BLOGveida draza tehniskajā pierakstā

Mobilo telefonu (GSM) tīklu uzlaušana

Mobilo telefonu (GSM) tīklu uzlaušana (8 komentāri)

Kirils 2010-12-30 02:10:48 Tehnoloģijas
Bilde rakstam 27C3 tika nodemonstrēts reāls pierādījums tam, ka ir iespējams noklausīties GSM (ar šifrēšanu) telefona sarunas. Tika paradīts pilns ceļš no tikai telefona numura līdz diviem AMR failiem (balss ierakstiem vienā un otrā virzienā).

GSM asociācija par šo problēmu tika informēti pirms gada, bet paziņoja, ka to realizēt dzīvē ir gandrīz nereāli, jo ir jādislocē un jāidentificē "upuris". Vakar Karsten Nohl un Sylvain Munaut pirms dažiem desmitiem stundu nodemonstrēja trūkstošos soļus. Ja vēlies uzzināt, kā tas tika izdarīts, tad lasi tālāk!

  1. Noskaidrot IMSI un valsti/reģionu.

    To var noskaidrot no HLR par dažiem centiem dažādos publiski pieejamos servisos. Mums vajadzīgs MSC, kas būtībā nosaka atrašanās vietu daudz precīzāk, bet bieži pēdējie cipari tiek nonullēti.

  2. Noskaidrot atrašanās vietu.

    Šeit ir divi varianti. Pirmais ir braukāt apkārt pa attiecīgo terotoriju ar automašīnu un klausīties, kurā šūnā var dzirdēt attiecīgo TMSI. Tas strādās atkarībā no tīkla un valsts, kurā telefons atrodas. Piemēram, izskatās, ka LMT lietotājus var identificēt tikai līdz novada (Kurzeme, Latgale, utt.) līmenim.

    Otrs variants ir fiziski izsekot "upuri" ar citām metodēm. Šis nav tik vienkārši un tur nepieciešamas citas zināšanas kā vien telefona numurs. Jāņem vērā, ka abas metodes var apvienot. Šajā procesā mēs noskaidrojam arī TMSI, jo tas ir brīvi pieejams datu plūsmā.

    Acīgākie lasītāji pamanīs, ka TMSI nav tas pats kas IMSI. Kā to iegūt? Sūtot SMS uz telefona numuru un klausoties, kuri TMSI tiek "izsaukti" attiecīgajā šūnā. Tie ar lielu varbūtību būs vairāki TMSI, jo arī citi cilvēki mēdz saņemt SMS, tāpēc mēs sūtam SMS vēl un vēl un vēl, un taisam visu saņemto TMSI kopu šķēlumu. Tas arī ir mūsu meklētais numurs. Jāpiebilst, ka SMS ir iespējams nosūtīt tā, lai saņēmējs reāli SMS nesaņem, piemēram sūtot klusās SMS (ko operatori var bloķēt) vai arī SMS ar nedefinētiem tipiem (ko telefons neattēlos).

  3. Notvert šifrēto datu plūsmu, kas domāta attiecīgajam TMSI.

    Kādreiz to varēja izdarīt ar speciālu aparatūru, kas maksāja vairākus desmitus tūkstošu latu. Tad sāka parādīties projekti, kas to ļauj izdarīt par nepilnu tūkstoti.

    Aizvakar mums tika prezentēts, kā to var izdarīt ar četriem Motorola C123 telefoniem (katru var iegādāties lietotu par mazāk kā 10 latiem). Lai efektīvi veiktu uzbrukumu, būs nepieciešams pielodēt USB izeju (iebūvētā seriālā izeja nespēj pārraidīt vajadzīgo kanālu skaitu) un jāizlodē trokšņu filtrs, lai varētu uztvert augšupejošo plūsmu no telefoniem vairāk kā 20 metru attālumā (20 - ~100 metri). Telefonā vajadzēs arī ielādēt OsmocomBB programmatūru, pārrakstot oriģinālo.

    Tātad ar aptuveni 40 latu ieguldījumiem mēs varam iegūt šifrēto datu plūsmu, kas nāk no vai iet uz konkrēto TMSI.

