Bienvenue à la présentation «Espionnage pratique avec votre téléphone portable». Avant de commencer, je ferai quelques commentaires sur la confidentialité. Tout d'abord, un appel de téléphone portable peut être enregistré directement pendant un appel. Surprise! Donc, si vous ne souhaitez pas que votre appel soit enregistré, éteignez votre téléphone. Si vous utilisez les services des opérateurs mobiles Sprint ou Verizon, vous n'êtes pas dans les réseaux GSM et mon système ne pourra pas du tout parler à vos téléphones, vous n'avez donc rien à craindre.
Je dois dire que j'exhorte les gens à garder leurs téléphones en vue pendant un appel, surtout s'ils utilisent un combiné GSM, car le but de tout cela est de montrer comment vos appels téléphoniques peuvent être interceptés. Si vous n'utilisez pas votre combiné, cette technique ne fonctionne pas.
Donc, ceci est une présentation d'ordinateur, vous voyez sur le côté de mon ordinateur portable un grand écart où le disque dur devrait être, mais j'utilise un lecteur flash USB amorçable, car la station de base BTS pour un réseau GSM peut être téléchargée à partir d'un support portable sans utiliser de disque dur . À la fin de la présentation, je vais couper ce lecteur flash de moitié en utilisant l'outil multifonction Leatherman, car je vais y écrire des informations très confidentielles, tous les paramètres de votre téléphone, le journal des appels téléphoniques et plus encore. Tout cela sera détruit à la fin de la présentation, alors ne vous en faites pas.
Permettez-moi de rebrancher le cordon d'alimentation et de revenir au sujet. Je suis actuellement connecté au réseau Verizon, donc mon Verizondroid me fournit une connexion VoIP.
Si vous vous connectez à mon réseau, la seule façon de savoir si vous êtes réellement connecté est d'essayer de passer un appel. Si vous appelez, vous recevrez un message vocal indiquant que votre conversation a été interceptée, bla bla bla. Alors, prenez vos téléphones pendant la présentation, essayez de composer un numéro et voyez ce qui se passe. Et si vous entendez un tel message dans le récepteur, cela signifie que vous êtes connecté à mon système. Si vous n'entendez pas, alors tout va bien avec vous. Dans tous les cas, à tout moment, si quelqu'un se connecte à ce réseau, tout pour passer des appels se fera de la meilleure façon.
Donc, avant de parler de l'intercepteur IMSI, je vais vous dire de quoi il s'agit. IMSI, ou l'identifiant international d'un abonné mobile, est un numéro unique à 15 chiffres utilisé pour authentifier un abonné passant d'un réseau à un autre réseau. Vous pouvez le considérer comme quelque chose comme un nom d'utilisateur de réseau GSM. Il se compose de deux parties, qui se trouvent sur votre carte SIM et effectuent votre authentification.
Votre MSI est le nom d'utilisateur et la clé d'authentification secrète sur le réseau situé dans la partie en lecture seule de la carte SIM. Une petite protection est réalisée comme ceci: lorsqu'il est connecté au réseau, l'IMSI est remplacé par un TMSI temporaire. Pendant la présentation, je vais vous montrer combien de ces TMSI apparaissent pour vous donner l'opportunité de voir combien de personnes sont connectées à la station de base.
L'IMSI est donc une sorte de secret et l'ICCID, une longue chaîne de chiffres imprimés sur une carte SIM, est un identifiant unique pour la carte elle-même, quelque chose comme son numéro de série. Ces deux identifiants sont étroitement liés. Dans de nombreux réseaux cellulaires américains et dans certains autres pays, vous pouvez déterminer l'IMSI par ICCID et vice versa, et ce n'est pas un secret. Dans d'autres pays, ils ont fait un peu mieux, où l'ICCID n'est en aucun cas lié à un autre identifiant et n'est qu'un ensemble aléatoire de nombres.
Cela n'a pas vraiment d'importance, mais je le mentionne souvent car au moins aux États-Unis, vous pouvez en tirer des leçons IMSI. Qu'est-ce qu'un capteur IMSI?
L'idée de base est qu'il s'agit d'une fausse tour GSM, une fausse station de base. En théorie, lorsque le téléphone recherche un signal, il sélectionne la tour qui fournit le signal le plus puissant et se connecte à la tour avec le meilleur signal. S'il y a une antenne avec le gain le plus élevé près de chez vous qui est directement dirigée vers vous, alors je serai cette tour! Je produis un signal très faible, seulement 25 milliwatts, mais je suis proche et j'utilise des antennes directionnelles. Par conséquent, j'espère que vos téléphones choisiront exactement mon signal et que vous vous connecterez à mon réseau.
