Продемонстрирована базовая станция GSM на базе свободного ПО и бюджетного телефона На прошедшей в последние дни декабря 29 конференции Chaos Communication Congress (29C3) по традиции были показаны достижения инициативы по исследованию слабых мест протокола GSM и разработке открытой реализации стека для сетей GSM. На этот раз на конференции был продемонстрирован прототип передающей станции GSM, реализованный с использованием бюджетного мобильного телефона Motorola C123 (модель 2006 года), подключенного к ноутбуку со специализированным открытым ПО для дополнительных вычислений. Подготовленная связка обеспечивала передачу сигналов, обычно транслируемых базовой станцией GSM. При помощи анализатора трафика Wireshark было продемонстрировано, что несколько находящихся в зале мобильных телефонов посетителей конференции успешно подключились к созданной ячейке GSM-сети и даже осуществили через неё отправку SMS. Для достижения подобного результата были задействованы ранее выявленные бреши в безопасности сетей GSM и новейшие разработки проекта OsmocomBB, в рамках которого ведётся исследовательская работа по созданию свободного GSM-стека для мобильных телефонов. Функциональность, необходимая для реализации базовой станции GSM, могла была обеспечена и ранее, благодаря использованию свободных проектов OsmoBTS и OpenBSC, в сочетании со специализированными платами. Например, в прошлом году на базе указанных компонентов была организована работа самодостаточной GSM-сети. В нынешнем прототипе был использован выявленный разработчиками OsmocomBB факт, что для GSM-передачи можно обойтись без взаимной аутентификации между телефоном и GSM-сетью. Подобная особенность также может быть использована для обнаружения абонентов и осуществления прослушивания через создание IMSI-ловушек. Более того, используемый в GSM сетях алгоритм шифрования A5/1 недостаточно надёжен и создаваемую с его помощью защиту можно легко обойти (техника подслушивания переговоров была продемонстрирована ещё в 2010 году). В качестве передающего узла был выбран телефон Motorola C123, который можно купить за несколько сотен рублей, так как в нём используется достаточно хорошо изученный baseband-процессор Texas Instruments Calypso, используемый для обеспечения работы GSM-стека и цифровой обработки сигналов. Для телефонов на базе платформы TI Calypso подготовлена собственная прошивка OsmocomBB, позволяющая полностью контролировать работу чипа. Реализованные в последнее время возможности OsmocomBB, позволили выйти за рамки работы в роли клиента и использовать используемую в телефоне платформу TI Calypso для превращения аппарата в приёмо-передающую станцию. Для того, чтобы добиться подобных возможностей пришлось внести ряд изменений в процесс обработки сигналов на телефоне и в соответствующие реализации кодирования каналов. В частности, от мобильного телефона, позиционируемого как принимающее устройство, удалось добиться такой несвойственной возможности, как широковещательные анонсы базовой станции, используемые для привлечения внешних телефонов для присоединения к созданной ячейке сотовой сети. В докладе также упомянуто несколько других интересных открытый, выявленных при изучении телефонов на платформе TI Calypso. Например, оказалось, что можно запрограммировать генератор частоты телефона на использование нестандартных параметров синхронизации сигналов, используемых некоторыми коммерческими беспроводными мобильными системами. Кроме того, было выявлено несколько уязвимостей в цифровом сигнальном процессоре, что позволило изменить адрес начальной загрузки, кастомизировать код сигнального процессора для своих нужд и произвольно манипулировать модуляцией. В итоге, всё это позволило добиться от телефона поддержки приёма и отправки последовательностей сигналов в обычной ситуации поддерживаемых только базовыми станциями. При этом процесс демодуляции выполнялся на стороне ноутбука. Во время демонстрации были показаны все стадии настройки фиктивной базовой станции: Вначале была произведена замена прошивки телефона на прошивку от проекта Osmocom. Затем была произведена установка пакета OpenBTS и выбор эталонной мобильной сети, в качестве которой использовалась не коммерческая сотовая сеть, а специально развёрнутая для участников конференции внутренняя GSM-сеть. После этого, был осуществлён выбор частоты сигнала сотовой сети, которая подлежит обязательному лицензированию (в эксперименте все требования были соблюдены и используемые частоты согласованы). Все