GoldenLine
Zaloguj się
Filip Achramowicz

Filip Achramowicz Telecom VAS &
fotoach.pl

Temat: IMSI IMEI Catcher

Słyszeliście o czymś takim jak w temacie?

Założenia:
- mamy wydzieloną komórkę GSM - np budynek, halę, obiekt sportowy..
- mamy kilka dni/godzin na działanie

Czy słyszeliście o urządzeniu które w nagra informację z toru radiowego, zdekoduje to co złapie (transmisję GSM) i wyłuska z tego pary IMSI/IMEI aparatów będących w zasięgu działania urządzenia?
Link do wypowiedziLink
Aleksander G.

Aleksander G. Network Software
Engineer

Temat: IMSI IMEI Catcher

Ja slyszalem o dekodowaniu sygnalu GSM ze jest to calkowicie mozliwe przy duzych nakladach obliczeniowych :)
Link do wypowiedziLink
Piotr D.

Piotr D. Tester
Oprogramowania

Temat: IMSI IMEI Catcher

Jestem "poza branżą" więc do wszystkiego poniżej proponują zachować dystans :) (informacja zwrotna mile widziana)

O "gotowej czarnej skrzynce wszystkomającej" nie słyszałem (z producenta i modelu). Podejrzewam, że jakiś analizator protokołów, analizator widma spięte z dobrym laptopem i duuużym dyskiem jakąś "branżową" magistralą i sterowane oprogramowaniem w LabView/Matlabie + oprogramowanie producenta mogłby takie urządzenie zaimporowizować (+ oczywiście antena, zasilanie itp).
Natomiast jeżeli chodzi o samo np. szyfrowanie mowy w GSMie, to przewinęło się sporo standardów - te wczesne, to Shamir (ten od S w RSA) z kimś jeszcze pokazali jak łamać za pomocą PC z AMD K6 czy K7 po 3 minutach rejestrowania. Z obecnymi wątpię, aby to przeszło.

Poza tym, atak na szyfr jest bez sensu - lepiej zadzialać tak, jak robią to "sprytne" wygaszacze komórek. Czy działa obecnie, NIE WIEM, bo jestem poza branżą, ale idea jest trywialna - posadzić własnego BTSa który przekona telefony że jest najlepszym z dostępnych, wymieni z nimi klucze, nagra co trzeba a całą sygnalizację i rozmowy oczywiście - udając komórkę - przekaże dalej. Ot, taki "mostek sieciowy" dla interfejsu radiowego.

Acha, i trzeba by sprawdzić w standardach, w jakich okolicznościach IMEI jest przez tel. podawany. Czy np nie byłoby wymagane połączenie z/do wykrytego telefonu.

Jeżeli miałbym za zadanie znaleźć taki sprzęt, zacząłbym od np. biuletynu zamówień publicznych i zakupów ABW, Policję, Straż Graniczną ogólnie MSWiA (o ile takowe się tam znajdują). Być może znajdzie się tam wzmianka o sprzęcie zdolnym to takich kwestii lub pokrewnym, a to namiar na producenta.

Z pokrewnych (ale nie związanych z GSM) - jest taki fajny projekt bluetooth tracker (linka zgubiłem - hobbysta powiesił antenę z elektroniką w mieście, i nagrywał MACki aktywny urządzen BT).Piotr D. edytował(a) ten post dnia 20.07.10 o godzinie 19:05
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: IMSI IMEI Catcher

Filip Achramowicz:
Słyszeliście o czymś takim jak w temacie?

Założenia:
- mamy wydzieloną komórkę GSM - np budynek, halę, obiekt sportowy..
- mamy kilka dni/godzin na działanie

Czy słyszeliście o urządzeniu które w nagra informację z toru radiowego, zdekoduje to co złapie (transmisję GSM) i wyłuska z tego pary IMSI/IMEI aparatów będących w zasięgu działania urządzenia?

Oczywiście. Kwestia nakładów finansowych jest w zasadzie pomijalna, jeśli to zrobić samemu - są to kwoty rzędu powiedzmy 8000 USD + odrobinka (naprawdę - odrobinka) znajomości C/C++.

Gotowe urządzenia są dostępne, głównie na rynku amerykańskim (ale na pasmo ITU/ETSI również, rzecz jasna).
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: IMSI IMEI Catcher

Piotr D.:
Natomiast jeżeli chodzi o samo np. szyfrowanie mowy w GSMie, to przewinęło się sporo standardów - te wczesne, to Shamir (ten od S w RSA) z kimś jeszcze pokazali jak łamać za pomocą PC z AMD K6 czy K7 po 3 minutach rejestrowania. Z obecnymi wątpię, aby to przeszło.

