HackedSim。 任意の番号からの呼び出し-フィクションまたは現実？

興味深いタイトルと有望なコンテンツを含むHackerSIMに関する記事が先週ハブに掲載されました。 記事の本質は次のとおりでした：通常のSIMカードのコストよりも1桁高い金額で、一部の人はSIMカードを提供します。これにより、「選択した番号への音声で、任意の国の任意の番号から安全に電話をかけることができます」前述の記事の論文の集約がここに引用されていること）。 コメントを見た後、このトピックに強い関心があることが判明しましたが、どのように機能するのか、それがまったく機能しないのかを正確に理解している人はいませんでした。



同僚と少し考えた後、このサービスが実際にどのように実行可能であるかを伝えることにしました。



当初、私たちは明らかにこの分野の素人によって書かれた上記の記事の内容について懐疑的だったので、この主題についてインターネット上にあるものを見ることにしました。 ここにいくつかのリソース（ safecalls.ru 、 作業 のビデオ 、 別のビデオ ）があり、提案されたサービスの保守性を確信させました（ビデオでは確認できないため、宣言されたコールセキュリティのみが問題になりました。その可用性についてはさらに説明します） 。 さらに、携帯電話やスマートフォンを使用する、プログラムをインストールする必要がない、インターネットに接続するなどの要件が追加されました。

サービスの説明

読者に技術的な詳細を退屈させないようにし、いくつかのプロセスをかなり抽象的なレベルで説明します。 点灯していない詳細に興味がある場合は、コメントに質問を書いてください。 これが全体像を補完することを願っています。

ネットワーク接続と登録

新しいSIMカードを取り付けるとき、電話が最初にホームネットワークに接続しようとします。 すでに何度も書かれているので、電話機は利用可能な周波数を信号レベルで降順にソートし、このプロセスが成功するまでオペレーターを探して順番にチューニングします。 前述のように、対象のSIMカードは世界のどの国でも機能します。したがって、原則として、ホームネットワークでは機能しないことは明らかです。SIMカードはローミングしており、通信に他の事業者が提供する基地局を使用します。 「そのように」他の事業者のみが、顧客に「提供しない」機器を提供しません。これは、事業者間でローミング契約が締結された場合にのみ発生します。



ただし、第1に、GSM協会は標準化されたローミング契約を広めようとしています。第2に、このSIMカードが他の国でどのように機能するかを誰もテストしていません。 現代世界の未検証データによると、ほとんどの場合、誰もが全員とこれらの契約を結んでいますが、これはここでは重要ではありませんが、そのようなサービスのプロバイダーにはSIMカードを提供するライセンスを受けたオペレーターが必要であり、オペレーターはローミング契約を持っている必要があります。



デフォルトで言われたとおり、電話機は最高の信号レベルでベースステーションに接続します。 ただし、このSIMカードを使用する場合、IMSI Catchersからのセキュリティを確保するために、2番目に強力なBTS（Base Transceiver Station）に接続されます。 技術的な観点から見ると、これは非常に低いレベルでしか行えません。ベースバンドプロセッサが無線チャネルを操作するロジック全体を実行するためです（モデムは、独自のアーキテクチャとOSを備えた電話機の独立したデバイスです）。 レポート「SIMカードの秘密の生活」はDefcon 21で発表されましたが、SIMカードには独自のOSと独自のアプリケーションもあることがわかります。 同時に、SIMカード上のアプリケーションは最も単純なUIコントロールを表示できます。たとえば、「ライブバランス」サービスはそのように実装され、URLを開き、SMSを送信し、電話をかけ、通話の開始/終了に関する通知を受け取ります。



これらのアプリケーションは、Java言語の大幅に削減されたバージョンで記述されており、対話にはSIM Toolkit（STK）APIを使用します。 Applets SIMおよびベースバンドプロセッサの動作に関するドキュメントはほとんどありませんが、2番目に強力なベースステーションを選択する機能が機能する場合、SIMアプレットを使用してこれを実装できます。 これは本当に時間がかかり困難な作業です（おそらく不可能-ベースバンドによって提供されるインターフェイスのドキュメントを詳細に調査しませんでした）。これは高度な資格を持つ専門家のみが実行できますが、この機能はこれらのsimカードではサポートされていません多くのリソースが必要であり、結果は疑わしいだけでなく、ほとんどの場合、目立たない（誰もが検証できるわけではない）。 したがって、おそらくこれは単なるマーケティング策略です。 この機能が実装されていないという事実を支持する別の議論は、書かれたアプリケーションをSIMカードに「アップロード」する必要があるということです。 当然、これは誰でも行うことはできませんが、各SIMカードに固有のOTAインストールキーの所有者のみが行うことができます。