необходимые для повторения опыта исходные тексты планируется опубликовать в начале 2013 года. Из планов на будущее отмечается реализация OpenBSC, увеличение стабильности и создание решения, которое можно будет использовать на различных мобильных телефонах. Также не исключается обеспечение поддержки голосового канала связи и создание сниффера, реализованного в виде симулированной базовой станции. Желающим попрактиковаться с созданием базовых станций рекомендуется обязательно предварительно получить тестовую лицензию у соответствующих регулирующих органов. Кроме того, не следует терять здравый смысл и слишком далеко заходить в своих экспериментах, так как GSM используется для обеспечения некоторых критически важных сервисов. Видеозаписи прозвучавших на конференции 29C3 выступлений уже опубликованы на FTP и частично размещены на официальном YouTube-канале конференции. 01.01.2013 http://www.opennet.ru/opennews/art.shtml?num=35735 http://www.h-online.com/open/news/item/29C3-Budget-mobile-turns-into-GSM-base-station-1775204.html
Все новое - хорошо забытое старое: 30.12.2010 11:35 Продемонстрирована реальность перехвата GSM-переговоров http://www.opennet.ru/opennews/art.shtml?num=29162 На конференции Chaos Computer Congress продемонстрирована техника подслушивания переговоров по GSM-сети, используя лишь обычный ноутбук и дешевый телефон Motorola за 15 долларов. Методы перехвата публиковались и ранее, но для их реализации требовалась покупка специализированного оборудования, стоимостью минимум $1500 (по другим данным - $5000). Год назад, была продемонстрирована возможность расшифровки данных в сетях GSM, использующих 64-разрядные шифры A5/1. В то время представители сотовых сетей заявили, что метод представляет лишь теоретический интерес, так как требует подбора специального оборудования, организации корректного перехвата и выделения нужного шифрованного сигнального канала из достаточно насыщенного эфира. Энтузиасты опровергли подобное мнение и преодолели возникшие на их пути трудности. В частности, за год в рамках проекта OsmocomBB удалось разработать свободный GSM-стек для мобильных телефонов, который позволяет полностью контролировать процесс передачи данных. Используя для перехвата телефон с прошитым GSB-стеком OsmocomBB в рамках конференции за несколько минут была продемонстрирована запись телефонного звонка одного участника конференции другому. Техника определения приблизительного местоположения телефона (прослушивание GSM-эфира должно производиться в близости от прослушиваемого абонента) построена на основании использования публичных интернет-сервисов вкупе с анализом служебного GSM-трафика, определяющего маршрут доставки данных, после отправки жертве поврежденного или пустого SMS-сообщения, которое не отображается на телефоне получателя. Для выделения нужной частоты для перехвата также используется отправка пустого SMS с последующим выявлением случайного идентификатора сессии (TMSI) путем сниффинга. После того как удалось выявить нужный поток, остается решить вопрос его расшифровки. Используя особенность заполнения пустых областей в периодически отправляемых проверочных пакетах, используемых для определения активности абонента, с большой долей вероятности можно предсказать содержимое текста в зашифрованных идентификационных сообщениях, что в комбинации с ранее сформированной двухтерабайтной Rainbow-таблицей предгенерированных ключей шифрования, позволяет подобрать используемый для шифрования GSM-сессии секретный ключ примерно за 20 секунд. Так как большинство сотовых операторов используют один и тот же сессионный ключ и для других сессий, не представляет проблем расшифровать следующий телефонный звонок ключом, перехваченным в процессе отправки пустого SMS. По утверждению участвовавшего в разработке эксперта, чем больше удается узнать о GSM, тем более незащищенной выглядит данная технология. GSM напоминает компьютеры в сети начала 90-х годов, когда люди совершенно не задумывались о вопросах безопасности. Представленный метод перехвата использует тривиальные недоработки, которые могут быть легко устранены. Например, для защиты операторам достаточно усложнить доступ к информации о маршрутизации между узлами своей сети, использовать разные ключи шифрования для каждой новой абонентской сессии и заполнять пустые блоки в пакетах не нулями, а случайным набором данных. Например, в стандарте 3G данные недоработки уже устранены и он способен обеспечить защиту от представленной техники перехвата.
