Прослушка и перехват СМС
Shadow Casher
Разговоры о прослушке не утихают. И правда, большой брат следит за всем. Но помимо большого брата есть еще и злоумышленники, которые тоже хотят послушать твои разговоры и почитать твои смски. Что у них в арсенале? Что же правда, а что вымысел? Давайте разберемся с современными методами и возможностями, основываясь на фактах.
Методы перехвата трафика
- Пассивный метод
Прослушка мобильного телефона путем перехвата и декодирования GSM трафика.
Устройства для этих целей свободно продаются в сети интернет, правда их стоимость начинается от 50к зелени. Грубо говоря, такое устройство представляет из себя Ноутбук, к которому подключена антенна…
Это устройство сканирует каналы сотовой связи вокруг. И дает возможность подключиться к одному из каналов и перехватывать информацию. Но есть нюанс – вся информация перехватывается в зашифрованном виде. Для расшифровки необходимо применить «радужные таблицы» и инструмент Кракен.
Этот метод перехвата сложен в своем применении даже опытному специалисту, поскольку у одного сотового оператора как минимум 4-5 ARFCN, соответственно – необходимо подключиться к каждому из этих каналов и искать информацию… С помощью такого комплекса нельзя найти какой-то определенный номер телефона, т.к. они хранятся в БД сотового оператора. Для адресации вызовов и СМС используются IMSI – внутренний идентификатор сим-карты.
Как найти IMSI абонента?
Для нахождения этого номера необходимо выполнить HLR запрос на номер абонента: HLR test sms
2. Активный метод
Этот метод предусматривает собой активное вмешательство в работу существующей GSM сети. Основным инструментом является поддельная базовая станция, которая выполняет собой роль моста между абонентами и легитимной базовой станцией оператора.
Для реализации метода можно воспользоваться професиональным (старт от $120 000), полупрофессиональным (старт от $5 000) или любительским (старт от 420$) оборудованием.
Разница между этими решениями в 3 вещах:
- Брэнд (все таки ориентация идет на спецслужбы)
2. Вспомогательный функционал (термозащита, акб, режим «wake-on-t» и т.д.)
3. Количество радиомодулей — наверное самый важный параметр который недоступен в bladerf/hackrf и прочем любительском оборудовании это работа одновременно с несколькими операторами и на разных частотах.
Шифрование, радужные таблицы, Kraken, единороги и спецслужбы планеты Нибиру
Многие пользователи путают активный и пассивный метод перехвата трафика и создали свою секту «Свидетели использования радужных таблиц в активном методе перехвата»
Давайте разберем вопросы шифрования и начнем с видов шифрования:
А5/0 — plain text, шифрования нет или отключено
А5/1 — включено потоковое шифрование;
А5/2 — модификация А5/1 с умысленно заниженой сложностью
А5/3 — (Kasumi) от создателя RSA появился с приходом сети 3g
A5/4 — модификация Kasumi для работы в LTE сетях
Как же происходит взлом?
В отличии от пассивного метода перехвата в активном методе злоумышленник сам управляет шифрованием. Все модели шифра A5 используют ключ, который храниться как у оператора так и у абонента на его sim карте, этот ключ уникален для каждого абонента и для его защиты существует к каждой сим карте специальный крипточип и этот крипточип выполнит все что ему скажет базовая станция. Фейк БС представляется абонентом для реальной БС а реальной БС представляется абонентом при этом для абонентского устройства применяется понижение шифрования до уровня А5/2 — который расшифровывается на лету онлайн и в этот момент ловушка ИЗВЛЕКАЕТ СЕКРЕТНЫЙ КЛЮЧ АБОНЕНТА и дальше восстанавливает связь на шифровании прежнего уровня. Таким образом получив ключ шифрования абонента злоумышленнику не нужны ни Кракены ни радужные таблицы и он может расшифровывать все он-лайн.
3. Интерактивный метод
Полный доступ к смс, звонкам, и геолокации любого абонента в любой точке мира
Его можно называть по разному, но суть его сводиться к получению доступа в мобильную сеть и эксплуатации уязвимости протокола SS7(ОКС7). Сам доступ представляет из себя ip+port+login+pass но в таком виде его могут использовать только те, кто уже имел опыт общения с ним.
Где купить?
Многие пытаются искать в ТОРе, ищут какие-то «хакерские» сайты типо ТЫЦ но кроме как на кидал вряд ли на кого можно наткнуться. Вместо этого доступ можно получить официально или полу официально у телеком операторов и отдельных структур занимающихся GSM перехватом на совершенно законных основаниях.
Список контор предоставляющих доступ к ss7
Зачастую доступ предлагается только правительственным организациям, но при совершении сделки (оплата биткоин или банк escrow) моменты проверки сводятся к «мы вам верим».
Но тут есть один подводный камень, в процессе покупки доступа необходимо четко согласовать территорию доступа, дело в том что доступ к абоненту может быть ограничен только территорией той страны, представителем которой вы являетесь и при попытке доступа к другим странам вас просто отключают, а потом сообщают ссылку на правила, которые вы нарушили и деньги назад никто не вернет, но так-же часто подобные запреты реализованы в пользовательском веб-интерфейсе к которому вы получаете доступ после покупки.
