Bem-vindo à apresentação “Espionagem prática usando seu telefone celular”. Antes de começar, farei alguns comentários sobre privacidade. Primeiro, uma chamada de telefone celular pode ser gravada diretamente durante uma chamada. Surpresa! Portanto, se você não quiser que sua chamada seja gravada, desligue o telefone. Se você usa os serviços das operadoras de celular Sprint ou Verizon, não está nas redes GSM e meu sistema não poderá falar com seus telefones; portanto, não precisa se preocupar com nada.
Devo dizer que exorto as pessoas a manterem seus telefones à vista durante uma chamada, principalmente se usarem um aparelho GSM, porque o objetivo disso é mostrar como suas chamadas telefônicas podem ser interceptadas. Se você não usar o telefone, essa técnica não funcionará.
Portanto, esta é uma apresentação em computador, você vê no lado do meu laptop uma grande lacuna onde o HDD deveria estar, mas eu uso uma unidade flash USB inicializável, porque a estação base BTS para uma rede GSM pode ser baixada de uma mídia portátil sem o uso de um disco rígido . No final da apresentação, cortarei essa unidade flash pela metade usando a ferramenta multifuncional Leatherman, porque vou escrever informações muito confidenciais, todas as configurações do seu telefone, o registro de chamadas telefônicas e muito mais. Tudo isso será destruído no final da apresentação, então não se preocupe.
Deixe-me conectar o cabo de alimentação novamente e voltar ao tópico. Atualmente, estou conectado à rede Verizon, então meu Verizondroid me fornece uma conexão VoIP.
Se você estiver se conectando à minha rede, a única maneira de descobrir se você está realmente conectado é tentar fazer uma ligação. Se você ligar, receberá uma mensagem de voz informando que sua conversa foi interceptada, blá blá blá. Então, pegue seus telefones durante a apresentação, tente discar um número e veja o que acontece. E se você ouvir essa mensagem no receptor, isso significa que você está conectado ao meu sistema. Se você não ouvir, tudo bem com você. De qualquer forma, a qualquer momento, se alguém se conectar a esta rede, tudo para fazer chamadas será feito da melhor maneira.
Portanto, antes de falarmos sobre o interceptor IMSI, vou lhe dizer o que é. IMSI, ou o identificador internacional de um assinante móvel, é um número exclusivo de 15 dígitos usado para autenticar um assinante que está se deslocando de uma rede para outra rede. Você pode pensar nisso como algo como um nome de usuário de rede GSM. Consiste em duas partes, localizadas no seu cartão SIM e realizam sua autenticação.
Seu MSI é o nome de usuário e a chave de autenticação secreta na rede localizada na parte somente leitura do cartão SIM. Um pouco de proteção é realizada assim: quando conectado à rede, o IMSI é substituído por um TMSI temporário. Durante a apresentação, mostrarei a você quantos desses TMSIs estão aparecendo para lhe dar a oportunidade de ver quantas pessoas estão conectadas à estação base.
Portanto, o IMSI é um tipo de segredo, e o ICCID, uma longa sequência de números impressos em um cartão SIM, é um identificador exclusivo para o próprio cartão, algo como seu número de série. Esses dois identificadores estão intimamente relacionados. Em muitas redes celulares dos EUA e em alguns outros países, você pode determinar o IMSI pelo ICCID e vice-versa, e isso não é segredo. Em outros países, eles se saíram um pouco melhor, onde o ICCID não está conectado de forma alguma a outro identificador e é apenas um conjunto aleatório de números.
Realmente não importa muito, mas eu sempre menciono isso, porque pelo menos nos EUA você pode aprender com o IMSI. Então, o que é um coletor IMSI?
A idéia básica é que seja uma torre GSM falsa, uma estação base falsa. Em teoria, quando o telefone procura um sinal, ele seleciona a torre que fornece o sinal mais poderoso e se conecta à torre com o melhor sinal. Se houver uma antena com o maior ganho perto de você e apontada diretamente para você, eu serei esta torre! Eu produzo um sinal muito fraco, apenas 25 miliwatts, mas estou perto e uso antenas direcionais. Portanto, espero que seus telefones escolham exatamente o meu sinal e você se conecte à minha rede.