上記のプレゼンテーションでは、Shadytelオペレーターと、Ki、IMSI、およびOTA Install Keyで配布されたSIMカードのスライドがあります。 ライセンスされているかどうかはわかりませんが、ライセンスがある場合、Hacker SIMサービスの主催者がこれまたは同様のオペレーターを使用する場合、このSIMカードのユーザーはよく眠ってはいけません。 OTAインストールキーを知っているため）。



このSIMカードを使用してMSとBTSの間のトラフィックにA5 / 1暗号化アルゴリズムを強制的に使用する場合については、前の段落を再度参照します。 暗号化アルゴリズムを確立するコマンドは、無線リソース管理プロトコルの（LAPDmを介した）暗号化モードコマンドメッセージのBTS MSから送信されます。 したがって、SIMカードはベースバンドからこのパッケージを受信する必要があり、「不適切な」アルゴリズムの場合は、コマンドを拒否して接続を終了します。 これらすべてのために、ベースバンドは非常に開発されたインターフェースを備えたSIMカードを提供する必要があります。 繰り返しになりますが、アプリケーションを開発してSIMカードにインストールするという問題があります（さらに難しいのは明らかではありません）。 さらに、別の修辞的な問題が発生します：なぜA5 / 1アルゴリズムのみが使用されるのですか？ 古い機器との互換性のためにA5 / 1が必要であることは明らかですが、ユーザーの電話とオペレーターの機器がA5 / 3をサポートしている場合、暗号化の分野の専門家によると、より安全であるため、それを使用しないのはなぜですか？ したがって、ほとんどの場合、この機能は実装されていません。

任意の番号から電話をかける

次に、最も興味深いものに移りましょう-ビデオに表示され、記事のコメントで確認され、実装されているもの-絶対に任意の番号から呼び出しを行います。

この手法の考え方は、電話ネットワークで呼び出して発呼者（Caller）を識別するために、2つの識別子が同時に使用されるということです：課金される番号の識別子と、通話を受信する側の機器に表示される番号（Callee）。





最初の識別子（ANI（自動番号識別）またはCHARGED DNと呼ばれる）に基づいて行動することは違法であり、原則として不可能です。 2番目のパラメーター（発信者ID）の操作は、ISDNに接続されている任意のPBX（構内交換機-私設企業回線）によって実行できます。 したがって、SIPまたはPRIを介して電話回線にアクセスできるユーザーは、結果を心配することなく、発信者IDを好きなものに変更できます。 ISDNテレフォニーオペレーターは通常、発信者IDが本物であることを確認しません。 VoIPプロバイダーは、クライアントの機能を低下させる可能性はさらに低くなります。

したがって、受信側の画面に表示される番号は非常に簡単に変更できます。 また、公衆電話網で電話をかける際に匿名性が完全に欠如していることもわかります。 これは、ANIまたはCHARGED DNにより実現されます。 この番号に基づいて、調査検索手段のシステムが機能しますが、そのような場合の発信者IDは誰にも関心がありません。



自分でこれを行う方法に関する実用的なガイドは、検索エンジン「発信者IDのなりすまし」でリクエストに応じて見つけることができます。

ところで、先を見て、呼び出しだけが発信者IDを持っているとしましょう。 このフィールドでSMSメッセージを送信するときは使用されません。 これは、提案されたSIMカードがSMSの送信をサポートしていないという事実を説明しています。 「セキュリティ上の目的」に関しては、これはサイトに掲載されていますが。



PBX（実際にはオフィスの通常の電話ネットワーク）をインストールすることは、財政的にも管理的にも難しくありません。 PBXは、PRIを使用して公衆電話網に接続します（プロバイダーはケーブルをオフィスに延長します）。または、電話ケーブルではなく、利用可能なインターネットチャネルでSIPを使用します。 このイベントの結果として、オフィスには市番号のプールが割り当てられ、そこから自由に電話をかけることができます。



今述べたことを要約すると、任意の番号から電話をかけるには、ISDN電話オペレーターに注文して、PRIを介して電話ネットワークにアクセスするか、SIPを介してSIP電話サービスプロバイダーから、音声通話の一部のパラメーター（特に発信者ID）を操作できるようにするだけです。



この機会にFCC（連邦通信委員会、米国通信委員会）の公式規制機関は次のように表明しました：「通信事業者は、表示のために正しい番号をエンドユーザーに提供し、可能であれば電話をかける会社の名前を提供する必要があります。」 米国のオペレーターは、虚偽の情報を提供したとして罰金を科されます。 ただし、オペレーターによって発信者IDが変更されない状況は、米国でも規制されていません。



