dastapov: (Default)
[personal profile] dastapov
Эх, давно я не брал в руки шашки и не писал про GSM. А тут как раз в комментариях на pro-gsm.info мне пишет некто Олег: Имеются в продаже так называемые репитеры для организации мобильной связи в местах плохого приема сигнала. Фактически это маленькая базовая станция (промежуточная), которая сама связывается с БС оператора и поддерживает связь с другими мобильными телефонами в радиусе ее действия. Эта БС имеет приемную и передающую часть. Если поднять ее мощность настолько, что ей телефон будет давать предпочтение, то через нее можно запустить работу интересующего абонента. Правда, необходимо находиться в непосредственной близости от жертвы. Возможно ли такое ?

Он же: IMSI перехватываемой SIM-карты можно при желании узнать запустив репитер и анализируя полученные IMSI в процессе некоторого времени слежения.

И вот что я хочу по этому поводу сказать. Тут, мне кажется, мешаются в кучу кони, люди и залпы 100500 орудий. Бывают репитеры, но они не "связываются сами" с базовыми станциями оператора. Бывают пико- и фемотосоты, которые общаются с сетью оператора, но совсем не так, как это предполагает Олег - в частности, они не дают доступ к "сырому" звонку, который можно брать и слушать. В ходе регистрации в сети предъявляется IMSI и выделяется TMSI, но происходит это по уже зашифрованному каналу, и т.д и т.п. Попробуем во всем разобраться.

Репитер, по сути , есть простой ретранслятор + усилитель сигнала. То есть, он слушает указанную базовую(-е) на определенной частоте и ретранслирует с помощью другой антенны на другой частоте сигнал внутрь помещения или другой зоны без покрытия. Сигнал, посылаемый мобильным телефоном, передается в обратном направлении. Для базовой станции сам репитер не виден и не слышен, он себя никак не проявлять.

Фемтосоты же соединяются с сетью оператора вовсе не изображая из себя телефон. Они используют для этого vpn поверх tcp/ip, а уж где вы возьмете этот интернет - это ваше лично дело. Кроме того, в фемтосотах ставят GPS, чтобы абоненты не возили их с собой в роуминг, но речь сейчас не об этом. Ключевой момент - фемтосоты стандарта GSM не делают, только 3G.

Я хочу объяснить, почему репитер или фемтосота не помогут прослушивать мобильный телефон. Я воспользуюсь аналогией, и надеюсь, что никто не станет воспринимать ее буквально, и придираться именно к ней, ок? Если у вас есть возражения - переводите их сразу в терминологическое поле GSM, там и поспорим.

Описание системы

Итак, предположим, что есть на свете что-то вроде банка, который обслуживает людей [как оператор обслуживает мобильные телефоны].

Люди приходят в банк, подходят к окошку у входа, показывают свой паспорт, называют заранее известный банку пароль и получают взамен билетик с номером в очереди и зашифрованную рацию (walkie-talkie) для общения с сотрудников банка. Все рации уникальные и могут связываться только с банковскими сотрудниками [телефон регистрируется в сети, предъявляя IMSI и случайное число, зашифрованное своим Ki, и получает взамен Kc и TMSI].

При этом люди никак не проверяют, кто же сидит в окошке - сотрудник банка или какой-то пройдоха [в стандарте GSM (но не 3G!) телефоны не выполняют аутентификацию базовых].

Дальше люди сидят себе и спокойно ждут, играют в блекджек и общаются с куртизанками :) В какой-то сотрудник банка называет номер с билетика одного из ожидающих [входящий звонок, базовая вызывает телефон по TMSI]. Или же человек сам называет свой номер и общается по рации [исходящий звонок, телефон вызывает базовую]

Так или иначе, человек берет свою зашифрованную рацию и общается по ней с человеком, которого он узнает по голосу [телефон общается с базовой, используюя собственный таймслот и шифруя его с помощью Kc, абонент знает, кому он звонит или кто ему звонит (с какого номера)].

По окончании разговора человек либо уходит [телефон выходит из сети], либо ждет дальше [продолжаем использовать тот же Kc и TMSI], либо опять идет к окошку [оператор генерирует новый TMSI и Kc].

Теперь разберем возможные атаки, а потом поглядим, как нам могут помочь фемтосоты и репитеры. Мы хотим прослушать, что говорит клиент, а для этого мы должны либо сделать так, чтобы он говорил не с банком, а с нами[пресловутая псевдно-базовая, иначе называемая IMSI-catcher], либо записать все, что происходит в эфире, а потом вычленить оттуда сигнал нужной рации, зная номер с бумажки [то есть TMSI] и ключ шифрования.