User100, это две принципиально разные вещи. Новая штука позволяет поднять свою gsm без дорогого usrp на дешевом телефоне стоимостью до 20 усд
Все та же новость про перехват GSM через OsmocomBB . Способ практически не несет никаких новшеств от продемонстрированного в 2010 г. То же было показано на той же конфе в 2011 : https://webcache.googleusercontent.com/search?q=cache:NEc6AYJ8k70J:uglev.livejournal.com/107680.html+&cd=2&hl=ru&ct=clnk&gl=ru&client=firefox-a
Вы сбиваете в кучу разные вещи. Эта новость о том, как некие чуваки подняли софтовую базовую станцию и некие дополнительные элементы gsm сети, при этом за радиочасть этой софтовой сети отвечает телефон стоимостью 20 усд. Раньше (кажется, на том же хаос конференс) другие чуваки построили такую же софтовую БС, но для радиочасти использовались 3 USRP (стоимость одного с нужными модулями в районе 1500 усд). Такой подход позволяет обманным путем зарегистрировать нужного абонента на своей БС и прослушивать его исходящие звонки (там куча своих сложностей и нюансов, но такая возможность существует). Разница между новым методом и старым в стоимости радиочасти (4500 усд ранее и 20 усд сейчас) Теперь то, о чем пишете Вы. В Вашем первом посте описано о пассивном прослушивании эфира на частотах gsm с последующим раскодированием дампа эфира. Карлстен Нол 2010 год. Во втором посте тоже о работе Карлстена Нола, но 2011 года и немного другой направлености. Это перехват авторизационной информации абонента из эфира, потом некий терминал использует эту информацию, регистрируется в сети вместо абонента и, например, звонит на премиум номера. Говорят, что таким способом в Москве некоторые мошенники опустошали счета абонентов где-то в конце 2011-начале 2012 года.
Не увидел в новости, что перехват и расшифровка GSM были выполненны "на лету", вместо восстановления из дампа. OsmocomBB с использованием телефонов Motorola уже давно существует. Но для перехвата надо чтоб жертва была рядом с фейковой базовой станцией и для расшифровки трафа надо убить несколько часов да и винт нужен на несколько террабайт. На каждой конфе более новую версию софта показывают, но все это теплично, телефон не перемещается, Да и нормальных исходников с 2010 г. до сих пор еще нет для домашнего пользования.
Давайте разложим по полочкам В рамках этого обсуждения есть два метода "прослушки" в "домашних условиях" (не будучи сотрудником определенных ведомств): 1. "Фейковая" БС (можно прослушивать звонки в реалтайме (просто устанавливаем в параметрах БС, что трафик не шифруем, тогда звонки можем слушать в реалтайме) 2. Прослушивание эфира в нужной части диапазона с последующей обработкой дампа и выделения из него нужных данных (тут онлайн прослушка более проблематична, насколько я понимаю, и постобработка действительно делается из дампов) Оба метода требуют постоянного присутствия рядом с "жертвой", оба метода требуют постоянного подключения в интернет (первый - отправка голосового трафика абонента по назначению, например по sip, второй - отправка бинарных сообщений). Эта новость про первый метод "прослушки", презентацию я просмотрел вскользь, но, насколько я понимаю, ничего особенно нового кроме удешевления девайса, действительно нету (правда, сбить цену до 20 усд, я считаю, большим достижением). Исходников для "домашнего пользования" исследователи не дают преднамеренно (они об этом даже писали где-то). В части софта, который они выпускали в паблик, есть преднамеренно внесены ошибки именно с целью невозможности пользования софта в "боевом" режиме. Дело в том, что выпускать такие вещи в паблик чревато неконтролированными последствиями, которые приносят очень много головной боли (примеров предостаточно).
Наконец-то, скоро появятся анонимные телефонные сети, телефонные анонимайзеры(подключаешься к анонимной GSM и через шлюз звонишь всем) и тд и пр. И будет что-то типа жаббера в мире скайпа и icq. Даздравствует будущее!
Не будет анонимных телефонных сетей. Дело в том, что такая сеть в любом случае должна будет быть подключенной к другим существующим сетям, что уже исключает анонимность.