- Новое
- Добавить закладку
- #1
Одним из основных подходов к обнаружению вот таких подлых коробочек является поиск аномалий в поведении базовых станций. Поскольку они по сути эмулируют сотовую вышку, зачастую с некоторыми нестандартными параметрами, их присутствие можно вычислить по нестыковкам и подозрительным характеристикам "вышки", к которой подключается телефон.
К таким аномальным признакам относятся:
А теперь немного инфогафики. Подозрительными считались, вышки, которые: появляются и исчезают в разное время; "переезжают" с места на место; транслируют уникальные комбинации параметров, не встречающиеся больше нигде; или постоянно работают без шифрования. Так, в рамках проекта FADe удавалось обнаружить более 150 вероятных IMSI-кетчеров, анализируя данные почти от 9000 реальных сот: выявлялись 23 аномальных соты в городе Манагуа и 33 устройства с необычными показателями в Каракасе. Общим знаменателем этих случаев были именно нетипичные параметры сигнала и поведения сот. Особенно часто подлог выявлялся на устаревших сетях 2G – к примеру, в Буэнос-Айресе из ~1000 просканированных сот подозрение вызвали 17, и все они работали в стандарте 2G, тогда как на 4G/LTE аномалий обнаружено не было. Это неудивительно, ведь LTE вам не Димон и работать только з ним экспоненциально сложнее - особенно если нету доступа в базу данных HLR, поэтому обычныеламеры работяги предпочитают эксплуатировать более уязвимые сети 2G.
Важно отметить, что метод обнаружения по аномалиям очень далек от идеала. Во первых, реальная сотовая сеть сама по себе довольно шумная и разнородная среда. Операторы могут неожиданно включать временные базовые станции (на мероприятиях, например), менять конфигурации сот или использовать разные частоты и всё это способно выглядеть как попытка какого то мудня в фургноничке выцепить ваши MFA коды от форума Вумен.ру.
Бывало так что когда мониторинг фиксировал резкие изменения параметров соты и бил тревогу, при более углубленном расследовании оказывалось, что это легитимные события - аля плановая перенастройка сети, отключение вышки на обслуживание или развертывание мобильной соты на колесах (COW). Во-вторых, умышленники зла тоже не стоят на месте: современные IMSI Catcher’ы могут имитировать легитимность очень правдоподобно. В некоторых публично доступных патентах описываются методы подмены сетевых идентификаторов, да и подделать тот же LAC/ТАС и другие настройки, даже обычный человек может, з копеечным оборудованием причем. Если наш способ детекта полагается только на уникальность этих параметров, то нормальный оператор избежит обнаружения, просто скопировав их у реальной сети. Наконец, как бы больно не было это признавать, для уверенного распознавания аномалий требуется качественная база данных нормальных сот. Нужно заранее собрать статистику по местности, поскольку если комплекс появится впервые в новом районе, система может просто не понять, что это аномалия. Всё это приводит к тому, что методы на основе одних лишь поведенческих аномалий могут давать как ложные срабатывания, так и пропускать кетчер работающий напрямую в лоб. На практике необходимо сочетать их с более прямыми индикаторами атаки, о которых речь пойдёт далее.
По данным, в спецификациях 3GPP у нас есть 53!!! различных типа сообщений (на этапах pre-authentication в 2G, 3G, 4G и даже неполноценном 5G-NSA), использование которых приводит к тому, что устройство отправляет свой постоянный идентификатор IMSI. Ранее многие детекторы смотрели лишь на один-два признака как вот например, приложение SnoopSnitch анализировало наличие сообщения Identity Request в логах телефона. Однако комплекс однако может использовать не только прямой Identity Request, но и другие обходные манёвры (например, отправить необычное служебное сообщение, которое косвенно заставит телефон переавторизоватся в сети и раскрыть свой IMSI). Получается нам требуется широко слушать эфир на предмет любых IMSI экспозиций, аля случаев, когда в потоке сессии передаётся постоянный идентификатор.
Практически это означает развёртывание радио сниффера, способного декодировать broadcast- и downlink-сообщения с базовых станций. В пассивном режиме прослушивания можно отловить пакеты, которые станция шлёт телефону при установлении соединения. Если комплекс перехвата активен, он непременно будет рассылать тем или иным способом команды, провоцирующие раскрытие IMSI жертв. Это может быть банально прямой Identity Request в канал (DL), либо более хитрый приём: комплекс и сам может имитировать от лица телефона запрос на присоединение с неверным временным идентификатором (Attach Request с поддельным TMSI) а реальная сеть в ответ на такое получит “незнакомый” запрос и вышлет Identity Request уже от легитимной вышки. В обоих случаях в эфире появится последовательность сообщений, где телефон отправляет IMSI, которую при наличии хорошего сниффера можно заметить. Очень важно понимать в обычной жизни телефон очень редко раскрывает IMSI, так как протоколы используют временные номера (TMSI, GUTI и т.п.). Развернув систему мониторинга и собрав статистику, можно вывести нормальный уровень IMSI экспозиций для конкретной сети, а затем ловить аномальные всплески. Статистика сотовых сетей явно показывает что при штатной работе сети доля соединений, в ходе которых передается IMSI, крайне мала. Это логично: IMSI запрашивается только при первых регистрациях или нестандартных ситуациях.
