DEFCON会議18.携帯電話を使用した実際のスパイ行為。 パート2

DEFCON会議18.携帯電話を使用した実際のスパイ行為。 パート1



特定の方法を使用して、偽のネットワークによる電話のキャプチャを高速化したい。 単純なIMSIインターセプターが用意された時点で、私が記録した警告を呼び出して聞くことができます。 何人かの人が手を挙げています。 つまり、皆さんは私のネットワークに接続していて、すべてのトラフィックを傍受しています。

最初に、すべてのIMSIを把握し、それらを除外して、特定の人のIMSIのみを残すことができます。これが私の目標です。 電話識別子であるIMEIのフィルタリングでも同じことができます。 たとえば、Nokiaの電話のみ、またはiPhoneのみにネットワークへの接続を許可できます。 この特定のIMEIのみが自分のネットワーク上にあり、他のユーザーにはないことを確認できます。 さまざまなパラメーターを使用してアクセスを制限できます。







すでに述べたように、公式のネットワークから私のネットワークに人々​​を移行するには時間がかかります。より速くそれを行うことができます。すぐにそれについてお話します。 このシステムの主な制限の1つは、発信コールのみを受け入れることです。 ネットワークに接続すると、T-MobileかAT＆Tかに関係なく、電話は切断されます。実際には、正当な携帯電話塔のいずれにも接続されていないためです。 したがって、コールが到着するとすぐに、ボイスメールに直接送信されます。 この問題は解決可能です。後で、発信通話も記録できることを示します。



それでは、接続を高速化するにはどうすればよいでしょうか。私が一日中ここに座って、あなたの電話が私のネットワークに接続する様子を見たくないからです。 これらの方法を使用する加速技術がいくつかあります。

• 「隣人」、つまり隣にある塔のリスト。
• ローカルエリアコードLACの置き換え
• 電話の読み込み;
• 受信の増加。

GSMの「近隣」を検討してください。 各基地局は、どのタワーが近くにあるかを知っており、電話がそれに接続されると、「隣人」のリスト、つまり、各ステーションがどのチャネルで動作するかに関する情報を受け取ります。







電話機はこれらすべてのチャネルを制御し、信号強度を監視します。隣接するタワーからの信号が強い場合は、接続します。 これの利点は何ですか？ 携帯電話が近隣の周波数を監視することがわかっているため、エリア全体を見て、どの塔が私たちを取り囲んでいるかを調べると、電話が選択している周波数と接続している塔を見つけることができます。 最終的に、おそらく塔の反対側にある隣接チャンネルを見つけ、私が知っているように、あなたの電話が拾う周波数にステーションを調整します。 あなたの電話がベースステーションに接続し、すべてが順調に進んでいると仮定しますが、その後、あなたは少し通りを走り、もう一方の塔は電話に近づいたので、私はあなたを失うことがないようにその周波数に切り替えます。 したがって、隣接チャネルを監視すると、目的の周波数にすばやく切り替えることができます。



これは実際には非常に簡単です。 ヨーロッパおよびアメリカの周波数範囲のいずれかを受け入れるNokia 3310（900/1800）または3390（1900）電話があるとします。 この電話機は、ネットワークモニタネットワークモニタリングモードをサポートしています。このモードでは、GSM電話機が行うすべてのログが保持され、ベースステーションに送信したすべてのパケットと、ベースステーションから受信したすべての応答が記録されます。 これは、この電話をハッキングまたはハイジャックする利点を提供するものではありませんが、この電話がGSMネットワークで見るものに関する完全な情報を提供します。

これらの電話のいずれかを受け取った場合、Fbus / MbusアダプターとGammuと呼ばれる電話管理プログラムを備えた特別なパッチケーブルが必要になります。 これはオープンソースプログラムであり、このようなケーブルを使用してコンピューターを介して電話に接続し、Wiresharkで開くことができるXMLファイルとしてトレースを表示するだけです。 隣接するタワーのリストは、「システム情報タイプ2」行に含まれています。

