Comments 30
Может я что-то не понял, но как предполагается обеспечить регистрацию без знания ключиков c SIM карты?
Неважно как, важно что любой (при наличии желания и денег) может повторить этот трюк.
В вашей личной сети Вы в праве регистрировать абонентов как вам заблагорассудится, без каких либо ключей.
Не люблю WiKi, но лень искать что-то еще.
В статье Безопасность GSM пишут буквально вот это:
VLR, в котором регистрируется абонент, отправляет запрос в AuC домашней сети абонента, в ответ на который AuC присылает набор триплетов, каждый из которых содержит RAND, SRES и ключ шифрования Kc. RAND является случайным числом, SRES вычисляется в AuC алгоритмом A3 на основе секретного ключа Ki и RAND, а Kc является ключом шифрования радиоинтерфейса и вычисляется алгоритмом A8 на основе Ki и RAND. Эти триплеты в дальнейшем будут использованы VLR для установления подлинности и шифрования. Таким образом, все вычисления с использованием ключа Ki происходят внутри AuC, на стороне сети и внутри SIM, на стороне абонента, что исключает утечку Ki и перехват злоумышленником. В современном оборудовании связи, ключи Ki прогружаются в AuC в зашифрованном виде и это исключает доступ к ключам даже со стороны технического персонала оператора.
Итог в том, что из SIM карты нельзя добыть Ki. Соответственно, SIM карта не зарегистрируется (она тоже производит вычисления). Данный кейс может быть и сработает, если SIM карта собственного производства. Коммерческого абонента мобильной сети перехватить таким способом нельзя.
Иногда почитать вики недостаточно, чтобы понимать как что-то работает.
В GSM сети, сеть решает, пустить абонента к себе или нет, а не абонент. И если сеть решит, что Ki ей не нужен, то любой абонент сможет в ней зарегистрироваться.
Изучите предыдущие статьи и статьи axilirator, если Вас интересует GSM.
1. Насколько реально на стороне абонента не допустить / обнаружить подключение к подобной мошеннической сети?
2. Есть ли доступное оборудование + ПО для формирования подложных 3G/4G сетей? Насколько реально провести атаку на современные сети?
3. Пробовали ли отправлять динамическое SMS (это когда содержимое нового SMS замешает содержимое старого SMS не создавая нового сообщения) на подключаемый телефон?
- Можно обнаружить, если есть root, используя специальное ПО, например SnoopSnitch или другие подобные приложения.
- Оборудование для 3G/4G значительно дороже и атаки там уже другие. Безопасность 3G/4G значительно выше по спецификации, но исследования идут полным ходом и уже найдены некоторые векторы атак.
- Не пробовал, но был бы признателен за ссылку на подобные исследования
Не пробовал, но был бы признателен за ссылку на подобные исследования
Я так понимаю это фича GSM сетей. Впервые с ней столкнулся когда внедрял Radius-сервер с авторизацией через SMS — Secur Access от Secure Envoy. В нем есть демо период, когда SMS можно отправлять через буржуйского оператора сотовой связи, так вот этот оператор позволял делать динамические SMS. Сам думал что такое невозможно пока своими глазами не увидел.
Еще вопрос к вашему исследованию, насколько реально проключить атакуемого абонента через ложную базовую станцию к реальной сотовой сети? Чтобы он в сети был и ему могли дозвонится, отправить SMS и тд
Т.е. как я понял, можно отправить СМС, которая "поправит" уже сохраненную смс в телефоне или как?
При подключении абонента к ложной сети нужно отдельно говорить про входящие и исходящие.
Можно подключить через тот же Астериск абонента к внешней сети, но звонить он при этом будет не со своего имени, в общем случае. Если же мы говорим о входящих, то мы не можем аутентифицироваться в коммерческой сети без знания Ki.
Однако существуют уязвимости в сети SS7, которые позволяют влиять на ход вызова. Так что нужно учитывать еще и этот вектор.
Я знаю только несколько телефонов 10 летней давности, на которых подобные замочки есть. Мой современный смартфон такой полезной функции не имеет :)
А по поводу 3G/4G… Они же вроде в другом частотном диапазоне, нет? А что если мы, к примеру, заглушим 3/4G диапазоны каким-нибудь шумогенератором? По идее аппарат свалится в 2G, прямо в наши лапки...
Гдето в США был такой случай: рядом с банком стоял микроавтобус-перехватчик, нашпигованный оборудованием. В моей практике имеется поучительный опыт посещения ТЦ Белая дача, где я с ноута выходил в Инет, по приезду домой на компе была вирусня.
Вот хорошая статья про ISMI-кетчеры.
Есть способы, для 2G они вполне понятны, для 3G в связке с атакой через SS7 тоже можно что-то сделать, для 4G возможно может помочь последний StingRay, но он вряд ли продается в соседнем магазине :)
Если целью злоумышленника будет абонент 2G то это более-менее реально сделать за вменяемые деньги, я думаю, но имейте в виду, что такие действия незаконны и нарушают сразу десяток законов.
Для 3G в связке с ОКС-7 видел подобные реализации, это не столь интересно. Для 2G видел видео подобного для тестовой сети без шифрования, для шифрованных пока не видел подобного.
Если это делать в «своей тестовой сети» в «клетке фарадея», то такие действия не будут иметь незаконного характера.
Но, говорят, есть некая хитрая схема на моторолах и похожих железках, которая работает немного нестандартно и позволяет делать описанное мной, в публичном доступе я видел только обрывки информации о ней с минимумом деталей. Похожую схему было реализовано мошенниками для увода денег в абонентов, которых словили в Москве около 5 лет назад (на хабре была публикация об этом).
Практические примеры атак внутри GSM сети