DEFCON Conference 18.使用手机进行的间谍活动。 第二部分

DEFCON Conference 18.使用手机进行的间谍活动。 第一部分

我们希望使用某些方法来加快通过假冒网络捕获电话的速度。 目前，我们有一个简单的IMSI拦截器，您可以尝试调用并听到我记录的警告。 我看到几个人举手。 我的意思是，你们正在连接到我的网络，但我拦截了您的所有流量。
首先，现在我了解您的所有IMSI，并且可以将其过滤掉，只留下特定人的IMSI，这是我的目标。 我可以通过过滤IMEI（电话标识符）来做同样的事情。 例如，我只能允许诺基亚电话或仅iPhone连接到网络。 我可以确保只有这一特定的IMEI不在我的网络上。 我可以使用多种选项来限制访问。



正如我提到的，将人们从官方网络迁移到我的网络需要时间，我们可以更快地完成它，我将在稍后讨论。 该系统的主要限制之一是它仅接受去电。 当您连接到我的网络时，无论是T-Mobile还是AT＆T，您的电话都会断开连接，因为实际上您没有连接到任何合法的基站。 因此，呼叫一到达，便直接进入您的语音信箱。 这个问题可以解决，稍后我将向您展示也可以记录去电。

那么，由于我不想整天坐在这里，看着您的手机如何连接到我的网络，您如何加快连接速度？ 有几种使用这些方法的加速技术：

• “邻居”列表，即隔壁的塔；
• 替换LAC本地代码
• 手机加载；
• 增加接待。

考虑GSM的“邻居”。 每个基站都知道附近有哪些塔楼，并且当电话连接到它时，它会收到“邻居”列表，即有关每个站所使用的信道的信息。



您的电话将控制所有这些通道并监视信号强度，如果相邻塔的信号较强，则它将与其连接。 这有什么好处？ 我们知道手机会监视附近的频率，因此，如果我们环顾整个区域并找出包围我们的塔楼，就可以找出手机选择的频率以及它连接到的塔楼。 最后，我们可以找到相邻的频道，该频道可能位于塔的另一侧，然后将电台调谐到我所知道的电话接听的频率。 假设您的电话已连接至基站，一切正常，但是随后您沿着街道行驶了一下，而另一座塔楼更接近电话，因此我只是切换到其频率，以免丢失您。 因此，监视相邻频道将使您可以快速切换到所需的频率。

这实际上很容易。 假设我有一部诺基亚3310（900/1800）或3390（1900）手机，可以接受欧洲频率和美国频率范围之一。 该电话支持网络监视器网络监视模式，该模式中会记录GSM电话所做的所有事情，发送到基站的每个数据包以及从接收到的每个响应的日志。 这不会为您提供黑客入侵或劫持此手机的任何优势，但是会提供有关此手机在GSM网络中看到的内容的完整信息。
如果您获得这些电话之一，则需要带有Fbus / Mbus适配器的特殊跳线和用于控制电话的程序Gammu。 这是一个开源程序，它使用这样的电缆通过计算机连接到电话，并简单地将轨迹显示为XML文件，您可以在Wireshark中打开它。 “系统信息类型2”行中包含了相邻塔的列表。
现在，我将向您展示第3个演示，即Wireshark捕获的流量是什么样的。 在此屏幕中，您可以看到我昨晚从连接到T-Mobile网络的电话捕获并记录的流量。



在这里，您会看到各种GSM消息，如果在右侧的软件包中找到“ System Info type 2”行，然后单击它，则可以获得邻近的GSM塔的列表。



因此，您只需拿起手机，通过适配器电缆将其连接到计算机，启动Gammu，查看Wireshark中的频道列表，然后将其与您所知道的进行比较即可，也就是说，从字面上看每个频率上的收音机，看看是否收到这个信号。 这一点都不困难。 使用这项技术，您可以找到一个不在本地区域中使用的“邻居”，然后使用它，从而提高连接速度。 今天，我只是想向您展示攻击者可以同样轻松地使用此技巧来捕获您的手机。
我们可以通过更改LAC代码来使用另一种方式来加快连接速度。 这是BTS基站广播的位置代码，该代码将位于同一区域的一堆塔组合在一起。 也就是说，在同一区域中有一堆提供相同LAC的塔。 也可以用相同的方式对其进行操作。 当电话监视所有相邻的塔楼并且LAC发生变化时，您可以得出结论，电话正在移动。 如果电话确实移到了另一个区域，则必须重新分配该电台，即将其转移到另一个塔楼。