Атака man in the middle

Мы можем открыть рядом с банком свое окошко по выдаче билетиков с номером и раций. Если к нам придет кто-то доверчивый, то мы легко сможем выдать ему билетик с номером [TMSI], но вот беда - рации "такие как в банке" мы делать не умеем, поэтому выдаем какие-то самопальные [мы не знаем Ki, поэтому не можем сгенерировать у себя Kc. Приходится предлагать телефону регистрацию без шифрования]. Дальше мы можем быстро сбегать в банк и взять там бумажку и рацию для себя.

Теперь, если жертва сама что-то скажет по своей рации, то мы это услышим, запишем, и даже можем "передать дальше", но уже от своего имени (т.к. в банке мы не можем имперсонировать жертву, у нас нет ее паспорта [Ki]. Вхоящих сообщений жертве не будет, т.к. она "не была в банке", и банк про нее ничего не знает и вызывать ее не будет [телефон не регистрировался в реальной сети, и сеть считает, что он вне зоны покрытия].

Итого: мы узнали TMSI, мы можем ловить исходящие звонки, жертва потенциально знает, что ее слушают (нет шифрования). Подробнее тут и дальше по ссылкам.

Полуактивное прослушивание

Допустим, мы оходимся за конкретным Иваном Ивановым. Мы можем тихо сесть в уголке в банке и наблюдать за ожидающими. Мы не знаем, кому какой достался номер на бумажке [TMSI]. Мы можем ходить в кассу и переводить И. Иванову 1 копейку [посылать обычный или flash SMS] и смотреть, какой номер будет назван [для какого TMSI будет сделан пейджинг]. Дальше мы можем ждать, пока И. Иванов опять будет вызван, записывать все, что происходит в эфире, и потом пытаться подобрать ключ шифрования.

Это то, чем занимается уважаемый Карстен Нол. Читать тут и дальше по ссылкам.

Скрещиваем ужа и ежа
Если мы знаем, где примерно может быть жертва, и не боимся "спалится", то можно с помощью IMSI Catcher-а выяснить его TMSI, а потом слушать эфир. Риски: клиент заметит, что с телефоном "что-то не то", и оператор может поменять TMSI, и придется все начинать сначала.

И как это связано с репитерами или фемтосотами?

Фемтосоту нельзя использовать в качестве IMSI Catcher-а, т.к. фемтосоты только стандарта 3G, а там телефон аутентифицирует базовую, и оператору легко сделать шифрование, которое вы, даже сидя посередине и разобрав фемтосоту, не сможете вот так вот взять и просто слушать - вам нужны будут закрытые ключи симки и операторской сети. Читаем по атаки man-in-the-middle на системы криптографии с открытыми ключами.

Репитер же не дает вам никаких преимуществ по сравнению с простым прослушиванием эфира (хоть и облегчает собственно прослушивание). Выделение TMSI идет по шифрованному каналу, поэтому просто слушать эфир недостаточно - нужно либо активничать, как товарищ Нол, либо использовать IMSI Catcher.

Тут мне могут возразить: но ведь можно же взять репитер и доработать! Ведь можно же взять фемтосоту и что-то там эдакое дизассемблировать! Я считаю, что, как говорят в этих ваших интернетах, "пруф или такого не было". Говорить "а ведь можно ...!" все горазды, а вот взять и сделать ... Плюс, недаром Карстен Нол пошел другим путем - я бы ему в этом вопросе доверял :)

(no subject)

Date: 2012-05-15 11:01 pm (UTC)
From: [identity profile] basanov.livejournal.com
Большое спасибо за то, что пишете. Очень интересно и познавательно!

(no subject)

Date: 2012-05-16 12:06 am (UTC)
From: [identity profile] br0ziliy.livejournal.com
> Риски: клиент заметит, что с телефоном "что-то не то"
В смысле - "что-то не то" ? С отсутсвием шифрования понятно - практически все телефоны поддерживают индикацию "открытый замок". А в случае стыренного TMSI - что будет? На уровне ощущений понимаю, но вот конкретно оформить в слова не могу.

(no subject)

Date: 2012-05-16 03:25 am (UTC)
From: [identity profile] ras-to-cas.blogspot.com (from livejournal.com)
По-моему, с "практически все" вы погорячились. Где, например, в Windows Mobile такая индикация?