Если же кто то активно эксплуатирует комплекс в районе, то доля IMSI раскрытий подскакивает на порядок. При мониторинге упомянутом в одном из недавних иследований во время крупного публичного мероприятия с подозрением на работу кетчера обнаружили, что порядка 29% мобильных соединений на LTE сопровождались раскрытием IMSI что есть явное отклонение от нормы. Такой “всплеск” статистически значимо указывал на наличие перехватчика IMSI в окружении. Этот показатель получил название IMSI Exposure Ratio,
и по сути является процентом соединений (или запросов), в которых эксплуатируются IMSI идентификаторы. В качестве практического ориентира, если видно, что в собранном радиотрафике доля подобных событий заметно превышает пару процентов, можно с большой долей уверенности говорить о работе комплекса.
Подход с анализом радиотрафика выигрывает у простых методов по аномалиям тем, что опирается на причинно-следственные признаки атаки, а не только на сопутствующие эффекты. Конечно, и он требует тщательной фильтрации шума и достаточного охвата эфира. Но комбинация этих методов то есть мониторинг аномалий базовых станций и отслеживание экспозиций идентификаторов уже существенно повышает шансы засечь перехватчик. Стоит учитывать, что подобный анализ сложнее реализовать на обычном смартфоне (из-за ограничений доступа к низкоуровневым радиоданным), зато с помощью SDR и открытого ПО можно пассивно “слушать” сразу все нужные диапазоны и ловить подозрительные пакеты. Ниже мы рассмотрим, какое для этого нужно оборудование и инструментарий.
Практический пример: IMSI-ловушка синхронизируется с настоящим сигналом сети и посылает в downlink специальное сообщение Identity Request, выглядящее точь-в-точь как если бы его отправила реальная базовая станция
Телефон не в состоянии отличить подмену и отвечает сообщением с IMSI, но ответ уже может получить либо сам оператор комплекса напрямую, либо легитимная сеть (в зависимости от вектора атаки). Другой вариант это uplink overshadow: оператор “кричит” от имени телефона, посылая в сторону базовой станции запрос на регистрацию с неверным временным ID. Настоящая сеть реагирует на такой странный запрос стандартно и поэтому запрашивает у устройства IMSI,но этот запрос в эфире снова может быть перехвачен параллельно атакующим. В обоих случаях цель достигнута: IMSI устройства получен, при этом сам по себе комплекс не выдает себя как отдельная вышка. Она как бы растворяется в трафике существующих станций. Для наблюдателя со стороны всё выглядит так, будто обычная легитимная сота внезапно запросила IMSI, что может случиться и при нормальных условиях (например, если телефон потерял контекст и сеть действительно попросила IMSI). Таким образом, Overshadow атака позволяет перехватчику уйти от многих критериев обнаружения: не появляются новые идентификаторы сот, не меняются явно параметры сигналов (ловушка может “попугайничать” – копировать Cell ID, LAC, частоты реальной сети), нет явного отключения шифрования (атака происходит еще до установки шифрованного канала).
Такая атака фактически ломает допущения многих методов обнаружения ведь нет ни новой вышки, ни явного даунгрейда до 2G, ни других грубых признаков, на которые они опираются. Именно поэтому последние научные разработки в области защиты от IMSI-Catcher’ов делают упор на анализ самих сообщений (как описано в предыдущем разделе), это один из немногих способов заметить "вплавленные" в трафик атаки. Тем не менее, распознать такое вмешательство крайне сложно: нужна очень тонкая настройка сниффера, улавливающего расхождения во времени, дублирующиеся пакеты или другие побочные артефакты. Кроме того, оператор владеющий такой техникой, может минимизировать объем своих вмешательств, чтобы статистически не палиться. Например, он может нацеленно запрашивать IMSI только у конкретных устройств (зная или угадывая временные идентификаторы нужной цели), так что общее отклонение IMSI Exposure Ratio будет минимальным.
Для противодействия подобным угрозам разрабатываются улучшенные механизмы и стандарты: идеи по аутентификации широковещательных сообщений и защищённому установлению соединения даже на ранних этапах. Но на текущий момент практическая защита сводится к сочетанию различных методов обнаружения (аномалии + прямой анализ трафика) и постоянному обновлению инструментов в ответ на новые техники.