使用本地Open BTS，我可以完全控制LAC，并且可以更改它。 然后，附近的所有电话都会说：“嘿，看，LAC发生了变化，这意味着我开车距旧塔楼50英里，必须连接到新塔楼！” 因此，通过每隔几分钟“滚动”其他LAC（即定期更改区号），您可以将更多电话连接到您的电台。

我将向您展示如何更改LAC的演示。 首先，让我们看看我的网络上当前有多少部电话。 在伪造AT＆T网络之前，我们有30台已连接的手机。 然后，我使用了AT＆T MMC和MCC，我们看到当前有24部电话连接到网络。 TIMSI有超时，因此我输入的重复命令会有一些延迟，它还表明我们现在有24部已连接的电话。 您可能不会注意它，我们仍然有很多手机。

我们可以再次使用Cell ID命令在LAC中滚动。 我的位置代码是666，我想我应该将其更改为31337，并将Cell ID保留为10。实际上，我还将更改Cell ID的Cell ID，以使电话知道这是一座新塔。 更改LAC一点也不困难。 就像我说过的那样，现在这些电话会认为它们已经更改了位置，并且连接到新塔楼的电话数量应该会增加。
考虑以下方法后，我们将返回到此状态-启动电话或向电话加载信息。 当电话刚打开时，在找到他的第一个塔楼之前，他一无所知-塔楼频率，LAC或附近的塔楼都不知道。 因此，打开电源后，它将对整个频率范围进行长时间扫描，找到信号塔，检查其MNC和MCC，尝试找出附近是否有可连接至其SIM卡的网络，检查信号强度，最后连接至最“强大”的网络。塔。

一旦它开始找到发射塔，扫描范围就受到限制，而手机以较小的体积进行扫描，但是扫描速度更快，因为它已经掌握了有关使用哪些频率范围，需要寻找哪些发射塔和哪些信道的信息。 攻击者可以利用此优势，因为当电话丢失信号时，也会发生类似的过程。

如果黑客使用与网络服务相关的DoS，电话将丢失信号并开始在更大范围内扫描网络，这增加了连接到攻击者塔楼的机会。

如何使手机失去信号？ 在此示例中，我将仅讨论第二代2G GSM通信，因为3G具有更高的安全性。 因此，如果您干扰了一些GSM范围，电话将开始执行详细的慢速扫描，从而增加了准确找到我们发射塔的机会。



但是，如果您使用3G，我将无能为力，因为借助强大的协议，截取3G呼叫要困难得多。 因此，我们需要强制电话连接到2G网络，从而干扰3G信号。 如果您的手机不再能够连接到3G网络，他们很乐意切换到2G。

您需要做的只是广播“噪音”，这将阻止在3G网络上通话的能力，并通过简单的短信强制手机切换到2G。 也就是说，如果您无法连接到端口22，则尝试连接到端口23。您可以将3G视为SSH的类似物，并将GSM视为Telnet的类似物，因此这种情况类似于您无法连接到SSH端口时的情况到Telnet端口。 这是手机在类似情况下的工作。

问题是淹没某个频率范围内的蜂窝信号有多困难。 考虑什么构成干扰。 攻击者所需要做的就是提供“噪音”。 当我谈论“噪声”时，是指非常具体的事情。 我并不是说随机性，而是涵盖整个频率范围和每个通道的完全平坦的频谱噪声。

