GSM Зеродей в GSM 4G / LTE

[gavz]

Репозиторий удалили, можете скинуть сюда?

GitHub - gavz/plmn-research: Celluar networks research papers

Celluar networks research papers. Contribute to gavz/plmn-research development by creating an account on GitHub.

github.com

https://gitlab.com/gavz/plmn-research

 

[gavz]

gliderexpert, а модуль mobile для прописывания Кс в открытом доступе где-то есть?

file vty_interface.c
code:

DEFUN(clone, clone_cmd, "clone [MS_NAME] [TMSI] [Key_seq] [Kc]",
     "Clone TMSI and Kc\n"
     "1 for MS\n"
     "2 for TMSI\n"
     "3 for Key_seq\n"
     "4 for Kc\n")
     

{
    struct osmocom_ms *ms;
    
    int key_seq_v;
    uint64_t kc, addr_kc, *ptr;
    unsigned char val_add_kc;
    ms = get_ms(argv[0], vty);
    int len;

       if (argc <= 1){
          return CMD_WARNING;
         } else {
                  //ms = get_ms(argv[0], vty);
          
                  if(ms){
                       ms->subscr.tmsi = strtoul(argv[1], 0 , 16);
                         len = strlen(argv[1]);
             
                            if(len != 8) {
                                vty_out(vty, "Lenght of TMSI must be 8 characters", VTY_NEWLINE);
                                return CMD_WARNING;
                            }
                        } 
                }

   
   if (argc > 3){
   key_seq_v = strtoul(argv[2], NULL, 16);
   ms->subscr.key_seq = key_seq_v;
    kc  = strtoul(argv[3], NULL, 16);
    len = strlen(argv[3]);
    if(len!=16){
        vty_out(vty, "Lenght of Kc must be 16 characters", VTY_NEWLINE);
        return CMD_WARNING;
    }
    addr_kc = &kc;
    int d = 7;
    for (int i=0; i<sizeof(kc); i++){

            ptr = addr_kc;
            val_add_kc = *ptr;
            ms->subscr.key[d] = val_add_kc;
            d--;
            addr_kc = addr_kc + 0x01;
    }
 }
   
   return CMD_SUCCESS;  
}

and add

  install_element(ENABLE_NODE, &clone_cmd);

 

[gliderexpert]

Небольшой апдейт темы - удалось воспроизвести данную атаку при помощи копеечного SDR HackRF (100 баксов на алиэкспресс).
Используя эти платы можно собрать весьма бюджетный редиректор на нужное количество каналов.
Для сравнения:
10 каналов на hackrf = 1000 баксов
10 каналов на lime = 7000 баксов
10 каналов на USRP - промолчу )
//речь про цену самих плат без усилителей - антенного хозяйства и прочего

Кому нужно - смотрите в сторону генерирования iq потока при помощи связки Matlab + LTE toolbox , дальше запись этого потока на карту памяти и воспроизведение средствами hackrf с модулем portapack прошитого mayhem.

 

[HackLiLBITCH]

А как скоро пофиксят ?

 

[k0m1m1]

Glider, а А5/2 работает с нынешними операторами и МС?

 

[gliderexpert]

Оператор и не должен работать с a5/2. В сети оператора аутентификация при MiTM атаке выполняется с шифрованием а5.1.

К сожалению все современные телефоны не поддерживают a5.2 (за исключением может быть некоторых моделей для китайского и французского рынка), но до сих пор есть достаточно большое количество старых телефонов, в том числе подключенных к SMS-банкингу, и на этих "трубках" не заблокирован А5.2.
А52 на сегодняшний день тупиковый путь. Что-то заработать на этой атаке все еще можно, но я бы рекомендовал смотреть в сторону А5.1 - ближайшие 10 лет он точно не потеряет актуальность.

 

[IPMASHEEN]

пиздец, что я только что прочитал. это же просто разъеб татальный. автоматизируем такие коробочки и... и...
от этого даже не защититься! это вам не заплатка в браузере хрома где она апдейтом прилетает незаметно, это железо со стандартами качества. там годами а то и десятилетиями ничего не меняется.
и способ онли_4г не поможет при правильном подходе. я даже примерно понимаю. пиздец товарисчи...
либо об этом не пишут в газетах, либо вспышки в этом направлении пока что небыло. ключевое слово "пока что"

 

[gliderexpert]

либо об этом не пишут в газетах,

Все проще. Напиши список навыков которые нужны человеку, чтобы написать софт-сделать оборудование и воспроизвести на практике такую атаку.
Причем не в лабораторных условиях, а например на улице в Москве.

