Comments 13
Да, статья отличная! Равно как и конкурс, как и всё, что связано с OscmocomBB. Грусто только, что большинство современных радиомодемов и радиопрошивок в телефонах защищены лишь отсутствием какой-либо информации по ним. И, к примеру, защищенность основной системы смартфона никак не влияет на безопасность, если есть пути для обмена информацией с радиомодемом, например, в виде shared memory, и т.д.
Некоторые из них в качестве идентификаторов используют номер мобильного телефона, который получает злоумышленник, а затем через SMS-шлюз устраивает рассылку всем «везунчикам».
А как можно объяснить это?
У нас в статье коротко описан процесс совершения атаки: была установлена фейковая точка wi-fi MosMetro_Free, те кто подключается к этой сети в метро и не отключили wifi на телефоне, автоматически соединились с фейковой точкой. При этом whatsapp (или другое приложение) попытался подключиться к своему серверу, используя в качестве логина номер мобильного телефона, указанный при регистрации, передается он в открытом виде, таким образом «злоумышленники» могли собрать номера телефонов, находящихся на PHDays. После этого рассылка сообщений через обычный SMS-шлюз — уже дело техники.
Особенность картинки, указанной по вашей ссылке, заключается в том, что телефон там «неуязвимый», т.е. без wifiи без whatsapp, и вопрос — каким образом его хакнули в таком случае
Ответ – SIM-карта (номер телефона) на который зарегистрирован аккаунт приложения (whatsapp) стоит в этом «неуязвимом» телефоне, а телефон с приложением и wifi– другой, его то и поймали на фейковый MosMetro_Free
Особенность картинки, указанной по вашей ссылке, заключается в том, что телефон там «неуязвимый», т.е. без wifiи без whatsapp, и вопрос — каким образом его хакнули в таком случае
Ответ – SIM-карта (номер телефона) на который зарегистрирован аккаунт приложения (whatsapp) стоит в этом «неуязвимом» телефоне, а телефон с приложением и wifi– другой, его то и поймали на фейковый MosMetro_Free
Можете ли посоветовать с чего стоит начать изучение osmocombb в реальном мире, без своей базовой станции? Как я понимаю шифрование везде включено, и соответственно ничего из вышеописанного работать не будет.
Допустим я хочу перехватить свои же смс приходящие на телефон лежащий на столе. Как я понимаю, нужно использовать kraken для дешифровки? Как быть с прыжками по частоте?
Допустим я хочу перехватить свои же смс приходящие на телефон лежащий на столе. Как я понимаю, нужно использовать kraken для дешифровки? Как быть с прыжками по частоте?
Существует особая ветка проекта OsmocomBB, упор которой делается на сниффинг. В одном из ее приложений, ccch_scan, реализована возможность «следования за частотами абонета». Передаете ей ARFCN сети, TMSI абонента, и Frequency Hopping Вам не помешает. Kraken позволит Вам извлечь сессионный ключ, которым был зашифрован трафик. Для декодирования предназначена утилита burst_decode из репозитория osmocom-bb-raw.
Успехов!
Успехов!
Спасибо, становится уже понятней.
Цель та же, перехватить SMS, приходящее на телефон лежащий на том же столе.
Попробую описать вопросы, которые пока не ясны:
1.Фильтры на телефоне перепаивают для перехвата канала от телефона к БС? Без этого можно обойтись на первых этапах, когда всё рядом?
2.Как найти ARFCN сети в которой работает телефон? Как я понимаю каждому оператору соответствует по 1 ARFCN?
3.Ищем TMSI отправляя SMS и смотрим в логах. Можно ли как-то автоматизировать?
4.Начинаем писать трафик ccch_scan…? Как именно? В файл?
5.Пытаемся дешифровать его. Где посмотреть хоть какой-то пример по этой теме?
Цель та же, перехватить SMS, приходящее на телефон лежащий на том же столе.
Попробую описать вопросы, которые пока не ясны:
1.Фильтры на телефоне перепаивают для перехвата канала от телефона к БС? Без этого можно обойтись на первых этапах, когда всё рядом?
2.Как найти ARFCN сети в которой работает телефон? Как я понимаю каждому оператору соответствует по 1 ARFCN?
3.Ищем TMSI отправляя SMS и смотрим в логах. Можно ли как-то автоматизировать?
4.Начинаем писать трафик ccch_scan…? Как именно? В файл?
5.Пытаемся дешифровать его. Где посмотреть хоть какой-то пример по этой теме?
У оператора может быть несколько каналов в каждом диапазоне. Вот пример: www.netmonitor.ru/channels
1. Да, фильтры, предлагаемые, sysmocom, позволяют снифить и Uplink и Downlink. Для сниффинга СМС замена не требуется, абоненту оно приходит на диапазоне Downlink.
2. Сканировать эфир на различных ARFCN, например, с помощью нескольких телефонов, и искать там TMSI абонента, пока он не сменился :) Воспользуйтесь программой cell_log, и Вы увидите, что у одного оператора может быть целая куча каналов.
3. На презентациях прмелькивали скрипты на Python. Если повезет — можно их найти. Если нет, написать самому, вчитавшись в спецификации GSM.
4. ccch_scan из ветки burst_ind пишет все burst'ы в текущую директорию — дальнейшая работа выполняется с ними.
5. Читаем презентации, дипломные работы. Например, Wideband GSM Sniffing [27C3].
2. Сканировать эфир на различных ARFCN, например, с помощью нескольких телефонов, и искать там TMSI абонента, пока он не сменился :) Воспользуйтесь программой cell_log, и Вы увидите, что у одного оператора может быть целая куча каналов.
3. На презентациях прмелькивали скрипты на Python. Если повезет — можно их найти. Если нет, написать самому, вчитавшись в спецификации GSM.
4. ccch_scan из ветки burst_ind пишет все burst'ы в текущую директорию — дальнейшая работа выполняется с ними.
5. Читаем презентации, дипломные работы. Например, Wideband GSM Sniffing [27C3].
В реальной сети конечно все это не сработает.
Мало того что шифрование в коммерческой сети всегда включено, так еще никто не будет никогда фиксировать телефон на конкретной частоте, запрещать ему HO, фиксировать значения мощности для сигнальных каналов, оставлять поля c незначащей информацией, без рандомизации.
Нам демонстрировали попытки взлома коммерческой сети, в теории выглядит реализуемо, но на практике, для работы с целевой симкой (а не с тестовой), почти не реализуемо.
А с точки зрения анализа трэйсов и понимания логики работы сети мероприятие и правда очень познавательное. :)
Мало того что шифрование в коммерческой сети всегда включено, так еще никто не будет никогда фиксировать телефон на конкретной частоте, запрещать ему HO, фиксировать значения мощности для сигнальных каналов, оставлять поля c незначащей информацией, без рандомизации.
Нам демонстрировали попытки взлома коммерческой сети, в теории выглядит реализуемо, но на практике, для работы с целевой симкой (а не с тестовой), почти не реализуемо.
А с точки зрения анализа трэйсов и понимания логики работы сети мероприятие и правда очень познавательное. :)
Было бы интересно увидеть более подробный разбор задания с уязвимыми SIM-картами. Особенно, какие команды использовались.
Sign up to leave a comment.
Конкурс MiTM Mobile: как ломали мобильную связь на PHDays V