次に、デモ番号3、つまりWiresharkがキャッチしたトラフィックがどのようになるかを示します。 このスクリーンショットでは、昨夜、T-Mobileネットワークに接続された電話からキャッチして記録したトラフィックが表示されています。







ここでは、さまざまなGSMメッセージが表示されます。右側のパッケージで「System Info type 2」という行を見つけてクリックすると、隣接するGSMタワーのリストを取得できます。







したがって、この電話を使用し、アダプター付きのケーブルを介してコンピューターに接続し、Gammuを起動し、Wiresharkのチャンネルのリストを確認し、既知の内容と比較します。つまり、これらの各周波数で文字通りラジオをオンにして、この信号で。 これはまったく簡単です。 このテクノロジーを使用すると、ローカルゾーンで使用されていない「ネイバー」を見つけて使用し、接続速度を上げることができます。 今日は、攻撃者がこのトリックを使用して携帯電話を簡単にキャプチャできることをお見せしたかっただけです。

別の方法を使用して、LACコードを変更することで接続を高速化できます。 これは、BTSベースステーションがブロードキャストするロケーションコードで、同じエリアにある多数のタワーをグループ化します。 つまり、同じエリアに同じLACを提供する多数のタワーがあります。 まったく同じ方法で操作することもできます。 電話機がすべての隣接するタワーを監視し、LACが変更されると、電話機が動いていると結論付けることができます。 電話が本当に別のエリアに移動した場合、ステーションを再割り当てする必要があります。つまり、別のタワーに転送する必要があります。



ローカルのOpen BTSを使用すると、LACを完全に制御でき、変更できます。 次に、近くのすべての電話で「ねえ、見てください、LACが変わったので、古いタワーから50マイル走ったので、この新しいタワーに接続する必要があります！」 したがって、他のLACを数分ごとに「スクロール」する、つまり、市外局番を定期的に変更することで、さらに多くの電話をステーションに接続できます。



LACの変更方法のデモを紹介します。 まず、現在ネットワーク上にある電話機の数を見てみましょう。 AT＆Tネットワークを偽造する前に、30台の接続されたハンドセットがありました。 次に、AT＆T MMCとMCCを使用しましたが、現在24台の電話がネットワークに接続されています。 TIMSIにはタイムアウトがあるため、入力したコマンドを繰り返し実行すると多少の遅延が発生し、24台の電話が接続されていることもわかります。 あなたはそれに注意を払うことはできません、私たちはまだたくさんの電話を持っています。



Cell IDコマンドを再度使用して、LACをスクロールできます。 ロケーションコードは666でしたが、31337に変更し、セルIDを10のままにしておく必要があると思います。実際には、これが新しいタワーであることを電話機が認識するように、セルIDのセルIDも変更します。 LACを変更することはまったく難しくありません。 先ほど言ったように、今では電話は自分の場所が変わったと思うようになり、新しいタワーに接続された電話の数が増えるはずです。

次の方法を検討した後、これに戻ります-電話を起動するか、情報を電話にロードします。 電話がオンになったとき、最初の塔を見つける前に、彼は何も知りません-塔の周波数、LAC、隣接する塔のいずれでもありません。 したがって、電源をオンにした後、周波数範囲全体のロングスキャンを実行し、タワーを検出し、MNCとMCCを確認し、SIMカードに接続できるネットワークが近くにあるかどうかを確認し、信号強度を確認し、最後に最も「強力な」ものに接続しますタワー。



彼が塔を見つけ始めるとすぐに、スキャン範囲は制限されますが、電話はより少ないボリュームでスキャンしますが、どの周波数範囲が使用されているか、どの塔とどのチャンネルを検索する必要があるかについての情報がすでにあるため、高速です。 電話が信号を失ったときに同様のプロセスが発生するため、攻撃者はこれを有利に使用できます。



ハッカーがネットワークサービスに関連してDoSを使用すると、電話は信号を失い、より広い範囲でネットワークのスキャンを開始するため、攻撃者の塔に接続する可能性が高くなります。



電話機で信号が失われるようにするにはどうすればよいですか？ この例では、2G GSM通信の第2世代についてのみ説明します。これは、3Gのセキュリティがはるかに高いためです。 そのため、GSM範囲をジャムすると、電話機は詳細な低速スキャンを実行し始めるため、タワーを正確に見つける機会が増えます。







ただし、3Gを使用している場合、私は何もできません。強力なプロトコルのおかげで、3Gコールを傍受するのがはるかに難しいからです。 したがって、電話機を2Gネットワ​​ークに強制的に接続して、3G信号を妨害する必要があります。 電話機が3Gネットワ​​ークに接続できなくなった場合、喜んで2Gに切り替えます。



必要なのは、ブロードキャスト「ノイズ」だけです。これにより、3Gネットワ​​ークでの通話がブロックされ、単純なテキストメッセージで電話を2Gに強制的に切り替えることができます。 つまり、ポート22に接続できない場合は、ポート23に接続してみてください。3GはSSHのアナログ、GSMはTelnetのアナログと考えることができます。SSHポート接続に失敗した場合と同様の状況telnetポートへ。 これは、携帯電話が同様の状況で行うことです。



問題は、特定の周波数範囲でセルラー信号をかき消すことの難しさです。 干渉生成の構成要素を検討してください。 攻撃者がしなければならないことは、「ノイズ」を提供することだけです。 「ノイズ」について話すとき、私は非常に具体的なことを意味します。 私はランダム性を意味するのではなく、周波数範囲全体と各チャネルに広がる完全にフラットなスペクトルノイズを意味します。



この場合、タワーを完全に破壊することを除いて、最も効果的なものは何ですか？ これは電話がこの塔を見る可能性を排除し、ノイズで完全に偽装します。 ノイズジェネレーターはそれほど高価ではありません.eBayでは450ドルで購入できます。 このようなジェネレーターが1つあります。 ご覧のとおり、これはかなり重いです！







それをパワーアンプに接続し、アンプをアンテナに接続して微調整すると、オンにするとセルラーネットワークに深刻な混乱が生じます。 すでに述べたように、干渉発生器の価格はeBayで450ドル、インターネットで100 Wの増幅器を400ドルで購入でき、100 Wのノイズは単にネットワークの大規模な停止を引き起こす可能性があります。



このジェネレーターは2つのモードで動作します-1つは900 MHzの範囲での妨害、もう1つは1900 MHzの範囲での妨害です。 スライドでは、左側に低周波スペクトルアナライザーの曲線が表示されます（約500メガヘルツ、右側に表示）。最高周波数は2.5ギガヘルツです。







左側には、900 MHzの周波数範囲に「大きく太い」ブロックがあります。 このアンプは、850〜950メガヘルツの範囲のどのセルラーチャネルでもまったく同じユニットを提供できます。

この機能をオンにすると、850および950での通信は機能しなくなります。 1900モードでも同様に発生します-さらに少し進むと、メイン周波数のピークが再び表示されます。



デモ番号5では、セルラー通信のキャリア周波数の妨害がどのように発生するかを示します。 しかし、私はとても愚かだとは思わないでください！ この干渉物を100 Wアンプに変換してアンテナに接続すると、その地域のすべてのセルラー通信（GSM、CDMA、3G、Verizon、さらにはラスベガスのほぼすべての携帯電話）をノックアウトします。



（拍手と笑い）







したがって、私はこのことを決してオンにしません。 私が持っている主な理由は、テスト機器の役割において非常に有用なものだからです。 フィルタを分類しようとする場合、「ホワイトノイズ」をフィルタに通し、入力と出力で波形を比較し、フィルタを非常に正確に較正します。 だから私はこの妨害機を使用しますが、DoSセルラー攻撃を組織するためではありません。 事実、このような「妨害」に対する保護はありません。