Vous devez garder à l'esprit que dans le réseau GSM, la station de base détermine tous les paramètres, donc lorsque vous vous connectez à ma tour, elle indiquera à votre téléphone s'il faut utiliser le cryptage, passer à d'autres fréquences de signal et des choses similaires. Si je commande de ne pas utiliser le cryptage, votre téléphone pensera: "excellent, pas de cryptage, j'utiliserai du texte brut".
Croyez-moi, je ne fais rien de malveillant, mon test n'affecte que les fonctionnalités et ne provoquera pas de changements permanents dans les caractéristiques de vos téléphones s'ils se connectent à mon réseau. Mais si je le voulais, je pourrais faire beaucoup de choses avec eux, par exemple, mettre à jour la carte SIM et généralement en tirer beaucoup de plaisir.
Donc, si j'ai la possibilité de générer un signal vraiment puissant, puis en annulant le cryptage A5, je peux facilement prendre le contrôle de votre téléphone, et vous ne pouvez rien faire et ne le savez même pas. L'idée d'un intercepteur IMSI est née simultanément avec la norme GSM, et la technologie d'intercepteur a été brevetée par Rode et Schwartz en Europe en 1993. Je n'ai jamais rencontré de références à de tels brevets aux États-Unis, mais en tout cas, les brevets en Europe sont dans le domaine public, donc cette vulnérabilité est bien connue. Le sens du brevet est que si vous contactez R&S et dites que vous voulez acheter un "catcher" IMSI, ils vous arracheront quelques millions de dollars.
De l'équipement sur la table, mon ordinateur portable est le plus cher, suivi d'un émetteur-récepteur USRP, pour environ 1500 $, et le deuxième plus cher est un messager instantané de 20 $. Ainsi, en utilisant cet équipement, vous pouvez faire la même chose qui fait que l'équipement commercial vaut 1000 fois plus cher.
Je vais vous dire brièvement quel chiffrement est impliqué dans l'intercepteur IMSI. Si je suis un attaquant qui a créé sa station de base et que vous avez un téléphone qui y est connecté, je lui dis simplement de désactiver le cryptage. Je n'ai pas besoin de casser des chiffres, de construire des "tables arc-en-ciel", je n'ai pas besoin de disques durs pour une visualisation rapide. Je dis simplement à votre téléphone de désactiver le cryptage, c'est aussi simple que cela.
En fait, la spécification de la norme GSM prévoit d'envoyer un message à l'abonné lorsque votre téléphone se connecte à un réseau qui n'utilise pas de cryptage. Mais si vous lisez plus loin, vous verrez qu'il y a un endroit de plus dans la spécification où il est dit: "si vous voulez désactiver le message d'avertissement, alors définissez cette petite configuration sur la carte SIM". Chaque carte SIM que j'ai vue, et j'ai vu de nombreux réseaux différents d'opérateurs mobiles dans le monde, contient ces bits. Chaque opérateur que j'ai rencontré désactive cet avertissement, je n'ai donc jamais rencontré de téléphone qui afficherait le message: "Vous vous connectez à un réseau non sécurisé!", Comme l'exige la spécification GSM.
Il s'agit d'un choix conscient d'opérateurs. L'idée est que si vous voyagez dans un pays comme l'Inde, où le cryptage cellulaire n'est pas pris en charge, car il est illégal là -bas, mais que vous souhaitez utiliser votre téléphone, il doit prendre en charge la fonction d'appel non crypté A5 / 0. Si vous commencez à recevoir un avertissement chaque fois que vous vous connectez à une nouvelle tour GSM, vous penserez à ce qui se passe, commencez à maudire AT&T ou quelqu'un d'autre et ainsi de suite.
Prenons attention au spectre de la gamme de fréquences utilisée. L'une des questions soulevées par la presse concernait un problème dans lequel les opérateurs utilisent des fréquences différentes. Par conséquent, dans le monde entier, il a été décidé de n'utiliser que 4 normes GSM: 850, 900, 1800 et 1900. Les fréquences 850 et 1900 sont utilisées principalement aux États-Unis et 900 et 1800 - en Europe.
Si vous regardez la taille de la bande de ces fréquences, vous verrez qu'il y a chevauchement entre la fréquence européenne 900 et l'américaine 850. En fait, la norme GSM 900 fonctionne dans la plage de 880 à 914 MHz, et la norme US ISM de 902 à 928 MHz, de sorte que les fréquences de ces normes se chevaucheront dans la plage de 902 à 912 MHz.
Je vais donc lancer mon émetteur dans une gamme de fréquences absolument légale, évoluant vers le standard de communication européen. Dans le même temps, votre téléphone ne se souciera absolument pas, il ne se soucie pas des caractéristiques géographiques de la connexion, il captera simplement le signal le plus fort et dira: "bien, voici ma tour"!