Развёртка сбора данных.
Надо решить, будете ли вы мобильно перемещатся или организуете стационарный сканнинг. Мобильный сенсор (например, в машине с антенной на крыше и SDR + ноутбук/raspberry pi внутри) хорош для скана большой территории, так работал проект SeaGlass, прокатив датчики на Uber по всему городу. Стационарный мониторинг (например, на крыше здания) позволяет отслеживать длительные тенденции в одном месте. Идеально – комбинировать оба подхода.
Важные моменты:
Несмотря на прогресс в методах выявления поддельных вышек, нужно понимать их ограничения. Во-первых, не существует гарантированно надежного детектора, который дал бы 100% уверенность и нулевые ложные срабатывания. Сотовые сети слишком сложны и вариативны: то, что выглядит как комлекс перехвата, может оказаться редкой но законной ситуацией (и наоборот, умело замаскированный перехватчик может затеряться среди нормальных событий). Любые эвристические подходы страдают либо от ложных тревог, либо от слепых зон.
Например, мониторинг аnomалий может поднимать шум по каждому чиху сети, если не настроить фильтры. А простые приложения-детекторы на телефоне либо не имеют доступа к нужной информации, либо слишком упрощены и в результате многие из них неэффективны (что признано даже разработчиками «некоторые приложения бесполезны»). Во-вторых, продвинутый дядя технарь способен адаптироваться. Мы уже обсудили атаки Overshadow, маскировку под легальные соты и т.д., всё это ведёт к тому, что классические индикаторы “не срабатывают”. Как отмечается в научной литературе, фейковая БТС теоретически может вообще не выдавать своего присутствия ни одним известным ныне способом, если будет действовать достаточно хитро. Например, она может собирать IMSI очень точечно, не вызывая массовых аnomалий (скажем, зная временный ID цели, запросить IMSI только у неё одной, детектор, охватывающий десятки устройств, может и не заметить единичный случай). В-третьих, пассивные комплексы практически неуловимы. Все описанные методы направлены против активных БТС. Если же злоумышленник располагает пассивным приемником (который просто слушает эфир, как радио), обнаружить его средствами радиомониторинга невозможно, ведь он сам ничего не излучает. Правда, пассивный перехват IMSI имеет ограничения и на современных сетях без активного вмешательства далеко не уйти,но тем не менее помнить об этом нужно.
К таким аномальным признакам относятся:
- Неизвестные или необычные идентификаторы соты: например, неожиданный номер Cell ID или код локации (LAC), несоответствующий реальной сети, или случай, когда "вышка" перемещается по разным местам (чего не бывает с реальными стационарными сотами), также если например телефон внезапно видит соту с параметрами, которых нет в базах данных операторов или краудсорсинговых сервисов (типа WiGLE/OpenCellID).
- Подозрительные параметры сигнала: слишком сильный сигнал новой базовой станции, появление передатчика, работающего на частоте, которая больше нигде в данной сети не используется или рассинхронизированные временные параметры. Обычно комплекс ставят ближе к жертве, чем стоят трушные вышки, поэтому вот такое внезапное появление вышки с нетипичным расположением являтся довольно паскудным сигналом.
- Понижение шифрования/ принудительный даунгрейд сети: классический IMSI Catcher часто заставляет телефон переключиться на 2G (GSM) и начинает колдовство з типом шифрования сесии, чтобы иметь возможность перехватывать данные. Если телефон показывает, что соединение неожиданно шифруется по другому или его внезапно сбросили с 4G/3G на 2G, это еще более паскудный сигнал. В нормальной сети современные операторы уже никогда не используют нешифрованный режим, поэтому появление открытого 2G-канала связи это уже просто явная наглость.
- Странные команды и ивенты в сети: комплкс может рассылать устройствам нестандартные инструкции. Например, сообщения о запрете подключения к другим сотам (чтобы телефон залип на "нужной" вышке и приоритизировал ее) или чрезмерно частые запросы Location Update без видимой на то причины. Включая меседжы о сбросе соединения или отказе в обслуживании, понятное дело что такое поведение нетипично для нормальной сети.
