Прослушка и перехват СМС. Теория и практика. Часть 1

Разговоры о прослушке не утихают. И правда, большой брат следит за всем. Но помимо большого брата есть еще и злоумышленники, которые тоже хотят послушать твои разговоры и почитать твои смски. Что у них в арсенале? Что же правда, а что вымысел? Давайте разберемся с современными методами и возможностями, основываясь на фактах.

Методы перехвата трафика

1. Пассивный метод

Прослушка мобильного телефона путем перехвата и декодирования GSM трафика.

Устройства для этих целей свободно продаются в сети интернет, правда их стоимость начинается от 50к зелени. Грубо говоря, такое устройство представляет из себя Ноутбук, к которому подключена антенна…

Это устройство сканирует каналы сотовой связи вокруг. И дает возможность подключиться к одному из каналов и перехватывать информацию. Но есть нюанс – вся информация перехватывается в зашифрованном виде. Для расшифровки необходимо применить «радужные таблицы» и инструмент Кракен.

Этот метод перехвата сложен в своем применении даже опытному специалисту, поскольку у одного сотового оператора как минимум 4-5 ARFCN, соответственно – необходимо подключиться к каждому из этих каналов и искать информацию… С помощью такого комплекса нельзя найти какой-то определенный номер телефона, т.к. они хранятся в БД сотового оператора. Для адресации вызовов и СМС используются IMSI – внутренний идентификатор сим-карты.

Как найти IMSI абонента?

Для нахождения этого номера необходимо выполнить HLR запрос на номер абонента: HLR test sms

2. Активный метод

Этот метод предусматривает собой активное вмешательство в работу существующей GSM сети. Основным инструментом является поддельная базовая станция, которая выполняет собой роль моста между абонентами и легитимной базовой станцией оператора.

Для реализации метода можно воспользоваться професиональным (старт от $120 000), полупрофессиональным (старт от $5 000) или любительским (старт от 420$) оборудованием.

Разница между этими решениями в 3 вещах:

1. Брэнд (все таки ориентация идет на спецслужбы)

2. Вспомогательный функционал (термозащита, акб, режим “wake-on-t” и т.д.)

3. Количество радиомодулей – наверное самый важный параметр который недоступен в bladerf/hackrf и прочем любительском оборудовании это работа одновременно с несколькими операторами и на разных частотах.

Шифрование, радужные таблицы, Kraken, единороги и спецслужбы планеты Нибиру

Многие пользователи путают активный и пассивный метод перехвата трафика и создали свою секту “Свидетели использования радужных таблиц в активном методе перехвата”

Давайте разберем вопросы шифрования и начнем с видов шифрования:

А5/0 – plain text, шифрования нет или отключено

А5/1 – включено потоковое шифрование;

А5/2 – модификация А5/1 с умысленно заниженой сложностью

А5/3 – (Kasumi) от создателя RSA появился с приходом сети 3g

A5/4 – модификация Kasumi для работы в LTE сетях

Как же происходит взлом?

В отличии от пассивного метода перехвата в активном методе злоумышленник сам управляет шифрованием. Все модели шифра A5 используют ключ, который храниться как у оператора так и у абонента на его sim карте, этот ключ уникален для каждого абонента и для его защиты существует к каждой сим карте специальный крипточип и этот крипточип выполнит все что ему скажет базовая станция. Фейк БС представляется абонентом для реальной БС а реальной БС представляется абонентом при этом для абонентского устройства применяется понижение шифрования до уровня А5/2 – который расшифровывается на лету онлайн и в этот момент ловушка ИЗВЛЕКАЕТ СЕКРЕТНЫЙ КЛЮЧ АБОНЕНТА и дальше восстанавливает связь на шифровании прежнего уровня. Таким образом получив ключ шифрования абонента злоумышленнику не нужны ни Кракены ни радужные таблицы и он может расшифровывать все он-лайн.

3. Интерактивный метод

Полный доступ к смс, звонкам, и геолокации любого абонента в любой точке мира

Его можно называть по разному, но суть его сводиться к получению доступа в мобильную сеть и эксплуатации уязвимости протокола SS7(ОКС7). Сам доступ представляет из себя ip+port+login+pass но в таком виде его могут использовать только те, кто уже имел опыт общения с ним.

Где купить?

Многие пытаются искать в ТОРе, ищут какие-то “хакерские” сайты типо ТЫЦ но кроме как на кидал вряд ли на кого можно наткнуться. Вместо этого доступ можно получить официально или полу официально у телеком операторов и отдельных структур занимающихся GSM перехватом на совершенно законных основаниях.

Список контор предоставляющих доступ к ss7

Зачастую доступ предлагается только правительственным организациям, но при совершении сделки (оплата биткоин или банк escrow) моменты проверки сводятся к “мы вам верим”.

Но тут есть один подводный камень, в процессе покупки доступа необходимо четко согласовать территорию доступа, дело в том что доступ к абоненту может быть ограничен только территорией той страны, представителем которой вы являетесь и при попытке доступа к другим странам вас просто отключают, а потом сообщают ссылку на правила, которые вы нарушили и деньги назад никто не вернет, но так-же часто подобные запреты реализованы в пользовательском веб-интерфейсе к которому вы получаете доступ после покупки.

Сколько это стоит?

Забудьте дебильные статьи типо “За 500 долларов можно прослушать любой телефон в мире!” или “Школьник сэкономил на обедах и прослушал свою учительницу без регистрации и смс” – весь этот бред написан журналистами, цель которых – сенсация.

Если взять хайп связанный с ТОР проэктом “interconnect0r” – то этот хайп разлетелся по всему миру, хотя сделать сайт такой в торе – дело 5 минут.

Я связывался со многими конторами и скажу что разброс цен от $10 000 до $30 000 в месяц, дешевле ничего найти не удавалось и разница в цене обусловлена отсутствием территориальной привязки и дополнительными возможностями web интерфейса.

4. IMSI ловушка

На многих ресурсах IMSI ловушками называют поддельные базовые станции, однако я бы выделил для этого очень полезного девайса отдельный термин. IMSI ловушка это “прибор” например на базе RTL-SDR который видит всех абонентов вокруг себя. Он использует пассивный метод перехвата, что делает его обнаружение практически невозможным.

Самостоятельное использование данного прибора сомнительно т.к. ну что такого можно изъять из списка 30-40 окружающих абонентов? Причем видны не просто номера а только IMSI/TMSI/Имя сети.

Данный прибор чрезвычайно полезен при использовании поддельной базовой станции и полезен он как средство защиты злоумышленника при перехвате!

Пример №1:

Злоумышленник ждет жертву(например около дома) и хочет перехватить звонки жертвы с помощью bladerf. Ему необходимо включить фейк БС и сидеть ждать, но в этот момент он становиться уязвим т.к. его можно обнаружить. Поэтому злоумышленник включает сначала IMSI ловушку, которая при появлении цели автоматически сама включит фейк БС, а поскольку IMSI ловушка использует пассивный метод перехвата то обнаружить ее практически невозможно. Таким образом злоумышленник будет работать только когда цель будет рядом.

Пример №2

Мне поступало много вопросов типа “Можно ли сделать чтобы bladerf бил на 1км?” и каждый раз у меня в голове возникала сцена из фильма “Спортлото 82”:

– Сан Саныч, эти ягоды можно есть?

– Можно, только отравишся

Точно так-же и ответ на этот вопрос – можно, только спалишся. Дело в том что при включении фейк БС рассылает beacon запрос (типо – Я тут! Идите ко мне! Подключайтесь!) и когда этот не легитимный запрос попадает на легитимную БС реального сотового оператора – включается “сигнализация” и сотовый оператор сразу в курсе о том что появилась неопознанная БС, соответственно отсчет пошел и вопрос пары десятков минут пока злоумышленник будет обнаружен. Для того чтобы этого избежать необходимо перед включением фейк БС проверить расстояние до ближайшей БС(по уровню сигнала) и коррелировать мощность фейк БС, чтобы не попасться на глаза легитимной БС и для этого удобнее всего использовать опять таки функции RTL-SDR как IMSI ловушки.

Оборудование

1. Motorolla cXXX

Описание:

В основе данного оборудования лежит старый телефон Motorolla на базе чипсета Calypso (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171) и т.д. который ввиду утечки спецификации в сеть был доработан участниками проекта Osmocom и кабель USB-TTL. Крайне нестабильная работа, постоянные лаги и зависания, маленький радиус действия компенсируется очень дешевой ценой – на все уйдет около 20 баксов.

Отличный вариант для самостоятельного изучения, однако стоит учесть, что при пассивном методе перехвата для получения входящего на телефон трафика необходимо будет перепаять два ооочень маленьких фильтра, поэтому лучше купить уже готовый комплект и не морочить себе голову.

Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети

Где купить: Обычную версию на радио рынке (MotorolaC115/C117/C123/C121/C118/C140/C139/C155/V171)

Кабель USB-TTL можно спаять самому или купить готовый:

USB-TTL

Готовую версию перепаянную под работу можно найти на ебей или taobao.

eBay Osmocom

Софт:

Osmocom, TyphonOS

Фото:

2. HackRF

Описание: Легендарная SDR от Great Scott Gadgdgets. Морально немного устарела, но тем не менее – свою работу делает. Подходит для тех, кто только хочет попробовать, но ещё не определился с серьезностью намерений. Основной недостаток: слабый сигнал.

Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети

Где купить: AliExpress (многочисленные реплики на любой вкус и цвет)

Софт: OpenBTS 2g/3g

Фото:

3. BladeRF

Описание: Новое поколение устройств SDR. Обладает намного более гибкими настройками, большой мощностью и полным дуплексом связи. Для полноценной иммитации БС рекомендуется использовать имено это устройство.

Возможности: IMSI Ловушка, Активный метод перехвата, Пассивный метод перехвата, Создание собственной сотовой сети

Где купить: в интернете

Софт: OpenBTS 2g/3g

Фото:

4. Rtl-SDR

Описание: ТВ тюнер который так же является SDR при этом стоит очень дешего и он ОБЯЗАН быть у каждого, кто строит свою БС. Основная его цель – измерение расстояния до реальной легитимной БС и на основании этого расстояния пользователь должен выбирать силу сигнала своей фейковой БС. Так-же из него отлично получаются IMSI ловушки

Возможности: IMSI Ловушка, Пассивный метод перехвата

Где купить: На Aliexpress

Aliexpress

Софт: IMSI-Catcher

Фото:

Готовые сборки операционных систем:

Многим будет сложно самому сделать сборку и поддержку всех програмных компонентов для работы с указанным выше оборудованием, поэтому ниже вы сможете скачать уже готовые сборки

GNU-Radio

Сборка с установленной массой компонентов для работы с SDR. Поддерживает RTL-SDR/BladeRf/HackRf

GNU-Radio LiveCD 14

GNU-Radio LiveCD 16

RTL-SDR/HackRF

Предустановленный софт для построения IMSI ловушки и работы с HackRF

RTL-SDR/HackRF

BladeRF Pentoo

Сборка для работы с BladeRf

BladeRF

Osmocom

TyphonOS

Терминология

2G Второе поколение стандарта GSM

3G Третье поколение стандарта GSM

3GMS Система мобльиной связи третьего поколения

3GPP Партнерский проект по третьему поколению

AGCH Канал уведомления о разрешении доступа

AID Идентификатор приложения

AMR Адаптивный мультискоростной

ANSI Институт национальных стандартов США

AoC Уведомление о начислении оплаты

AoCC Уведомление о начислении оплаты (расходы)

AoCI Уведомление о начислении оплаты (информация)

API Интерфейс программирования приложений

ARFCN Абсолютный номер частоты радиоканала

ARIB Ассоциация радиоиндустрии и бизнеса

ASE Прикладной сервисный элемент

ASN.1 Абстрактная синтаксическая нотация версии 1

AT-command Команда «Внимание»

AuC Центр аутентификации

BAIC Запрет всех входящих вызовов

BAOC Запрет всех исходящих вызовов

BCCH Канал управления с широковещательной передачей

BCH Широковещательные каналы

BIC-Roam Запрет входящих вызовов при роуминге вне страны собственной PLMN

BOIC Запрет исходящих международных вызовов

BOIC-exHC Запрет исходящих международных вызовов за исключением вызовов в страну собственной PLMN

BTS Базовая станция

BSC Контроллер базовой станции

BSS Система базовых станций

BSSMAP Прикладной протокол управления подсистемой базовых станций

CAI Информация о начислении оплаты

CAMEL Усовершенствованная логика мобильной связи для пользовательских приложений

CAP Прикладная подсистема CAMEL

CB Запрет вызова

CBC Центр сотового вещания

CBCH Канал широковещательной передачи в соте

CBS Служба сотового вещания

CC Управление вызовом

CCBS Установление соединения при занятости абонента

СССH Общий канал управления

CD Отклонение вызовов

CDR Отчет о вызовах

CF Переадресация вызова

CFB Переадресация вызова при занятости

CFNRc Переадресация вызова при недоступности терминала

CFNR Переадресация вызова при отсутствии ответа

CFU Безусловная переадресация вызова

CLI Идентификатор линии вызывающего абонента

CLIP Представление идентификации линии вызывающего абонента

CLIR Ограничение идентификации линии вызывающего абонента

CM Управление конфигурацией

CMIP Протокол общей управляющей информации

CMISE Сервисный элемент общей управляющей информации

CN Базовая сеть

CNAP Представление имени вызывающего абонента

COLP Представление идентификации подключенной линии

COLR Ограничение идентификации подключенной линии

CORBA Технология построения распределенных объектных приложений, предложенная фирмой

CS Коммутация каналов

CS-1 Набор возможностей Интеллектуальной сети

CSE Сервисная среда CAMEL

CUG Замкнутая группа пользователей

CW Уведомление об ожидающем вызове

CWTS Китайская группа стандартизации беспроводной связи

DCE Аппаратура окончания канала данных

DCCH Выделенный канал управления

DTE Оконечное оборудование данных

DTMF Многочастотная сигнализация

DTX Прерывистая передача

ECT Явный перевод вызова

EGPRS Усовершенствованная GPRS

EIR Регистр идентификации оборудования

EM Подсистема управления элементами

eMLPP Усовершенствованная услуга многоуровневой приоритетности и приоритетного прерывания обслуживания

EN Знак соответствия стандартам Европейского комитета по стандартизации

E-OTD Улучшенная наблюдаемая разница по времени

EP Элементарная процедура

ETSI Европейский институт стандартизации телекоммуникации

FACCH Канал управления с быстрым доступом

FCCH Канал коррекции частоты

FM Управление отказами

GAD Описание географической зоны

GBS Общие службы переноса

GDMO Руководство для определения управляемых объектов

GERAN Сеть радиодоступа GSM EDGE

GGSN Шлюзовой узел поддержки GPRS

GLR Шлюзовой регистр местоположения

GMLC Шлюзовой центр определения местоположения мобильной связи

GMSC Шлюзовой MSC

GPRS Служба пакетной передачи данных общего пользования

gprsSSF Функция коммутации услуг GPRS

GPS Глобальная система позиционирования

GSM Глобальная система мобильной связи

GSM-EFR Усовершенствованный полноскоростной речевой кодек GSM

gsmSCF Функция управления услугами GSM

gsmSRF Функция поддержки специализированных ресурсов GSM

gsmSSF Функция коммутации услуг GSM

GSN Узел поддержки GPRS

GT Глобальный заголовок

GTP Тоннельный протокол GPRS

HDLC Управление звеном данных верхнего уровня

HE Собственная среда

HLR Опорный регистр местоположения

HPLMN Собственная сеть сухопутной мобильной связи общего пользования

HSCSD Высокоскоростная передача данных с коммутацией каналов

IC Интегральная схема

ID Идентификатор

IMEI Международный идентификатор мобильного оборудования

IM-GSN Промежуточный обслуживающий узел GPRS

IM-MSC Промежуточный центр коммутации мобильной связи

IMSI Международный идентификатор мобильной станции

IN Интеллектуальная сеть

INAP Протокол прикладного уровня Интеллектуальной сети

IP Протокол Интернет

IPLMN Запрашивающая PLMN

IrDA Ассоциация передачи данных в инфракрасном диапазоне

IrMC Мобильная связь в инфракрасном диапазоне

IRP Эталонная точка интеграции

IS Информационная служба

ISDN Цифровая сеть с интеграцией служб

ISO Международная организация по стандартизации

ISUP Подсистема пользователя ISDN

Itf-N Интерфейс N

IWF Функция взаимодействия

LAN Локальная сеть

LCS Служба определения местоположения

LMSI Идентификатор местной мобильной станции

LMU Блок определения местоположения

LR Запрос на определение местоположения

MAP Прикладная подсистема мобильной связи

MC Многократный вызов

MCC Код страны мобильной станции

ME Оборудование мобильной связи

MExE Среда исполнения для мобильной станции

MIM Информационная модель управления

MIME Многоцелевые расширения электронной почты в сети Интернет

MLC Центр определения местоположения мобильной станции

MM Управление мобильностью

MMI Интерфейс «человек-машина»

MMS Служба передачи мультимедийных сообщений

MNC Код сети мобильной связи

MNP Взаимозаменяемость номера мобильной станции

MO От мобильной станции

MO-LR Запрос от мобильной станции на определение местоположения

MPTY Многосторонний

MS Мобильная станция

MSC Центр коммутации мобильной связи

MSISDN Международный номер ISDN мобильной станции

MSP Множественный абонентский профиль

MSRN Роуминговый номер мобильной станции

MT Мобильный терминал

MT Подвижное оконечное устройство

NE Сетевой элемент

NITZ Идентификатор сети и часовой пояс

NM Управление сетью

NRM Модель сетевых ресурсов

OACSU Установление соединения без предварительного занятия радиоресурса

ODB Установленный оператором запрет на обслуживание вызовов

OMG Группа управляемых объектов

OS Операционная система

OSA Архитектура открытых систем

OSI Взаимосвязь открытых систем

PBX Учрежденческая телефонная станция

PCH Канал вызова (пейджинга) MS Канал вызова MS

PCM Импульсно-кодовая модуляция

PDC-EFR Речевой кодек ARIB PDC-EFR со скоростью 6.7 Кбит/сек

PDN Сеть передачи данных общего пользования

PDP Протокол пакетной передачи данных

PDU Блок данных протокола

PI Индикатор представления

PIX Расширение идентификатора собственного приложения

PLMN Сеть сухопутной мобильной связи общего пользования

PP «Точка-точка»

PS Пакетная коммутация

PSE Персональная сервисная среда

PSTN Коммутируемая телефонная сеть общего пользования

RACH Канал запроса доступа в сеть

RANAP Прикладная подсистема сети радиодоступа

RID Идентификатор зарегистрированного провайдера приложений

RLC/MAC Управление радиолинией/ Управление доступом к среде

RLP Протокол радиолинии

RNC Контроллер радиосети

RNS Система радиосети

RR Радиоресурс

SACCH Канал управления с медленным доступом

SAT Инструментарий приложения SIM

SC Сервисный центр

SCCP Подсистема управления соединением сигнализации

SCH Канал синхронизации

SCR Исходная управляемая скорость

SCS Сервер сервисных возможностей

SDO Организация-разработчик стандартов

SDR Программно управляемое радио

SGSN Обслуживающий узел поддержки GPRS

SI Индикатор просеивания

SID Дескриптор молчания

SIM Модуль идентификации абонента GSM

SIWF Функция совместного взаимодействия

SIWFS Сервер функции совместного взаимодействия

SM Управление сеансами

SMIL Синхронизированный мультимедийный язык интеграции

SM-RL Функция трансляции коротких сообщений

SMS Служба коротких сообщений

SMSC Центр службы коротких сообщений

SMSCB Служба коротких сообщений – сотовое вещание

SMTP Простой протокол электронной почты

SOR Поддержка оптимальной маршрутизации

SRNC Обслуживающий контроллер радиосети

SRNS Обслуживающий RNS

SS Дополнительная услуга

SS Набор решений

SS7 Система сигнализации № 7

SSF Функция коммутации услуг

T1 Комитет по стандартизации T1 (часть ANSI)

T1P1 Технический подкомитет по беспроводным/подвижным услугам и системам

TA Адаптация терминалов

TAF Функция адаптации терминалов

T-BCSM Модель состояний обслуживаемого базового вызова

TCAP Средства транзакций

TCH/F Речевой канал с полной/половинной скоростью

TDMA Множественный доступ с временным разделением

TDMA_EFR Усовершенствованный речевой кодек TIA IS-641

TDMA_USI TIA TDMA-US1 (Кодек 12.2 Кбит/сек, аналогичный GSM-EFR)

TE Оконечное оборудование

TIA Ассоциация промышленности средств связи

TMSI Временный идентификатор мобильной станции

TOA Время прибытия

TrFO Операция без транскодера

TS Техническая спецификация

TSG Группа по разработке технических спецификаций

TTA Ассоциация телекоммуникационных технологий (Корея)

TTC Комитет по телекоммуникационным технологиям (Япония)

TUP Подсистема пользователя телефонной связи (система сигнализации № 7)

UDP Пользовательский датаграммный протокол

UE Оборудование пользователя

UICC Универсальная карточка IC

UIM Модуль идентификатора пользователя

UMTS Универсальная система мобильной связи

USAT Инструментарий приложения USIM

USIM Универсальный модуль идентификатора абонента

USSD Данные неструктурированных дополнительных услуг

UTRA Универсальный наземный радиодоступ

UTRA-FDD Универсальный наземный радиодоступ – дуплекс с разделением частот

UTRAN Сеть универсального наземного радиодоступа

UTRA-TDD Универсальный наземный радиодоступ – дуплекс с временным разделением

UUS Сигнализация «пользователь-пользователь»

VAD Детектор речи

VBS Служба голосового вещания

VGCS Служба вызовов голосовой группы

VHE Виртуальная собственная среда

VLR Регистр временного местоположения

VMSC Визитный центр коммутации мобильной связи

VPLMN Визитная сеть сухопутной мобильной связи общего пользования

WAP Протокол беспроводных приложений

Продолжение следует….