: estos son los bits que se mueven de un lado a otro entre el teléfono y mi torre. Por lo tanto, en términos de radioaficionados, puede transmitir un código digital indefinido hasta que se publique su especificación. En nuestro caso, se publican todos los protocolos y especificaciones GSM, por lo que no puede molestarse con este problema.
Tampoco se le permite usar cifrado, es decir, sus mensajes no deben cifrarse de ninguna manera. Entonces, por ley, cuando inicio mi estación base, ¡simplemente debo desactivar el cifrado! Lo que hago yo.
Para los entusiastas del jamón, no hay restricciones en el tamaño de la antena, lo único que está limitado es la exposición a la frecuencia de radio. La FCC publica pautas sobre qué coeficiente de absorción de RF es seguro para los humanos. Mi equipo está lejos de estos límites, ya que emite solo 25 milivatios. Si su teléfono funciona en el rango de frecuencia más alto de GSM 1800/1900, entonces estudia aproximadamente 1 W, es decir, 40 veces más, y en el GSM 800/900 más bajo, aproximadamente 2 W, es decir, 80 veces más. Entonces, el teléfono en su bolsillo irradia mucho más que mi antena "grande y aterradora".
El único requisito importante es que la estación debe identificarse cada 10 minutos. Una señal de llamada de radio es una onda portadora directa, código Morse, una señal que se transmite periódicamente. Integrar esto en GSM es bastante difícil, por lo que la solución óptima es la segunda estación transmisora, que opera a la frecuencia de la estación base principal. Es un poco más potente y reemplaza la señal de la estación base GSM, haciendo un ataque DoS durante 1 segundo para transmitir el indicativo. Acabo de integrar esta función en el transmisor USRP, no es para nada complicado. Entonces, todo lo que necesitamos es un transmisor de 900 megahercios fácilmente controlable.
A continuación, tengo esta pequeña caja rosa para mensajería instantánea Dispositivo de mensajería instantánea, se llama ID-ME, o "identificarme". Me la trajo Travis Goodspeed. Tiene una potencia de salida de +10 dBm, cobertura de amplio rango de frecuencia y está programado en lenguaje C. Este dispositivo no tiene ningún firmware seguro, se puede "flashear" utilizando la utilidad Travis llamada GoodFET. Desafortunadamente, no es compatible con la interfaz JTAG y los conectores RF, pero son bastante fáciles de agregar.
Entonces, podemos escribir el firmware para este dispositivo, conocemos las frecuencias correspondientes, de modo que podamos ajustar la frecuencia y la potencia de acuerdo con USRP, combinar y amplificar las señales de la estación principal y el transmisor adicional.
Ahora considere la instalación de una estación transceptora base BTS. Entonces, tengo IMEI para la radioaficionado, esto es lo que necesito para GSM, y ahora necesito la radio universal de software USRP. Todos los periféricos están disponibles para él en línea, donde cuesta alrededor de $ 1,500 por dos placas secundarias RFX900.
Además, necesita un dispositivo llamado ClockTamer -
code.google.com/p/clock-tamer , que le permite crear un reloj muy preciso para sincronizar con el GPS. Está específicamente diseñado para su uso con USRP.
Los teléfonos reciben sus frecuencias de las estaciones base. Las estaciones base proporcionan frecuencias muy precisas, y los teléfonos descubren cuán compatible es su propia frecuencia con la frecuencia de la estación transmisora.
Entonces, si vengo del lado con mi propia estación, cuya estabilidad de frecuencia no corresponde a la estabilidad de frecuencia de las torres locales que están alrededor, entonces todos los teléfonos se calibrarán a la frecuencia de estas torres locales y ni siquiera prestarán atención a mi estación, incluso si la diferencia en nuestras frecuencias será solo unos pocos kilohercios.
ClockTamer "listo para usar" ajusta con extrema precisión la frecuencia en incrementos de ± 100 Hz en el rango de hasta 1.9 GHz, en comparación con esta precisión, el módulo GPS simplemente es una mierda. Este dispositivo es simplemente una precisión loca y es flexiblemente programable.
El software de mi estación celular proporciona una computadora portátil con Debian, OpenBTS y Asterix. OpenBTS proporciona todo lo relacionado con GSM, Asterix recibe llamadas de OpenBTS y las envía a través de VoIP. Utilicé la versión básica de BTS, transmite voz y SMS, pero no transmite datos.
Para esta presentación, desactivé la capacidad de usar SMS, principalmente debido al hecho de que me resulta difícil obtener su identificador de llamadas cuando envía SMS. Sí, puedo enviarlo a través de Internet y conectarlo a donde debería estar conectado, pero la persona que lo reciba no podrá determinar de quién vino y no podrá responder. Entonces pensé que sería más fácil deshabilitar esta función BTS, aunque el sistema lo admite.
Entonces, pasemos a la primera demostración y ejecutemos BTS en modo de prueba. Conecto USRP a la computadora portátil, todo lo demás ya está encendido, así que iniciemos la estación base. No sé cuánto puede ver la imagen en la pantalla de mi computadora portátil, ahora la estoy acercando a la cámara. Lo único que quiero mostrar es el lanzamiento del comando TMSI: me muestra una lista de todos los MSI temporales asignados por la estación base, en otras palabras, cuántas personas están asociadas actualmente con él. En la parte inferior de la pantalla, puede ver que en la tabla 0, es decir, en este momento no hay nadie conectado a mi red.
Ahora escribiré algunos equipos más. Cell ID es un identificador de celda que muestra que el código de país móvil que estoy usando actualmente es 001, 00 es el código de país de acuerdo con la especificación GSM, 1 significa prueba. Luego uso el código de red móvil MNC, es 01, la unidad aquí también significa prueba, por lo que esta es una red de prueba en un país de prueba, no es Europa ni América. A continuación se muestra el nombre de la red celular que represento, este es DEFCON18. Algunos teléfonos lo mostrarán, otros no.
Quiero llamar su atención sobre el hecho de que en este momento no se trata de una configuración "hostil", se trata de un modo de prueba, no se trata de un anuncio para ninguna red conocida y no funciona en la frecuencia celular de los EE. UU. conectarse a mi red
Si desea escanear las redes celulares disponibles, puede hacerlo, pero le recomiendo que deje sus teléfonos en paz. Simplemente sáquelos de sus bolsillos una vez cada pocos minutos e intente llamar. En un minuto te mostraré lo fácil que funciona.
Entonces, ¿cómo cambio una red específica para usar el sniffer IMSI no solo en una red aleatoria? , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . Parte 2Gracias por quedarte con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más materiales interesantes?
Apóyenos haciendo un pedido o recomendándolo a sus amigos, un
descuento del 30% para los usuarios de Habr en un análogo único de servidores de nivel de entrada que inventamos para usted: toda la verdad sobre VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps de $ 20 o cómo dividir el servidor? (las opciones están disponibles con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps hasta enero de forma gratuita al pagar por un período de seis meses, puede ordenar
aquí .
Dell R730xd 2 veces más barato? ¡Solo tenemos
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV desde $ 249 en los Países Bajos y los Estados Unidos! Lea sobre
Cómo construir un edificio de infraestructura. clase utilizando servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo?