Прослушка и перехват СМС. Теория и практика.
Social Engineering
В данной теме я хочу рассказать о работе с GSM оборудованием и облегчить изучение, построение и использование систем управления и мониторинга GSM трафика.
Информация в данной статье пойдет в разрез с той информацией которую вы можете найти в новостях, новостных лентах и журналистских расследованиях - т.к. их пишут люди, которым нужна сенсация а не реальная картина, и даже не все сайты "о безопасности" сообщают реальную информацию т.к. с тем же самым gsm могут просто не работать и отлично разбираться в защите например от ДДоСа.
Методы перехвата трафика.
1. Пассивный метод
Прослушка мобильного телефона путем перехвата и декодирования GSM трафика.
Устройства для этих целей свободно продаются в сети интернет, правда их стоимость начинается от 50к зелени. Грубо говоря, такое устройство представляет из себя Ноутбук, к которому подключена антенна…
Это устройство сканирует каналы сотовой связи вокруг. И дает возможность подключиться к одному из каналов и перехватывать информацию. Но есть нюанс – вся информация перехватывается в зашифрованном виде. Для расшифровки необходимо применить «радужные таблицы» и инструмент Кракен.
Этот метод перехвата сложен в своем применении даже опытному специалисту, поскольку у одного сотового оператора как минимум 4-5 ARFCN, соответственно – необходимо подключиться к каждому из этих каналов и искать информацию… С помощью такого комплекса нельзя найти какой-то определенный номер телефона, т.к. они хранятся в БД сотового оператора. Для адресации вызовов и СМС используются IMSI – внутренний идентификатор сим-карты.
Как найти IMSI абонента?
Для нахождения этого номера необходимо выполнить HLR запрос на номер абонента:
2. Активный метод
Данный метод предусматривает собой активное вмешательство в работу существующей GSM сети. Основным инструментом является поддельная базовая станция, которая выполняет собой роль моста между абонентами и легитимной базовой станцией оператора.
Для реализации данного метода можно воспользоваться професиональным (старт от $120 000), полупрофессиональным (старт от $5 000) или любительским (старт от 420$) оборудованием.
Разница между этими решениями в 3 вещах:
1. Брэнд (все таки ориентация идет на спецслужбы)
2. Вспомогательный функционал (термозащита, акб, режим "wake-on-t" и т.д.)
3. Количество радиомодулей - наверное самый важный параметр который недоступен в bladerf/hackrf и прочем любительском оборудовании это работа одновременно с несколькими операторами и на разных частотах.
Шифрование, радужные таблицы, Kraken, единороги и спецслужбы планеты Нибиру
Многие пользователи путают активный и пассивный метод перехвата трафика и создали свою секту "Свидетели использования радужных таблиц в активном методе перехвата"
Давайте разберем вопросы шифрования и начнем с видов шифрования:
А5/0 - plain text, шифрования нет или отключено
А5/1 - включено потоковое шифрование;
А5/2 - модификация А5/1 с умысленно заниженой сложностью
А5/3 - (Kasumi) от создателя RSA появился с приходом сети 3g
A5/4 - модификация Kasumi для работы в LTE сетях
Как же происходит взлом?
В отличии от пассивного метода перехвата в активном методе злоумышленник сам управляет шифрованием. Все модели шифра A5 используют ключ, который храниться как у оператора так и у абонента на его sim карте, этот ключ уникален для каждого абонента и для его защиты существует к каждой сим карте специальный крипточип и этот крипточип выполнит все что ему скажет базовая станция. Фейк БС представляется абонентом для реальной БС а реальной БС представляется абонентом при этом для абонентского устройства применяется понижение шифрования до уровня А5/2 - который расшифровывается на лету онлайн и в этот момент ловушка ИЗВЛЕКАЕТ СЕКРЕТНЫЙ КЛЮЧ АБОНЕНТА и дальше восстанавливает связь на шифровании прежнего уровня. Таким образом получив ключ шифрования абонента злоумышленнику не нужны ни Кракены ни радужные таблицы и он может расшифровывать все он-лайн.
3. Интерактивный метод
Полный доступ к смс, звонкам, и геолокации любого абонента в любой точке мира.
Его можно называть по разному, но суть его сводиться к получению доступа в мобильную сеть и эксплуатации уязвимости протокола SS7(ОКС7). Сам доступ представляет из себя ip+port+login+pass но в таком виде его могут использовать только те, кто уже имел опыт общения с ним.
Где купить?
