欢迎来到演示“使用手机进行实际间谍活动”。 在开始之前,我将对隐私发表一些评论。 首先,可以在通话期间立即记录手机通话。 惊喜! 因此,如果您不想录音,请关闭电话。 如果您使用Sprint或Verizon移动运营商的服务,则您不在GSM网络中,并且我的系统完全无法与您的电话通话,因此您无需担心。
我必须说,我敦促人们在通话过程中让他们的手机保持可见,尤其是当他们使用GSM手机时,因为这样做的全部目的是展示如何拦截您的电话。 如果您不使用听筒,则此技术无效。
因此,这是一个计算机演示,您会在笔记本电脑的侧面看到应该放置HDD的很大空隙,但是我使用了可启动的USB闪存驱动器,因为GSM网络的BTS基站可以从便携式媒体下载而无需使用硬盘驱动器。 在演示的结尾,我将使用Leatherman多功能工具将该闪存驱动器切成两半,因为我将向其写入非常机密的信息,您的电话的所有设置,电话记录等。 在演示结束时,所有这些都将被销毁,所以不用担心。
让我重新插入电源线,然后回到主题。 我目前已连接到Verizon网络,因此我的Verizondroid为我提供了VoIP连接。
如果您要连接到我的网络,那么找出您是否真正连接的唯一方法是尝试拨打电话。 如果您打电话,您会收到一条语音消息,说您的对话已被拦截,等等。 因此,只需在演示过程中抓住手机,尝试拨打电话号码,看看会发生什么。 如果您在接收器中听到这样的消息,则表明您已连接到我的系统。 如果您听不到任何声音,那就对了。 无论如何,只要有人在任何时候连接到该网络,拨打电话的所有事情都会以最佳方式完成。
因此,在我们谈论IMSI拦截器之前,我将告诉您它是什么。 IMSI或移动用户的国际标识符,是唯一的15位数字,用于验证从一个网络移动到另一个网络的用户。 您可以将其视为类似于GSM网络用户名的名称。 它由两部分组成,它们位于您的SIM卡上并执行身份验证。
MSI是位于SIM卡只读部分中的网络上的用户名和秘密身份验证密钥。 这样可以进行一些保护:当连接到网络时,IMSI被临时的TMSI代替。 在演示过程中,我将向您展示出现了多少个这些TMSI,使您有机会查看有多少人连接到基站。
因此,IMSI是一种秘密,而ICCID(印刷在SIM卡上的一长串数字)是卡本身的唯一标识符,类似于其序列号。 这两个标识符密切相关。 在许多美国蜂窝网络和其他一些国家/地区,您可以通过ICCID来确定IMSI,反之亦然,这并不是什么秘密。 在其他国家/地区,它们的表现要好一些,在这种情况下,ICCID与其他标识符没有任何关联,而只是一组随机数字。
它并不重要,但是我经常提到它,因为至少在美国,您可以从IMSI中学习。 那么什么是IMSI捕获器?
基本想法是,这是一个假的GSM塔,一个假的基站。 从理论上讲,当电话搜索信号时,它将选择提供最强信号的信号塔,并以最佳信号连接到信号塔。 如果您附近有一个增益最高的天线直接对准您,那么我将成为这座塔! 我产生的信号很弱,只有25毫瓦,但是我很近并且使用定向天线。 因此,我希望您的电话能够准确选择我的信号,并且您可以连接到我的网络。
您需要记住,在GSM网络中,基站将确定所有设置,因此,当您连接到我的信号塔时,它将告诉您的电话是否使用加密,切换到其他信号频率以及类似的东西。 如果我不使用加密,则您的手机会认为:“出色,不加密,我将使用纯文本。”
相信我,我没有做任何恶意的事情,我的测试仅会影响功能,并且如果手机连接到我的网络,也不会导致手机特性的任何永久性变化。 但是,如果我愿意,我可以与他们一起做很多事情,例如,更新SIM卡并从中获得很多乐趣。
因此,如果我有机会生成一个非常强大的信号,那么通过取消A5加密,我可以轻松控制您的手机,而您什么也做不了,甚至都不知道。 IMSI拦截器的想法与GSM标准同时出现,该拦截器技术于1993年获得Rode和Schwartz在欧洲的专利。 在美国,我从未见过有关此类专利的参考文献,但是无论如何,欧洲的专利是公有领域的,因此该漏洞众所周知。 该专利的含义是,如果您联系R&S并说您想购买IMSI“捕手”,他们将从您手中夺走几百万美元。
在桌上的设备中,我的笔记本电脑是最昂贵的,其次是USRP收发器,价格约为1,500美元,其次是价格为20美元的即时通讯工具。 因此,使用该设备,您可以做的事情会使商用设备的价值增加1000倍。
我将简要介绍一下IMSI拦截器涉及的加密方式。 如果我是创建他的基站的攻击者,并且您有与之连接的电话,我只是告诉他关闭加密。 我不需要破解密码,建立“彩虹表”,也不需要任何硬盘驱动器即可快速查看。 我只是告诉您的手机关闭加密,就是这么简单。