Сколько это стоит?
Забудьте дебильные статьи типо «За 500 долларов можно прослушать любой телефон в мире!» или «Школьник сэкономил на обедах и прослушал свою учительницу без регистрации и смс» — весь этот бред написан журналистами, цель которых — сенсация.
Если взять хайп связанный с ТОР проэктом «interconnect0r» — то этот хайп разлетелся по всему миру, хотя сделать сайт такой в торе — дело 5 минут.
Я связывался со многими конторами и скажу что разброс цен от $10 000 до $30 000 в месяц, дешевле ничего найти не удавалось и разница в цене обусловлена отсутствием территориальной привязки и дополнительными возможностями web интерфейса.
4. IMSI ловушка
На многих ресурсах IMSI ловушками называют поддельные базовые станции, однако я бы выделил для этого очень полезного девайса отдельный термин. IMSI ловушка это «прибор» например на базе RTL-SDR который видит всех абонентов вокруг себя. Он использует пассивный метод перехвата, что делает его обнаружение практически невозможным.
Самостоятельное использование данного прибора сомнительно т.к. ну что такого можно изъять из списка 30-40 окружающих абонентов? Причем видны не просто номера а только IMSI/TMSI/Имя сети.
Данный прибор чрезвычайно полезен при использовании поддельной базовой станции и полезен он как средство защиты злоумышленника при перехвате!
Пример №1:
Злоумышленник ждет жертву(например около дома) и хочет перехватить звонки жертвы с помощью bladerf. Ему необходимо включить фейк БС и сидеть ждать, но в этот момент он становиться уязвим т.к. его можно обнаружить. Поэтому злоумышленник включает сначала IMSI ловушку, которая при появлении цели автоматически сама включит фейк БС, а поскольку IMSI ловушка использует пассивный метод перехвата то обнаружить ее практически невозможно. Таким образом злоумышленник будет работать только когда цель будет рядом.
Пример №2
Мне поступало много вопросов типа «Можно ли сделать чтобы bladerf бил на 1км?» и каждый раз у меня в голове возникала сцена из фильма «Спортлото 82»:
— Сан Саныч, эти ягоды можно есть?
— Можно, только отравишся
2. HackRF
Описание: Легендарная SDR от Great Scott Gadgdgets. Морально немного устарела, но тем не менее — свою работу делает. Подходит для тех, кто только хочет попробовать, но ещё не определился с серьезностью намерений. Основной недостаток: слабый сигнал.
Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети
Где купить: AliExpress (многочисленные реплики на любой вкус и цвет)
Софт: OpenBTS 2g/3g
Фото:
3. BladeRF
Описание: Новое поколение устройств SDR. Обладает намного более гибкими настройками, большой мощностью и полным дуплексом связи. Для полноценной иммитации БС рекомендуется использовать имено это устройство.
Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети
Где купить: в интернете
Софт: OpenBTS 2g/3g
4. Rtl-SDR
Описание: ТВ тюнер который так же является SDR при этом стоит очень дешего и он ОБЯЗАН быть у каждого, кто строит свою БС. Основная его цель — измерение расстояния до реальной легитимной БС и на основании этого расстояния пользователь должен выбирать силу сигнала своей фейковой БС. Так-же из него отлично получаются IMSI ловушки
Возможности: IMSI Ловушка, Пассивный метод перехвата
Где купить: На Aliexpress
Софт: IMSI-Catcher
Фото:
Готовые сборки операционных систем:
Многим будет сложно самому сделать сборку и поддержку всех програмных компонентов для работы с указанным выше оборудованием, поэтому ниже вы сможете скачать уже готовые сборки
GNU-Radio
Сборка с установленной массой компонентов для работы с SDR. Поддерживает RTL-SDR/BladeRf/HackRf
GNU-Radio LiveCD 14
GNU-Radio LiveCD 16
RTL-SDR/HackRF
Предустановленный софт для построения IMSI ловушки и работы с HackRF
RTL-SDR/HackRF
BladeRF Pentoo
Сборка для работы с BladeRf
BladeRF
Osmocom
TyphonOS
Терминология
2G Второе поколение стандарта GSM
3G Третье поколение стандарта GSM
3GMS Система мобльиной связи третьего поколения
3GPP Партнерский проект по третьему поколению
AGCH Канал уведомления о разрешении доступа
AID Идентификатор приложения
AMR Адаптивный мультискоростной
ANSI Институт национальных стандартов США
AoC Уведомление о начислении оплаты
AoCC Уведомление о начислении оплаты (расходы)
AoCI Уведомление о начислении оплаты (информация)
API Интерфейс программирования приложений
ARFCN Абсолютный номер частоты радиоканала
ARIB Ассоциация радиоиндустрии и бизнеса
ASE Прикладной сервисный элемент
ASN.1 Абстрактная синтаксическая нотация версии 1