Многие пытаются искать в ТОРе, ищут какие-то "хакерские" сайты типо ТЫЦ но кроме как на кидал вряд ли на кого можно наткнуться. Вместо этого доступ можно получить официально или полу официально у телеком операторов и отдельных структур занимающихся GSM перехватом на совершенно законных основаниях.
Список контор предоставляющих доступ к ss7
Зачастую доступ предлагается только правительственным организациям, но при совершении сделки (оплата биткоин или банк escrow) моменты проверки сводятся к "мы вам верим".
Но тут есть один подводный камень, в процессе покупки доступа необходимо четко согласовать территорию доступа, дело в том что доступ к абоненту может быть ограничен только территорией той страны, представителем которой вы являетесь и при попытке доступа к другим странам вас просто отключают, а потом сообщают ссылку на правила, которые вы нарушили и деньги назад никто не вернет, но так-же часто подобные запреты реализованы в пользовательском веб-интерфейсе к которому вы получаете доступ после покупки.
Сколько это стоит?
Забудьте дебильные статьи типо "За 500 долларов можно прослушать любой телефон в мире!" или "Школьник сэкономил на обедах и прослушал свою учительницу без регистрации и смс" - весь этот бред написан журналистами, цель которых - сенсация.
Если взять хайп связанный с ТОР проэктом "interconnect0r" - то этот хайп разлетелся по всему миру, хотя сделать сайт такой в торе - дело 5 минут.
Я связывался со многими конторами и скажу что разброс цен от $10 000 до $30 000 в месяц, дешевле ничего найти не удавалось и разница в цене обусловлена отсутствием территориальной привязки и дополнительными возможностями web интерфейса.
4. IMSI ловушка.
На многих ресурсах IMSI ловушками называют поддельные базовые станции, однако я бы выделил для этого очень полезного девайса отдельный термин. IMSI ловушка это "прибор" например на базе RTL-SDR который видит всех абонентов вокруг себя. Он использует пассивный метод перехвата, что делает его обнаружение практически невозможным.
Самостоятельное использование данного прибора сомнительно т.к. ну что такого можно изъять из списка 30-40 окружающих абонентов? Причем видны не просто номера а только IMSI/TMSI/Имя сети.
Данный прибор чрезвычайно полезен при использовании поддельной базовой станции и полезен он как средство защиты злоумышленника при перехвате!
Пример №1:
Злоумышленник ждет жертву(например около дома) и хочет перехватить звонки жертвы с помощью bladerf. Ему необходимо включить фейк БС и сидеть ждать, но в этот момент он становиться уязвим т.к. его можно обнаружить. Поэтому злоумышленник включает сначала IMSI ловушку, которая при появлении цели автоматически сама включит фейк БС, а поскольку IMSI ловушка использует пассивный метод перехвата то обнаружить ее практически невозможно. Таким образом злоумышленник будет работать только когда цель будет рядом.
Пример №2
Мне поступало много вопросов типа "Можно ли сделать чтобы bladerf бил на 1км?" и каждый раз у меня в голове возникала сцена из фильма "Спортлото 82":
- Сан Саныч, эти ягоды можно есть?
- Можно, только отравишся
Точно так-же и ответ на этот вопрос - можно, только спалишся. Дело в том что при включении фейк БС рассылает beacon запрос (типо - Я тут! Идите ко мне! Подключайтесь!) и когда этот не легитимный запрос попадает на легитимную БС реального сотового оператора - включается "сигнализация" и сотовый оператор сразу в курсе о том что появилась неопознанная БС, соответственно отсчет пошел и вопрос пары десятков минут пока злоумышленник будет обнаружен. Для того чтобы этого избежать необходимо перед включением фейк БС проверить расстояние до ближайшей БС(по уровню сигнала) и коррелировать мощность фейк БС, чтобы не попасться на глаза легитимной БС и для этого удобнее всего использовать опять таки функции RTL-SDR как IMSI ловушки.
Оборудование:
1. Motorolla cXXX
Описание:
В основе данного оборудования лежит старый телефон Motorolla на базе чипсета Calypso (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171) и т.д. который ввиду утечки спецификации в сеть был доработан участниками проекта Osmocom и кабель USB-TTL. Крайне нестабильная работа, постоянные лаги и зависания, маленький радиус действия компенсируется очень дешевой ценой - на все уйдет около 20 баксов.
Отличный вариант для самостоятельного изучения, однако стоит учесть, что при пассивном методе перехвата для получения входящего на телефон трафика необходимо будет перепаять два ооочень маленьких фильтра, поэтому лучше купить уже готовый комплект и не морочить себе голову.