Praktyczną implementację ataku na A5/1 widzieliśmy na ostatnim CCC. Korzystając, że ten temat
został przywołany, to pytanie - quiz dla ludzi związanych z bezpieczeństwem sieci GSM:

Mamy teoretycznie 4 schematy algorytmów szyfrowania:

A5/0 - bez jakiegokolwiek szyfrowania
A5/1 - 'mocniejsze' szyfrowanie, teoretycznie dostępne jedynie w stacjach bazowych w ameryce i europie.
A5/2 - 'słabe' szyfrowanie, dostępne dla całej reszty świata. W 2006 GSMA zadeklarowała A5/2 jako przestarzałe (obsolete) i zarządziłą usunięcie tego sposobu szyfrowania z sieci oraz nie wspiera implementowania go w terminalach.
A5/3 - naprawdę silny algorytm syzfrowania, wprowadzany dla UMTS, zaproponowany jako upgrade dla GSM.

I teraz, jeśli powyższe się zgadza - jeśli używamy telefonu GSM zbudowanego po roku 2006, nie jesteśmy w ameryce ani w europie, to jakie standardy szyfrowania wspierana jest w naszych rozmowach? :-)

Ciekawe który z praktyków zna na tę zagadkę odpowiedź.
Link do wypowiedziLink

konto usunięte

Temat: IMSI IMEI Catcher

Co do Kasumi czy też A5/3 zdaje się nie jest już taki silny . Warto także zobaczyć kto go złamał, Adi Shamir, jeden z 3 ojców RSA.Mateusz Pańczyszyn edytował(a) ten post dnia 20.07.10 o godzinie 20:49
Link do wypowiedziLink
Jakub Klausa

Jakub Klausa CTO, SS7
Technologies sp. z
o.o.

Temat: IMSI IMEI Catcher

Mateusz Pańczyszyn:
Co do Kasumi czy też A5/3 zdaje się nie jest już taki silny . Warto także zobaczyć kto go złamał, Adi Shamir, jeden z 3 ojców RSA.Mateusz Pańczyszyn edytował(a) ten post dnia 20.07.10 o godzinie 20:49

Silny wg. standardów GSMA, nie wg. obiektywnych kryteriów - jeśli to nie było jasne, to mam nadzieję, że jest już teraz.
Link do wypowiedziLink
Michał Rogala

Michał Rogala security auditor

Temat: IMSI IMEI Catcher

Na dniach oficjalnie opublikowany został Kraken, służący do deszyfracji A5/1 - trochę boli tylko konieczność posiadania 1,5 TB storage'u na rainbow tables :).

Co do samego radia to wiele osób bawi się projektem USRP (Software Defined Radio) - koszty zamykają się chyba w 4-5 tysięcy $. Na tej bazie powstał OpenBTS, korzystając z niego można się pokusić o atak typu Evil-Twin, tylko przy takim zagęszczeniu nadajników to zadanie nietrywialne.

O ile dobrze kojarzę IMSI transmitowane jest jedynie przy pierwszym logowaniu do sieci, później telefon używa tymczasowego TMSI.
Link do wypowiedziLink
Piotr D.

Piotr D. Tester
Oprogramowania

Temat: IMSI IMEI Catcher

Jakub Klausa:
I teraz, jeśli powyższe się zgadza - jeśli używamy telefonu GSM zbudowanego po roku 2006, nie jesteśmy w ameryce ani w europie, to jakie standardy szyfrowania wspierana jest w naszych rozmowach? :-)
Ciekawe który z praktyków zna na tę zagadkę odpowiedź.

Heh :) Miałem podobne pytanie kiedyś na wykładzie, ale nie pamiętam czym się kończyło - chętnie poznam możliwie aktualną odpowiedź.
Michał Rogala:
Na dniach oficjalnie opublikowany został Kraken, służący do deszyfracji A5/1 - trochę boli tylko konieczność posiadania 1,5 TB storage'u na rainbow tables :).

1-2 dwa łatwo dostępne HDD poniżej 1k PLN. Dla kogoś kto potrzebuje zajmować się czymś takim, chyba koszt żaden...Piotr D. edytował(a) ten post dnia 24.07.10 o godzinie 20:32
Link do wypowiedziLink
Maciej B.

Maciej B. PR, media,
telekomunikacja,
kolej. Albo
odwrotnie :-)

Temat: IMSI IMEI Catcher

Michał Rogala:


O ile dobrze kojarzę IMSI transmitowane jest jedynie przy pierwszym logowaniu do sieci, później telefon używa tymczasowego TMSI.

O ile dobrze pamiętam (a nie mam żadnej biblii GSM pod ręką) TMSI jest przydzielany wyłącznie na czas zestawionego połączenia i jest charakterystyczny dla danego MSC lub LA. Więc IMSI musi być wysyłany przy Location Update i zmianie np. LA.
Link do wypowiedziLink
Michał Rogala

Michał Rogala security auditor

Temat: IMSI IMEI Catcher

Piotr D.:
1-2 dwa łatwo dostępne HDD poniżej 1k PLN. Dla kogoś kto potrzebuje zajmować się czymś takim, chyba koszt żaden...

Owszem, ale używanie rainbow tables zabija całe I/O - żeby można się było pokusić o nazwanie takiej deszyfracji "czasem rzeczywistym" trzeba inwestować w drogie SSD albo kombinować z różnymi schematami RAID, żeby przyśpieszyć odczyt - a tutaj już trzeba będzie kilku TB.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj