Ой, шеф, а я вас слышу!

в 10:52, , рубрики: информационная безопасность, Песочница, прослушка, метки: ,

Заранее хочется отметить. В статью не впихуется и десятой части того, о чем рассказать можно и о чем хочется. Большая часть технических подробностей опущена, чтобы не перегружать читателя. За ними — в соответствующую литературу.

Радиоканал общий для всех, и слушать, что в нем творится, может кто угодно, был бы приемник. Поэтому над безопасностью беспроводных коммуникаций думали сразу. И поэтому для прослушки потребуется затратить большие усилия. В первую очередь задуматься — так ли нужно снимать информацию из радиотракта?

Прослушка классическая
Она же съем акустической информации. В простейшем случае присесть на лавочку рядом, дальше — техника от стакана до придумок писателей фантастов.

Жучок
Насекомое семейства микроэлектрончатых. Тоже в общем-то все понятно.

ОПСОСы, чекисты и полиционеры
Весь трафик в сотовых сетях шифруется только до базовой станции (далее БС). Там он расшифровывается, и дальше в сеть идет в своем естественном виде, слушай-нихачу. По санкции прокурора легко можно пристроиться к каналу, СОРМ тоже никто не отменял, он себе тихонечко работает, да и работники оператора могут приложить свое ухо к проходящим переговорам. Не так просто, как первые две конторы, но все же.

Это все хорошо, но родственников в фсб у нас нет, с какой стороны нужно браться за паяльник мы не знаем, а близко подойти к жертве и послушать не вариант. Тогда надо перехватывать трафик из эфира. Тут все прилично разнится от используемого стандарта.

Итак, слушаем.
Первое поколение, аналоговые сети благополучно сдохли, поэтому не рассматриваем.

Второе поколение, незабвенный GSM.
Работает в трех частотных диапазонах, 900, 1800, 1900 МГц. Помимо частотного разделения в GSM используется также временное, то есть на одной частоте информация не вся ваша, а только в некоторых временнных промежутках (таймслотах). Поэтому нужно найти не только частотный канал, но и используемые таймслоты, чтобы не нахвататься лишних данных. В довесок к этому практически всюду сейчас используются прыжки по частоте (frequency hoping). Через определенный промежуток времени абонента пересаживают на другую частоту, и это тоже нужно отслеживать и обрабатывать.
Шифрование обеспечивается семейством алгоритмов А5.
А5/0 — отсутствие шифрования. Все летит открытым текстом, самый оптимальный вариант. Может включаться принудительно кодмандой БС. Шифрование выключается, например, при торжественном проезде Вовы во всех сотах на пути следования.
А5/1 и А5/2 — поточные шифры. Один посильней, второй послабей. Оба стандарта шифрования утекли в массы и на них проведены успешные атаки. Подробное их описание опускаю, дабы не впасть в грех копипастерства. Коротко — сверхдорогого железа теперь не требуется, радиоплата для ноутбука, проц помощней, радужных таблиц потолще и вперед.
А5/3 — модифицированная версия предыдущих. Пока вроде бы держится.

Третье и четвертое поколение. UMTS, HSPA, HSDPA, WiMAX, LTE
Здесь используется много разных достаточно безопасных протоколов. Из наиболее интересного — в ранних релизах WiMAX было предусмотрено шифрование по алгоритму DES, который был скомпрометирован. Сейчас там используется AES. Алгоритмы других стандартов легко найти, но крайне нелегко взломать, во всяком случае, никакой информации об этом нет.

Фейковая БС
Помимо пассивной прослушки существует еще и возможность представиться жертве базовой станцией. Это возможно в GSM благодаря тому, что мобилка аутентифицируется (в смысле проверяется) БСкой, а БС мобилой — нет. Представившись базовой станцией мы, во первых, получим всю информацию о мобиле, во вторых, будем иметь возможность дать ей команду либо отключить шифрование вообще (палевно на экране мобилки, но всем обычно пох). Можно и другие интересные вещи, читайте о ребятах, рассекавших с такой по Москве примерно полгода назад.
В сетях третьего и четвертого поколений аутентификация двусторонняя, поэтому вариант с фейкБС либо отваливается, либо становится чудовищно сложным. Но остается один вариант, в чем-то с ним схожий, и довольно удобный

Фемтосоты.
Это такая мааааленькая БС, размером с wifi роутер, в него заводится 220 вольт из розетки и побольше мегабит по обычной витухе. С сетью оператора она общается по вашему интернет-каналу, а вокруг себя радостно излучает для ваших мобилок. У ребят из THC есть очень хороший рисерч данной фемты от Водафона. Они получили к ней рутовый доступ (там внутри стоит один из линуксов), поправили его, и получили возможность перехватывать данные телефонов, прослушивать звонки, звонить и слать смс от номера жертвы. Все это благодаря тому, что БС, являясь все-таки частью сети оператора, находится в наших руках, и нам не нужно ей притворяться.

Автор: v1skas


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js