シングルスパーク

GSMハック(携帯電話の信号ハイジャック)



Gsm Hack



画像

多くの人が興味を持っていることを書いてください。GSM通信ネットワーク監視の問題に関しては、その年に広州の闇市場に関連機器が登場したときに多くの問題が発生しました。しばらくの間、大衆はパニックに陥り、自分たちを危険にさらしました。何人かのいわゆる上級専門家が飛び出して、「それは不可能です、GSMネットワークは安全です」と言いました。これは、移動体通信会社にとって最大の危機かもしれません。専門家が言ったことですが、私たちはそれを笑うことができます。しかし、さりげなく達成できない非常に単純なことはないのは事実です。
数年前、SSL通信の監視に関連するデータについて話していたCASE実装計画について話していたことを覚えています。新しいプログラマーは非常に空白で、SSLについて大声で私に思い出させましたそれは暗号化されています、それは不可能です...先生が彼らに1は1であり、本は彼らに2が2であると言っているので、私はこれらの本ベースの技術者に対処することを恐れています。どうして彼らは「なぜそれが3になれないのか」について考えることができないのですか?
情報セキュリティワーカーにとって、すべては「罪悪感理論」と見なされるべきです。これは先入観ではありません。しかし、物事の本質。同じことがGSM通信ネットワークシステムにも当てはまります。とりあえず、それらの上級専門家の言葉や従来の理論は脇に置いておきます。それを実装する方法を詳細に分析するために、最初にいくつかの基本的な知識を学びましょう。
画像
これは、単純なGSM通信ネットワークシステムの構造ブロック図です。今のところ、MS、BSC、NSS、OSS、PSTNの5つの部分に分けてみましょう。この記事に関連するいくつかの部分があります。
MS:移動局(携帯電話)
BSS:基地局サブシステムモジュール
BTS:基地局
BSC:基地局コントローラー
NSS:ネットワークサブシステムモジュール
OMC:運用保守センター
MSC:モバイルスイッチングセンター
VLR:移動ユーザーロケーションメモリ(詳細は後で紹介します)
HLR:ローカルユーザーロケーションストレージ(詳細な紹介は後で説明します)
AUC:認証センター(詳細は後で紹介します)
EIR:デバイスロゴストレージ(後で詳しく説明します)
OSS:運用支援システム(運用支援システムとも呼ばれます)
この記事とはほとんど関係がないので、詳しくは紹介しません。主にネットワークの管理と保守、請求、ユーザーカード情報の管理に使用されます。もちろん、その場で浸透すれば、関係は素晴らしいものになります。
PSTN:公衆交換電話網。私たちが使用する固定電話はこのネットワークに属しています。これは基本的に今日最大のネットワークであり、他のいくつかのネットワークの基盤です。
私たちは基本的にGSMネットワークの基本的な理解を持っています。エアライン側のハイジャックについては、もう1つの重要な部分を理解する必要があります。それが、SIMカード、携帯電話カードと呼ばれる携帯電話加入者識別カードです。 SIMカードには4種類のデータが保存されています。最初のタイプは固定データです。InternationalMobileSubscriberIdentity(IMSI)、Authentication Key(KI)、認証および暗号化アルゴリズムです。 2番目のカテゴリは、一時的に保存されたネットワークデータです。ロケーションエリア識別コード(LAI)、モバイルユーザーの一時識別コード(TMSI)、およびアクセスが禁止されている公衆電話網コードです。 3番目のカテゴリはビジネスコードです:個人識別コード(PIN)、ロック解除コード(PUK)、請求レート。これから行う分析に関連する重要なポイントは、第1タイプと第2タイプのデータです。
前の紹介を終えた後、GSMエアライン側でのハイジャックの分析に進みます。まず、GSM通信プロセスと詳細な通話プロセスおよびシグナリングプロセスを見てみましょう。
画像
これは、通信の確立を要求する(MS)携帯電話通話(MS)携帯電話の基本的なシグナリングプロセスです。プロセス全体は、MSがBTSからチャネルを要求することから始まります。まず、MSは、専用チャネル(SDCCH)を申請するために、ランダムアクセスチャネル(RACH)のBSSにチャネル要求メッセージを送信します。 BSCが対応するチャネルを正常に割り当てた後、メッセージはアクセス許可チャネル(AGCH)にすぐに割り当てられます。割り当てられた専用チャネルをMSに通知すると、MSは割り当てられたSDCCHでレイヤー3メッセージを送信します。 -CMサービス要求メッセージ。CMサービスタイプはモバイル開始コールであり、メッセージはBSSによって透過的に送信されます。CMサービス要求メッセージを受信した後、MSCはVLRにMSのアクセスサービス要求を処理するように通知します。アクセス要求メッセージを処理しています。 (同時に、BSCとMSCの間でSCCP接続サービスが使用されるため、SCCP接続を確立する必要があります。MSCは接続確認メッセージもBSCに返します)。サービスアクセス要求を受信した後、VLRはまず、MSがデータベースに認証3パラメータグループを持っているかどうかを確認します。その場合、MSCに認証コマンドを直接発行します。それ以外の場合は、対応するHLR / AUCから認証パラメーターを要求し、HLR / AUCから3パラメーターグループを取得してから、MSCに認証コマンドを発行します。 VLRによって送信された認証コマンドを受信した後、MSCはBSSを介してMSに認証要求を発行します。このコマンドには、認証パラメーターが含まれています。認証要求を受信した後、MSはSIMカードのIMSIと認証アルゴリズムを使用して、認証結果を取得します。認証結果は認証応答メッセージを介してMSCに送信され、MSCは認証結果をVLRに送り返します。 VLRは、MSによって報告された認証結果を、HLRから取得した認証パラメータの結果とチェックします。一貫性がない場合は、これを拒否します。アクセス要求が同じである場合、2つが一貫していると呼び出しは失敗し、認証が渡されます。認証が渡された後、VLRは最初に暗号化コマンドをMSCに発行し、次にMSアクセス要求が渡されてMSCが渡されたことをMSCに通知します。BSSはMSにサービス要求が渡されたことを通知し、次にMSCはMSに暗号化コマンドを発行します。コマンドには暗号化モードが含まれています。 MSはコマンドを受信して​​暗号化を完了すると、暗号化完了メッセージを送り返します。この時点で、MSはアクセスフェーズ全体を完了しています。 。
エアライン側をハイジャックしたい場合、ハイジャック犯はMSとBTSの間に位置していることがわかります。賢い友人は、私が前述したSSL監視について間違いなく考えることができます。はい、SSL監視では(MIM)中間者攻撃を使用しています。ここでも同じことができます。 GSMプロトコルの最大の問題は、一方向の認証です。つまり、基地局は携帯電話の認証を必要としますが、携帯電話は基地局をまったく認証しません。素人の言葉で言えば、携帯電話はミルクを持っている子供または母親です。餌を与えている限り、口を伸ばして母親を呼びます。携帯電話の場合、ハイジャック犯は基地局のふりをします。基地局の場合、ハイジャック犯は携帯電話のふりをします。移行中は、やりたいことが何でもできます。これを見て、何人かの友人は私が理解していると言いたいです。実際、それはそれほど単純ではありません。考慮しなかった問題がまだいくつかあります。
アクセスフェーズが完了した後、戻って音声通信を見てみましょう。発信している携帯電話が電話をかけるとき
MSISDN
番号。これは、呼び出された携帯電話番号、または呼び出された携帯電話が呼び出します。呼び出しプロセスに表示される呼び出しられたMSISDN番号を除き、携帯電話と基地局の間の通信プロセス。発信側の携帯電話は、独自のMSISDN番号を送信しません。呼び出されている間、基地局は呼び出された電話のMSISDN番号を呼び出された電話に送信しません。これはすべて、前に紹介したSIMカードのIMSI(International Mobile Subscriber Identity)に置き換えられます。言い換えれば、ハイジャック犯が指定された番号の携帯電話をハイジャックする必要がある場合、それは不可能です。どの携帯電話を監視する必要があるかさえわかりませんか?誰も誰も知りません。 MSISDNとIMSIの間の通信はHLRに保存され、それだけが知っています。ハイジャック犯には、この問題を解決する2つの方法しかありません。 1つは、MSCに侵入し、HLRに番号の対応を問い合わせることです。もう1つは、監視対象者のSIMカードを事前に取得し、そこからIMSIを抽出することです。ただし、この抽出プロセスでは、SIMカードチップのセキュリティアルゴリズムによる保護により、クラックが発生するまでに通常2〜7時間かかります。もちろん、スーパーコンピューティングリソースがある場合は、この時間が速くなる可能性があります。
以下は詳細な認証プロセス図です、あなたは私が上で言ったことをはっきりと見ることができます
画像
頭痛がします。実際のアプリケーションには困難があるに違いありません。しかし、実際のアプリケーションでは、ハイジャック犯にとって良い面もあります。暗号化システムはGSMプロトコル通信で開発されていることを私たちは知っています。しかし、ばかげているのは、ほとんどの地域で、モバイル企業が暗号化モジュールをまったく開いていないことです。周波数ホッピング技術を使用するGSM用ではなく、通信が常に1つの周波数で維持されるとは限らない場合は、スペクトラムアナライザで監視できます。これは最も理想的な状況ではありませんが、ハイジャック犯が航空会社側で仲介者の方法でハイジャックを行っている場合にも、多くの問題を回避できます。
最後に、悪い状況があります。場合によっては、携帯電話と基地局との間の通信(通話、通話、位置情報の更新など)。 IMSIも送信されません。代わりに、TMSI(一時識別コード)と呼ばれるものを使用してください。このTMSIはVRLによって割り当てられ、TMSIとIMSIの間の対応を知っているのはそれだけです。
最終的な結論:GSMエアライン側のハイジャックは完全に達成可能です。それは、特定の無線基盤、GSMプロトコルの知識、およびいくつかの安価な機器で実現できます。しかし、実際の状況を適用することにはまだ多くの困難があります。 GSMエアライン側のハイジャックは、監視に使用できるだけでなく、大規模なIMSIの盗難、さらには通話の盗難やハイジャックの追跡にも使用できます。



「ゴースト」を見た友人は、魔法のGSMハイジャックが「ゴースト」の最初のエピソードで実証されたことを知っているはずです。編集者は常にその種の技術を切望していました。今日、私はこの情報を見つけて投稿し、興味のあるすべての人と共有しました。ご覧ください。