(no subject)

Date: 2012-05-16 07:33 am (UTC)
From: [identity profile] br0ziliy.livejournal.com
Внезапно не получилось нагуглить скриншот... "Почти во всех" - ну я на старых нокиях (которые ещё NMT) - не видел такого.
Все современнные - в строке статуса вверху, там где обычно уровень заряда батареи и уровень сигнала, показывают пиктограмму в виде открытого амбарного замка, если телефон и БС начали общаться по незашифрованому каналу. Я пару раз такое видел рядом с режимными объектами типа АЭС (родом из города энергетиков :) ) Последнее время - не встречал.

(no subject)

Date: 2012-05-16 08:47 am (UTC)
From: [identity profile] ras-to-cas.blogspot.com (from livejournal.com)
То есть пока я не окажусь в зоне нешифрования, то даже не смогу узнать, поддерживает это у меня телефон или нет?

(no subject)

Date: 2012-05-16 08:55 am (UTC)
From: [identity profile] br0ziliy.livejournal.com
Предполагаю что да. Надеюсь, Дима разъяснит точнее.

(no subject)

Date: 2012-05-17 06:10 am (UTC)
From: [identity profile] perka2000.livejournal.com
Если я правильно помню, наличие или отсутствие этой индикации определяется соответствующим битом в СИМ-карте. А как этот бит выставить - это дело оператора.

(no subject)

Date: 2012-05-16 04:18 am (UTC)
From: (Anonymous)
Видимо имеется ввиду непосредственно активность imsi-catcher'a - появление\пропадание новой базовой станции. Дима действительно черезчур увлёкся краткостью которая с. т. :)
Правда я не слышал о телефонах, которые детектят внезапное появление\исчезновение базовой без шифрования (и это при отсутствии движения по gps) - а как по-другому можно словить наличие imsi-catcher'a я не представляю.

(no subject)

Date: 2012-05-16 07:34 am (UTC)
From: [identity profile] br0ziliy.livejournal.com
Ну исходя из предыдущего ответа, могу предположить что будет заметно по периодическому миганию той самой индикации в виде амбарного замка... Это пусть Дмитрий пояснит - всё-таки догадки - догадками, а мнение профессионала всё равно приоритетней :)

А вот...

Date: 2012-05-16 04:50 am (UTC)
From: [identity profile] sha90w.livejournal.com
Pico BTS by Huawei разве не GSM ?

Re: А вот...

Date: 2012-05-16 07:15 am (UTC)
From: [identity profile] http://users.livejournal.com/_adept_/
А где на нее даташит? Я априори думаю, что это обычная BTS, только маленькая :)

(no subject)

Date: 2012-05-16 07:37 am (UTC)
From: [identity profile] sha90w.livejournal.com
Ну а чем маленькая BTS не фемтосота ? Коннективити у нее с MSC через IP... ну да, наверное таки не GSM, а NGN скорее уже, нот телефоны то к ней всеравно GSM подключаются.

(no subject)

Date: 2012-05-16 07:43 am (UTC)
From: [identity profile] ghrar.livejournal.com
PicoBTS подключается к BSC оператора, а уж он-то включается дальше в MSC или NGN-свич на выбор.
вот действительно хотелось бы получить внятное описание отличия pico и femto. манагеры хуявея теряются в этих терминах на раз.

(no subject)

Date: 2012-05-16 08:32 am (UTC)
From: [identity profile] bugzilla.livejournal.com
аааааа,мой мозг!!! BTS фемтосота с подключением к MSC! Не GSM а NGN!!
ппц, люди курите доки - они рулезз

Re: А вот...

Date: 2012-05-16 07:40 am (UTC)
From: [identity profile] ghrar.livejournal.com
huawei так и утверждает (что несколько путает на фоне статьи из википедии http://ru.wikipedia.org/wiki/%D0%A4%D0%B5%D0%BC%D1%82%D0%BE%D1%81%D0%BE%D1%82%D0%B0#.D0.A1.D1.80.D0.B0.D0.B2.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D1.81_.D0.BF.D0.B8.D0.BA.D0.BE.D1.81.D0.BE.D1.82.D0.B0.D0.BC.D0.B8)
на дилетантский взгляд разница между пико и фемто не ясна. в обоих случаях нужно подключение к сети оператора, методы подключения описаны одинаковые. или это может быть у хуавея всё в кучу свалено.
From: [identity profile] ghrar.livejournal.com
почему только femto, есть же ещё Pico BTS. по уверению упомянутого хуявея - объединяет в себе функциональность традиционной базовой и компактность. ёмкость - два trx.