//если что то список начнется с навыков CAD/CAM, токарно-фрезерной металлообработки, где то посередине будет знание HFSS и работы с СВЧ техникой, а закончится резюме ASMом и VHDL )

Вот поэтому и нет таких атак )

 

[IPMASHEEN]

//если что то список начнется с навыков CAD/CAM, токарно-фрезерной металлообработки, где то посередине будет знание HFSS и работы с СВЧ техникой, а закончится резюме ASMом и VHDL )

трое человек на чистом энтузиазме с наскока сделают такое за полгода.
за несколько лет можно подготовить почву для размышлений, задать вектор сознания, сформировать некое сообщество со своими узконаправленными идеалами (аля связисты в 70) и идея, заложенная в умы юных когда-то, будет жить и процветать.

 

[gliderexpert]

трое человек на чистом энтузиазме с наскока сделают такое за полгода.

Повторите за пол-года хотя бы атаку с редиректом 4г-2г через sib7 из этой темы и вот эту (отправка смс с чужого мобильника) .
А то уже почти год прошел с момента публикации подробного описания уязвимости, а на практике никто повторять не захотел или не смог.

за несколько лет можно подготовить почву для размышлений, задать вектор сознания, сформировать некое сообщество со своими узконаправленными идеалами (аля связисты в 70) и идея, заложенная в умы юных когда-то, будет жить и процветать.

При включении imsi-catcher'а в городе, за час через него "проходит" порядка 3000-5000 телефонов. Вот и считаем - допустим лимит перевода через смс банкинг - 50$. Доступ к нему и положительный баланс имеют 5% телефонов, это уже 7500$ профита за ЧАС работы комплекса. Так то это выгоднее чем рансом получается...
Удивительно что до сих пор тишина в данном направлении...

 

[IPMASHEEN]

Доступ к нему и положительный баланс имеют 5% телефонов, это уже 7500$ профита за ЧАС работы комплекса. Так то это выгоднее чем рансом получается...

так я уже все посчитал и просчитал поэтому и говорю, ахуеть!
до этого я в этом направлении интерисовался, но не думал что это настолько доступно (относительно)
на самом деле, я тебе завидую! мачетой прорубаешь в нужном направлении. ты - из первопроходцев.

 

[IPMASHEEN]

Удивительно что до сих пор тишина в данном направлении...

Соглашусь. Удивительно.

Взахлеб читаю твои темы, вникаю в суть. Пытаюсь понять почему никто не описывал подобного и инфы в интернете нет.
Ведь атаку можно и без самодельных антен произвести и оборудование довольно дешевое.
Видимо все таки людей так мало кто в железяках понимает... или это игрушки спец служб и описаны они в книге за семью печатями...

 

[gliderexpert]

Видимо все таки людей так мало кто в железяках понимает... или это игрушки спец служб и описаны они в книге за семью печатями...

Да нет, описания комплексов давно гуляют по интернету в открытом доступе, и на том же Интерполитехе "чемоданчики" вполне открыто демонстрировались.
Плохо помню когда первый раз там увидел эти железки, кажется в 2003 или 2004 году. Примерно в это же время на одной из конференций в бауманке всем желающим рассказывали про уязвимости а5/1 )

Бонусная PDFка за интерес к теме - во вложении )

 

[hits]

а есть какие железки,через которые можно глушить фэйковую бс?
нашел ток это https://github.com/cn0xroot/RFSec-ToolKit
и это

 

[gliderexpert]

а есть какие железки,через которые можно глушить фэйковую бс?
нашел ток это https://github.com/cn0xroot/RFSec-ToolKit
и это

Запусти еще одну свою фейковую БС более мощную чем чужая фейковая бс ))

Если серьезно - то глушить ее не надо, включи на телефоне lte mode only и в большинстве случаев этого будет достаточно.
Я конечно умею обходить эту хрень, но если честно - то задача зацепа такого телефона в режиме lte only становится прям совсем нетривиальной и похоже что большинство комплексов которые есть в эксплуатации до сих пор не умеют обходить эту блокировку.

 

[hits]

Запусти еще одну свою фейковую БС более мощную чем чужая фейковая бс ))

Если серьезно - то глушить ее не надо, включи на телефоне lte mode only и в большинстве случаев этого будет достаточно.
Я конечно умею обходить эту хрень, но если честно - то задача зацепа такого телефона в режиме lte only становится прям совсем нетривиальной и похоже что большинство комплексов которые есть в эксплуатации до сих пор не умеют обходить эту блокировку.

понятно спасибо за помощь,а вот если подобное делаеться не для телефона,а для модема,то как тут быть,просто вот сижу и эта поганая бс фон создает в доме по этому хочу её либо заглушить либо за ддосить что бы сдохла)

 

[gliderexpert]

как тут быть,просто вот сижу и эта поганая бс фон создает в доме по этому хочу её либо заглушить либо за ддосить что бы сдохла)

Спойлер: история про свч фон в доме

Питерские спасатели очень любят рассказывать одну историю. Жил один человек, который постоянно забрасывал их сообщениями, что сосед сверху хочет убить его с помощью радиационной атаки. Спасатели долгое время не обращали на эти заявления внимания, но однажды, когда их поток перевалил все разумные пределы, а у самих спасателей выдалось свободное время, они решили все-таки съездить по указанному адресу. И вот, входят они в квартиру и видят картину — весь потолок, а также стены помещения обклеены фольгой, а хозяин квартиры постоянно ходит в колпаке из фольги и никогда его не снимает и отказался сделать это даже когда его попросили. Спасатели обещали ему разобраться с соседом сверху, а сами подумали что сходят к соседу сверху, только чтобы узнать — не беспокоит ли его параноидальный сосед снизу. И вот входят они в квартиру, и что же видят? Весь пол уставлен подключенными к сети микроволновками, которые стоят с открытыми дверцами вниз. Оказалось, что этот самый сосед сверху таким образом «борется с инопланетными захватчиками, которые хотят поработить землю и уже начали захват нашей планеты с его дома». У психбольницы был урожайный день.

 

[hits]

Спойлер: история про свч фон в доме

Питерские спасатели очень любят рассказывать одну историю. Жил один человек, который постоянно забрасывал их сообщениями, что сосед сверху хочет убить его с помощью радиационной атаки. Спасатели долгое время не обращали на эти заявления внимания, но однажды, когда их поток перевалил все разумные пределы, а у самих спасателей выдалось свободное время, они решили все-таки съездить по указанному адресу. И вот, входят они в квартиру и видят картину — весь потолок, а также стены помещения обклеены фольгой, а хозяин квартиры постоянно ходит в колпаке из фольги и никогда его не снимает и отказался сделать это даже когда его попросили. Спасатели обещали ему разобраться с соседом сверху, а сами подумали что сходят к соседу сверху, только чтобы узнать — не беспокоит ли его параноидальный сосед снизу. И вот входят они в квартиру, и что же видят? Весь пол уставлен подключенными к сети микроволновками, которые стоят с открытыми дверцами вниз. Оказалось, что этот самый сосед сверху таким образом «борется с инопланетными захватчиками, которые хотят поработить землю и уже начали захват нашей планеты с его дома». У психбольницы был урожайный день.

смешно,но я у тебя спросил как у тру в этой теме)))

 

[gliderexpert]

В каждой шутке только доля шутки. Скорее всего нет никакой "фейк бс", это дорогое оборудование которым пользуются специалисты очень высокой квалификации.
Могу предположить что никто не будет держать фейк бс включенную неделями в одном и том же месте.

Поэтому нужно сначала найти источник помехи и потом думать что с ним делать.
Наверняка фонит какой-нибудь китайский репитер-усилитель сотовой связи, или БСка оператора сглючила и ее усилитель стал выдавать помехи.

 

[hits]

В каждой шутке только доля шутки. Скорее всего нет никакой "фейк бс", это дорогое оборудование которым пользуются специалисты очень высокой квалификации.
Могу предположить что никто не будет держать фейк бс включенную неделями в одном и том же месте.

Поэтому нужно сначала найти источник помехи и потом думать что с ним делать.
Наверняка фонит какой-нибудь китайский репитер-усилитель сотовой связи, или БСка оператора сглючила и ее усилитель стал выдавать помехи.

вот за эту инфу спасибо ! а чем можно вычислить помехи hackone rf?
момент такой вот монитор от него отдуваешь воздух и начинает все быстро работать,так же от модема,врубаю вентилятор направляю по кругу вверх где то лопасти тупа стопоряться и перестоет крутиться он потом в другое направление делаю все работает,или это наводки пэмин? ещё маленько помогает смотку проводов с жилой по больше вещаю в вверху и вроде лучше работать начинает,но это как не видимая крыса в 1 месте закрыл она с другова бьет )))

и за фэйковую бс вот к примеру видео

или я что то не догоняю,как вообщем весь топ то что надо,там мего знания и оборудования мастырить?