GSM SMS-перехватчик

[gliderexpert]

мы делали как - форком osmocom слушали траффик, выдергивали tmsi и кc, брутили кc, занимало где то 20 минут. Т.е. активного ничего не было, пилинговать было нечего.

99% телефонов на сегодняшний день используют шифрование А5.3, поэтому КС вы сломать не сможете. Не говоря уже о том что в современных сетях есть рандомизация бит в сообщениях и извлечь подходящий фрейм для работы дешифратора - конечно реально, но не так просто.
20 минут... ну, я такой перехват могу вообще в реалтайме показать. 0.4-0.6 секунды время взлома ключа. Но это все опять же про А5.1. Для А5.3 используется другая атака.

 

[TESTAROSSA]

Imsi catcher Orion v4 за 210к$ работает для перехвата смс в зоне действия холдера (город 500метров, загород 1км).
Но без знания IMEI IMSI номеров холдера перехватить смс невозможно, чтобы узнать эти данные - нужно иметь доступ к SS7 панели оператора, которым пользуется холдер, либо купить эти данные через инсайдера. Затем устройство передает на вышку нужный сигнал, находясь при этом рядом с холдером, точное местоположение которого можно либо пробить через того-же оператора либо OSINT и график маршрутов.
Это оборудование устанавливается в фургон, при обнаружении которого всех внутри него примут за такое железо (даже если оно не активно).
Вобщем это чушь и гемор

 

[da_nikto]

в дампе траффика проскакивает imsi. катчер вроде ловить imsi абонентов в округе, перехват смс - это совершенно другая длинная история.

 

[TESTAROSSA]

в дампе траффика проскакивает imsi. катчер вроде ловить imsi абонентов в округе, перехват смс - это совершенно другая длинная история.

делаешь выводы без оборудования и практики? я держал в руках этот орион

 

[gliderexpert]

Imsi catcher Orion v4 за 210к$ работает для перехвата смс в зоне действия холдера (город 500метров, загород 1км).
Но без знания IMEI IMSI номеров холдера перехватить смс невозможно, чтобы узнать эти данные - нужно иметь доступ к SS7 панели оператора,

Не нужно. Достаточно номера телефона. Зная номер и геолокацию абонента - читаем https://xss.pro/threads/73468/ , вдумчиво.
Орион - скажем так, не самое лучшее из того что существует.

Это оборудование устанавливается в фургон, при обнаружении которого всех внутри него примут за такое железо (даже если оно не активно).

Не надо писать на нем super-mega-gsm-interceptor-sms-catcher и когда оно не активно - никакого интереса ни у кого оно не вызывает. Обычное пром.оборудование которого навалом разного в подобных корпусах - блоки питания, мощные зарядные устройства, сервера и прочее.

 

[swap3r]

Не нужно. Достаточно номера телефона. Зная номер и геолокацию абонента - читаем https://xss.pro/threads/73468/ , вдумчиво.
Орион - скажем так, не самое лучшее из того что существует.

насколько я понимаю, то там даже немножко иначе и проще делаеться.
по номеру жертвы отправляются смс, которые видны по сниффинге по определенному тимси.

 

[waahoo]

Дабы не засирать продажник поинтересуюсь тут. Ув. gliderexpert, eсли вот так у меня, могу ли я чувствовать себя в безопасности?

Спойлер

 

[gliderexpert]

насколько я понимаю, то там даже немножко иначе и проще делаеться.
по номеру жертвы отправляются смс, которые видны по сниффинге по определенному тимси.

не всегда, иногда sms уходит внутри gprs канала и не вызывает paging , поэтому старые темы отправить 100 пинг смс и посмотреть на какой тимси прилетело 100 пейджингов, они перестали работать.
Кстати тимси сейчас тоже некоторые операторы довольно часто меняют.

Дабы не засирать продажник поинтересуюсь тут. Ув. gliderexpert, eсли вот так у меня, могу ли я чувствовать себя в безопасности?