AT-command Команда «Внимание»
AuC Центр аутентификации
BAIC Запрет всех входящих вызовов
BAOC Запрет всех исходящих вызовов
BCCH Канал управления с широковещательной передачей
BCH Широковещательные каналы
BIC-Roam Запрет входящих вызовов при роуминге вне страны собственной PLMN
BOIC Запрет исходящих международных вызовов
BOIC-exHC Запрет исходящих международных вызовов за исключением вызовов в страну собственной PLMN
BTS Базовая станция
BSC Контроллер базовой станции
BSS Система базовых станций
BSSMAP Прикладной протокол управления подсистемой базовых станций
CAI Информация о начислении оплаты
CAMEL Усовершенствованная логика мобильной связи для пользовательских приложений
CAP Прикладная подсистема CAMEL
CB Запрет вызова
CBC Центр сотового вещания
CBCH Канал широковещательной передачи в соте
CBS Служба сотового вещания
CC Управление вызовом
CCBS Установление соединения при занятости абонента
СССH Общий канал управления
CD Отклонение вызовов
CDR Отчет о вызовах
CF Переадресация вызова
CFB Переадресация вызова при занятости
CFNRc Переадресация вызова при недоступности терминала
CFNR Переадресация вызова при отсутствии ответа
CFU Безусловная переадресация вызова
CLI Идентификатор линии вызывающего абонента
CLIP Представление идентификации линии вызывающего абонента
CLIR Ограничение идентификации линии вызывающего абонента
CM Управление конфигурацией
CMIP Протокол общей управляющей информации
CMISE Сервисный элемент общей управляющей информации
CN Базовая сеть
CNAP Представление имени вызывающего абонента
COLP Представление идентификации подключенной линии
COLR Ограничение идентификации подключенной линии
CORBA Технология построения распределенных объектных приложений, предложенная фирмой
CS Коммутация каналов
CS-1 Набор возможностей Интеллектуальной сети
CSE Сервисная среда CAMEL
CUG Замкнутая группа пользователей
CW Уведомление об ожидающем вызове
CWTS Китайская группа стандартизации беспроводной связи
DCE Аппаратура окончания канала данных
DCCH Выделенный канал управления
DTE Оконечное оборудование данных
DTMF Многочастотная сигнализация
DTX Прерывистая передача
ECT Явный перевод вызова
EGPRS Усовершенствованная GPRS
EIR Регистр идентификации оборудования
EM Подсистема управления элементами
eMLPP Усовершенствованная услуга многоуровневой приоритетности и приоритетного прерывания обслуживания
EN Знак соответствия стандартам Европейского комитета по стандартизации
E-OTD Улучшенная наблюдаемая разница по времени
EP Элементарная процедура
ETSI Европейский институт стандартизации телекоммуникации
FACCH Канал управления с быстрым доступом
FCCH Канал коррекции частоты
FM Управление отказами
GAD Описание географической зоны
GBS Общие службы переноса
GDMO Руководство для определения управляемых объектов
GERAN Сеть радиодоступа GSM EDGE
GGSN Шлюзовой узел поддержки GPRS
GLR Шлюзовой регистр местоположения
GMLC Шлюзовой центр определения местоположения мобильной связи
GMSC Шлюзовой MSC
GPRS Служба пакетной передачи данных общего пользования
gprsSSF Функция коммутации услуг GPRS
GPS Глобальная система позиционирования
GSM Глобальная система мобильной связи
GSM-EFR Усовершенствованный полноскоростной речевой кодек GSM
gsmSCF Функция управления услугами GSM
gsmSRF Функция поддержки специализированных ресурсов GSM
gsmSSF Функция коммутации услуг GSM
GSN Узел поддержки GPRS
GT Глобальный заголовок
GTP Тоннельный протокол GPRS
HDLC Управление звеном данных верхнего уровня
HE Собственная среда
HLR Опорный регистр местоположения
HPLMN Собственная сеть сухопутной мобильной связи общего пользования
HSCSD Высокоскоростная передача данных с коммутацией каналов
IC Интегральная схема
ID Идентификатор
IMEI Международный идентификатор мобильного оборудования
IM-GSN Промежуточный обслуживающий узел GPRS
IM-MSC Промежуточный центр коммутации мобильной связи
IMSI Международный идентификатор мобильной станции
IN Интеллектуальная сеть
INAP Протокол прикладного уровня Интеллектуальной сети
IP Протокол Интернет
IPLMN Запрашивающая PLMN
IrDA Ассоциация передачи данных в инфракрасном диапазоне
IrMC Мобильная связь в инфракрасном диапазоне
IRP Эталонная точка интеграции
IS Информационная служба
ISDN Цифровая сеть с интеграцией служб
ISO Международная организация по стандартизации
ISUP Подсистема пользователя ISDN
Itf-N Интерфейс N
IWF Функция взаимодействия
LAN Локальная сеть
LCS Служба определения местоположения
LMSI Идентификатор местной мобильной станции
LMU Блок определения местоположения