Si vous avez un téléphone européen ou un téléphone à 4 bandes fonctionnant dans les 4 normes de communication, vous verrez un réseau. Si vous avez un téléphone américain qui ne voit que les fréquences américaines, vous ne verrez pas le réseau.
Qu'est-ce que la norme ISM américaine? Il signifie Industrial, Scientific, Medical, c'est-à -dire qu'il a été créé pour les réseaux cellulaires industriels, scientifiques et médicaux. L'idée de la norme est qu'elle est conçue pour les appareils de faible puissance qui changent de fréquence très rapidement, et dont la conception fournit une intervention minimale de l'utilisateur dans le téléphone.
Formellement, il s'agit d'une plage de communication auxiliaire, destinée principalement aux radio-amateurs, mais ils n'aiment pas utiliser ces fréquences, car ils sont trop bruyants, de plus, les amateurs croient qu'il s'agit simplement d'une plage boiteuse. Cependant, il convient tout à fait à nos besoins et nous pouvons légalement lancer notre station de base BTS dans la gamme GSM amateur. Donc, nous agirons comme un radio-amateur.
Ce qu'il nous faut avant tout, c'est une licence d'utilisation des fréquences amateurs, et il est extrêmement facile de l'obtenir. Vous pouvez aller sur
kb0mga.net/exams et commencer à répondre aux questions d'examen. Vous pouvez le faire encore et encore jusqu'à ce que vous tombiez accidentellement sur la bonne réponse, car si vous répondez incorrectement, ils continueront à vous poser des questions. Vous pouvez y passer plusieurs heures, et quand, enfin, répondre correctement à toutes les questions, puis réussir l'examen. Je vous conseillerais quand même d'étudier le matériel si vous décidez de devenir amateur, car j'ai définitivement beaucoup appris en répondant aux questions d'examen. La prochaine exigence pour une station de radio amateur est que sa puissance ne devrait pas dépasser 1500 watts, ce qui est plus que suffisant pour nos besoins. J'ai un autre amplificateur que j'utilise pour la RFID, sa puissance est de 600 watts, et c'est une quantité d'énergie terrifiante, sa puissance est trop élevée, donc 1500 watts est suffisant pour n'importe quel but.
En ce qui concerne ce que nous allons diffuser, nous pouvons dire que, techniquement, nous allons transmettre un code numérique non défini - ce sont les bits qui vont et viennent entre le téléphone et ma tour. Ainsi, en termes de radio amateur, vous êtes autorisé à transmettre un code numérique non défini jusqu'à la publication de sa spécification. Dans notre cas, tous les protocoles et spécifications GSM sont publiés, vous ne pouvez donc pas vous soucier de ce problème.
Vous n'êtes pas non plus autorisé à utiliser le cryptage, c'est-à -dire que vos messages ne doivent en aucun cas être cryptés. Donc, par la loi, lorsque je lance ma station de base, je dois simplement désactiver le cryptage! Ce que je fais.
Pour les amateurs de jambon, il n'y a pas de restrictions sur la taille de l'antenne, la seule chose qui est limitée est l'exposition aux radiofréquences. La FCC publie des directives sur les coefficients d'absorption RF sans danger pour l'homme. Mon équipement est loin de ces limites, car il n'émet que 25 milliwatts. Si votre téléphone fonctionne dans la plage de fréquences supérieure de GSM 1800/1900, il étudie environ 1 W, soit 40 fois plus, et dans le GSM inférieur 800/900 - environ 2 W, soit 80 fois plus. Ainsi, le téléphone dans votre poche rayonne beaucoup plus que mon antenne "grande et effrayante".
La seule exigence importante est que la station doit s'identifier toutes les 10 minutes. Un indicatif d'appel radio est une onde porteuse directe, le code Morse, un signal qui est diffusé périodiquement. L'intégration dans GSM est assez difficile, donc la solution optimale est la deuxième station d'émission, fonctionnant à la fréquence de la station de base principale. Il est un peu plus puissant et remplace le signal de la station de base GSM, faisant une attaque DoS sur elle pendant 1 seconde pour transmettre l'indicatif. Je viens d'intégrer cette fonction dans l'émetteur USRP, ce n'est pas du tout compliqué. Il nous suffit donc d'un émetteur 900 mégahertz facilement contrôlable.
Ensuite, j'ai cette petite boîte rose pour la messagerie instantanée. La messagerie instantanée, elle s'appelle ID-ME, ou "identifiez-moi". Elle m'a été apportée par Travis Goodspeed. Il a une puissance de sortie de +10 dBm, une large plage de fréquences et est programmé en langage C. Cet appareil n'a pas de firmware sûr, il peut être «flashé» en utilisant l'utilitaire Travis appelé GoodFET. Malheureusement, il n'est pas compatible avec l'interface JTAG et les connecteurs RF, mais ils sont assez faciles à ajouter.