实际上,GSM标准的规范提供了当您的电话连接到不使用加密的网络时向订户发送消息的功能。 但是,如果继续阅读下去,您会发现规范中还有一个地方说:“如果要禁用警告消息,则在SIM卡上设置这一小小的配置”。 我看到的每张SIM卡,以及我看到的世界各地许多不同的移动运营商网络,都包含这些位。 我遇到的每个运营商都会禁用此警告,因此我从未遇到过显示GSM规范要求的消息的电话:“您正在连接到不安全的网络!”。
这是运营商的有意识选择。 这个想法是,如果您要前往印度等不支持蜂窝加密的国家/地区旅行,因为那里是非法的,但是您想使用手机,则必须支持A5 / 0未加密通话功能。 如果您每次连接到新的GSM塔时都开始收到警告,则您会想到到底发生了什么,开始诅咒AT&T或其他人,依此类推。
让我们注意所使用频率范围的频谱。 媒体提出的问题之一是操作员使用不同频率的问题。 因此,全世界决定只使用4个GSM标准:850、900、1800和1900。850和1900频率主要在美国使用,900和1800频率在欧洲使用。
如果您查看这些频率的频带大小,您会发现欧洲900和美国850之间存在重叠。 实际上,GSM 900标准的工作频率为880至914 MHz,美国ISM标准的工作频率为902至928 MHz,因此这些标准的频率将在902至912 MHz的范围内重叠。
因此,我将在绝对合法的频率范围内启动发射机,朝着欧洲通信标准迈进。 同时,您的电话绝对不会在乎,它不在乎连接的地理特征,只会捕获最强烈的信号并说:“很好,这是我的塔”!
如果您使用的是欧洲电话或4频段电话,并且以所有4种通信标准运行,则将看到一个网络。 如果您的美国电话只能看到美国的频率,那么您将看不到网络。
美国ISM标准是什么? 它代表工业,科学,医学,即为工业,科学和医学蜂窝网络创建的。 该标准的想法是,它是为非常快地改变频率的低功率设备而设计的,其设计在电话中提供了最少的用户干预。
正式地,这是一个辅助通信范围,主要用于业余无线电爱好者,但由于它们太吵,他们不喜欢使用这些频率,此外,业余爱好者认为这只是一个me脚的范围。 但是,它非常适合我们的目的,并且我们可以合法地在业余GSM系列中启动我们的BTS基站。 因此,我们将充当无线电爱好者。
我们首先需要的是使用业余频率的许可证,而且获取它非常容易。 您可以转到
kb0mga.net/exams并开始回答考试问题。 您可以一次又一次地执行此操作,直到不小心偶然找到了正确答案,因为如果您回答不正确,他们将继续向您提问。 您可以花几个小时,最后何时正确回答所有问题,然后再通过考试。 如果您决定成为一名业余爱好者,我仍然建议您学习这些材料,因为我肯定通过回答考试问题学到了很多东西。 业余无线电台的下一个要求是其功率不应超过1500瓦,这对于我们的目的来说已经足够了。 我还有另一个用于RFID的放大器,它的功率是600瓦,这是一个令人震惊的能量,它的功率太高了,所以1500瓦足以满足任何目的。
关于我们要广播的内容,可以说,从技术上讲,我们将要传输未定义的数字代码-这些是在电话和电话塔之间来回移动的比特。 因此,就业余无线电而言,允许您发送未定义的数字代码,直到其规范发布为止。 在我们的案例中,所有GSM协议和规范均已发布,因此您不必理会此问题。
您也不允许使用加密,也就是说,您的邮件不应以任何方式进行加密。 因此,根据法律,当我启动基站时,我仅必须关闭加密! 我做的。
对于业余爱好者,天线尺寸没有限制,唯一的限制是射频暴露。 FCC发布了有关射频吸收系数对人体安全的指南。 我的设备远没有达到这些限制,因为它仅发射25毫瓦。 如果您的电话在GSM 1800/1900的较高频率范围内工作,则它的功率约为1 W,即40倍,而在GSM 800/900的较低频率下,功率约为2 W,即80倍。 因此,放在口袋里的电话比我的“又大又吓人”的天线辐射得多。
唯一重要的要求是站点必须每10分钟进行一次身份识别。 无线电呼号是直接载波,莫尔斯电码,是一种定期广播的信号。 将其集成到GSM中非常困难,因此最佳的解决方案是第二个发射站,该发射站以主基站的频率工作。 它功能更强大,可以代替GSM基站的信号,对其进行DoS攻击1秒钟,以发送呼号。 我只是将此功能集成到USRP发射器中,一点也不复杂。 因此,我们需要的是一个易于控制的900兆赫发射机。
接下来,我有一个用于即时消息传递的粉红色小框即时消息传递设备,称为ID-ME,或“标识我”。 她是Travis Goodspeed带给我的。 它的输出功率为+10 dBm,覆盖的频率范围很广,并且使用C语言编程,该设备没有任何安全的固件,可以使用称为GoodFET的Travis实用程序对其进行“刷新”。 不幸的是,它与JTAG接口和RF连接器不兼容,但是它们很容易添加。