Você deve ter em mente que, na rede GSM, a estação base determina todas as configurações; portanto, quando você se conecta à minha torre, ele informa ao telefone se deve usar criptografia, mudar para outras frequências de sinal e coisas semelhantes. Se eu pedir para não usar criptografia, seu telefone pensará: "excelente, sem criptografia, usarei texto sem formatação".
Aceite minha palavra, não estou fazendo nada de mal-intencionado, meu teste afeta apenas a funcionalidade e não causará alterações permanentes nas características de seus telefones se eles se conectarem à minha rede. Mas, se quisesse, poderia fazer muitas coisas com eles, por exemplo, atualizar o cartão SIM e, em geral, obter muito prazer com ele.
Portanto, se eu tiver a oportunidade de gerar um sinal realmente poderoso, cancelando a criptografia A5, posso facilmente controlar o telefone e você não pode fazer nada e nem saber disso. A ideia de um interceptor IMSI surgiu simultaneamente com o padrão GSM, e a tecnologia interceptora foi patenteada por Rode e Schwartz na Europa em 1993. Eu nunca encontrei referências a essas patentes nos EUA, mas, de qualquer forma, as patentes na Europa são de domínio público, portanto essa vulnerabilidade é bem conhecida. O significado da patente é que, se você entrar em contato com a R&S e disser que deseja comprar um "coletor" IMSI, eles arrancarão alguns milhões de dólares de você.
Do equipamento em cima da mesa, meu laptop é o mais caro, seguido por um transceptor USRP, por cerca de US $ 1.500, e o próximo mais caro é um mensageiro instantâneo de US $ 20. Assim, usando este equipamento, você pode fazer a mesma coisa que torna o equipamento comercial no valor de 1000 vezes mais caro.
Vou lhe dizer brevemente qual criptografia está envolvida no interceptor IMSI. Se eu sou um invasor que criou sua estação base e você tem um telefone conectado a ela, eu apenas digo a ele para desativar a criptografia. Não preciso decifrar cifras, criar "tabelas arco-íris", não preciso de discos rígidos para visualização rápida. Estou apenas dizendo ao seu telefone para desativar a criptografia, é simples assim.
De fato, a especificação do padrão GSM fornece o envio de uma mensagem ao assinante quando o telefone se conecta a uma rede que não usa criptografia. Mas se você ler mais adiante, verá que há mais um lugar na especificação em que se lê: “se você deseja desativar a mensagem de aviso, defina essa configuração de bit pequeno no cartão SIM”. Cada cartão SIM que eu vi e vi muitas redes diferentes de operadoras de telefonia móvel em todo o mundo contém esses bits. Cada operadora que eu conheci desativa esse aviso, portanto nunca encontrei um telefone que exibisse a mensagem: "Você está se conectando a uma rede insegura!", Conforme exigido pela especificação GSM.
Esta é uma escolha consciente de operadores. A idéia é que, se você estiver viajando para um país como a Índia, onde a criptografia celular não é suportada, pois é ilegal lá, mas você deseja usar o telefone, ele deve oferecer suporte à função de chamada não criptografada A5 / 0. Se você começar a receber um aviso sempre que se conectar a uma nova torre GSM, pensará no que diabos está acontecendo, começará a xingar a AT&T ou outra pessoa e assim por diante.
Vamos prestar atenção ao espectro da faixa de frequência usada. Uma das questões levantadas pela imprensa foi sobre um problema no qual as operadoras usam diferentes frequências. Portanto, em todo o mundo, decidiu-se usar apenas quatro padrões GSM: 850, 900, 1800 e 1900. As frequências 850 e 1900 são usadas principalmente nos EUA e 900 e 1800 - na Europa.
Se você observar o tamanho da banda dessas frequências, verá que há sobreposição entre a frequência européia 900 e a americana 850. De fato, o padrão GSM 900 opera na faixa de 880 a 914 MHz, e o padrão US ISM de 902 a 928 MHz, portanto, as frequências desses padrões se sobrepõem na faixa de 902 a 912 MHz.
Então, lançarei meu transmissor em uma faixa de frequência absolutamente legal, seguindo em direção ao padrão de comunicação europeu. Ao mesmo tempo, seu telefone não se importa absolutamente, não se importa com as características geográficas da conexão, apenas capta o sinal mais forte e diz: "tudo bem, aqui está minha torre"!
