GSM-hacking - aflytning

Har du set information.dk i dag, vil du vide, at de har breaking historier angående NSA-spionage på COP15-topmødet i København.

Det lyder måske for nogle som James Bond og sølvpapirshatte, men i realiteten er det overvejende sandsynligt, at NSA/USA har både muligheden og gør det. De, der blot vil finde andre artikler og referencer end nedenstående, kan søge på IMSI-catcher, GSM-hacking, Kraken, Karsten Nohl, m.v.

I det følgende vil jeg blot forsøge at komme med nogle pointer og måske en lille smule overblik, som erfaret på basis af et mindre research survey som jeg foretog i denne uge.

Hardware til GSM-aflytning

Først og fremmest skal man bruge noget hardware til GSM-hacking, og det kan være specialiseret hardware, som er indkøbt til formålet. Det kan være bygget sammen i en lækker platform med retningsbestemte antenner - altså kommercielle systemer.

Jeg fandt et tilfældigt system som VME Dominator fra http://www.meganet.com/meganet-products-cellphoneinterceptors.html.

The VME Dominator is far superior to passive systems in being able to intervene and manipulate calls and sms, working with up to 4 base stations concurrently, and up to 20 users in the system at any one time.

Ulempen ved disse systemer er, at de er dyre og ofte "kun" sælges til regeringer, agenter og formentlig til dem, der vil betale nok for det ;-)

Næste skridt er diverse GSM-labsystemer, hvor der specielt lader til at være en god support for GSM-sjov med Ettus Research USRP, og der er nice videoer med dette udstyr, som en IMSI catcher Hacking GSM. Det demonstrerer, at man ikke kræver det store setup, og man kan nemt lave et transportabelt system.

Fordelen ved dette udstyr er, at vi snakker $2.000-$3.000, som er en overkommelig pris, specielt for NSA og andre tilsvarende organisationer. Når det samtidig kan demonstreres på YouTube og til konferencer af "almindelige" konsulenter som dig og mig, så er det en helt reel trussel. Jeg tror ligeledes heller ikke, der sker den store registrering af, hvem der køber, og eventuelt kan man købe på Ebay med en mellemmand. Det er efter min mening helt rimeligt at antage, at industrispionage vil kunne foregå med denne type udstyr.

Protokoller og software

Der er mange spændende ting at fortælle med mobiltelefoner, og der er allerede et væld af artikler på Version2.dk omkring disse emner. Søg på Karsten Nohl eller SIM, så finder du noget af det. Basalt set står vi med en ekstremt populær kommunikationsplatform, som dagligt benyttes af milliarder af brugere med milliarder af håndsæt, aka telefoner. Vi står dog samtidig med en ældre teknologi, som knirker voldsomt.

Specielt er krypteringen brudt, og Karsten Nohl m.fl. er kommet langt i implementering af angreb, der kan udføres i praksis. Jeg var faktisk til stede på HAR2009-konferencen, hvor Karsten Nohl annoncerede projektet Cracking A5 GSM encryption, og downloadede programmet, som blev kørt i et par uger på en GPU. Resultatet efter dette projekt og nogle års arbejde er rainbowtables til GSM A5/1 cracking.

Der findes nyere præsentationer og film med Karsten Nohl, og de kan varmt anbefales.
* fra 2009 26C3 Talk: GSM: SRSLY? MP4 video.
* fra 2010 Wideband GSM Sniffing MP4 video.

I beskrivelsen fra den sidste står der

GSM is still the most widely used security technology in the world with a user base of 5 billion and a quickly growing number of critical applications. 26C3's rainbow table attack on GSM's A5/1 encryption convinced many users that GSM calls should be considered unprotected. The network operators, however, have not woken up to the threat yet. Perhaps the new capabilities to be unleashed this year – like wide-band sniffing and real-time signal processing – will wake them up.