Возможности:
IMSI Ловушка
Активный метод перехвата
Пассивный метод перехвата
Создание собственной сотовой сети
Где купить:
Обычную версию на радио рынке (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171)
Кабель USB-TTL можно спаять самому или купить готовый
Готовую версию перепаянную под работу можно найти на ебей или taobao
Софт:
Фото:
2. HackRF
Описание:
Возможности:
IMSI Ловушка
Активный метод перехвата
Пассивный метод перехвата
Создание собственной сотовой сети
Где купить:
Софт:
Фото:
3. BladeRF
Описание:
Возможности:
Где купить:
Софт:
Фото:
4. Rtl-SDR
Описание:
ТВ тюнер который так же является SDR при этом стоит очень дешего и он ОБЯЗАН быть у каждого, кто строит свою БС. Основная его цель - измерение расстояния до реальной легитимной БС и на основании этого расстояния пользователь должен выбирать силу сигнала своей фейковой БС. Так-же из него отлично получаются IMSI ловушки
Возможности:
IMSI Ловушка
Пассивный метод перехвата
Где купить:
На Aliexpress
Софт:
Фото:
Готовые сборки операционных систем:
Многим будет сложно самому сделать сборку и поддержку всех програмных компонентов для работы с указанным выше оборудованием, поэтому ниже вы сможете скачать уже готовые сборки
GNU-Radio
Сборка с установленной массой компонентов для работы с SDR. Поддерживает RTL-SDR/BladeRf/HackRf
RTL-SDR/HackRF
Предустановленный софт для построения IMSI ловушки и работы с HackRF
BladeRF Pentoo
Сборка для работы с BladeRf
Osmocom
Терминология:
Спойлер
2G Второе поколение стандарта GSM3G Третье поколение стандарта GSM
3GMS Система мобльиной связи третьего поколения
3GPP Партнерский проект по третьему поколению
AGCH Канал уведомления о разрешении доступа
AID Идентификатор приложения
AMR Адаптивный мультискоростной
ANSI Институт национальных стандартов США
AoC Уведомление о начислении оплаты
AoCC Уведомление о начислении оплаты (расходы)
AoCI Уведомление о начислении оплаты (информация)
API Интерфейс программирования приложений
ARFCN Абсолютный номер частоты радиоканала
ARIB Ассоциация радиоиндустрии и бизнеса
ASE Прикладной сервисный элемент
ASN.1 Абстрактная синтаксическая нотация версии 1
AT-command Команда «Внимание»
AuC Центр аутентификации
BAIC Запрет всех входящих вызовов
BAOC Запрет всех исходящих вызовов
BCCH Канал управления с широковещательной передачей
BCH Широковещательные каналы
BIC-Roam Запрет входящих вызовов при роуминге вне страны собственной PLMN
BOIC Запрет исходящих международных вызовов
BOIC-exHC Запрет исходящих международных вызовов за исключением вызовов в страну собственной PLMN
BTS Базовая станция
BSC Контроллер базовой станции
BSS Система базовых станций
BSSMAP Прикладной протокол управления подсистемой базовых станций
CAI Информация о начислении оплаты
CAMEL Усовершенствованная логика мобильной связи для пользовательских приложений
CAP Прикладная подсистема CAMEL
CB Запрет вызова
CBC Центр сотового вещания
CBCH Канал широковещательной передачи в соте
CBS Служба сотового вещания
CC Управление вызовом
CCBS Установление соединения при занятости абонента
СССH Общий канал управления
CD Отклонение вызовов
CDR Отчет о вызовах
CF Переадресация вызова
CFB Переадресация вызова при занятости
CFNRc Переадресация вызова при недоступности терминала
CFNR Переадресация вызова при отсутствии ответа
CFU Безусловная переадресация вызова
CLI Идентификатор линии вызывающего абонента
CLIP Представление идентификации линии вызывающего абонента
CLIR Ограничение идентификации линии вызывающего абонента
CM Управление конфигурацией
CMIP Протокол общей управляющей информации
CMISE Сервисный элемент общей управляющей информации
CN Базовая сеть
CNAP Представление имени вызывающего абонента
COLP Представление идентификации подключенной линии
COLR Ограничение идентификации подключенной линии
CORBA Технология построения распределенных объектных приложений, предложенная фирмой
CS Коммутация каналов
CS-1 Набор возможностей Интеллектуальной сети
CSE Сервисная среда CAMEL
CUG Замкнутая группа пользователей
CW Уведомление об ожидающем вызове
CWTS Китайская группа стандартизации беспроводной связи