А теперь немного инфогафики. Подозрительными считались, вышки, которые: появляются и исчезают в разное время; "переезжают" с места на место; транслируют уникальные комбинации параметров, не встречающиеся больше нигде; или постоянно работают без шифрования. Так, в рамках проекта FADe удавалось обнаружить более 150 вероятных IMSI-кетчеров, анализируя данные почти от 9000 реальных сот: выявлялись 23 аномальных соты в городе Манагуа и 33 устройства с необычными показателями в Каракасе. Общим знаменателем этих случаев были именно нетипичные параметры сигнала и поведения сот. Особенно часто подлог выявлялся на устаревших сетях 2G – к примеру, в Буэнос-Айресе из ~1000 просканированных сот подозрение вызвали 17, и все они работали в стандарте 2G, тогда как на 4G/LTE аномалий обнаружено не было. Это неудивительно, ведь LTE вам не Димон и работать только з ним экспоненциально сложнее - особенно если нету доступа в базу данных HLR, поэтому обычные
Важно отметить, что метод обнаружения по аномалиям очень далек от идеала. Во первых, реальная сотовая сеть сама по себе довольно шумная и разнородная среда. Операторы могут неожиданно включать временные базовые станции (на мероприятиях, например), менять конфигурации сот или использовать разные частоты и всё это способно выглядеть как попытка какого то мудня в фургноничке выцепить ваши MFA коды от форума Вумен.ру.
Бывало так что когда мониторинг фиксировал резкие изменения параметров соты и бил тревогу, при более углубленном расследовании оказывалось, что это легитимные события - аля плановая перенастройка сети, отключение вышки на обслуживание или развертывание мобильной соты на колесах (COW). Во-вторых, умышленники зла тоже не стоят на месте: современные IMSI Catcher’ы могут имитировать легитимность очень правдоподобно. В некоторых публично доступных патентах описываются методы подмены сетевых идентификаторов, да и подделать тот же LAC/ТАС и другие настройки, даже обычный человек может, з копеечным оборудованием причем. Если наш способ детекта полагается только на уникальность этих параметров, то нормальный оператор избежит обнаружения, просто скопировав их у реальной сети. Наконец, как бы больно не было это признавать, для уверенного распознавания аномалий требуется качественная база данных нормальных сот. Нужно заранее собрать статистику по местности, поскольку если комплекс появится впервые в новом районе, система может просто не понять, что это аномалия. Всё это приводит к тому, что методы на основе одних лишь поведенческих аномалий могут давать как ложные срабатывания, так и пропускать кетчер работающий напрямую в лоб. На практике необходимо сочетать их с более прямыми индикаторами атаки, о которых речь пойдёт далее.
Анализ радиотрафика
Другой, более прямой и современный подход к выявлению комплесов основан на анализе самого протокольного трафика в сети, особенно тех сообщений, которые связаны с запросом IMSI. Важно понимать, что дяде в погонах, чтобы выудить IMSI/TIMSI с телефона, недостаточно просто притвориться вышкой ему надо спровоцировать телефон передать свой постоянный идентификатор. В стандартах сотовой связи (2G/3G/4G/5G) определён ряд случаев, когда сеть может запросить у телефона его IMSI (например, через сообщение Identity Request или некоторые специфические команды на ранних этапах установления соединения). И вот такой подход может отслеживать именно такие сообщения в радиотрафике как “признаки атаки”, вместо косвенных симптомов вроде странного поведения соты. Идея проста: если в эфире наблюдается нетипично много запросов IMSI к устройствам, велик шанс, что работает IMSI Catcher (кто бы мог подумать).По данным, в спецификациях 3GPP у нас есть 53!!! различных типа сообщений (на этапах pre-authentication в 2G, 3G, 4G и даже неполноценном 5G-NSA), использование которых приводит к тому, что устройство отправляет свой постоянный идентификатор IMSI. Ранее многие детекторы смотрели лишь на один-два признака как вот например, приложение SnoopSnitch анализировало наличие сообщения Identity Request в логах телефона. Однако комплекс однако может использовать не только прямой Identity Request, но и другие обходные манёвры (например, отправить необычное служебное сообщение, которое косвенно заставит телефон переавторизоватся в сети и раскрыть свой IMSI). Получается нам требуется широко слушать эфир на предмет любых IMSI экспозиций, аля случаев, когда в потоке сессии передаётся постоянный идентификатор.
Практически это означает развёртывание радио сниффера, способного декодировать broadcast- и downlink-сообщения с базовых станций. В пассивном режиме прослушивания можно отловить пакеты, которые станция шлёт телефону при установлении соединения. Если комплекс перехвата активен, он непременно будет рассылать тем или иным способом команды, провоцирующие раскрытие IMSI жертв. Это может быть банально прямой Identity Request в канал (DL), либо более хитрый приём: комплекс и сам может имитировать от лица телефона запрос на присоединение с неверным временным идентификатором (Attach Request с поддельным TMSI) а реальная сеть в ответ на такое получит “незнакомый” запрос и вышлет Identity Request уже от легитимной вышки. В обоих случаях в эфире появится последовательность сообщений, где телефон отправляет IMSI, которую при наличии хорошего сниффера можно заметить. Очень важно понимать в обычной жизни телефон очень редко раскрывает IMSI, так как протоколы используют временные номера (TMSI, GUTI и т.п.). Развернув систему мониторинга и собрав статистику, можно вывести нормальный уровень IMSI экспозиций для конкретной сети, а затем ловить аномальные всплески. Статистика сотовых сетей явно показывает что при штатной работе сети доля соединений, в ходе которых передается IMSI, крайне мала. Это логично: IMSI запрашивается только при первых регистрациях или нестандартных ситуациях.