在这种情况下，除了如何完全摧毁塔楼以外，什么是最有效的方法？ 这排除了电话看到该塔的可能性，从而完全用噪声掩盖了它。 噪声发生器并不算贵；在eBay上，您可以花450美元购买它。 我有一个这样的发电机。 如您所见，这是一件很重的事情！



如果我将其连接到功率放大器，然后将放大器连接到天线并进行精确配置，则将其打开将对蜂窝网络造成严重破坏。 正如我已经说过的，干扰器在eBay上的售价为450美元，可以在互联网上以400美元的价格购买一个100 W的放大器，而100 W的噪声只会造成巨大的网络中断。

该发生器以两种模式工作-一种在900 MHz范围内进行干扰，第二种-在1900 MHz范围内进行干扰。 在幻灯片上，您可以看到低频频谱分析仪的曲线，在左侧-大约500兆赫，在右侧-最高频率是2.5 GHz。



在左侧，您会看到900 MHz频率范围内的“又大又厚”的块。 该放大器可以在850兆赫兹至950兆赫兹的任何蜂窝信道上提供完全相同的单元。
打开此功能，在850和950处的通信将仅停止工作。 在1900模式下，情况类似-再往后看一次主频率峰值。

演示编号5将展示如何发生蜂窝通信载波频率的干扰。 但是，不要以为我这么傻！ 如果我将这种干扰物变成一个100 W放大器，然后将其连接到天线，我将剔除该地区的所有蜂窝通信-GSM，CDMA，3G，Verizon，以及整个拉斯维加斯的几乎所有手机（如果没有的话）。

（掌声和笑声）



所以我永远不会打开这个东西。 我拥有它的主要原因是，这对于测试设备的作用是非常有用的。 如果要对滤波器进行分类，则将“白噪声”通过滤波器，比较输入和输出处的波形，并非常准确地校准滤波器。 这就是为什么我使用此干扰器，而不是用于组织DoS细胞攻击。 事实是，没有针对这种“干扰”的保护措施。

您只需要短暂启动发电机，持续几秒钟即可“放置”整个网络，但是这种电源演示在这里是完全不合适的。 我认为100 W放大器和适当调整的天线可以关闭整个拉斯维加斯蜂窝系统。

我们可以用来拦截电话的另一种方法称为接收增益，或“接收增益”。 这是因为BTS可以向电话发送命令：“将我的信号当作比实际强X dB的信号。” 其含义如下。

想象一下，刻度从+50升至-100。 任何熟悉RF的人都会理解我为什么选择这个范围。 假设我的信号降到-80，那真的很低。 我可以命令您的手机在该值上加100，从而产生+ 20dBm电平信号。 电话会认为：“太好了，这是该地区功能最强大的塔楼，现在我将连接到它”！ 是的，它看起来很荒谬，是一个骗局，但这再次是BTS可以发送到电话的指令的另一个很好的例子。 也就是说，我不必拥有更强大的信号，我只需要说服电话我的信号确实比其他任何人都强。 手机会相信这一点，因为GSM就是这样工作的，因此只需执行塔命令即可。 当然，攻击者可以使用这种吸引电话的方法，并且在信号较弱的情况下，使用功能更强大的信号塔赢得比赛。 Open BTS尚不支持此功能，因此我无法演示此方法。 实际上，这就是IMSI拦截器中使用的R＆S专利的本质。
在英国，有一种情况是有人使用接收增强方法出售IMSI拦截器技术，R＆S起诉他，因为该方法已获得其公司的专利。 MNC，MCC的替换，网络重命名都很简单，但是上述方法已由网络“麦田守望者”的开发者申请专利。

如前所述，我们看不到来电，只看到呼出电话。 这是因为IMSI“麦田守望者”是一个完全隔离的蜂窝网络。 接线员认为您的电话已断开连接或未收到信号。 在这种情况下，他会将发给您的所有呼叫转发到您的语音邮件，因此攻击者看不到来电。