(no subject)

Date: 2012-05-16 12:32 pm (UTC)
From: [identity profile] hmepas.livejournal.com
Какие-нибудь хорошие решения для ретрансляции есть на примете? Давно хочу что-нибудь на дачу, там ловит препогано, а даже если ловит, то у соседних сот проблемы с интернетом. Хотят слухи, что если в недорогой ретранслятор подключить хорошую антену, то можно сильно увеличить список доступных вышек. Подумываю что-нибудь такое на дачу.

(no subject)

Date: 2012-05-18 03:03 pm (UTC)
From: [identity profile] dixi.livejournal.com
спасибо!

а то недавно на конференции какие-то ребята рассказывали про то как легко перехватить при помощи «мобильной соты» трафик любого телефона и поэтому все должны купить их защитную программу для смартфонов : )

(no subject)

Date: 2012-05-18 07:37 pm (UTC)
From: [identity profile] alexander chemeris (from livejournal.com)
Дмитрий, вынужден огорчить. В теории фемтосоты неуязвимы, но на практике это не просто дыра в безопасности - это чёрная дыра.

На OsmoDevCon у меня волосы вставали дыбом от рассказов Kevin'а о том, как (не)организована безопасность в современных фемтосотах. Похоже, что производители гнались за одним - скорее выпустить хоть что-нибудь на рынок и как можно дешевле, и плевать на всё остальное.

Тут можно посмотреть слайды Kevin'а (Introduction-to-femtocells.pdf):
http://openbsc.osmocom.org/trac/wiki/OsmoDevCon2012#Videorecordings
Там же есть запись его выступления, но кажется самое интересное он просил не записывать.

PS Карстен молодец, но он не единственный, кто заниамется безопасностью сотовых сетей. :)

(no subject)

Date: 2012-05-18 08:04 pm (UTC)
From: [identity profile] http://users.livejournal.com/_adept_/
О!

Александр, у Вас, традиционно вести с переднего края :) Большое спасибо!

Карстена я поминаю исключительно потому, что он больше всех на слуху (по-моему, только ленивая газета о нем не писала за последние три года).

Так и что, реально проще разломать фемтосоту, чем собирать что-то свое на том же USRP? (слайды я еще не читал, видео не смотрел)
Edited Date: 2012-05-18 08:04 pm (UTC)

(no subject)

Date: 2012-05-18 08:27 pm (UTC)
From: [identity profile] alexander chemeris (from livejournal.com)
Угу. Фемтосоты - наше всё. Те фемтосоты, которые исследовал Кевин - это оружие не хуже атомной бомбы. По сути, можно делать ботнет из фемтосот. С учётом окончания шифрования на фемтосоте... догадайтесь сами.

Одна надежда, что у других производителей с безопасностью чуть получше. Но надежда слабая.

А пока - лучше не подходить к фемтосотам на радиус действия сети :)

Да, а GPS там стоит, но его показания сейчас не проверяются на корректность. Т.е. фемтосоту можно увезти куда угодно и она всё равно будет работать. Видимо в спешке не успели реализовать географическую привязку.

(no subject)

Date: 2012-05-18 08:40 pm (UTC)
From: [identity profile] http://users.livejournal.com/_adept_/
Посмотрел видео, почитал слайды... Ад, просто ад. Придется писать опровержение :)

Еще раз большое спасибо за ссылку.

PS
Еще понравилось, как в видео на фоне бутылки выкидывают :)

(no subject)

Date: 2012-05-19 05:45 am (UTC)
From: [identity profile] alexander chemeris (from livejournal.com)
Да, все традиционно пили литрами Club Mate :)

(no subject)

Date: 2012-05-18 07:40 pm (UTC)
From: [identity profile] alexander chemeris (from livejournal.com)
Интересно, ЖЖ говорит, что "согласно настройкам данного журнала ваш комментарий помечен как спам". Что за фигня?
From: (Anonymous)
http://www.ipaccess.com/en/nanoGSM-picocell
From: [identity profile] http://users.livejournal.com/_adept_/
Насколько мне известно, такие соты ставят сами операторы своим "корпоративным абонентам", в розницу их не продают.

Profile

dastapov: (Default)
Dmitry Astapov

April 2017

M T W T F S S
     12
3 45 6789
10111213141516
17181920212223
24252627282930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags