Taggat med: gsm

Utbrett problem med falska basstationer

På senare tid så har det dykt upp ett antal olika säkra mobiltelefoner eller appar såsom RedPhone, Signal och BlackPhone.  En av dessa telefoner vid namn CryptoPhone 500 har stöd att identifiera falska basstationer (mobilmaster) och enbart under en månad i Juli 2014 så identifierades 17 stycken falska basstationer i USA.

Bild CC Montgomery County Planning CommissionDet rör sig troligtvis om såkallade IMSI-catcher där någon försöker avlyssna samtal eller göra man-i-mitten-attacker (MITM) mot mobiltelefoner för att exempelvis installera spionprogram.

En falsk basstation hittades på South Point Casino i Las Vegas. Och bara genom att köra från Florida till North Carolina så identifierades 8 stycken falska stationer:

As we drove by, the iPhone showed no difference whatsoever. The Samsung Galaxy S4, the call went from 4G to 3G and back to 4G. The CryptoPhone lit up like a Christmas tree.

Hur utbrett detta problem är i Sverige är ännu oklart men det förkommer troligtvis. Att köpa en kommersiell IMSI-catcher såsom VME Dominator kostar runt 60 000 SEK men går att bygga själv för runt 7000 SEK med hjälp av en USRP och OpenBTS.

Bild på hur CryptoPhone 500 rapporterar en falsk station:

unenc

Samt hur Baseband Firewall-funktionen ser ut vid falsk basstation:

ciphering1

Presentation från säkerhetskonferensen DEFCON om just detta ämne:

Källa

3G GSM KASUMI krypto knäckt

Nyss så släpptes nyheten att tre kryptogurus vid namn Orr Dunkelman, Nathan Keller samt Adi Shamir gjort mycket stora framsteg när det gäller att knäcka nästan generations GSM-krypto nämligen det för 3g vid namn A5/3 eller KASUMI.

KASUMI är en uppdaterad version av MISTY för att fungera bättre på den hårdvara som finns i mobiltelefoner men verkar på grund av denna modifiering blivit svagare.

Någon rapport finns ännu inte på IACR ePrint men förväntas dyka upp snart eftersom den börjat att cirkulera i privata kretsar.

Uppdatering: Finns nu att hämta här http://eprint.iacr.org/2010/013

Se mer:

threatpost.com/en_us/blogs/second-gsm-cipher-falls-011110

emergentchaos.com/archives/2010/01/another_week_another_gsm.html

Avlyssna gsm

För att avlyssna GSM så krävs ett antal förutsättningar. Några av dessa förutsättningar går att lösa teoretiskt och några har bevisats möjliga att lösa med det senaste framsteget av Karsten Nohl som vi rapporterat om här.

Så låt oss sammanställa det som är ”löst” och det som återstår för att göra en passiv avlyssning:

  • Det behövs hårdvara för att ladda ner GSM-trafik i rått format åt båda hållen, dvs från och till bas-station. Detta går att lösa teoretiskt med två USRP2. Se presentation samt Airprobe
  • Mjukvara för att plocka ut GSM-trafik ur den råa dumpen. Kanalhoppning, ej löst. Se Airprobe
  • Mjukvara för att knäcka GSM. Löst via regnbågstabeller. 2TB hårddisk + dator

Vi återkommer med mer rapportering gällande GSM och A5/1 krypteringen. Samt observera att ovan konfiguration ej fungerar för 3G som använder KASUMI A5/3-krypteringen.

Knäck GSM med regnbågstabeller

Det finns nu ett öppet projekt där målsättningen är att skapa regnbågstabeller för GSM-krypteringen A5/1. Projektet är en vidareutveckling av det koncept som den tyska hackergruppen THC tagit fram under 2008.

Du kan ladda hem koden med hjälp av SVN på följande sätt:

svn co https://svn.reflextor.com/tmto-svn

Det finns även en maillinglista för projektet. Projektets hemsida hittas här:

http://reflextor.com/trac/a51

Avlyssna mobiltelefoni (GSM)

Den tyska hackergruppen THC har en intressant Wiki-sida där de samlar all information relaterad till GSM. Det sker ständigt uppdateringar och majoriteten av projekten använder sig av en mjukvaruradio (SDR) från Ettus Research som heter USRP och tillsammans med GNU Radio.

Priset på denna utrustning ligger strax under 10 000 kronor och då kan du få in GSM trafik i hemmet på följande sätt:

1. Installera hårdvara samt mjukvara (GNU Radio)

2. Hitta en basstation i din närhet med hjälp av följande beskrivning: Find a GSM base station manually using a USRP

3. Använd sedan python-scriptet sr_rx_cfile.py som följer med GNU radio för att dumpa ner trafiken från basstationfrekvensen under 10 sekunder:

# samples=`expr 64000000 / 118 ’*’ 10`
# ./usrp_rx_cfile.py -d 118 -f 940.8M -N $samples 940.8Mhz_118.cfile

Och glöm inte att byta ut 940.8M mot den frekvens du hittat i steg 2

4. Ladda hem och packa upp gsmsp.

5. Gör en symlänk från ovan nedsparad fil till signa.data och kör sedan run.sh:

# cd ~/gsmsp
# ln -sf /wherever/the/cfile/is/940.8Mhz_118.cfile signal.data
# ./run.sh

Du kommer då att troligtvis få ut detaljerad information om GSM-protokollet. Talet är så klart krypterat.

Läs även del två i denna serie här.