Прослушиваем и перехватываем СМС!
Разговоры о прослушке не утихают. И правда, большой брат следит за всем. Но помимо большого брата есть еще и злоумышленники, которые тоже хотят послушать твои разговоры и почитать твои смски. Что у них в арсенале? Что же правда, а что вымысел? Давайте разберемся с современными методами и возможностями, основываясь на фактах.
Методы перехвата трафика
1. Пассивный метод
Прослушка мобильного телефона путем перехвата и декодирования GSM трафика.
Устройства для этих целей свободно продаются в сети интернет, правда их стоимость начинается от 50к зелени. Грубо говоря, такое устройство представляет из себя Ноутбук, к которому подключена антенна…
Это устройство сканирует каналы сотовой связи вокруг. И дает возможность подключиться к одному из каналов и перехватывать информацию. Но есть нюанс – вся информация перехватывается в зашифрованном виде. Для расшифровки необходимо применить «радужные таблицы» и инструмент Кракен.
Этот метод перехвата сложен в своем применении даже опытному специалисту, поскольку у одного сотового оператора как минимум 4-5 ARFCN, соответственно – необходимо подключиться к каждому из этих каналов и искать информацию… С помощью такого комплекса нельзя найти какой-то определенный номер телефона, т.к. они хранятся в БД сотового оператора. Для адресации вызовов и СМС используются IMSI – внутренний идентификатор сим-карты.
Для нахождения этого номера необходимо выполнить HLR запрос на номер абонента: HLR test sms
2. Активный метод
Этот метод предусматривает собой активное вмешательство в работу существующей GSM сети. Основным инструментом является поддельная базовая станция, которая выполняет собой роль моста между абонентами и легитимной базовой станцией оператора.
Для реализации метода можно воспользоваться професиональным (старт от $120 000), полупрофессиональным (старт от $5 000) или любительским (старт от 420$) оборудованием.
Разница между этими решениями в 3 вещах:
1. Брэнд (все таки ориентация идет на спецслужбы)
2. Вспомогательный функционал (термозащита, акб, режим «wake-on-t» и т.д.)
3. Количество радиомодулей — наверное самый важный параметр который недоступен в bladerf/hackrf и прочем любительском оборудовании это работа одновременно с несколькими операторами и на разных частотах.
Шифрование, радужные таблицы, Kraken, единороги и спецслужбы планеты Нибиру
Многие пользователи путают активный и пассивный метод перехвата трафика и создали свою секту «Свидетели использования радужных таблиц в активном методе перехвата»
Давайте разберем вопросы шифрования и начнем с видов шифрования:
А5/0 — plain text, шифрования нет или отключено
А5/1 — включено потоковое шифрование;
А5/2 — модификация А5/1 с умысленно заниженой сложностью
А5/3 — (Kasumi) от создателя RSA появился с приходом сети 3g
A5/4 — модификация Kasumi для работы в LTE сетях
Как же происходит взлом?
В отличии от пассивного метода перехвата в активном методе злоумышленник сам управляет шифрованием. Все модели шифра A5 используют ключ, который храниться как у оператора так и у абонента на его sim карте, этот ключ уникален для каждого абонента и для его защиты существует к каждой сим карте специальный крипточип и этот крипточип выполнит все что ему скажет базовая станция. Фейк БС представляется абонентом для реальной БС а реальной БС представляется абонентом при этом для абонентского устройства применяется понижение шифрования до уровня А5/2 — который расшифровывается на лету онлайн и в этот момент ловушка ИЗВЛЕКАЕТ СЕКРЕТНЫЙ КЛЮЧ АБОНЕНТА и дальше восстанавливает связь на шифровании прежнего уровня. Таким образом получив ключ шифрования абонента злоумышленнику не нужны ни Кракены ни радужные таблицы и он может расшифровывать все он-лайн.