  4. Atšifrēt datu plūsmu.

    Tas ir ticis demonstrēts jau pagajušajā gadā, taču tagad tiek piedāvāta uzlabota varavīkšņu tabulu versija, kuru iebarojot Kraken, uzlauzt A5/1 var vēl ātrāk. Tas, ka A5/2 ir vēl nedrošāks jau sen ir skaidrs, un par to pat nav vērts runāt. Informēju īpaši neinformētos, ka GSM šobrīd izmanto A5/1 vai A5/2 šifrēšanu.

  5. Nokonvertēt atšifrētās paketes uz AMR.

    Šis ir solis bez jebkādas kriptogrāfijas pieskaņas un izdarāms ar nelielu triviālu skriptu.

Lai noskaidrotu sīkāku informāciju, piedāvāju noskatīties prezentācijas video angļu valodā.

Komentāri


001. CART 2010-12-30 09:02:28
Laboratoriskos apstākļos var šītā pačakarēties :) , bet reālājā dzīvē būs krietni grūtāk. Dabūt mērķklienta sarunu pilsētā vispār būš bezceris. TMSI biežī mainās - pie on/off telefonam, pie VLR tīrīšanas, pie LAC maiņas (ja tā nodefinēts) vai citos definētos gadījumos. TMSI nav brīvi pieejams air datu plūsmā. Operatori izmanto modificētus A5/ algoritmus - tādēļ varavīkšņu tabulas, kuras ģenerētas nemainītam A5/ algoritmam, nederēs. Bet nu prieks, ka cilvēki šo lietu pēta un kāpj uz varžacīm GSM asociācijai, lai tie neguļ uz lauriem un turpina strādāt.

002. Zandis 2010-12-30 09:37:11
kaut kāds mkv sūds, ieliec avi

003. Madars 2010-12-30 13:17:08
> bet reālājā dzīvē būs krietni grūtāk. Dabūt mērķklienta sarunu pilsētā vispār būš bezceris.

video ir PoC Berlīnes centrā; tie īsti nav laboratoriski apstākļi.

> Operatori izmanto modificētus A5/ algoritmus - tādēļ varavīkšņu tabulas, kuras ģenerētas nemainītam A5/ algoritmam, nederēs.

[citation needed]. vairusm telefonu neatbalsta neko citu kā vien A5/1 un A5/2, tāpēc operatori nevar izmantot neko citu saziņā ar tiem (izņemot sutīšanu plaintextā).

004. l0X 2010-12-30 20:49:54
> kaut kāds mkv sūds, ieliec avi
Moš, iemācies lietot MPlayer, VLC, CCCP, da kaut K-Lite?

005. Kaspars Foigts [ esmu te ] 2010-12-30 21:51:04
Šis ir kārtējais šauri specializētais veids, kā noklausīties sarunas. Metode nav jauna - ja ne praksē, tad vismaz teorijā tika aprakstītas kā iespējamas jau 2003/2004. gadā. Par praksi neko nezinu.

Es vairāk priecājos, ka šajā konferencē atkal jau figurē strādājošs OpenBSC setups :)

006. Archy [ esmu te ] 2011-01-03 02:26:40
Interesanti

007. Linda [ esmu te ] 2012-12-24 21:01:31
No shim lietam neko nesaprotu , vaig palidzibu , ar mieru esmu maksat par pakalpojumu.

008. Linda [ esmu te ] 2012-12-25 14:25:26
Gaidu Jūsu ziņu uz e-pastu steidzīgi , vajag šo pakalpojumu.

ŠEIT ATKRITUMUS IZMEST AIZLIEGTS
Apnicis katru reizi no jauna aizpildīt pirmos 3 laukus? Spied!



Netiks publicēts, kamēr netiks ieviesta antispama sistēma.

Ja raksti mājaslapas adresi, neaizmirsti http://.



Neaizmirsti, ka jebkāda offtopika vieta ir tur, nevis šeit!

Skaitītājs

Unikālie hosti
Šodien:175
Vakar:168
Ra:275

Cita draza

1. SIA
Sargiet bērnus: nelieciet viņiem elpot tabakas dūmus!