Selamat datang di presentasi "Mata-Mata Praktis Menggunakan Ponsel Anda". Sebelum kita mulai, saya akan membuat beberapa komentar tentang privasi. Pertama, panggilan telepon seluler dapat direkam tepat saat panggilan berlangsung. Kejutan! Jadi, jika Anda tidak ingin panggilan Anda direkam, matikan telepon Anda. Jika Anda menggunakan layanan operator seluler Sprint atau Verizon, Anda tidak berada di jaringan GSM, dan sistem saya tidak akan dapat berbicara dengan telepon Anda sama sekali, sehingga Anda tidak perlu khawatir.
Saya harus mengatakan bahwa saya mendesak orang untuk menjaga ponsel mereka terlihat selama panggilan, terutama jika mereka menggunakan handset GSM, karena intinya adalah untuk menunjukkan bagaimana panggilan telepon Anda dapat disadap. Jika Anda tidak menggunakan handset Anda, teknik ini tidak berfungsi.
Jadi, ini adalah presentasi komputer, Anda melihat di sisi laptop saya ada celah besar di mana HDD seharusnya berada, tapi saya menggunakan USB flash drive yang dapat di-boot, karena BTS base untuk jaringan GSM dapat diunduh dari media portabel tanpa menggunakan hard drive. . Di akhir presentasi, saya akan memotong flash drive ini menjadi dua dengan menggunakan multitool Leatherman, karena saya akan menulis informasi yang sangat rahasia untuknya, semua pengaturan ponsel Anda, log panggilan telepon dan banyak lagi. Semua ini akan hancur pada akhir presentasi, jadi jangan khawatir.
Biarkan saya pasang kembali kabel listrik dan kembali ke topik. Saat ini saya terhubung ke jaringan Verizon, jadi Verizondroid saya memberi saya koneksi VoIP.
Jika Anda terhubung ke jaringan saya, satu-satunya cara untuk mengetahui apakah Anda benar-benar terhubung adalah mencoba membuat panggilan. Jika Anda menelepon, Anda akan menerima pesan suara bahwa percakapan Anda telah dicegat, bla bla bla. Jadi, ambil saja ponsel Anda selama presentasi, coba panggil nomor dan lihat apa yang terjadi. Dan jika Anda mendengar pesan seperti itu di penerima, itu berarti Anda terhubung ke sistem saya. Jika Anda tidak mendengar, maka itu tidak masalah bagi Anda. Dalam kasus apa pun, kapan saja, jika seseorang terhubung ke jaringan ini, segala sesuatu untuk melakukan panggilan akan dilakukan dengan cara terbaik.
Jadi, sebelum kita berbicara tentang pencegat IMSI, saya akan memberi tahu Anda apa itu. IMSI, atau pengidentifikasi internasional pelanggan seluler, adalah 15 digit angka unik yang digunakan untuk mengautentikasi pelanggan yang bergerak dari suatu jaringan ke jaringan lain. Anda dapat menganggapnya sebagai sesuatu seperti nama pengguna jaringan GSM. Ini terdiri dari dua bagian, yang terletak pada kartu SIM Anda dan melakukan otentikasi Anda.
MSI Anda adalah nama pengguna dan kunci otentikasi rahasia pada jaringan yang terletak di bagian read-only dari kartu SIM. Sedikit perlindungan dilakukan seperti ini: ketika terhubung ke jaringan, IMSI digantikan oleh TMSI sementara. Selama presentasi, saya akan menunjukkan kepada Anda berapa banyak TMSI ini muncul untuk memberi Anda kesempatan untuk melihat berapa banyak orang yang terhubung ke stasiun pangkalan.
Jadi IMSI adalah semacam rahasia, dan ICCID, serangkaian panjang angka yang dicetak pada kartu SIM, adalah pengidentifikasi unik untuk kartu itu sendiri, seperti nomor seri. Kedua pengidentifikasi ini terkait erat. Di banyak jaringan seluler AS dan beberapa negara lain, Anda dapat menentukan IMSI oleh ICCID dan sebaliknya, dan ini bukan rahasia. Di negara lain, mereka melakukan sedikit lebih baik, di mana ICCID tidak terhubung dengan cara apa pun dengan pengidentifikasi lain dan hanya set angka acak.