因此,我们可以为该设备编写固件,知道相应的频率,从而可以根据USRP带来频率和功率,组合并放大主站和附加发射器的信号。
现在考虑安装基站收发器BTS。 因此,我有用于无线电的IMEI,这是GSM所需的功能,现在我需要通用的USRP软件无线电。 所有外围设备都可以在线获得,两个RFX900子板的价格约为1,500美元。
此外,您还需要一个名为ClockTamer的设备-code.google.com/p/clock-tamer,它可以让您创建一个非常准确的时钟来与GPS同步。 它是专门为USRP设计的。
电话从基站接收其频率。 基站提供非常精确的频率,电话发现它们自己的频率与发射站的频率兼容。
因此,如果我来自自己的电台,其频率稳定性与周围的本地塔的频率稳定性不一致,那么所有电话都将按照这些本地塔的频率进行校准,即使我们的频率差异也不会关注我的电台只有几千赫兹。
“开箱即用” ClockTamer可以在高达1.9 GHz的范围内以±100 Hz的增量极其精确地调整频率,而GPS模块就是这么精确。 该设备简直是疯狂的精度,并且可以灵活地编程。
我的蜂窝站软件为笔记本电脑提供了Debian,OpenBTS和Asterix。 OpenBTS提供了与GSM相关的所有功能,Asterix接收来自OpenBTS的呼叫并通过VoIP发送。 我使用了BTS的基本版本,它传输语音和SMS,但不传输数据。
在此演示中,我关闭了使用SMS的功能,这主要是由于在发送SMS时我很难获得您的呼叫者ID。 是的,我可以通过Internet发送它并将其连接到应该连接的地方,但是接收它的人将无法确定它的来源,也无法回答。 因此,我认为仅禁用此BTS功能会更容易,尽管系统支持它。
因此,让我们开始第一个演示并以测试模式运行BTS。 我将USRP连接到笔记本电脑,其他所有设备均已打开,因此让我们启动基站。 我不知道您能在笔记本电脑的屏幕上看到多少图像,现在我将其移近相机。 我要显示的唯一一件事是启动TMSI命令-它向我显示了由基站分配的所有临时MSI的列表,换句话说,当前与之关联的人数。 在屏幕底部,您可以在表0中看到该表,即当前没有人连接到我的网络。
现在,我将再输入几个团队。 小区ID是一个小区标识符,表示我当前正在使用的移动国家/地区代码是001,00是根据GSM规范的国家/地区代码,1表示测试。 然后我使用移动网络代码MNC,它是01,这里的单位也表示测试,所以这是一个测试国家/地区的测试网络,它不是欧洲也不是美国。 下面是我代表的蜂窝网络的名称,这是DEFCON18。 有些手机会显示它,有些则不会。
我想提请您注意,目前这不是“敌对”配置,这是测试模式,这不是任何已知网络的广告,它不适用于美国蜂窝频率,因此没有人能够启动该功能连接到我的网络。
如果您想扫描可用的蜂窝网络,可以这样做,但是我建议您不要理会手机。 每隔几分钟就将它们从口袋里拿出来,然后尝试打电话。 稍后,我将向您展示它的工作原理。
因此,如何交换特定的网络以使用IMSI嗅探器,而不仅仅是在随机网络上? , – MCC, , MNC – . MCC 310. . MNC 2-3 , , , , OpenBTS. . , MNC MCC, , , , .
, , . .
, №2, , MNC/ MCC . , TMSIS. ! 15 , 15 «», . 15 , . , , !
( )
: , iPhone. , , . , «». «» .
, TMSIS 30 ! , . , , MNC/ MCC. ell ID, MCC/MNC . . , , T-mobile. , , AT&T. , !
, ID . , MCC 310, AT&T. , 410, 6610. , AT&T. — Cell ID 31041066610, . , GSM, AT&T.
, . , , IMSI, 20 , AT&T, . , – . , , .
26:15
DEFCON 18. . 第二部分感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
VPS(KVM)E5-2650 v4(6核)10GB DDR4 240GB SSD 1Gbps至1月,直到 6个月的付款期
免费 ,您可以
在此处订购。
戴尔R730xd便宜2倍? 仅
在荷兰和美国,我们有
2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视(249美元起) ! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?