DCE Аппаратура окончания канала данных
DCCH Выделенный канал управления
DTE Оконечное оборудование данных
DTMF Многочастотная сигнализация
DTX Прерывистая передача
ECT Явный перевод вызова
EGPRS Усовершенствованная GPRS
EIR Регистр идентификации оборудования
EM Подсистема управления элементами
eMLPP Усовершенствованная услуга многоуровневой приоритетности и приоритетного прерывания обслуживания
EN Знак соответствия стандартам Европейского комитета по стандартизации
E-OTD Улучшенная наблюдаемая разница по времени
EP Элементарная процедура
ETSI Европейский институт стандартизации телекоммуникации
FACCH Канал управления с быстрым доступом
FCCH Канал коррекции частоты
FM Управление отказами
GAD Описание географической зоны
GBS Общие службы переноса
GDMO Руководство для определения управляемых объектов
GERAN Сеть радиодоступа GSM EDGE
GGSN Шлюзовой узел поддержки GPRS
GLR Шлюзовой регистр местоположения
GMLC Шлюзовой центр определения местоположения мобильной связи
GMSC Шлюзовой MSC
GPRS Служба пакетной передачи данных общего пользования
gprsSSF Функция коммутации услуг GPRS
GPS Глобальная система позиционирования
GSM Глобальная система мобильной связи
GSM-EFR Усовершенствованный полноскоростной речевой кодек GSM
gsmSCF Функция управления услугами GSM
gsmSRF Функция поддержки специализированных ресурсов GSM
gsmSSF Функция коммутации услуг GSM
GSN Узел поддержки GPRS
GT Глобальный заголовок
GTP Тоннельный протокол GPRS
HDLC Управление звеном данных верхнего уровня
HE Собственная среда
HLR Опорный регистр местоположения
HPLMN Собственная сеть сухопутной мобильной связи общего пользования
HSCSD Высокоскоростная передача данных с коммутацией каналов
IC Интегральная схема
ID Идентификатор
IMEI Международный идентификатор мобильного оборудования
IM-GSN Промежуточный обслуживающий узел GPRS
IM-MSC Промежуточный центр коммутации мобильной связи
IMSI Международный идентификатор мобильной станции
IN Интеллектуальная сеть
INAP Протокол прикладного уровня Интеллектуальной сети
IP Протокол Интернет
IPLMN Запрашивающая PLMN
IrDA Ассоциация передачи данных в инфракрасном диапазоне
IrMC Мобильная связь в инфракрасном диапазоне
IRP Эталонная точка интеграции
IS Информационная служба
ISDN Цифровая сеть с интеграцией служб
ISO Международная организация по стандартизации
ISUP Подсистема пользователя ISDN
Itf-N Интерфейс N
IWF Функция взаимодействия
LAN Локальная сеть
LCS Служба определения местоположения
LMSI Идентификатор местной мобильной станции
LMU Блок определения местоположения
LR Запрос на определение местоположения
MAP Прикладная подсистема мобильной связи
MC Многократный вызов
MCC Код страны мобильной станции
ME Оборудование мобильной связи
MExE Среда исполнения для мобильной станции
MIM Информационная модель управления
MIME Многоцелевые расширения электронной почты в сети Интернет
MLC Центр определения местоположения мобильной станции
MM Управление мобильностью
MMI Интерфейс «человек-машина»
MMS Служба передачи мультимедийных сообщений
MNC Код сети мобильной связи
MNP Взаимозаменяемость номера мобильной станции
MO От мобильной станции
MO-LR Запрос от мобильной станции на определение местоположения
MPTY Многосторонний
MS Мобильная станция
MSC Центр коммутации мобильной связи
MSISDN Международный номер ISDN мобильной станции
MSP Множественный абонентский профиль
MSRN Роуминговый номер мобильной станции
MT Мобильный терминал
MT Подвижное оконечное устройство
NE Сетевой элемент
NITZ Идентификатор сети и часовой пояс
NM Управление сетью
NRM Модель сетевых ресурсов
OACSU Установление соединения без предварительного занятия радиоресурса
ODB Установленный оператором запрет на обслуживание вызовов
OMG Группа управляемых объектов
OS Операционная система
OSA Архитектура открытых систем
OSI Взаимосвязь открытых систем
PBX Учрежденческая телефонная станция
PCH Канал вызова (пейджинга) MS Канал вызова MS
PCM Импульсно-кодовая модуляция
PDC-EFR Речевой кодек ARIB PDC-EFR со скоростью 6.7 Кбит/сек
PDN Сеть передачи данных общего пользования
PDP Протокол пакетной передачи данных
PDU Блок данных протокола
