Возможно ли прослушивание GSM с помощью телефона за $15?

[dastapov]

Мне пришла дюжина писем с просьбой прокомментировать выступлиение Karsten Nohl-а на двадцать седьмом Chaos Club Congress (27C3) о  том, что им удалось улучшить прошлогодние результаты и прослушать GSM-переговоры жертвы с помощью довольно-таки бюджетного оборудования.

Большинство пишущих ссылаются на пересказ, опубликованный на OpenNet, но там есть мелкие и большие косяки, и я не буду ее использовать (и вам не рекомендую - читайте вместо этого слайды параллельно с новосью в Wired). Вместо этого приборы и материалы будут такими:

1. Оригинальная англоязычная заметка в Wired
2. Слайды самого выступления с официального сайта 27C3
3. Мой пост годичной давности про выступление Карстена на 26C3

Краткое содержание предыдущих серий: на 26C3 Карстен показал, что он сотоварищи достигли успеха в создании rainbow tables для (относительно) быстрого слома A5/1. При этом в области собственно прослушивания эфира и записи коммуникаций между телефоном и базовой сетью у них и конь не валялся.

Весь этот год они, похоже, "валяли коня" и под Новый Год продемонстрировали результат. И он (судя по слайдам) таков:

1. Зная TMSI (временное IMSI) телефона и находясь в физической близости от жертвы, они умеют выполнять мониторинг GSM-диапазона, обрабатывать frequency hopping (переход телефона и базовой с частоты на частоту, что выполняется часто и регулярно), и писать "сырые" шифрованные данные на диск, чтобы потом ломать их с помощью своих rainbow tables. Это действительно существенный и значимый результат, учитывая стоимость их оборудования.
2. Способ перехвата не является пассивным. Чтобы получить TMSI, им необходимо находится физически близко от жертвы, посылать ей flash sms-ы (прием которых не показывается телефоном), и мониторить эфир.
3. Чтобы выяснить, где находится жертва, они используют доступные через интернет службы, которые позволяют произвести HLR interrogation для того, чтобы выяснить очень-очень приблизительное текущее местоположение жертвы. О том, почему этот способ будет фигово работать в наших реалиях, я писал раньше.
4. Быстрота атаки основана на том, что в определенных служебных сообщениях сети GSM неиспользуемые байты заполняются значением 0x2B, что позволяет сильно уменьшить пространство возможных ключей. Если бы все операторы реализовали принятое два года тому назад предложение по рандомизации этих значений - шары бы не было.
   
5. После того, как сессионный ключ единожды сломан, мы можем слушать разговоры жертвы до тех пор, пока не произойдет rekey-инг, или жертва не поменяет TMSI (и при этом тоже произойдет rekey-инг). Если бы перегенерация сессионного ключа происходила после каждой сессии, шары бы опять же не было.

Итого: основное достижение автора, как по мне - это демонстрация готового end-to-end решения для прослушивания, которое работает с очень небольшим (по сравнению с предыдущими наработками в этой области) набором предварительных требований и допущений. С другой стороны, это все еще не те системы прослушивания, которые "показывают в боевиках": все еще нельзя собрать некое устройство, которое будет, как радио, принимать и расшифровывать все переговоры в окрестностях.

Очень хочется посмотреть на видео (когда его выложат), чтобы понять, сколько же им реально понадобилось перепрошитых телефонов для того, чтобы мониторить 1 канал GSM (и, соответственно, как такое решение масштабируется).

Карстен абсолютно правильно указывает на шаги, которые могут быть предприняты, чтобы уменьшить опасность от прослушивающих устройств подобного рода: 1)взаимная аутентификация телефона и базовой (это уже есть в 3G), 2)рандомизация значений, заполняющих пустые байты, 3)более строгие меры безопасности в рамках глобальной сети SS7, особенно в области доставки SMS - чтобы нельзя было легко и запросто делать HLR interrogation кому ни попадя (кое-где гайки закручены уже сейчас).

Возможно, из-за предновогодней суеты я что-то и упустил. Дождусь видео, и тогда станет ясно.

А пока - с наступающим Новым Годом вас всех! Будьте счастливы!

UPD (вытащу из комментариев): Спасибо Александру Чемерису за ссылку на письмо одного из авторов демонстрации, помогающее лучше понять, что же именно они продемонстрировали: http://lists.osmocom.org/pipermail/baseband-devel/2010-December/000912.html

Comments

[alex-butenko.livejournal.com]

Дима, ты как всегда жжож :)

[buhaibormotailo.livejournal.com]

"взаимная аутентификация телефона и базовой (это уже есть в 3G)"

А это значит, что 3G безопаснее, да?

[http://users.livejournal.com/_adept_/]

В этом аспекте - точно да.

[bugzilla.livejournal.com]

>Чтобы получить TMSI, им необходимо находится физически близко от жертвы, посылать ей flash sms-ы (прием которых не показывается телефоном), и мониторить эфир.

Они типа мониторят пейдж-сообщения на предмет TMSI в них, после каждоый посылки flash SMS? Это, мягко говоря, может оказатся не эффективным в сильно загруженных трафиком LAC. Т.е. нет никакой уверенности, что снифленный TMSI принадлежит таргет-абоненту. Или я что-то недопонял?

[lionet.livejournal.com]

Для этого есть огромный пласт наработок по side channel leaking. Если уж по сетевым задержкам AES ломают, набирая статистику, то уж как-нибудь разберутся, кто там реагирует на SMS по нескольким пробничкам.

[g3ar.livejournal.com]

Спасибо. Интересно было читать.

[(Anonymous)]

Разрешите поинтересоваться, думаю этот вопрос волнует всех трудящихся.

Все слышали, что у операторов связи стоит оборудование спецслужб, которое позволяет прослушивать нужного абонента. Вопрос следующий: ведется ли запись входящих/исходящих звонков и СМС, т.е. возможно ли, что получив санкцию суда, МВД/ФСБ сможет получить архив звонков/сообщений?

[http://users.livejournal.com/_adept_/]

Архива звонков и сообщений всех абонентов - нет. Ведется запись избранных (конкретно указанных) номеров, и содержание разговоров до начала такой записи - недоступно.

Я когда-то писал на эту тему: http://pro-gsm.info/total-control-legend.html

[arkanoid.livejournal.com]

SMSки все же некоторые архивируют.

[egorkaorg.livejournal.com]

Когда я завёл свой первый телефон (в районе 2003 года), то столкнулся с невозможностью отправлять сообщения на пейджер даме сердца - оператор предоставлял такую возможность отправкой смс на некий номер. Постольку поскольку оператор был региональный, а времена дикие, мне удалось достаточно беспроблемно, минуя всяческие колл-центры и техподдержку прийти (в смысле, не по IP, а ногами) к технарям (два кабинета в помещении АТС). Где, собственно, патлатый человек в чём-то, напоминающем Midnight Commander, нашёл в папочке файл 7902352985х и по экрану поплыли все мои СМС. Давненько мне не было так стыдно.

[http://users.livejournal.com/_adept_/]

Я правильно понимаю, что речь шла о еще не доставленных SMS?

[egorkaorg.livejournal.com]

Нет, просто лог всех отправленных.

P.S. А проблема оказалась в том, что по непонятной причине с моей Нокии 3330 префикс номера пейджера 756 в смс доходил как 755 и сообщения шли на чей-то ещё пейджер (лютый стыд второй раз). Патлатый мужик при мне придумал решение и добавил мне индивидуальный префикс MA, который в их системе заменялся на 756 и я смог отправлять сообщения. В наше время такое сложно представить.

[(Anonymous)]

может быть и не по всей стране ведётся запись разговоров, т.к это действительно сложно и невыгодно, но я нисколько не сомневаюсь что, в отдельно взятых городах значительная часть информации (по каким-то определённым критериям)снимается даже без предварительного запроса известных всем структур, на всякий случай, "чтобы было". был случай, когда в городе n серьёзные люди узнали информацию, часть которой была в одном телефонном разговоре полугодовалой давности - об этом говорил характер полученных ими данных, а также уверенность в том, что иных источников утечки не было. смски же совсем не составляет труда логгировать и бэкапить хоть каждый час - стоймость носителей нынче невелика, а текстовые данные поддаются хорошему сжатию (попробуйте сжать в rar текстовик с произведением Война и Мир и убедитесь, сколько смсок уместится на одной лишь дискете, не говоря уже многотерабайтных стримерах/hdd) . законом, конечно, запрещено бессрочное хранение подобной информации - но у коммерческих компаний свои порядки и представления о морали и порядочности.

[alexander chemeris (from livejournal.com)]

Вот фото того, что Силвайн готовил к показу: http://twitpic.com/3g7gg7 Что он использовал во время демонстрации я ещё сам не смотрел :)

Также рекомендую вот это письмо Силвайна с некоторыми разъяснениями о том, что будет опубликовано, а что не будет:
http://lists.osmocom.org/pipermail/baseband-devel/2010-December/000912.html

[(Anonymous)]

So, what is the point of writing this article if nothing is explained to the people? We must know that the best protection for GSM would be if we make brief explaination for the general masses what they need to do in order to make such thing functionable. Only by that means, A5/1 standardization and OpenBSD in general will have to encounter great changes? I would like to know your opinion as well.

[http://users.livejournal.com/_adept_/]

I love how you managed to drag OpenBSD into that :)

Распознавание пакетов GSM, UMTS

[vladimirvol.livejournal.com]

Всем привет! Народ, кто в курсе - просьба откликнуться...Есть ли возможность в полностью пассивном режиме (без отправки flash-смс) определить TMSI абонента? или он всегда передается зашифрованным? Интересует и GSM, но особенно UMTS и LTE...взломом шифра также не хотелось бы заниматься...
Если возможности получить TMSI нет, то есть ли другие идентификаторы, отличающие одного абонента от другого?
Задача на самом деле такая - отличить пакеты абонентов друг от друга...существуют ли способы это сделать в полностью пассивном режиме?