3. Интерактивный метод
Полный доступ к смс, звонкам, и геолокации любого абонента в любой точке мира
Его можно называть по разному, но суть его сводиться к получению доступа в мобильную сеть и эксплуатации уязвимости протокола SS7(ОКС7). Сам доступ представляет из себя ip+port+login+pass но в таком виде его могут использовать только те, кто уже имел опыт общения с ним.
Многие пытаются искать в ТОРе, ищут какие-то «хакерские» сайты типо ТЫЦ но кроме как на кидал вряд ли на кого можно наткнуться. Вместо этого доступ можно получить официально или полу официально у телеком операторов и отдельных структур занимающихся GSM перехватом на совершенно законных основаниях.
Список контор предоставляющих доступ к ss7
Зачастую доступ предлагается только правительственным организациям, но при совершении сделки (оплата биткоин или банк escrow) моменты проверки сводятся к «мы вам верим».
Но тут есть один подводный камень, в процессе покупки доступа необходимо четко согласовать территорию доступа, дело в том что доступ к абоненту может быть ограничен только территорией той страны, представителем которой вы являетесь и при попытке доступа к другим странам вас просто отключают, а потом сообщают ссылку на правила, которые вы нарушили и деньги назад никто не вернет, но так-же часто подобные запреты реализованы в пользовательском веб-интерфейсе к которому вы получаете доступ после покупки.
Забудьте дебильные статьи типо «За 500 долларов можно прослушать любой телефон в мире!» или «Школьник сэкономил на обедах и прослушал свою учительницу без регистрации и смс» — весь этот бред написан журналистами, цель которых — сенсация.
Если взять хайп связанный с ТОР проэктом «interconnect0r» — то этот хайп разлетелся по всему миру, хотя сделать сайт такой в торе — дело 5 минут.
Я связывался со многими конторами и скажу что разброс цен от $10 000 до $30 000 в месяц, дешевле ничего найти не удавалось и разница в цене обусловлена отсутствием территориальной привязки и дополнительными возможностями web интерфейса.
4. IMSI ловушка
На многих ресурсах IMSI ловушками называют поддельные базовые станции, однако я бы выделил для этого очень полезного девайса отдельный термин. IMSI ловушка это «прибор» например на базе RTL-SDR который видит всех абонентов вокруг себя. Он использует пассивный метод перехвата, что делает его обнаружение практически невозможным.
Самостоятельное использование данного прибора сомнительно т.к. ну что такого можно изъять из списка 30-40 окружающих абонентов? Причем видны не просто номера а только IMSI/TMSI/Имя сети.
Данный прибор чрезвычайно полезен при использовании поддельной базовой станции и полезен он как средство защиты злоумышленника при перехвате!
Злоумышленник ждет жертву(например около дома) и хочет перехватить звонки жертвы с помощью bladerf. Ему необходимо включить фейк БС и сидеть ждать, но в этот момент он становиться уязвим т.к. его можно обнаружить. Поэтому злоумышленник включает сначала IMSI ловушку, которая при появлении цели автоматически сама включит фейк БС, а поскольку IMSI ловушка использует пассивный метод перехвата то обнаружить ее практически невозможно. Таким образом злоумышленник будет работать только когда цель будет рядом.
Мне поступало много вопросов типа «Можно ли сделать чтобы bladerf бил на 1км?» и каждый раз у меня в голове возникала сцена из фильма «Спортлото 82»:
— Сан Саныч, эти ягоды можно есть?
Точно так-же и ответ на этот вопрос — можно, только спалишся. Дело в том что при включении фейк БС рассылает beacon запрос (типо — Я тут! Идите ко мне! Подключайтесь!) и когда этот не легитимный запрос попадает на легитимную БС реального сотового оператора — включается «сигнализация» и сотовый оператор сразу в курсе о том что появилась неопознанная БС, соответственно отсчет пошел и вопрос пары десятков минут пока злоумышленник будет обнаружен. Для того чтобы этого избежать необходимо перед включением фейк БС проверить расстояние до ближайшей БС(по уровню сигнала) и коррелировать мощность фейк БС, чтобы не попасться на глаза легитимной БС и для этого удобнее всего использовать опять таки функции RTL-SDR как IMSI ловушки.
Оборудование
1. Motorolla cXXX
В основе данного оборудования лежит старый телефон Motorolla на базе чипсета Calypso (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171) и т.д. который ввиду утечки спецификации в сеть был доработан участниками проекта Osmocom и кабель USB-TTL. Крайне нестабильная работа, постоянные лаги и зависания, маленький радиус действия компенсируется очень дешевой ценой — на все уйдет около 20 баксов.
Отличный вариант для самостоятельного изучения, однако стоит учесть, что при пассивном методе перехвата для получения входящего на телефон трафика необходимо будет перепаять два ооочень маленьких фильтра, поэтому лучше купить уже готовый комплект и не морочить себе голову.
Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети
Где купить: Обычную версию на радио рынке (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171)
Кабель USB-TTL можно спаять самому или купить готовый:
Готовую версию перепаянную под работу можно найти на ебей или taobao.
Osmocom, TyphonOS
2. HackRF
Описание: Легендарная SDR от Great Scott Gadgdgets. Морально немного устарела, но тем не менее — свою работу делает. Подходит для тех, кто только хочет попробовать, но ещё не определился с серьезностью намерений. Основной недостаток: слабый сигнал.
Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети
Где купить: AliExpress (многочисленные реплики на любой вкус и цвет)
Софт: OpenBTS 2g/3g
3. BladeRF
Описание: Новое поколение устройств SDR. Обладает намного более гибкими настройками, большой мощностью и полным дуплексом связи. Для полноценной иммитации БС рекомендуется использовать имено это устройство.
Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети
Софт: OpenBTS 2g/3g
4. Rtl-SDR
Описание: ТВ тюнер который так же является SDR при этом стоит очень дешего и он ОБЯЗАН быть у каждого, кто строит свою БС. Основная его цель — измерение расстояния до реальной легитимной БС и на основании этого расстояния пользователь должен выбирать силу сигнала своей фейковой БС. Так-же из него отлично получаются IMSI ловушки
Возможности: IMSI Ловушка, Пассивный метод перехвата
Софт: IMSI-Catcher
Готовые сборки операционных систем:
Многим будет сложно самому сделать сборку и поддержку всех програмных компонентов для работы с указанным выше оборудованием, поэтому ниже вы сможете скачать уже готовые сборки
Сборка с установленной массой компонентов для работы с SDR. Поддерживает RTL-SDR/BladeRf/HackRf
Предустановленный софт для построения IMSI ловушки и работы с HackRF
Терминология
2G Второе поколение стандарта GSM
3G Третье поколение стандарта GSM
3GMS Система мобльиной связи третьего поколения
3GPP Партнерский проект по третьему поколению
AGCH Канал уведомления о разрешении доступа
AMR Адаптивный мультискоростной
ANSI Институт национальных стандартов США
AoC Уведомление о начислении оплаты
AoCC Уведомление о начислении оплаты (расходы)
AoCI Уведомление о начислении оплаты (информация)
API Интерфейс программирования приложений
ARFCN Абсолютный номер частоты радиоканала
ARIB Ассоциация радиоиндустрии и бизнеса
ASE Прикладной сервисный элемент
ASN.1 Абстрактная синтаксическая нотация версии 1
BAIC Запрет всех входящих вызовов
BAOC Запрет всех исходящих вызовов
BCCH Канал управления с широковещательной передачей
BIC-Roam Запрет входящих вызовов при роуминге вне страны собственной PLMN
BOIC Запрет исходящих международных вызовов
BOIC-exHC Запрет исходящих международных вызовов за исключением вызовов в страну собственной PLMN
BSC Контроллер базовой станции
BSSMAP Прикладной протокол управления подсистемой базовых станций
CAI Информация о начислении оплаты
CAMEL Усовершенствованная логика мобильной связи для пользовательских приложений
CAP Прикладная подсистема CAMEL
CBCH Канал широковещательной передачи в соте
CCBS Установление соединения при занятости абонента
CFB Переадресация вызова при занятости
CFNRc Переадресация вызова при недоступности терминала
CFNR Переадресация вызова при отсутствии ответа
CFU Безусловная переадресация вызова
CLI Идентификатор линии вызывающего абонента
CLIP Представление идентификации линии вызывающего абонента
CLIR Ограничение идентификации линии вызывающего абонента
CMIP Протокол общей управляющей информации
CMISE Сервисный элемент общей управляющей информации
CNAP Представление имени вызывающего абонента
COLP Представление идентификации подключенной линии
COLR Ограничение идентификации подключенной линии
CORBA Технология построения распределенных объектных приложений, предложенная фирмой
CS-1 Набор возможностей Интеллектуальной сети
CUG Замкнутая группа пользователей
CW Уведомление об ожидающем вызове
CWTS Китайская группа стандартизации беспроводной связи
DCE Аппаратура окончания канала данных
DCCH Выделенный канал управления
DTE Оконечное оборудование данных
DTMF Многочастотная сигнализация
EGPRS Усовершенствованная GPRS
EIR Регистр идентификации оборудования
EM Подсистема управления элементами
eMLPP Усовершенствованная услуга многоуровневой приоритетности и приоритетного прерывания обслуживания
EN Знак соответствия стандартам Европейского комитета по стандартизации
E-OTD Улучшенная наблюдаемая разница по времени
ETSI Европейский институт стандартизации телекоммуникации
FACCH Канал управления с быстрым доступом
GAD Описание географической зоны
GDMO Руководство для определения управляемых объектов
GERAN Сеть радиодоступа GSM EDGE
GGSN Шлюзовой узел поддержки GPRS
GLR Шлюзовой регистр местоположения
GMLC Шлюзовой центр определения местоположения мобильной связи
GPRS Служба пакетной передачи данных общего пользования
gprsSSF Функция коммутации услуг GPRS
GPS Глобальная система позиционирования
GSM Глобальная система мобильной связи
GSM-EFR Усовершенствованный полноскоростной речевой кодек GSM
gsmSCF Функция управления услугами GSM
gsmSRF Функция поддержки специализированных ресурсов GSM
gsmSSF Функция коммутации услуг GSM
HDLC Управление звеном данных верхнего уровня
HLR Опорный регистр местоположения
HPLMN Собственная сеть сухопутной мобильной связи общего пользования
HSCSD Высокоскоростная передача данных с коммутацией каналов
IMEI Международный идентификатор мобильного оборудования
IM-GSN Промежуточный обслуживающий узел GPRS
IM-MSC Промежуточный центр коммутации мобильной связи
IMSI Международный идентификатор мобильной станции
INAP Протокол прикладного уровня Интеллектуальной сети
IrDA Ассоциация передачи данных в инфракрасном диапазоне
IrMC Мобильная связь в инфракрасном диапазоне
IRP Эталонная точка интеграции
ISDN Цифровая сеть с интеграцией служб
ISO Международная организация по стандартизации
ISUP Подсистема пользователя ISDN
LCS Служба определения местоположения
LMSI Идентификатор местной мобильной станции
LMU Блок определения местоположения
LR Запрос на определение местоположения
MAP Прикладная подсистема мобильной связи
MCC Код страны мобильной станции
ME Оборудование мобильной связи
MExE Среда исполнения для мобильной станции
MIM Информационная модель управления
MIME Многоцелевые расширения электронной почты в сети Интернет
MLC Центр определения местоположения мобильной станции
MMI Интерфейс «человек-машина»
MMS Служба передачи мультимедийных сообщений
MNP Взаимозаменяемость номера мобильной станции
MO-LR Запрос от мобильной станции на определение местоположения
MSC Центр коммутации мобильной связи
MSISDN Международный номер ISDN мобильной станции
MSP Множественный абонентский профиль
MSRN Роуминговый номер мобильной станции
MT Подвижное оконечное устройство
NITZ Идентификатор сети и часовой пояс
OACSU Установление соединения без предварительного занятия радиоресурса
ODB Установленный оператором запрет на обслуживание вызовов
OMG Группа управляемых объектов
OSA Архитектура открытых систем
OSI Взаимосвязь открытых систем
PBX Учрежденческая телефонная станция
PCH Канал вызова (пейджинга) MS Канал вызова MS
PCM Импульсно-кодовая модуляция
PDC-EFR Речевой кодек ARIB PDC-EFR со скоростью 6.7 Кбит/сек
PDN Сеть передачи данных общего пользования
PDP Протокол пакетной передачи данных
PIX Расширение идентификатора собственного приложения
PLMN Сеть сухопутной мобильной связи общего пользования
PSE Персональная сервисная среда
PSTN Коммутируемая телефонная сеть общего пользования
RACH Канал запроса доступа в сеть
RANAP Прикладная подсистема сети радиодоступа
RID Идентификатор зарегистрированного провайдера приложений
RLC/MAC Управление радиолинией/ Управление доступом к среде
SACCH Канал управления с медленным доступом
SAT Инструментарий приложения SIM
SCCP Подсистема управления соединением сигнализации
SCR Исходная управляемая скорость
SCS Сервер сервисных возможностей
SDO Организация-разработчик стандартов
SDR Программно управляемое радио
SGSN Обслуживающий узел поддержки GPRS
SIM Модуль идентификации абонента GSM
SIWF Функция совместного взаимодействия
SIWFS Сервер функции совместного взаимодействия
SMIL Синхронизированный мультимедийный язык интеграции
SM-RL Функция трансляции коротких сообщений
SMSC Центр службы коротких сообщений
SMSCB Служба коротких сообщений – сотовое вещание
SMTP Простой протокол электронной почты
SOR Поддержка оптимальной маршрутизации
SRNC Обслуживающий контроллер радиосети
T1 Комитет по стандартизации T1 (часть ANSI)
T1P1 Технический подкомитет по беспроводным/подвижным услугам и системам
TAF Функция адаптации терминалов
T-BCSM Модель состояний обслуживаемого базового вызова
TCH/F Речевой канал с полной/половинной скоростью
TDMA Множественный доступ с временным разделением
TDMA_EFR Усовершенствованный речевой кодек TIA IS-641
TDMA_USI TIA TDMA-US1 (Кодек 12.2 Кбит/сек, аналогичный GSM-EFR)
TIA Ассоциация промышленности средств связи
TMSI Временный идентификатор мобильной станции
TSG Группа по разработке технических спецификаций
TTA Ассоциация телекоммуникационных технологий (Корея)
TTC Комитет по телекоммуникационным технологиям (Япония)
TUP Подсистема пользователя телефонной связи (система сигнализации № 7)
UDP Пользовательский датаграммный протокол
UICC Универсальная карточка IC
UIM Модуль идентификатора пользователя
UMTS Универсальная система мобильной связи
USAT Инструментарий приложения USIM
USIM Универсальный модуль идентификатора абонента
USSD Данные неструктурированных дополнительных услуг
UTRA Универсальный наземный радиодоступ
UTRA-FDD Универсальный наземный радиодоступ – дуплекс с разделением частот
UTRAN Сеть универсального наземного радиодоступа
UTRA-TDD Универсальный наземный радиодоступ – дуплекс с временным разделением
UUS Сигнализация «пользователь-пользователь»
VGCS Служба вызовов голосовой группы
VHE Виртуальная собственная среда
VLR Регистр временного местоположения
VMSC Визитный центр коммутации мобильной связи
VPLMN Визитная сеть сухопутной мобильной связи общего пользования