我该如何解决？ 显然，如果您与我的塔联系，它将要求进行身份验证，您的IMSI，并且电话会很乐意提供，因此您的IMSI将与我同在。 我该怎么办？ 转到AT＆T并说：“嘿，这是我的IMSI，我把他引诱给另一个人，但是您不必知道，我知道这个人离线，因为这是我的网络”？ 问题是我不知道SIM卡上的密钥。 当我声称这是AT＆T网络中的IMSI时会发生什么？ 他们会向我发送一个随机的32位数字，通常情况下，它会进入SIM卡，并使用您的秘密密钥加密，并分为两部分。 一半被发送到塔，用作您知道密钥的证明，另一半用作加密密钥。

我该如何使用呢？ 我可以简单地将此号码发送到您的电话，该电话知道如何加密密钥，进行其余操作并给我答复。 但是，实际上，他无法给我答复，因为我无法接听来电。 只有一种方法-破解密钥。

在黑帽大会上，有多少人参加了Cracker 5.1关键饼干演示，他们知道这个饼干有一个严重的局限性-它不适用于跳频基站，就像世界上每个基站一样。 在实际应用中，这不会发生。 但是我自己在BTS中设置了频率“跳跃”，因此我可以完全关闭它们，以免担心任何事情，然后使用“彩虹表”破解密钥。

之后，我将还原会话密钥。 现在，我知道用于身份验证的会话密钥和响应密钥，并且可以将所有这些用于移动运营商。 这将需要一些时间，但是最后，我将收到他的答复，并且我的电话将合法登录。

此方法尚未在我的系统中实现，但是可以肯定地完成，这是商业IMSI捕获器用来拦截传入呼叫的​​技术。 当然，现在我无法在我的系统中执行此操作，但这绝对是可能的。

我会告诉您更多有关破解会话密钥的信息。 这是在使用IMSI“捕手”期间可能唯一需要加密攻击的情况。



在设置基站时，从加密的角度来看，我需要做的就是禁用A5 / 0流量加密功能。 A5 / 2是最容易被黑客入侵的方法，但是有些手机会使用A5 / 1来丢弃A5 / 2，而使用“彩虹桌”破解也不难。 无论如何，打给您电话的去电都是以纯文本形式出现的。

如何处理所有这些？ 现实是，没有方便的解决方案，因为GSM本身就很脆弱，因此它仅在蜂窝系统中就是Telnet。 为了修复GSM，必须对其进行完全更改。 您将必须更新每部电话，翻新每座塔楼，更改所有网络等。 那么，如果您只能切换到3G标准，为什么要这样做呢？

因此，唯一正确的解决方案是切换到3G和更高版本的蜂窝协议。 3G身份验证要好得多； 3.5G（HSPA），3.9 G，LTE和后续协议均基于相同的原理构建。 主要解决方案是简单地禁用2G。
举起手，谁拥有Android手机？ 您会看到在其设置中有一个功能“仅使用2G网络”。 大概可以节省电池电量，但是有多少人曾经看过具有“仅使用3G网络”功能的手机？ 好吧，有人拥有BlackBerry并具有此功能，但是Android和iPhone都没有，所以我们如何感到安全？

当然，3G并非没有漏洞，如果协议本身很难破解，那么您可以尝试破解其中使用的KASUMI加密（也用A5 / 3表示），这种情况是已知的。 但是最好还是使用这种特殊的蜂窝标准。 只需看一下手机的屏幕，然后在上面看到3G小字母，就可以了。 因此，保护​​自己免受网络间谍侵害的最佳方法是禁用2G。 3.5G网络已经出现，4G网络即将出现，因此请尝试利用这一优势。

现在我们继续进行最后的演示。 让我们看看我的网络上当前有多少部电话。 因此，只有17个人，可能是人们开始恢复正常的网络！ 也许您的电话最初认为我是一个真正的AT＆T网络，但随后意识到它以某种方式出了问题并决定离开。

一种或另一种方式，可以随意从我的网络中的任何地方免费拨打电话，唯一的限制是您必须在被叫号码前拨打1。 , , , 20 SIP. , , , , …



感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至1月，直到 6个月的付款期免费 ，您可以在此处订购。

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？