GSM-hacking - aflytning
Har du set information.dk i dag, vil du vide, at de har breaking historier angående NSA-spionage på COP15-topmødet i København.
Det lyder måske for nogle som James Bond og sølvpapirshatte, men i realiteten er det overvejende sandsynligt, at NSA/USA har både muligheden og gør det. De, der blot vil finde andre artikler og referencer end nedenstående, kan søge på IMSI-catcher, GSM-hacking, Kraken, Karsten Nohl, m.v.
I det følgende vil jeg blot forsøge at komme med nogle pointer og måske en lille smule overblik, som erfaret på basis af et mindre research survey som jeg foretog i denne uge.
Hardware til GSM-aflytning
Først og fremmest skal man bruge noget hardware til GSM-hacking, og det kan være specialiseret hardware, som er indkøbt til formålet. Det kan være bygget sammen i en lækker platform med retningsbestemte antenner - altså kommercielle systemer.
Jeg fandt et tilfældigt system som VME Dominator fra http://www.meganet.com/meganet-products-cellphoneinterceptors.html.
> The VME Dominator is far superior to passive systems in being able to intervene and manipulate calls and sms, working with up to 4 base stations concurrently, and up to 20 users in the system at any one time.
Ulempen ved disse systemer er, at de er dyre og ofte "kun" sælges til regeringer, agenter og formentlig til dem, der vil betale nok for det ;-)
Næste skridt er diverse GSM-labsystemer, hvor der specielt lader til at være en god support for GSM-sjov med Ettus Research USRP, og der er nice videoer med dette udstyr, som en IMSI catcher Hacking GSM. Det demonstrerer, at man ikke kræver det store setup, og man kan nemt lave et transportabelt system.
Fordelen ved dette udstyr er, at vi snakker $2.000-$3.000, som er en overkommelig pris, specielt for NSA og andre tilsvarende organisationer. Når det samtidig kan demonstreres på YouTube og til konferencer af "almindelige" konsulenter som dig og mig, så er det en helt reel trussel. Jeg tror ligeledes heller ikke, der sker den store registrering af, hvem der køber, og eventuelt kan man købe på Ebay med en mellemmand. Det er efter min mening helt rimeligt at antage, at industrispionage vil kunne foregå med denne type udstyr.
Protokoller og software
Der er mange spændende ting at fortælle med mobiltelefoner, og der er allerede et væld af artikler på Version2.dk omkring disse emner. Søg på Karsten Nohl eller SIM, så finder du noget af det. Basalt set står vi med en ekstremt populær kommunikationsplatform, som dagligt benyttes af milliarder af brugere med milliarder af håndsæt, aka telefoner. Vi står dog samtidig med en ældre teknologi, som knirker voldsomt.
Specielt er krypteringen brudt, og Karsten Nohl m.fl. er kommet langt i implementering af angreb, der kan udføres i praksis. Jeg var faktisk til stede på HAR2009-konferencen, hvor Karsten Nohl annoncerede projektet Cracking A5 GSM encryption, og downloadede programmet, som blev kørt i et par uger på en GPU. Resultatet efter dette projekt og nogle års arbejde er rainbowtables til GSM A5/1 cracking.
Der findes nyere præsentationer og film med Karsten Nohl, og de kan varmt anbefales.
* fra 2009 26C3 Talk: GSM: SRSLY? MP4 video.
* fra 2010 Wideband GSM Sniffing MP4 video.
I beskrivelsen fra den sidste står der
> GSM is still the most widely used security technology in the world with a user base of 5 billion and a quickly growing number of critical applications. 26C3's rainbow table attack on GSM's A5/1 encryption convinced many users that GSM calls should be considered unprotected. The network operators, however, have not woken up to the threat yet. Perhaps the new capabilities to be unleashed this year – like wide-band sniffing and real-time signal processing – will wake them up.
Så har vi allesammen fået nye telefoner, som understøtter stærk kryptering? Nej. Betyder det, at man kan benytte disse angreb i dag, ja. Er det sandsynligt, at PET/FE, NSA, m.fl. kan benytte disse angreb til real-time intercept af GSM telefoni - ja, det virker MEGET sandsynligt. Det betyder i praksis, at hverken SMS, GPRS-data eller tale over GSM er en sikker kanal. Blot hvis du ikke vidste det i forvejen.
There is more, and it is cheap
Nu lyder det jo spændende, men skulle vi ikke mødes og prøve det af i praksis? (IANAL det er nok ulovligt, men who dares wins).
Tjoeh, men kunne vi ikke finde en billigere metode end $x.000 som jeg synes er mange penge! Jo, vi kunne jo tage en billig kina DVB-T og noget open source software som sættes sammen?
Jo da, check siderne:
- http://sdr.osmocom.org/trac/wiki/rtl-sdr DVB-T dongles based on the Realtek RTL2832U can be used as a cheap SDR, since the chip allows transferring the raw I/Q samples to the host, which is officially used for DAB/DAB+/FM demodulation.
- http://bb.osmocom.org/trac/ OsmocomBB is an Free Software / Open Source GSM Baseband software implementation. It intends to completely replace the need for a proprietary GSM baseband software, such as drivers for the GSM analog and digital baseband (integrated and external) peripherals
the GSM phone-side protocol stack, from layer 1 up to layer 3 - http://hackaday.com/2013/10/22/cracking-gsm-with-rtl-sdr-for-thirty-dollars/ Theoretically, GSM has been broken since 2003, but the limitations of hardware at the time meant cell phone calls and texts were secure from the prying ears of digital eavesdroppers and all but the most secret government agencies. Since then, the costs of hardware have gone down, two terabytes of rainbow tables have been published, and all the techniques and knowledge required to listen in on cell phone calls have been available. The only thing missing was the hardware. Now, with a super low-cost USB TV tuner come software defined radio, [domi] has put together a tutorial for cracking GSM with thirty dollars in hardware.
Super low cost og bemærk også tutorial links i sidste link!
Så for ~$20 kan du købe to DVB-T kort og komme igang med en makker.
Til at starte med har jeg lånt et DVB-T kort af min gode ven Thomas og det dukker ihvertfald op i dmesg på Kali Linux:
[11938.460639] usb 2-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [11938.460641] usb 2-1: Product: RTL2838UHIDIR [11938.460642] usb 2-1: Manufacturer: Realtek [11938.941867] usb 2-1: dvb_usb_v2: found a 'Realtek RTL2832U reference design' in warm state [11939.763625] usb 2-1: dvb_usb_v2: will pass the complete MPEG2 transport stream to the software demuxer [11939.763636] DVB: registering new adapter (Realtek RTL2832U reference design) [11939.804979] usb 2-1: DVB: registering adapter 0 frontend 0 (Realtek RTL2832 (DVB-T))... [11939.835450] i2c i2c-0: e4000: Elonics E4000 successfully identified ...
endda med den "bedste" E4000 så det bliver spændende, tak Thomas!
Opdateret med sidste afsnit, måske mere, ellers bliver det næste blogindlæg.
Edit: youtube link er vist fixet

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.