Если же кто то активно эксплуатирует комплекс в районе, то доля IMSI раскрытий подскакивает на порядок. При мониторинге упомянутом в одном из недавних иследований во время крупного публичного мероприятия с подозрением на работу кетчера обнаружили, что порядка 29% мобильных соединений на LTE сопровождались раскрытием IMSI что есть явное отклонение от нормы. Такой “всплеск” статистически значимо указывал на наличие перехватчика IMSI в окружении. Этот показатель получил название IMSI Exposure Ratio,
и по сути является процентом соединений (или запросов), в которых эксплуатируются IMSI идентификаторы. В качестве практического ориентира, если видно, что в собранном радиотрафике доля подобных событий заметно превышает пару процентов, можно с большой долей уверенности говорить о работе комплекса.
Подход с анализом радиотрафика выигрывает у простых методов по аномалиям тем, что опирается на причинно-следственные признаки атаки, а не только на сопутствующие эффекты. Конечно, и он требует тщательной фильтрации шума и достаточного охвата эфира. Но комбинация этих методов то есть мониторинг аномалий базовых станций и отслеживание экспозиций идентификаторов уже существенно повышает шансы засечь перехватчик. Стоит учитывать, что подобный анализ сложнее реализовать на обычном смартфоне (из-за ограничений доступа к низкоуровневым радиоданным), зато с помощью SDR и открытого ПО можно пассивно “слушать” сразу все нужные диапазоны и ловить подозрительные пакеты. Ниже мы рассмотрим, какое для этого нужно оборудование и инструментарий.
Атаки типа «Overshadow»
Как упоминалось, нормальные комплексы стараются замаскировать себя под легитимные сигналы, чтобы обойти механизмы обнаружения. Одной из наиболее изощрённых техник является так называемая атака Overshadow. В таком сценарии перехватчик не действует как отдельная “новая” базовая станция, которую можно вычислить по появлению в эфире, а внедряется в сигнал уже существующей вышки. Проще говоря, атакующий накладывает свои сообщения поверх (или вместо) легитимных, используя более мощный сигнал на той же частоте, чтобы телефон “услышал” поддельную команду раньше настоящей.Практический пример: IMSI-ловушка синхронизируется с настоящим сигналом сети и посылает в downlink специальное сообщение Identity Request, выглядящее точь-в-точь как если бы его отправила реальная базовая станция
Телефон не в состоянии отличить подмену и отвечает сообщением с IMSI, но ответ уже может получить либо сам оператор комплекса напрямую, либо легитимная сеть (в зависимости от вектора атаки). Другой вариант это uplink overshadow: оператор “кричит” от имени телефона, посылая в сторону базовой станции запрос на регистрацию с неверным временным ID. Настоящая сеть реагирует на такой странный запрос стандартно и поэтому запрашивает у устройства IMSI,но этот запрос в эфире снова может быть перехвачен параллельно атакующим. В обоих случаях цель достигнута: IMSI устройства получен, при этом сам по себе комплекс не выдает себя как отдельная вышка. Она как бы растворяется в трафике существующих станций. Для наблюдателя со стороны всё выглядит так, будто обычная легитимная сота внезапно запросила IMSI, что может случиться и при нормальных условиях (например, если телефон потерял контекст и сеть действительно попросила IMSI). Таким образом, Overshadow атака позволяет перехватчику уйти от многих критериев обнаружения: не появляются новые идентификаторы сот, не меняются явно параметры сигналов (ловушка может “попугайничать” – копировать Cell ID, LAC, частоты реальной сети), нет явного отключения шифрования (атака происходит еще до установки шифрованного канала).
Такая атака фактически ломает допущения многих методов обнаружения ведь нет ни новой вышки, ни явного даунгрейда до 2G, ни других грубых признаков, на которые они опираются. Именно поэтому последние научные разработки в области защиты от IMSI-Catcher’ов делают упор на анализ самих сообщений (как описано в предыдущем разделе), это один из немногих способов заметить "вплавленные" в трафик атаки. Тем не менее, распознать такое вмешательство крайне сложно: нужна очень тонкая настройка сниффера, улавливающего расхождения во времени, дублирующиеся пакеты или другие побочные артефакты. Кроме того, оператор владеющий такой техникой, может минимизировать объем своих вмешательств, чтобы статистически не палиться. Например, он может нацеленно запрашивать IMSI только у конкретных устройств (зная или угадывая временные идентификаторы нужной цели), так что общее отклонение IMSI Exposure Ratio будет минимальным.
Для противодействия подобным угрозам разрабатываются улучшенные механизмы и стандарты: идеи по аутентификации широковещательных сообщений и защищённому установлению соединения даже на ранних этапах. Но на текущий момент практическая защита сводится к сочетанию различных методов обнаружения (аномалии + прямой анализ трафика) и постоянному обновлению инструментов в ответ на новые техники.
Оборудование и инструменты для обнаружения комплексов
Обнаружение IMSI-Catcher’ов требует достаточно специализированного оборудования и программного обеспечения, особенно если мы говорим о продвинутых методах (радиоперехват и анализ сигнализации). Ниже перечислены некоторые популярные инструменты, используемые исследователями и энтузиастами в этой области:- SDR-приёмники: это программно-определяемые радиомодули, позволяющие принимать (и иногда передавать) широкий диапазон частот. Наиболее распространены устройства семейства USRP (например, Ettus Research B200/B210) и более доступные bladeRF (BladeRF x40/xA4), а также HackRF One, LimeSDR и др. SDR предоставляет сырой поток I/Q данных эфира, который затем обрабатывается ПО на ПК. Например, проект EFF Crocodile Hunter, детектор IMSI кетчеров для LTE работает в связке с USRP B200 или bladeRF x40. Эти устройства способны захватывать весь диапазон LTE-канала (шириной 5–20 МГц) и демодулировать служебные сообщения. Для GSM-трафика подойдёт даже бюджетный приемник RTL-SDR, поскольку ширина канала 200 кГц и его можно настроить на соответствующие частоты. Однако RTL-SDR не захватит 3G/4G из-за ограниченной полосы и динамического диапазона – для современных сетей лучше иметь более мощный SDR (тот же HackRF, LimeSDR или BladeRF).
- Программные инструменты для пассивного приема и анализа: Имея SDR, необходим и софт для декодирования протоколов GSM/UMTS/LTE/5G. Существует множество открытых проектов:
- gr-gsm – модуль для GNU Radio, позволяющий декодировать эфир GSM (BCCH, CCCH и т.д.) и извлекать информацию о сотах и подключениях. С его помощью можно увидеть идентификаторы базовых станций, отправляемые IMSI при регистрации, показатели уровня сигнала и пр.
- srsRAN (бывший srsLTE) – открытый программный пакет реализации LTE/5G NR. Изначально предназначен для развёртывания собственных мини-сетей, он также включает утилиты для пассива: например, cell_search и cell_monitor для прослушивания downlink LTE. На базе srsLTE был создан детектор Crocodile Hunter (EFF), который модифицировал стек для одновременного сканирования всех ближайших 4G сот и выявления аномалий.
- LTE Sniffer (LTESniffer) – специализированный проект (KAIST), направленный на перехват нелегального LTE-трафика. Он позволяет с двумя синхронизированными SDR-приёмниками отслеживать как downlink, так и uplink сообщения LTE в реальном времени. LTESniffer в состоянии захватывать paging, attach/detach, identity request и прочие сигналы, что полезно для отслеживания IMSI-экспозиций. В его функциональность входят также:
- Osmocom (OpenBTS, OpenUSB) – экосистема проектов для GSM и UMTS. Например, OsmocomBB это прошивка для старых телефонов Motorola, превращающая их в GSM снифферы; YateBTS - ПО для запуска собственного GSM-BTS (может использоваться и для экспериментов с IMSI-Catcher, и для детекции, хотя это активный метод).
- Мобильные приложения для детекции: Для рядовых пользователей существуют приложения вроде SnoopSnitch, Cell Spy Catcher, AIMSICD и т.п., которые пытаются выявлять IMSI-ловушки по данным самого телефона. SnoopSnitch, разработанное SRLabs, анализирует диагностические логи модема Qualcomm и может предупреждать о подозрительных событиях (смена LAC, отключение шифра, странные сообщения). Однако такие приложения имеют серьёзные ограничения: им нужен рутованный телефон с определённым чипсетом, они не охватывают все типы атак и часто устаревают. Cтоит помнить что многие подобные утилиты грешат ложными срабатываниями или работают только с 2G/3G, пропуская атаки в LTE/5G. В коммерческом сегменте есть решения вроде FirstPoint – специальная SIM-карта с апплетом, передающим информацию на сервер для анализа угроз, но и здесь возникают вопросы доверия (все ваши данные уходят какой то третьей стороне). А компания ESD America выпускала модифицированные телефоны GSMK CryptoPhone с функцией предупреждения об IMSI-catcher, однако это дорогостоящее и узкоспециализированное оборудование.