Så har vi allesammen fået nye telefoner, som understøtter stærk kryptering? Nej. Betyder det, at man kan benytte disse angreb i dag, ja. Er det sandsynligt, at PET/FE, NSA, m.fl. kan benytte disse angreb til real-time intercept af GSM telefoni - ja, det virker MEGET sandsynligt. Det betyder i praksis, at hverken SMS, GPRS-data eller tale over GSM er en sikker kanal. Blot hvis du ikke vidste det i forvejen.

There is more, and it is cheap

Nu lyder det jo spændende, men skulle vi ikke mødes og prøve det af i praksis? (IANAL det er nok ulovligt, men who dares wins).

Tjoeh, men kunne vi ikke finde en billigere metode end $x.000 som jeg synes er mange penge! Jo, vi kunne jo tage en billig kina DVB-T og noget open source software som sættes sammen?

Jo da, check siderne:

  • http://sdr.osmocom.org/trac/wiki/rtl-sdr DVB-T dongles based on the Realtek RTL2832U can be used as a cheap SDR, since the chip allows transferring the raw I/Q samples to the host, which is officially used for DAB/DAB+/FM demodulation.
  • http://bb.osmocom.org/trac/ OsmocomBB is an Free Software / Open Source GSM Baseband software implementation. It intends to completely replace the need for a proprietary GSM baseband software, such as drivers for the GSM analog and digital baseband (integrated and external) peripherals
    the GSM phone-side protocol stack, from layer 1 up to layer 3
  • http://hackaday.com/2013/10/22/cracking-gsm-with-rtl-sdr-for-thirty-doll... Theoretically, GSM has been broken since 2003, but the limitations of hardware at the time meant cell phone calls and texts were secure from the prying ears of digital eavesdroppers and all but the most secret government agencies. Since then, the costs of hardware have gone down, two terabytes of rainbow tables have been published, and all the techniques and knowledge required to listen in on cell phone calls have been available. The only thing missing was the hardware. Now, with a super low-cost USB TV tuner come software defined radio, [domi] has put together a tutorial for cracking GSM with thirty dollars in hardware.

Super low cost og bemærk også tutorial links i sidste link!

Så for ~$20 kan du købe to DVB-T kort og komme igang med en makker.

Til at starte med har jeg lånt et DVB-T kort af min gode ven Thomas og det dukker ihvertfald op i dmesg på Kali Linux:

[11938.460639] usb 2-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[11938.460641] usb 2-1: Product: RTL2838UHIDIR
[11938.460642] usb 2-1: Manufacturer: Realtek
[11938.941867] usb 2-1: dvb_usb_v2: found a 'Realtek RTL2832U reference design' in warm state
[11939.763625] usb 2-1: dvb_usb_v2: will pass the complete MPEG2 transport stream to the software demuxer
[11939.763636] DVB: registering new adapter (Realtek RTL2832U reference design)
[11939.804979] usb 2-1: DVB: registering adapter 0 frontend 0 (Realtek RTL2832 (DVB-T))...
[11939.835450] i2c i2c-0: e4000: Elonics E4000 successfully identified
...

endda med den "bedste" E4000 så det bliver spændende, tak Thomas!

Opdateret med sidste afsnit, måske mere, ellers bliver det næste blogindlæg.

Edit: youtube link er vist fixet

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Havskov Lauritsen

Virkelig spændende projekt du har gang i - jeg forudser dog et par problemer.

Channelhopping. Det er ikke implementeret som en sikkerhedsfeature, men du kan formodentlig ikke nå at tune om hvis du vil aflytte løbende med dit udstyr. Du kan helt sikkert fange nogen pakker, og dekryptere dem - men lige så snart streamen skifter kanal kan du ikke nå at følge med.

Båndbredden er simpelthen alt for lille i de små kina-SDR'er. HackRF og BladeRF er et rigtig godt skridt på vejen - men du skal helt op i en USRP(af en vis størrelse) før du kan fange hele kanalspektrummet på samme tid, og lave din dekryptering i post-processering.

