2011
GSM siete sú dlhšiu dobu známe pre mnohé svoje zraniteľnosti publikované často na Chaos Communication Congress v Berlíne. Ak vynecháme verejne nedostupný kód a zariadenia typu GSM Interceptor a zoberieme do úvahy Universal Software Radio Peripheral ako možný nástroj pre odpočúvanie hovorov dostaneme sa k dvom možným východiskám. Pasívny útok a samozrejme jeho opak. Pasívny je založený na odchytení šifrovaného hovoru a následnom dešifrovaní: Airprobe + Kraken (2TB tabuliek). Určite súhlasíte, že ide o zdĺhavý a na výpočtový čas náročný proces. Aktívny útok je ale úplný opak. Jednoduchou zmenou konfiguračného súboru OpenBTS.conf je možné vytvoriť FakeBTS, teda falošnú base tranceiver station, alebo jednoducho povedané GSM bunku.
Bežné BTS majú dosah cca 30 km a v závislosti od druhu majú rôzne konfigurácie. V mestách si často môžete všimnúť tzv. Umbrella cell „vyzbrojenú“ sektorovými anténami. Mobilný telefón sa riadi „logikou“ – silnejší signál vyhráva. Ak dokážete vytvoriť „kópiu“ legálnej bunky daného operátora, mobilný telefón sa jednoducho registruje na bunku s lepším signálom. Či ide o legálnu bunku operátora si telefón overiť nedokáže.
Štruktúra klasickej siete GSM:
Je to práve BTS určujúca úroveň šifrovania hovorov, nie mobilný telefón. Niektoré krajiny nepoužívajú šifrovacie algoritmy, aj z tohto dôvodu je prakticky možné znížiť úroveň šifrovania na tú najnižšiu – A5/0. Ak ste sa náhodou stratili, pripájam vysvetlenie:
A5/0 – žiadne šifrovanie
A5/1 -originálny „silný algoritmus“. Prelomiteľný pomocou A5/1 Rainbow Tables (2TB)
A5/2 - originálny algoritmus, prelomiteľný. Literatúra uvádza že triviálne…
A5/3 - nový vylepšený algoritmus, nasadený v 3G a US sieťach, boli publikované zraniteľnosti podľa akademických štúdií, no prakticky je neprelomiteľný.
Čo sa teda stane ak sa mobilný telefón registruje na falošnú bunku o ktorej si myslí, že patrí miestnemu operátorovi? Hovor bude presmerovaní cez Asterisk PBX s nulovým stupňom šifrovania, samozrejme bez vedomia účastníka. Ak nenastavíte SIP konto, účastník sa nikam nedovolá a volané telefónne číslo sa zachytí:
Táto informácia nie je novinka, celý útok bol znova prezentovaný na security konferencii Defcon pod názvom „IMSI catcher“ Practical Cellphone Spying by Chris Paget a na H4f sme o tej to zraniteľnosti už písali. K IMSI catcher sa veľmi výstižne vyjadril David A. Burgess v svojom blogu už v roku 2009, termín pozná aj Wikipedia. Rohde & Schwarz si ho dokonca patentovali. Na rovnakom princípe sú postavené aj zariadenia ako Cell Phone Intercept Apparatus – Wireless Cell Phone Detection and Monitoring System.
Zopár drobných úprav stačí aj za pri Open Source projekte OpenBSC a IMSI catcher je na svete. IMSI, teda International Mobile Subscriber Identity je séria čísel jednoznačne identifikujúcich klasickú SIM kartu. Celý IMSI zázrak sme rozobrali v článku |USRP| + |OpenBTS| + |Asterisk|. MCC a MNC je identifikátor operátora a krajiny, teda údaje bežne dostupné. Ľahko čitateľné aj z IMSI.
OK, poviete, že vytvoriť kópiu BTS predsa nebude také jednoduché. Hmm? Koľko riadkov konfiguračného súboru OpenBTS.config je potrebné zmeniť? Nie mnoho…
OpenBTS.config aka IMSI catcher:
GSM.ShortName OpenBTS // Short Name?
GSM.MCC XXX // MCC krajiny
GSM.MNC XX // MNC operátora
Vytvorenie fakeBTS je s príslušným hardvérom a softvérom možné prakticky kdekoľvek (ak dokážete napájať USRP) v priebehu minúť. Ak máte hardvér a dokážete si nakonfigurovať voľne dostupný softvér, fantázii sa medze nekladú 
Alebo si upravíte Vašu obľúbenú Linuxovú distribúciu, alebo použijete BackTrack 4 USRP modifikáciu. Pre zvýšenie efektivity útoku ale potrebujete externý osclátor. Čo sa komponentov týka, vystačíte si s USRP1 a dvoma RFX900, prípadne RFX1800. Berte ale na vedomie, že takýto kúsok je silno nelegálny a dotknutý mobilný operátor by prevádzkovateľa takéhoto kúsku neváhal ukrižovať. Telekomunikačný úrad najskôr rovnako. Ladiť OpenBTS s testovacím nastavením je niečo diametrálne odlišné ako „prevádzkovať“ IMSI catcher! Samostatný „switch“ medzi legálnou bunkou a FakeBTS v okamihu spustenia USRP je záležitosť pozoruhodná. Samozrejme, nie je to jednoduchá záležitosť v mestskej zóne priam posiatej anténami. Zmenila by sa situácia, ak by sme použili rušičku GSM v tej správnej chvíli? Nechajme sa prekvapiť.
Súvisiace články: BackTrack 4 & USRP pt.1, BackTrack 4 & USRP pt.2, Welcome to OpenBTS! |64 MHz clock|, USRP | TVRX receiver, |USRP| + |OpenBTS| + |Asterisk| ?!?, SUPER SIM & SIM MAX , DBSRX2 + TVRX = 50 MHz to 2.4 GHz receiver system X-Lite & Twinkle @ Asterisk, BackTrack R2 USRP Test shot |RFX900|, GSM fail ?, GSMdump Live-CD , Light BTS discovering, BackTrack R2 USRP Test shot II, OpenBTS |FA SY-2| external 52MHz clock, OpenBTS P2.8 „Opelousas“
This is mine that i made last year:
http://imageshack.us/m/9/3355/test1fs.jpg
Full outgoing SMS/Calls with faked CID and other „interesting“ features.
Nice job man.
Thx Luca, nice job too! This was just single shot, i gues there will be some more stuff about IMSI catching around H4f
Hello,
Is there a step by step guide that either you or LB can produce for us? I’d greatly appreciate it.
Well, you can see around h4f we have modified version of BackTrack armed with GSM stuff in testing stage. So not sure about Luca, but if testing will be sucesfull i will write complete PDF guide.
MI1,
Thank you very much! I’d like that!
PDF in progress, currently 20 pages, no eavesdropping inside.
Hi Ml1 what is the status of the PDF , did you finish it ?
Nope, lack of motivation, time, resources… I am working on „some stuff“ but hard to tell when or how i release „that“.