Tidak terlalu penting, tetapi saya sering menyebutkannya karena setidaknya di AS Anda dapat belajar darinya IMSI. Jadi, apa itu penangkap IMSI?
Ide dasarnya adalah bahwa itu adalah menara GSM palsu, stasiun pangkalan palsu. Secara teori, ketika telepon mencari sinyal, ia memilih menara yang memberikan sinyal paling kuat, dan terhubung ke menara dengan sinyal terbaik. Jika ada antena dengan gain tertinggi di dekat Anda yang diarahkan langsung ke Anda, maka saya akan menjadi menara ini! Saya menghasilkan sinyal yang sangat lemah, hanya 25 miliwatt, tetapi saya dekat dan menggunakan antena terarah. Karena itu, saya berharap ponsel Anda akan memilih sinyal saya dengan tepat dan Anda akan terhubung ke jaringan saya.
Anda harus ingat bahwa dalam jaringan GSM, stasiun pangkalan menentukan semua pengaturan, jadi ketika Anda terhubung ke menara saya, itu akan memberi tahu telepon Anda apakah akan menggunakan enkripsi, beralih ke frekuensi sinyal lain dan hal-hal serupa. Jika saya memesan untuk tidak menggunakan enkripsi, telepon Anda akan berpikir: "luar biasa, tidak ada enkripsi, saya akan menggunakan teks biasa."
Terima kata-kata saya untuk itu, saya tidak melakukan sesuatu yang berbahaya, pengujian saya hanya mempengaruhi fungsionalitas dan tidak akan menyebabkan perubahan permanen pada karakteristik ponsel Anda jika mereka terhubung ke jaringan saya. Tetapi jika saya mau, saya bisa melakukan banyak hal dengan mereka, misalnya, memperbarui kartu SIM dan umumnya mendapatkan banyak kesenangan dari itu.
Jadi, jika saya memiliki kesempatan untuk menghasilkan sinyal yang sangat kuat, maka dengan membatalkan enkripsi A5, saya dapat dengan mudah mengendalikan ponsel Anda, dan Anda tidak dapat melakukan apa pun dan bahkan tidak mengetahuinya. Gagasan pencegat IMSI muncul bersamaan dengan standar GSM, dan teknologi pencegat dipatenkan oleh Rode dan Schwartz di Eropa pada tahun 1993. Saya belum pernah menemukan referensi untuk paten semacam itu di AS, tetapi dalam kasus apa pun, paten di Eropa berada dalam domain publik, sehingga kerentanan ini diketahui dengan baik. Maksud dari paten adalah bahwa jika Anda menghubungi R&S dan mengatakan bahwa Anda ingin membeli "penangkap" IMSI, mereka akan merampas beberapa juta dolar dari Anda.
Dari peralatan di atas meja, laptop saya adalah yang paling mahal, diikuti oleh transceiver USRP, sekitar $ 1.500, dan yang paling mahal berikutnya adalah messenger instan $ 20. Dengan demikian, menggunakan peralatan ini, Anda dapat melakukan hal yang sama yang membuat peralatan komersial bernilai 1000 kali lebih mahal.
Saya akan memberi tahu Anda secara singkat enkripsi apa yang terlibat dalam pencegat IMSI. Jika saya adalah seorang penyerang yang membuat stasiun pangkalannya, dan Anda memiliki telepon yang terhubung dengannya, saya katakan padanya untuk mematikan enkripsi. Saya tidak perlu memecahkan sandi, membangun βrainbow tablesβ, saya tidak memerlukan hard drive untuk melihat dengan cepat. Saya hanya memberitahu ponsel Anda untuk mematikan enkripsi, sesederhana itu.
Bahkan, spesifikasi standar GSM menyediakan untuk mengirim pesan ke pelanggan ketika ponsel Anda terhubung ke jaringan yang tidak menggunakan enkripsi. Tetapi jika Anda membaca lebih lanjut, Anda akan melihat bahwa ada satu tempat lagi dalam spesifikasi di mana dikatakan: "jika Anda ingin menonaktifkan pesan peringatan, maka atur konfigurasi bit kecil ini pada kartu SIM". Setiap kartu SIM yang saya lihat, dan saya melihat banyak jaringan berbeda dari operator seluler di seluruh dunia, berisi bit-bit ini. Setiap operator yang pernah saya temui menonaktifkan peringatan ini, jadi saya tidak pernah menemukan telepon yang menampilkan pesan: "Anda terhubung ke jaringan tidak aman!", Sebagaimana diminta oleh spesifikasi GSM.