Når det er sagt, så glæder jeg mig til en opdatering, og til at se hvor langt du kommer, og hvilke issues du ellers støder på :)

Jens Madsen

Jeg tror ikke, at mange gider bruge tid og penge på industrispionage. Betal et par udviklere, og du får normalt bedre løsninger, end du kan opdrive ved spionage. Sovjetunionen brugte mange år på spionage, og opnåede ikke andet, end at komme bagefter den teknologiske udvikling på det. Spionage kan sammenlignes med at spille skak, og at aflure modspillerens trick, efter de er gjort.

Hvis derimod at data globalt kan opsnappes og behandles, så du kan lave søgeudtræk, så tror jeg det er anderledes relevant. Der er stor forskel på, at kunne søge på data og bruge et par sekunder på det, og at skulle manuelt aflytte telefoner.

Ole Sanvig

Nu er der vel ikke nogen der siger, at vi nødvendigvis snakker softwarekode.

Kunne jeg forestille mig, at nogen gerne vil vide, hvad fx Novo Nordisk har i deres produkt-pipeline? Ja, det kunne jeg godt ... og så håber jeg i øvrigt, at Novo Nordisk ikke har brugt GSM-telefoner til at transmittere fortrolige data på i endog meget lang tid.

Jacob Pind

problemet er jo at alle telefoner har fallback til 2g , og 3g og frem er nemme at jamme.
en emsi catcher altså fake basestartion er ikke passive så den er nem at opspore.
osmocom-bb har bruge c123 telefoner til at fange hele båndet , to stk til op og downlink, men er også openbts som kan bruge sådan c123 eller anden calyupso baserettlf som base station.

Henrik Kramshøj Blogger

Spørgsmål til Henrik: Hvilket DVB-T kort endte du med at bruge?

Jeg har lånt et kort som sagt, men bestilt to eksemplarer af "New TV Receiver Mini Digital TV Stick USB DVB-T for LAPTOP PC E4000 RTL2832U + R820T USB DVB - T support the SDR 18304" som jeg glæder mig til at prøve.

Mht. HackRF, BladeRF og USPR så venter jeg lige til jeg har fået prøvet lidt mere software af. Jeg har i flere tilfældekøbt dimser og så brugt den for lidt. Pt. skæver jeg mest til bladeRF, for der er et eller andet ved HackRF der "irks me" og USRP er aligevel en større investering.

Jeg vil sådan set være tilfreds hvis jeg kan demonstrere IMSI catcher og måske SMS afkodning i visse tilfælde. Det vil i min optik være nok til at kunne ekstrapolere til "NSA kan formentlig blah" og "Ja, din GSM tlf ER 100% usikker til følsomme oplysninger".

Mht. motivet og andre metoder, så husk at GSM aflytning og andet aflytning - bluetooth håndsæt i lejebiler eksempelvis - vil være en hjælp til mange situationer. De steder jeg primært ser det kunne bruges er netop forhandlingssituationer som COP15, hvis man kender smertegrænsen for modstanderen kan man læne sig tilbage og dermed komme tæt på den andens nedre grænse. Specielt hvis vi snakker aftaler til millioner så er få % jo værd at tage med.

Mht. microcells og udgive sig for at være en basestation er det også en reel mulighed. Der findes et par gode historier om hackere der har pillet microcells fra hinanden og dokumenteret dårlig sikkerhed hele vejen. Tror den ene jeg tænker på er fra UK og den anden fra hmmm Holland?

ahh, den ene jeg tænker på er http://hackaday.com/2012/04/12/poking-at-the-femtocell-hardware-in-an-at... den anden kan jeg ikke huske.

TL;DR GSM er hacket og har været det i flere år, så kom igang med OpenPGP tak :-D

Henrik Kramshøj Blogger

BTW glemte lige denne her som også skal høre med til det her:

SilentSMS
An Android-app that can send silent text messages and tell you if the other party received them (= the recipient phone is turned on). It uses reflection and has quite an ugly piece of code in it, but it works ;-). If you want to make it better, fork it and send me a pull request.

https://github.com/domi007/silentSMS

Log ind eller Opret konto for at kommentere