Ainsi, nous pouvons écrire le firmware de cet appareil, nous connaissons les fréquences correspondantes, nous pouvons donc apporter la fréquence et la puissance conformément à l'USRP, combiner et amplifier les signaux de la station principale et de l'émetteur supplémentaire.
Considérons maintenant l'installation d'une station émettrice-réceptrice de base BTS. Donc, j'ai IMEI pour la radio amateur, c'est ce dont j'ai besoin pour GSM, et maintenant j'ai besoin de la radio logicielle USRP universelle. Tous les périphériques lui sont disponibles en ligne, où il en coûte environ 1 500 $ pour deux cartes filles RFX900.
De plus, vous avez besoin d'un appareil appelé ClockTamer -
code.google.com/p/clock-tamer , qui vous permet de créer une horloge très précise à synchroniser avec le GPS. Il est spécialement conçu pour être utilisé avec USRP.
Les téléphones reçoivent leurs fréquences des stations de base. Les stations de base fournissent des fréquences très précises et les téléphones découvrent à quel point leur propre fréquence est compatible avec la fréquence de la station émettrice.
Donc, si je viens du côté avec ma propre station, dont la stabilité en fréquence ne correspond pas à la stabilité en fréquence des tours locales qui sont autour, alors tous les téléphones seront calibrés à la fréquence de ces tours locales et ne feront même pas attention à ma station, même si la différence de nos fréquences ne sera que de quelques kilohertz.
"Out of the box" ClockTamer ajuste extrêmement précisément la fréquence par incréments de ± 100 Hz dans la plage allant jusqu'à 1,9 GHz, par rapport à cette précision, le module GPS est tout simplement nul. Cet appareil est tout simplement d'une précision folle et il est programmable de manière flexible.
Mon logiciel de station cellulaire fournit un ordinateur portable avec Debian, OpenBTS et Asterix. OpenBTS fournit tout ce qui concerne le GSM, Astérix reçoit des appels d'OpenBTS et les envoie via VoIP. J'ai utilisé la version de base de BTS, elle transmet la voix et les SMS, mais ne transmet pas de données.
Pour cette présentation, j'ai désactivé la possibilité d'utiliser les SMS, principalement en raison du fait qu'il m'est difficile d'obtenir votre identification de l'appelant lorsque vous envoyez des SMS. Oui, je peux l'envoyer via Internet et le connecter à l'endroit où il doit être connecté, mais la personne qui le reçoit ne pourra pas déterminer de qui il provient et ne pourra pas répondre. J'ai donc pensé qu'il serait plus facile de désactiver simplement cette fonction BTS, bien que le système la supporte.
Passons donc à la première démo et exécutons BTS en mode test. Je connecte USRP à l'ordinateur portable, tout le reste est déjà allumé, alors lançons la station de base. Je ne sais pas combien vous pouvez voir l'image sur l'écran de mon ordinateur portable, maintenant je la rapproche de la caméra. La seule chose que je veux montrer est le lancement de la commande TMSI - elle me montre une liste de tous les MSI temporaires qui ont été alloués par la station de base, en d'autres termes, combien de personnes y sont actuellement associées. En bas de l'écran, vous pouvez voir que dans le tableau 0, c'est-à -dire que pour le moment personne n'est connecté à mon réseau.
Maintenant, je vais taper quelques équipes de plus. L'ID de cellule est un identifiant de cellule qui montre que le code de pays mobile que j'utilise actuellement est 001, 00 est le code de pays selon la spécification GSM, 1 signifie test. Ensuite, j'utilise le code de réseau mobile MNC, c'est 01, l'unité ici signifie aussi test, donc c'est un réseau de test dans un pays de test, ce n'est pas l'Europe et pas l'Amérique. Ci-dessous, le nom du réseau cellulaire que je représente, c'est DEFCON18. Certains téléphones l'afficheront, d'autres non.
Je veux attirer votre attention sur le fait que pour le moment ce n'est pas une configuration «hostile», c'est un mode de test, ce n'est pas une publicité pour un réseau connu et cela ne fonctionne pas sur la fréquence cellulaire américaine, donc jusqu'à ce que je lance cette chose, personne ne peut me connecter à mon réseau.
Si vous souhaitez analyser les réseaux cellulaires disponibles, vous pouvez le faire, mais je vous recommande de laisser vos téléphones seuls. Sortez-les simplement de vos poches toutes les quelques minutes et essayez d'appeler. Dans une minute, je vais vous montrer à quel point cela fonctionne facilement.
Alors, comment permuter un réseau spécifique pour utiliser le renifleur IMSI et pas seulement sur un réseau aléatoire? , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . 2e partieMerci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbit / s jusqu'en janvier gratuitement en payant pour une période de six mois, vous pouvez commander
ici .
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV à partir de 249 $ aux Pays-Bas et aux États-Unis! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?