Практические рекомендации по мониторингу сети
Как же непосредственно применять все вышеописанные знания на практике? Ниже приведён пошаговый план и советы для специалистов, желающих выявлять IMSI-ловушки в своей местности или при проведении аудита безопасности мобильной связи:
- Выбор диапазонов и технологий для сканирования. Приоритизируйте мониторинг уязвимых сетей: GSM – это главный кандидат, так как большинство комплексов эксплуатируют именно его (отсутствие взаимной аутентификации и слабое шифрование как вариант). Определяем частоты GSM в вашем регионе (GSM-900 и GSM-1800 в Европе, GSM-850/1900 в Америке) и настраиваем как минимум хотя бы приемник RTL-SDR на прослушивание broadcast-каналов (BCCH) всех операторов. Далее, захватываем также LTE (4G): современные перехватчики могут работать и в LTE, добывая IMSI на этапе Attach. В LTE каждая базовая станция (eNodeB) вещает системную информацию на широком диапазоне (каналы 5–20 МГц), поэтому понадобится более продвинутое SDR-устройство (например, 20-МГц BladeRF или USRP).
Выбираем наиболее распространённые LTE бэнды вашего оператора (например, Band 3, 7, 20 в Европе, Band 2, 4, 12 в США и т.д.) и осуществляем регулярный скан этих частот. 3G/UMTS можно мониторить при наличии ресурсов, хотя комплексы реже работают в чистом 3G (но могут переводить телефон с 4G на 3G). 5G SAсети на данный момент менее подвержены всяким захватам и перехватам, но если они есть, можно включить и их (хотя декодирование 5G сложнее и доступных open-source инструментов меньше).
- Выбор диапазонов и технологий для сканирования. Приоритизируйте мониторинг уязвимых сетей: GSM – это главный кандидат, так как большинство комплексов эксплуатируют именно его (отсутствие взаимной аутентификации и слабое шифрование как вариант). Определяем частоты GSM в вашем регионе (GSM-900 и GSM-1800 в Европе, GSM-850/1900 в Америке) и настраиваем как минимум хотя бы приемник RTL-SDR на прослушивание broadcast-каналов (BCCH) всех операторов. Далее, захватываем также LTE (4G): современные перехватчики могут работать и в LTE, добывая IMSI на этапе Attach. В LTE каждая базовая станция (eNodeB) вещает системную информацию на широком диапазоне (каналы 5–20 МГц), поэтому понадобится более продвинутое SDR-устройство (например, 20-МГц BladeRF или USRP).
Развёртка сбора данных.
Надо решить, будете ли вы мобильно перемещатся или организуете стационарный сканнинг. Мобильный сенсор (например, в машине с антенной на крыше и SDR + ноутбук/raspberry pi внутри) хорош для скана большой территории, так работал проект SeaGlass, прокатив датчики на Uber по всему городу. Стационарный мониторинг (например, на крыше здания) позволяет отслеживать длительные тенденции в одном месте. Идеально – комбинировать оба подхода.
Важные моменты:
- Калибровка и сбор данных по медиане: сначала собираем достаточно данных о нормальной обстановке. Благодаря мониторингу эфира без предполагаемых атак несколько дней (или недель) в разных условиях, чтобы понять, какие вариации параметров обычны. Это поможет отфильтровать ложные аномалии впоследствии
- Логирование и геопривязка: записываем все служебные сообщения, приходящие от базовых станций, вместе со временем, частотой и по возможности уровнем сигнала. Если есть GPS, логируем координаты. Такие логи (например, в формате GSMTAP или PCAP) можно потом анализировать скриптами, выискивая подозрительные вещи (новые Cell ID, отключение шифрования, Identity Request и пр.). Геопривязка поможет определить, где именно “поймана” аномальная вышка (можно использовать метод триангуляции по уровню сигнала, если есть несколько сенсоров, или просто отметка точки при движении в машине).
- Использование нескольких устройств/сим-карт: полезно контролировать эфир с разных точек зрения. Например, один телефон можно специально локнуть в режиме только 2G и наблюдать, не подключится ли он внезапно к сомнительной BTS. Другой телефон держать в 4G Only и следить за его поведением (получал ли он неожиданные SMS OTA, команды SIM Toolkit, кто в теме silent SMS, и т.д.). Параллельно SDR будет “подслушивать” общие broadcast’ы для картирования сети. Такой многоканальный подход увеличивает вероятность ничего не упустить.
Анализ собранных данных
После сбора логов переходим к аналитике:
- Поиск аномалий базовых станций: сопоставляем все обнаруженные Cell ID/LAC/PCI с известными списками (OpenCellID, WiGLE) найдены ли неизвестные соты? Учтите, что базы могут быть неполными или оператор мог скопировать чужой ID. Поэтому больше внимания на поведение: отфильтруйте соты, которые были видны очень кратко или в необычных местах (например, одна и та же сота “прыгает” по городу, меняя координаты явный признак фальшивки). Обратите внимание на параметры BCCH/PCI: если у “новой” вышки набор параметров (частота, код сети, и пр.) уникален и нигде более не встречается это еще один тревожный сигнал.