Это сильно лучше чем остальные режимы, но нужно тестировать на практике что произойдет если сеть через механизмы csfb попросит телефон на время звонка включить в 2ж - вполне возможно что перейдет на фейковую БС.
Но в любом случае включенный режим только 3ж усложняет работу оператора комплекса перехвата.

 

[da_nikto]

делаешь выводы без оборудования и практики? я держал в руках этот орион

делаю выводы на основании своей практики.

 

[Kayak]

Подпишусь. На сколько вообще сейчас оправданы атаки с подменой бс и мс ? Если при стандартной замене сим те же банки, видя смену имси на практике часто пропускают операции.

 

[gliderexpert]

Подпишусь. На сколько вообще сейчас оправданы атаки с подменой бс и мс ? Если при стандартной замене сим те же банки, видя смену имси на практике часто пропускают операции.

Эмулятор БС создает точную копию телефона включая все его идентификаторы.

 

[da_nikto]

и

Эмулятор БС создает точную копию телефона включая все его идентификаторы.

Ki тоже?

 

[gliderexpert]

ki сим карты телефона, это закрытый ключ - а не идентификатор. Оператор его не запрашивает через сеть.
В момент авторизации проверяется только sres (открытый ключ) и на базе него вычисляется ключ сессии kc. Обе эти переменные - SRES и KC - да, эмулируются.

 

[da_nikto]

ну так жеж выше речь о том что Кс подобрать нельзя для A5.3

 

[gliderexpert]

ну так жеж выше речь о том что Кс подобрать нельзя для A5.3

цитата того сообщения звучит так:

используют шифрование А5.3, поэтому КС вы сломать не сможете.

я сломать - могу . Многие производители комплексов перехвата - тоже могут.

 

[da_nikto]

ну тогда да

 

[gliderexpert]

Примерно так выглядит в общих чертах атака, позволяющая перехватывать СМС у нужного телефона. На схеме пока прорисовано не все, но общий смысл думаю понятен.

 

[da_nikto]

Если на телефоне - только 4G оно не работает. Если ложная бтс - 2G то это понижение протокола, описано 100 раз.

 

[Kelzi]

Решил собрать новую версию эмулятора базовой станции.
Фотографии буду выкладывать в процессе сборки. Может кто увидит что-то полезное для себя )

Посмотреть вложение 38986

На фото, слева направо
1( высокооборотистые вентиляторы системы охлаждения (суммарное тепловыделение системы около киловатта)
2) СВЧ усилитель
3( настраиваемый антенный фильтр на объемных резонаторах
4) в маленькой алюминиевой коробке-
предусилители приемника (LNA);
предусилители передатчика;
управляемые аттенюаторы как на приемные каналы, так и на передающие;
селективные программно-управляемые полосовые фильтры;
2 управляемых ферритовых фазовращателя;
защитные цепи;
5)сверху всей конструкции - 2 SDR'a , немного модифицированные по ВЧ части и с сильно модифицированной прошивкой их ПЛИС (FPGA)

Он может перехватывать SMS от мегафона например? Просто не сильно шарю за это

 

[gliderexpert]

На блок-схеме https://xss.pro/threads/69789/post-556191 есть маленький, но очень дорогой квадратик под названием "дешифратор". Многие ошибочно думают, что в качестве дешифратора используется программное обеспечение наподобие Kraken, использующее радужные таблицы для вычисления начального состояния регистров генератора шифра А51 на центральном процессоре или графической карте персонального компьютера.

На самом деле, это не совсем так. Вернее - совсем не так, и квадратик с надписью "дешифратор" внутри выглядит очень красиво:


Дело в том, что дешифратор представляет из себя синтезированную по Verilog коду - принципиальную схему на примитивных логических элементах, которая загружена на матрицу ПЛИС - такое решение позволяет ломать ключ сессии в масштабе времени, близком к реальному.
Для модуля, вычисляющего начальную точку цепочки - достаточно всего 550шт логических элементов.

Вычисления на ПК не эффективны, ПЛИС намного быстрее, компактнее - и потребляет очень мало электроэнергии.
Поэтому Кракен является хорошим софтом для экспериментов с сетью, но для реального применения - используются вычислители на FPGA.