Ini adalah pilihan sadar dari operator. Idenya adalah bahwa jika Anda bepergian ke negara seperti India, di mana enkripsi seluler tidak didukung, karena ilegal di sana, tetapi Anda ingin menggunakan telepon Anda, itu harus mendukung fungsi panggilan tidak terenkripsi A5 / 0. Jika Anda mulai menerima peringatan setiap kali terhubung ke menara GSM baru, Anda akan berpikir apa yang sedang terjadi, mulailah mengutuk AT&T atau orang lain dan seterusnya.
Mari kita perhatikan spektrum rentang frekuensi yang digunakan. Salah satu pertanyaan yang diajukan oleh pers adalah tentang masalah di mana operator menggunakan frekuensi yang berbeda. Oleh karena itu, di seluruh dunia diputuskan untuk menggunakan hanya 4 standar GSM: 850, 900, 1800 dan 1900. Frekuensi 850 dan 1900 digunakan terutama di Amerika Serikat, dan 900 dan 1800 - di Eropa.
Jika Anda melihat ukuran pita frekuensi ini, Anda akan melihat bahwa ada tumpang tindih antara frekuensi Eropa 900 dan Amerika 850. Bahkan, standar GSM 900 beroperasi dalam kisaran 880 hingga 914 MHz, dan standar AS ISM dari 902 hingga 928 MHz, sehingga frekuensi standar ini akan tumpang tindih dalam kisaran dari 902 hingga 912 MHz.
Jadi, saya akan meluncurkan pemancar saya dalam rentang frekuensi yang benar-benar legal, bergerak menuju standar komunikasi Eropa. Pada saat yang sama, ponsel Anda benar-benar tidak akan peduli, itu tidak peduli tentang fitur geografis dari koneksi, itu hanya akan menangkap sinyal terkuat dan berkata: "Baiklah, ini menara saya"!
Jika Anda memiliki telepon Eropa, atau telepon 4-band, yang bekerja di semua 4 standar komunikasi, Anda akan melihat jaringan. Jika Anda memiliki telepon Amerika yang hanya melihat frekuensi Amerika, Anda tidak akan melihat jaringan.
Apa standar ISM Amerika? Itu singkatan dari Industri, Ilmiah, Medis, yaitu, itu diciptakan untuk industri, jaringan seluler ilmiah dan medis. Gagasan standarnya adalah ia dirancang untuk perangkat berdaya rendah yang mengubah frekuensi dengan sangat cepat, dan desain yang menyediakan intervensi pengguna minimal di telepon.
Secara formal, ini adalah rentang komunikasi tambahan, yang dimaksudkan terutama untuk amatir radio, tetapi mereka tidak suka menggunakan frekuensi ini, karena mereka terlalu berisik, di samping itu, amatir percaya bahwa ini hanyalah rentang lemah. Namun, ini sangat cocok untuk keperluan kami, dan kami dapat secara legal meluncurkan BTS kami dalam jangkauan GSM amatir. Jadi, kami akan bertindak sebagai amatir radio.
Yang pertama-tama kita butuhkan adalah lisensi untuk penggunaan frekuensi amatir, dan sangat mudah untuk mendapatkannya. Anda dapat mengunjungi
kb0mga.net/exams dan mulai menjawab pertanyaan ujian. Anda dapat melakukan ini berulang-ulang sampai Anda secara tidak sengaja menemukan jawaban yang benar, karena jika Anda salah menjawab, mereka akan terus bertanya kepada Anda. Anda dapat menghabiskan beberapa jam untuk itu, dan ketika, akhirnya, menjawab semua pertanyaan dengan benar, lalu lulus ujian. Saya masih menyarankan Anda untuk mempelajari materi jika Anda memutuskan untuk menjadi seorang amatir, karena saya pasti belajar banyak dengan menjawab pertanyaan ujian. Persyaratan berikutnya untuk stasiun radio amatir adalah kekuatannya tidak boleh lebih dari 1500 watt, yang lebih dari cukup untuk keperluan kita. Saya memiliki penguat lain yang saya gunakan untuk RFID, kekuatannya 600 watt, dan ini adalah jumlah energi yang menakutkan, kekuatannya terlalu tinggi, jadi 1500 watt cukup untuk tujuan apa pun.
Mengenai apa yang akan kami siarkan, kami dapat mengatakan bahwa, secara teknis, kami akan mengirimkan kode digital yang tidak terdefinisi - ini adalah bit yang bergerak bolak-balik antara telepon dan menara saya. Jadi, dalam hal radio amatir, Anda diperbolehkan mengirimkan kode digital yang tidak ditentukan hingga spesifikasinya diterbitkan. Dalam kasus kami, semua protokol dan spesifikasi GSM diterbitkan, jadi Anda tidak dapat repot dengan masalah ini.
Anda juga tidak diizinkan menggunakan enkripsi, artinya, pesan Anda tidak boleh dienkripsi dengan cara apa pun. Jadi, secara hukum, ketika saya meluncurkan stasiun pangkalan saya, saya harus mematikan enkripsi! Yang saya lakukan.
Untuk penggemar ham, tidak ada batasan pada ukuran antena, satu-satunya hal yang terbatas adalah paparan frekuensi radio. FCC menerbitkan pedoman yang koefisien penyerapan RF aman untuk manusia. Peralatan saya jauh dari batas ini, karena hanya memancarkan 25 miliwatt. Jika ponsel Anda bekerja pada rentang frekuensi GSM 1800/1900 yang lebih tinggi, maka ia mempelajari sekitar 1 W, yaitu, 40 kali lebih banyak, dan pada GSM yang lebih rendah 800/900 - sekitar 2 W, yaitu, 80 kali lebih banyak. Jadi telepon di saku Anda terpancar lebih dari antena "besar dan menakutkan" saya.
Satu-satunya persyaratan penting adalah bahwa stasiun harus mengidentifikasi dirinya sendiri setiap 10 menit. Tanda panggilan radio adalah gelombang pembawa langsung, kode Morse, sinyal yang disiarkan secara berkala. Mengintegrasikan ini ke dalam GSM cukup sulit, sehingga solusi optimal adalah stasiun pemancar kedua, yang beroperasi pada frekuensi stasiun basis utama. Ini sedikit lebih kuat dan menggantikan sinyal stasiun pangkalan GSM, membuat serangan DoS di atasnya selama 1 detik untuk mengirimkan callsign. Saya baru saja mengintegrasikan fungsi ini ke dalam pemancar USRP, itu sama sekali tidak rumit. Jadi yang kita butuhkan adalah pemancar 900 megahertz yang mudah dikontrol.
Selanjutnya saya memiliki kotak merah muda kecil ini untuk perpesanan instan. Perangkat perpesanan instan, disebut ID-ME, atau "identifikasikan saya." Dia dibawa ke saya oleh Travis Goodspeed. Ini memiliki daya output +10 dBm, jangkauan jangkauan frekuensi yang luas dan diprogram dalam bahasa C. Perangkat ini tidak memiliki firmware yang aman, dapat "di-flash" menggunakan utilitas Travis yang disebut GoodFET. Sayangnya, itu tidak kompatibel dengan antarmuka JTAG dan konektor RF, tetapi mereka cukup mudah untuk ditambahkan.
Jadi, kita dapat menulis firmware untuk perangkat ini, kita tahu frekuensi yang sesuai, sehingga kita dapat membawa frekuensi dan daya sesuai dengan USRP, menggabungkan dan memperkuat sinyal stasiun utama dan pemancar tambahan.
Sekarang pertimbangkan instalasi stasiun pemancar transceiver BTS. Jadi, saya punya IMEI untuk radio ham, ini yang saya butuhkan untuk GSM, dan sekarang saya perlu radio perangkat lunak USRP universal. Semua periferal tersedia untuknya secara online, di mana harganya sekitar $ 1.500 untuk dua RFX900.
Selain itu, Anda memerlukan perangkat bernama ClockTamer -
code.google.com/p/clock-tamer , yang memungkinkan Anda membuat jam yang sangat akurat untuk disinkronkan dengan GPS. Ini secara khusus dirancang untuk digunakan dengan USRP.
Ponsel menerima frekuensinya dari stasiun pangkalan. BTS menyediakan frekuensi yang sangat akurat, dan telepon mencari tahu seberapa kompatibel frekuensinya dengan frekuensi stasiun pemancar.