ネットワーク全体を「置く」ために数秒続くジェネレータの短い起動だけが必要ですが、このような電力のデモンストレーションはここでは完全に不適切です。 100 Wアンプと適切に調整されたアンテナは、ラスベガスのセルラー通信システム全体をシャットダウンできると思います。



電話を傍受するために使用できる別の方法は、受信ゲイン、または「受信ゲイン」と呼ばれます。 それは、BTSがコマンドを電話に送信できるという事実から成ります：「あたかも実際よりもX dB強いかのように私の信号を受け取ってください。」 この意味は次のとおりです。



スケールが+50から-100に目盛りを付けられていることを想像してください。 RFに精通している人なら誰でも、この範囲を選んだ理由を理解できます。 私の信号が-80に落ちたと仮定すると、それは本当に非常に低いです。 この値に100を加算するように電話機を注文できます。これにより、+ 20dBmレベルの信号が得られます。 電話は「優れた、これは地区で最も強力な塔です。今から接続します」と考えます。 はい、それはばかげているように見えますが、それは詐欺ですが、これもまた、BTSが電話に送信できる指示のもう1つの素晴らしい例です。 つまり、私はもっと強力な信号を持っている必要はありません。私の信号が他の誰よりも本当に強いことを電話で確信させるのに十分です。 GSMがこのように機能し、タワーコマンドを実行する必要があるため、電話はこれを信じます。 もちろん、攻撃者はこの方法を使用して電話を引き付け、比較的弱い信号で、より強力なタワーでコンテストに勝つことができます。 Open BTSはまだこの機能をサポートしていないため、この方法を説明することはできません。 これは、実際、IMSIインターセプターで使用されるR＆S特許の本質です。

英国では、誰かがIMSIインターセプターテクノロジーを受信エンハンスメントメソッドを使用して販売し、R＆Sが会社が特許を取得したために彼を訴えたケースがありました。 MNC、MCC、ネットワーク名の変更はすべて非常に簡単ですが、上記の方法はネットワークの「キャッチャー」の開発者によって特許が取得されています。



前述したように、着信コールは表示されず、発信コールのみが表示されます。 これは、IMSI「キャッチャー」が完全に隔離されたセルラーネットワークであるためです。 オペレーターは、電話が切断されているか、信号を受信して​​いないと考えています。 この場合、彼はあなた宛てのすべての通話をボイスメールに転送します。その結果、攻撃者は着信通話を確認できません。







どうすればこれを回避できますか？ 明らかに、あなたが私のタワーに連絡すると、認証とIMSIを要求し、電話が喜んでそれを提供するので、あなたのIMSIは私と一緒にいます。 何ができますか？ AT＆Tに移動して、「ねえ、ここに私のIMSIがいます。私は彼を別の男から誘い出しましたが、あなたはそれについて知る必要はありません。これは私のネットワークなので、この男はオフラインです」 問題は、SIMカードの秘密鍵がわからないことです。 これがAT＆Tネットワークでの私のIMSIであると主張するとどうなりますか？ 彼らは私にランダムな32ビット数を送って、それは通常SIMカードに行き、あなたの秘密鍵で暗号化され、2つの部分に分けられます。 半分はタワーに送信され、秘密キーを知っていることの証明として機能し、残りの半分は暗号化キーとして使用されます。



これはどのように使用できますか？ この番号をお使いの携帯電話に送信するだけです。お使いの携帯電話は、秘密鍵の暗号化方法を知っており、残りの操作を行い、返事を送信します。 しかし、実際には、彼は私に着信を受け取ることができないため、私に答えを送ることができません。 唯一の方法があります-秘密鍵を解読することです。