- Проверка шифрования и протокола: опять же таки анализируем, не было ли случаев, когда для какой-то соты Encryption: OFF. Посмотрите логи телефона: получал ли он Ciphering Indicator предупреждение или сообщения об ошибке безопасности? В LTE/5G можно проверить, не происходил ли необъяснимый даунгрейд до 3G/2G (в логах Baseband или DSM сообщения об изменении RAT).
- Отслеживание экспозиций: здесь применяем методику из предыдущего раздела. С помощью софта (например, того же LTESniffer или анализа PCAP из srsRAN) найдите все события, где в сообщениях присутствует 15-значный IMSI (либо в открытом виде для 2G, либо в NAS Attach Request/Identity Response для 4G эти поля можно распарсить). Посчитайте, сколько таких случаев и какова их частота. Сравните с вашим “мирным” бенчмарком: например, если обычно вы видели 1-2 IMSI в час, а теперь вдруг 20 IMSI за час то телефончик стоит выключить. Обратите внимание, какая базовая станция каждый раз фигурирует при этих IMSI запросах. Если удастся привязать множественные IMSI-экспозиции к определённому Cell ID то вы нашли виновника. В норме, как мы говорили, ни одна реальная сота не будет подряд запрашивать десятки IMSI у устройств.
- Так что даже одинокий эпизод массового раскрытия IMSI (допустим, ваш сниффер увидел сразу от нескольких устройств Identity Response) уже почти прямое доказательство наличия комплекса перехвата.
- Корреляция событий: сочетание нескольких признаков резко повышает уверенность. Например, вы заметили новую соту с неизвестным ID и от неё же исходил запрос IMSI у телефона и шифрование на ней было в какой-то момент времени менялось то можно с большой долей уверенности что кто-то попал. Практика показывает, что просто по одиночным аномалиям сложно судить (слишком много “ложных тревог” от помех или особенностей сети), но когда они накладываются друг на друга это то, что нужно для уверенной детекции.
- Поиск аномалий базовых станций: сопоставляем все обнаруженные Cell ID/LAC/PCI с известными списками (OpenCellID, WiGLE) найдены ли неизвестные соты? Учтите, что базы могут быть неполными или оператор мог скопировать чужой ID. Поэтому больше внимания на поведение: отфильтруйте соты, которые были видны очень кратко или в необычных местах (например, одна и та же сота “прыгает” по городу, меняя координаты явный признак фальшивки). Обратите внимание на параметры BCCH/PCI: если у “новой” вышки набор параметров (частота, код сети, и пр.) уникален и нигде более не встречается это еще один тревожный сигнал.
Несмотря на прогресс в методах выявления поддельных вышек, нужно понимать их ограничения. Во-первых, не существует гарантированно надежного детектора, который дал бы 100% уверенность и нулевые ложные срабатывания. Сотовые сети слишком сложны и вариативны: то, что выглядит как комлекс перехвата, может оказаться редкой но законной ситуацией (и наоборот, умело замаскированный перехватчик может затеряться среди нормальных событий). Любые эвристические подходы страдают либо от ложных тревог, либо от слепых зон.
Например, мониторинг аnomалий может поднимать шум по каждому чиху сети, если не настроить фильтры. А простые приложения-детекторы на телефоне либо не имеют доступа к нужной информации, либо слишком упрощены и в результате многие из них неэффективны (что признано даже разработчиками «некоторые приложения бесполезны»). Во-вторых, продвинутый дядя технарь способен адаптироваться. Мы уже обсудили атаки Overshadow, маскировку под легальные соты и т.д., всё это ведёт к тому, что классические индикаторы “не срабатывают”. Как отмечается в научной литературе, фейковая БТС теоретически может вообще не выдавать своего присутствия ни одним известным ныне способом, если будет действовать достаточно хитро. Например, она может собирать IMSI очень точечно, не вызывая массовых аnomалий (скажем, зная временный ID цели, запросить IMSI только у неё одной, детектор, охватывающий десятки устройств, может и не заметить единичный случай). В-третьих, пассивные комплексы практически неуловимы. Все описанные методы направлены против активных БТС. Если же злоумышленник располагает пассивным приемником (который просто слушает эфир, как радио), обнаружить его средствами радиомониторинга невозможно, ведь он сам ничего не излучает. Правда, пассивный перехват IMSI имеет ограничения и на современных сетях без активного вмешательства далеко не уйти,но тем не менее помнить об этом нужно.