Jadi jika saya datang dari samping dengan stasiun saya sendiri, stabilitas frekuensi yang tidak sesuai dengan stabilitas frekuensi menara lokal yang ada, maka semua ponsel akan dikalibrasi dengan frekuensi menara lokal ini dan bahkan tidak akan memperhatikan stasiun saya, bahkan jika perbedaan frekuensi kami akan hanya beberapa kilohertz.
"Out of the box" ClockTamer sangat akurat menyesuaikan frekuensi dalam peningkatan Β± 100 Hz dalam kisaran hingga 1,9 GHz, dibandingkan dengan akurasi ini modul GPS hanya menyebalkan. Perangkat ini presisi gila dan diprogram secara fleksibel.
Perangkat lunak stasiun seluler saya menyediakan laptop dengan Debian, OpenBTS, dan Asterix. OpenBTS menyediakan semua yang berhubungan dengan GSM, Asterix menerima panggilan dari OpenBTS dan mengirimkannya melalui VoIP. Saya menggunakan versi dasar BTS, ia mengirimkan suara dan SMS, tetapi tidak mengirimkan data.
Untuk presentasi ini, saya mematikan kemampuan untuk menggunakan SMS, terutama karena sulit bagi saya untuk mendapatkan ID pemanggil Anda ketika Anda mengirim SMS. Ya, saya dapat mengirimnya melalui Internet dan menghubungkannya ke tempat yang seharusnya terhubung, tetapi orang yang menerimanya tidak akan dapat menentukan dari siapa itu berasal dan tidak akan dapat menjawab. Jadi saya pikir akan lebih mudah untuk menonaktifkan fungsi BTS ini saja, meskipun sistem mendukungnya.
Jadi, mari kita ke demo pertama dan menjalankan BTS dalam mode uji. Saya menghubungkan USRP ke laptop, semuanya sudah aktif, jadi mari kita luncurkan stasiun pangkalan. Saya tidak tahu seberapa banyak Anda bisa melihat gambar di layar laptop saya, sekarang saya memindahkannya lebih dekat ke kamera. Satu-satunya hal yang ingin saya tunjukkan adalah peluncuran perintah TMSI - ini menunjukkan kepada saya daftar semua MSI sementara yang dialokasikan oleh stasiun pangkalan, dengan kata lain, berapa banyak orang yang saat ini terkait dengannya. Di bagian bawah layar Anda dapat melihat bahwa dalam tabel 0, yaitu, saat ini tidak ada yang terhubung ke jaringan saya.
Sekarang saya akan mengetik beberapa tim lagi. ID Sel adalah pengidentifikasi sel yang menunjukkan bahwa kode negara seluler yang saya gunakan saat ini adalah 001, 00 adalah kode negara sesuai dengan spesifikasi GSM, 1 artinya pengujian. Lalu saya menggunakan kode jaringan seluler MNC, itu adalah 01, unit di sini juga berarti tes, jadi ini adalah jaringan uji di negara uji, bukan Eropa dan bukan Amerika. Di bawah ini adalah nama jaringan seluler yang saya wakili, ini adalah DEFCON18. Beberapa ponsel akan menampilkannya, beberapa tidak.
Saya ingin menarik perhatian Anda pada fakta bahwa saat ini ini bukan konfigurasi "bermusuhan", ini adalah mode uji coba, ini bukan iklan untuk jaringan yang dikenal dan tidak berfungsi pada frekuensi seluler AS, jadi hingga saya meluncurkannya, tidak ada yang bisa terhubung ke jaringan saya.
Jika Anda ingin memindai jaringan seluler yang tersedia, Anda dapat melakukannya, tetapi saya sarankan Anda tinggalkan saja telepon Anda. Keluarkan saja dari saku Anda setiap beberapa menit sekali dan cobalah menelepon. Hanya dalam satu menit saya akan menunjukkan kepada Anda betapa mudahnya itu bekerja.
Jadi, bagaimana cara menukar jaringan tertentu dengan menggunakan sniffer IMSI tidak hanya pada jaringan acak? , β MCC, , MNC β . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, β2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. β Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , β . , , .
26:15
DEFCON 18. . Bagian 2Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda,
diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami temukan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps hingga Januari secara gratis ketika membayar untuk jangka waktu enam bulan, Anda dapat memesan di
sini .
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV dari $ 249 di Belanda dan Amerika Serikat! Baca tentang
Cara Membangun Infrastruktur kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?