PI Индикатор представления
PIX Расширение идентификатора собственного приложения
PLMN Сеть сухопутной мобильной связи общего пользования
PP «Точка-точка»
PS Пакетная коммутация
PSE Персональная сервисная среда
PSTN Коммутируемая телефонная сеть общего пользования
RACH Канал запроса доступа в сеть
RANAP Прикладная подсистема сети радиодоступа
RID Идентификатор зарегистрированного провайдера приложений
RLC/MAC Управление радиолинией/ Управление доступом к среде
RLP Протокол радиолинии
RNC Контроллер радиосети
RNS Система радиосети
RR Радиоресурс
SACCH Канал управления с медленным доступом
SAT Инструментарий приложения SIM
SC Сервисный центр
SCCP Подсистема управления соединением сигнализации
SCH Канал синхронизации
SCR Исходная управляемая скорость
SCS Сервер сервисных возможностей
SDO Организация-разработчик стандартов
SDR Программно управляемое радио
SGSN Обслуживающий узел поддержки GPRS
SI Индикатор просеивания
SID Дескриптор молчания
SIM Модуль идентификации абонента GSM
SIWF Функция совместного взаимодействия
SIWFS Сервер функции совместного взаимодействия
SM Управление сеансами
SMIL Синхронизированный мультимедийный язык интеграции
SM-RL Функция трансляции коротких сообщений
SMS Служба коротких сообщений
SMSC Центр службы коротких сообщений
SMSCB Служба коротких сообщений – сотовое вещание
SMTP Простой протокол электронной почты
SOR Поддержка оптимальной маршрутизации
SRNC Обслуживающий контроллер радиосети
SRNS Обслуживающий RNS
SS Дополнительная услуга
SS Набор решений
SS7 Система сигнализации № 7
SSF Функция коммутации услуг
T1 Комитет по стандартизации T1 (часть ANSI)
T1P1 Технический подкомитет по беспроводным/подвижным услугам и системам
TA Адаптация терминалов
TAF Функция адаптации терминалов
T-BCSM Модель состояний обслуживаемого базового вызова
TCAP Средства транзакций
TCH/F Речевой канал с полной/половинной скоростью
TDMA Множественный доступ с временным разделением
TDMA_EFR Усовершенствованный речевой кодек TIA IS-641
TDMA_USI TIA TDMA-US1 (Кодек 12.2 Кбит/сек, аналогичный GSM-EFR)
TE Оконечное оборудование
TIA Ассоциация промышленности средств связи
TMSI Временный идентификатор мобильной станции
TOA Время прибытия
TrFO Операция без транскодера
TS Техническая спецификация
TSG Группа по разработке технических спецификаций
TTA Ассоциация телекоммуникационных технологий (Корея)
TTC Комитет по телекоммуникационным технологиям (Япония)
TUP Подсистема пользователя телефонной связи (система сигнализации № 7)
UDP Пользовательский датаграммный протокол
UE Оборудование пользователя
UICC Универсальная карточка IC
UIM Модуль идентификатора пользователя
UMTS Универсальная система мобильной связи
USAT Инструментарий приложения USIM
USIM Универсальный модуль идентификатора абонента
USSD Данные неструктурированных дополнительных услуг
UTRA Универсальный наземный радиодоступ
UTRA-FDD Универсальный наземный радиодоступ – дуплекс с разделением частот
UTRAN Сеть универсального наземного радиодоступа
UTRA-TDD Универсальный наземный радиодоступ – дуплекс с временным разделением
UUS Сигнализация «пользователь-пользователь»
VAD Детектор речи
VBS Служба голосового вещания
VGCS Служба вызовов голосовой группы
VHE Виртуальная собственная среда
VLR Регистр временного местоположения
VMSC Визитный центр коммутации мобильной связи
VPLMN Визитная сеть сухопутной мобильной связи общего пользования
WAP Протокол беспроводных приложений
Social Engineering - Канал посвященный психологии, социальной инженерии, профайлингу, НЛП, Хакингу, Анонимности и безопасности в сети интернет, Даркнету и все что с ним связано. Добро пожаловать ;-)
S.E.Book - Литература социального инженера.
@Social_Engineering_bot - Бот обратной связи.
- Социальная инженерия. Фишинг.
- Социальная инженерия. Спам-письмо. Факторы, влияющие на количество и качество отклика.
- Социальная Инженерия. Ограничение выбора и Механизмы воздействия.
- Скрытый кейлоггинг. Обзор KeyLogger PRO.
- MS Active Directory. Атаки на домен.
- Xakep #246. Учиться, учиться, учиться!
- Социальная Инженерия. Инструменты обмана в сфере банковских услуг.