Black Hatカンファレンスでクラッカー5.1キークラッカープレゼンテーションに参加した人は、このクラッカーには重大な制限があることを知っています。これは、世界中のすべてのベースステーションである周波数ホッピングを備えたベースステーションでは機能しません。 実際のアプリケーションでは、これは起こりません。 しかし、私自身がBTSで周波数を「ジャンプ」に設定しているので、何も心配しないように完全にオフにして、「レインボーテーブル」を使用して秘密鍵を解読できます。



その後、セッションキーを復元します。 これで、認証用のセッションキーと応答キーがわかりました。これをすべてモバイルオペレーターに使用できます。 少し時間がかかりますが、最終的には彼の回答が得られ、私の電話は合法的にログインします。



このメソッドは私のシステムにはまだ実装されていませんが、間違いなく実行できます。これは、商用IMSIキャッチャーが着信コールをインターセプトするために使用するテクノロジーです。 もちろん、今ではシステムでこれを行うことはできませんが、それは絶対に可能です。



セッションキーのハッキングについてもう少し説明します。 これは、IMSI「キャッチャー」の使用中に暗号攻撃が必要になる場合がある唯一の時間です。







ベースステーションをセットアップするときに暗号化の点から必要だったのは、A5 / 0トラフィック暗号化機能を無効にすることだけでした。 A5 / 2はハッキングに最も簡単ですが、一部の電話機はA5 / 2をドロップしますが、代わりにA5 / 1を使用します。これは「レインボーテーブル」を使用してクラックすることも難しくありません。 いずれにせよ、あなたの電話への発信通話はプレーンテキストで送られてきます。



これらすべてに対処する方法は？ 現実には、GSMはそれ自体で脆弱であるため、便利なソリューションはありません。これは、セルラーシステムでのみ同じTelnetです。 GSMを修正するには、完全に変更する必要があります。 各電話を更新し、すべての塔を作り直し、すべてのネットワークを変更する必要があります。 3G規格に切り替えることができるのに、なぜこれを行うのですか？



したがって、唯一の正しい決定は、3G以降のセルラー通信プロトコルに切り替えることです。 3G認証の方がはるかに優れており、3.5G（HSPA）、3.9 G、LTEおよび後続のプロトコルは同じ原則に基づいて構築されています。 主な解決策は、単に2Gを無効にすることです。

Androidフォンを持っている人は手を挙げてください。 設定に「2Gネットワ​​ークのみを使用する」という機能があることがわかります。 おそらく、これによりバッテリーの電力を節約できますが、「3Gネットワ​​ークのみを使用する」機能を備えた電話機をこれまでに見た人は何人いますか。 誰かがこの機能を備えたBlackBerryを持っていますが、AndroidもiPhoneも持っていません。



もちろん、3Gには脆弱性がないわけではありません。また、プロトコル自体を解読するのが困難な場合は、A5 / 3で示される、使用されているKA暗号を解読してみることができます。 ただし、この特定のセルラー標準を使用することをお勧めします。 携帯電話の画面を見るだけで、上に小さな3Gの文字が表示されていれば大丈夫です。 したがって、ネットワークスパイから身を守る最善の方法は、2Gを無効にすることです。 3.5Gネットワ​​ークはすでに登場しており、4Gネットワ​​ークは間近に迫っていますので、これを活用してください。



そして、最後のデモに進みます。 現在、私のネットワーク上にある電話の数を見てみましょう。 だから、たった17人、たぶん人々は通常のネットワークに戻り始めました！ おそらく、あなたの携帯電話は私が本当のAT＆Tネットワークであると最初に信じていたが、それが何らかの形で間違った振る舞いをしていることに気づき、辞めることにしたのでしょう。



いずれにせよ、気軽に、私のネットワークからどこにでも無料で電話してください。唯一の制限は、着信番号の前に1をダイヤルする必要があることです。 , , , 20 SIP. , , , , …







ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで1か月間無料で6か月の期間をお支払いの場合は、 こちらで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？