ただし、このアプローチを使用すると、PBXを所有する組織の電話、および任意の番号のサービス状態のプロバイダーからのみ、任意の番号（発信者IDでわかった）で呼び出すことができ、任意の携帯電話から特定の番号で呼び出すことができる多数のビデオでデモンストレーションを行うことができますインターネットおよびサードパーティのソフトウェアがない場合。



この問題の解決策は、私たちにとって本当に興味深いようです（ハッカーとも言えるかもしれません）。 任意の発信者IDを使用して携帯電話から別の携帯電話に電話をかけるプロセスを図に示します。







この図は、1234567という番号のサブスクライバー（サブスクライバーAを呼び出します）が、サブスクライバー7654321（サブスクライバーB）を任意の番号で呼び出す方法を示しています。



まず、SIMカードサービスに発信番号を変更する機能を提供しているサイトの1つからの指示に従って、サブスクライバーAが行う150 * phone_number *などのUSSDコマンドを入力する必要があります。



電話機はネットワークに接続されており、ローミング中であるため、図に示されている最初の2つの手順は、GSMのドキュメントに完全に従って簡単に実行されます。 3番目のステップで、MSC（モバイルスイッチングセンター）は、ルーティングテーブルに従って、SIMカードのホームオペレーターのHLRに要求を送信し、番号1234123（PBXに接続された組織のオフィスの電話番号）へのUSSDの転送の指示を受信します。 後者は、PRI ISDNを介してISDNプロバイダーによって敷設されたケーブルを介してSS7に接続されます。 したがって、4番目のステップで、元のUSSDコマンドがこのSIMカードのPBXディストリビューターに到達します。 特定の機器がこの機器で実行されている可能性があります。この機器は、このリクエストに応じて、ルールを構成に追加し、リクエストの発信元の番号をUSSDコマンドの番号に置き換えます。



次に、サブスクライバAがサブスクライバBに電話をかけます。手順1〜5が正確に繰り返され、コールがPBXに到達すると、サブスクライバAを「ドロップ」します。PBX上のアプリケーションは、発信者IDスプーフィングを使用して番号を変更し、サブスクライバに電話をかけますAとB。コールはサブスクライバAに到達し、PBXに接続された乱数または電話番号のいずれかを「表示」します。並行して、コールはサブスクライバBに到達します。 次に、PBXは、サブスクライバーの会話中に送信されるトラフィックを単に「転送」します。



コールはサードパーティのPBXを介して確立されますが、このPBXは常に物理的に検出されるため、匿名性は追加されないことに注意してください。 そしてその後、適切な人は誰がそれを介して呼び出しているのか、そしてなぜそれを見つけ、呼び出しの時間を比較し、サブスクライバーが通常のSIMカードから呼び出しを行った場合にオペレーターから取得できる呼び出しの詳細に決して劣らないデータを受信します。



すべての音声トラフィックが1つのPBXを通過すると主張されているため、加入者の音声の調性が変化するのはそこにあると推測するのは簡単です。 しかし、これは追加のリスクを生み出します-すべての呼び出しが通過するため、そこで記録/保存/分析することは難しくありません。

結論

結論として、私は選択された声のトーンを持つ任意の番号からの呼び出し-実際のジョークやジョークにとって紛れもなくクールなもの-望むなら読者を作ることができると確信しています、会話のセキュリティは通常を超えず、デフォルトのセキュリティに劣ることがあります2Gネットワ​​ーク（オペレーターはしばしばA5 / 3を使用します。3Gネットワ​​ークについては言及していません）、宣言された匿名性の欠如、盗聴からの保護、SMSおよびインターネットのサポートの欠如、および目標を収集する可能性 サードパーティのトラフィック（結局のところ、音声のトーンを変更できるだけでなく、同時に音声の保存と分析もできることは明らかです）-ローミングコストを考慮しても、多くのお金がかかる怪しいサービスです。



オペレーターによって提供された機会を使用し、絶対に合法（おそらく、文書なしのSIMカードの販売を除く）を使用する開発者の「ハッキング」アイデアを強調したいと思います。 。しかし、残念なことに、これはすべてが実際よりもはるかに魅力的に見える場合です。



高い確率でのこのサービスの提案された実装は、それを販売する人々によって実装されたものと一致することに注意すべきです。しかし同時に、間違っている可能性があることを忘れないでください。すべての「i」にドットを付けるには、このSIMカードを購入して、その仕組みを調べる必要があります。しかし、このイベントの費用は研究熱を冷やします。