Se você possui um telefone europeu ou um telefone de 4 bandas, trabalhando nos quatro padrões de comunicação, verá uma rede. Se você tem um telefone americano que apenas vê frequências americanas, não verá a rede.
Qual é o padrão americano do ISM? Significa Industrial, Scientific, Medical, ou seja, foi criado para redes celulares industriais, científicas e médicas. A idéia do padrão é que ele seja projetado para dispositivos de baixo consumo de energia que mudam de frequência muito rapidamente, e cujo design fornece uma intervenção mínima do usuário no telefone.
Formalmente, trata-se de um alcance de comunicação auxiliar, destinado principalmente a radioamadores, mas eles não gostam de usar essas frequências, porque são muito barulhentos; além disso, os amadores acreditam que esse é simplesmente um alcance fraco. No entanto, é bastante adequado para nossos propósitos, e podemos lançar legalmente nossa estação base BTS na faixa GSM amadora. Então, vamos atuar como um radioamador.
O que precisamos antes de tudo é uma licença para o uso de frequências amadoras, e é extremamente fácil obtê-lo. Você pode ir para
kb0mga.net/exams e começar a responder às perguntas do exame. Você pode fazer isso várias vezes até encontrar acidentalmente a resposta correta, porque se você responder incorretamente, eles continuarão a fazer perguntas. Você pode passar várias horas nele e, finalmente, responder corretamente a todas as perguntas e passar no exame. Eu ainda o aconselharia a estudar o material se você decidir se tornar um amador, porque eu definitivamente aprendi muito respondendo às perguntas dos exames. O próximo requisito para uma estação de rádio amadora é que sua potência não deve exceder 1500 watts, o que é mais que suficiente para nossos propósitos. Eu tenho outro amplificador que uso para RFID, sua potência é de 600 watts, e essa é uma quantidade aterradora de energia, sua potência é muito alta, então 1500 watts são suficientes para qualquer finalidade.
Em relação ao que vamos transmitir, podemos dizer que, tecnicamente, transmitiremos um código digital indefinido - esses são os bits que se movem para frente e para trás entre o telefone e minha torre. Assim, em termos de rádio amador, você pode transmitir um código digital indefinido até que sua especificação seja publicada. No nosso caso, todos os protocolos e especificações GSM são publicados, portanto você não pode se preocupar com esse problema.
Você também não tem permissão para usar criptografia, ou seja, suas mensagens não devem ser criptografadas de forma alguma. Então, por lei, quando ligo minha estação base, preciso simplesmente desativar a criptografia! O que eu faço.
Para os entusiastas do presunto, não há restrições quanto ao tamanho da antena, a única coisa limitada é a exposição à radiofrequência. A FCC publica diretrizes sobre as quais o coeficiente de absorção de RF é seguro para humanos. Meu equipamento está longe desses limites, porque emite apenas 25 miliwatts. Se o telefone funcionar na faixa de frequência mais alta do GSM 1800/1900, ele estudará cerca de 1 W, ou seja, 40 vezes mais e no GSM 800/900 inferior - cerca de 2 W, ou seja, 80 vezes mais. Portanto, o telefone no seu bolso irradia muito mais do que a minha antena "grande e assustadora".
O único requisito importante é que a estação se identifique a cada 10 minutos. Um indicativo de chamada por rádio é uma onda direta da portadora, código Morse, um sinal que é transmitido periodicamente. A integração disso no GSM é bastante difícil, portanto a solução ideal é a segunda estação de transmissão, operando na frequência da estação base principal. É um pouco mais poderoso e substitui o sinal da estação base GSM, fazendo um ataque de negação de serviço por 1 segundo para transmitir o indicativo. Acabei de integrar essa função no transmissor USRP, não é nada complicado. Então, tudo o que precisamos é de um transmissor de 900 megahertz facilmente controlável.
Em seguida, tenho essa caixinha rosa para mensagens instantâneas O dispositivo de mensagens instantâneas é chamado ID-ME ou "me identifique". Ela foi trazida a mim por Travis Goodspeed. Ele possui uma potência de saída de +10 dBm, ampla cobertura de faixa de frequência e é programado no idioma C. Este dispositivo não possui nenhum firmware seguro, pode ser “flasheado” usando o utilitário Travis chamado GoodFET. Infelizmente, não é compatível com a interface JTAG e os conectores de RF, mas é bastante fácil de adicionar.
Assim, podemos escrever o firmware para este dispositivo, conhecemos as frequências correspondentes, para que possamos trazer a frequência e a potência de acordo com a USRP, combinar e amplificar os sinais da estação principal e do transmissor adicional.
Agora considere a instalação de uma estação base de transceptores BTS. Então, eu tenho IMEI para o rádio amador, é isso que eu preciso para o GSM, e agora eu preciso do rádio universal do software USRP. Todos os periféricos estão disponíveis on-line, onde custa cerca de US $ 1.500 para duas placas-filha RFX900.
Além disso, você precisa de um dispositivo chamado ClockTamer -
code.google.com/p/clock-tamer , que permite criar um relógio muito preciso para sincronizar com o GPS. Ele foi projetado especificamente para uso com o USRP.
Os telefones recebem suas frequências das estações base. As estações base fornecem frequências muito precisas e os telefones descobrem como a própria frequência é compatível com a frequência da estação transmissora.
Portanto, se eu for do lado da minha própria estação, cuja estabilidade de frequência não corresponder à estabilidade de frequência das torres locais que existem, todos os telefones serão calibrados com a frequência dessas torres locais e nem prestarão atenção à minha estação, mesmo que a diferença em nossas frequências será apenas alguns quilohertz.
O ClockTamer “pronto para uso” ajusta com extrema precisão a frequência em incrementos de ± 100 Hz na faixa de 1,9 GHz, em comparação com essa precisão, o módulo GPS é simplesmente uma merda. Este dispositivo é simplesmente uma precisão louca e é flexível e programável.
Meu software de estação celular fornece um laptop com Debian, OpenBTS e Asterix. O OpenBTS fornece tudo relacionado ao GSM, o Asterix recebe chamadas do OpenBTS e as envia via VoIP. Eu usei a versão básica do BTS, ele transmite voz e SMS, mas não transmite dados.
Para esta apresentação, desativei a capacidade de usar o SMS, principalmente devido ao fato de que é difícil obter seu ID de chamada quando você envia um SMS. Sim, eu posso enviá-lo pela Internet e conectá-lo ao local em que ele deve estar conectado, mas a pessoa que o recebe não poderá determinar de quem veio e não poderá responder. Por isso, pensei que seria mais fácil desativar essa função BTS, embora o sistema a suporte.
Então, vamos até a primeira demo e executar o BTS no modo de teste. Eu conecto o USRP ao laptop, todo o resto já está ativado, então vamos iniciar a estação base. Não sei o quanto você pode ver a imagem na tela do meu laptop, agora estou aproximando-a da câmera. A única coisa que quero mostrar é o lançamento do comando TMSI - ele mostra uma lista de todos os MSIs temporários que foram alocados pela estação base, ou seja, quantas pessoas estão atualmente associadas a ele. Na parte inferior da tela, você pode ver que na tabela 0, ou seja, no momento ninguém está conectado à minha rede.
Agora vou digitar mais algumas equipes. O ID da célula é um identificador de célula que mostra que o código do país móvel que estou usando atualmente é 001, 00 é o código do país de acordo com a especificação GSM, 1 significa teste. Então eu uso o código MNC para a rede móvel, é 01, a unidade aqui também significa teste, então essa é uma rede de teste em um país de teste, não é a Europa e nem a América. Abaixo está o nome da rede celular que represento, é DEFCON18. Alguns telefones exibem, outros não.
Quero chamar sua atenção para o fato de que, no momento, essa não é uma configuração "hostil", este é um modo de teste, não é um anúncio para nenhuma rede conhecida e não funciona na frequência celular dos EUA. Portanto, até que eu lance essa coisa, ninguém poderá conectar à minha rede.
Se você deseja verificar as redes celulares disponíveis, pode fazê-lo, mas eu recomendo que você deixe seus telefones em paz. Apenas tire-os dos bolsos uma vez a cada poucos minutos e tente ligar. Em apenas um minuto, mostrarei como é fácil.
Então, como troco uma rede específica para usar o sniffer IMSI, não apenas em uma rede aleatória? , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . Parte 2Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD de 1Gbps até janeiro de graça quando pagar por um período de seis meses, você pode fazer o pedido
aqui .
Dell R730xd 2 vezes mais barato? Somente nós temos
2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?