Большой FAQ по перехвату мобильной связи: IMSI-кетчеры и как от них защититься

Содержание статьи

Наверное, даже домохозяйки знают, что публичные точки Wi-Fi небезопасны. Что не мешает рядовым юзерам вовсю ими пользоваться — ведь если нельзя, но скучно и очень хочется, то можно! И без всякого VPN — хотя функцию VPN теперь внедряют даже в комплексные антивирусные продукты. Здоровой альтернативой Wi-Fi всегда считалось обычное мобильное подключение, тем более что с каждым годом оно становится все дешевле, а скорость его все выше. Но так ли оно безопасно, как нам кажется? В этой статье мы решили собрать основные вопросы и ответы, посвященные перехвату мобильных данных, и определиться, стоит ли его опасаться обычному, далекому от сокровенных тайн пользователю.

WARNING

Чрезмерно активные действия в радиочастотном спектре требуют специального допуска и лицензирования; игнорируя данный факт, ты автоматически попадаешь в категорию «плохих парней» (подробности — здесь).

Что такое IMSI-перехватчик?

Это такое устройство (размером с чемодан или даже всего лишь с телефон), которое использует конструктивную особенность мобильников — отдавать предпочтение той сотовой вышке, чей сигнал наиболее сильный (чтобы максимизировать качество сигнала и минимизировать собственное энергопотребление). Кроме того, в сетях GSM (2G) только мобильник должен проходить процедуру аутентификации (от сотовой вышки этого не требуется), и поэтому его легко ввести в заблуждение, в том числе чтобы отключить на нем шифрование данных. С другой стороны, универсальная система мобильной связи UMTS (3G) требует двусторонней аутентификации; однако ее можно обойти, используя режим совместимости GSM, присутствующий в большинстве сетей. Сети 2G по-прежнему широко распространены — операторы используют GSM в качестве резервной сети в тех местах, где UMTS недоступна. Более глубокие технические подробности IMSI-перехвата доступны в отчете научно-исследовательского центра SBA Research. Еще одно содержательное описание, ставшее настольным документом современных киберконтрразведчиков, — это статья «Ваш секретный скат, больше вовсе не секретный», опубликованная осенью 2014 года в Harvard Journal of Law & Technology.


Когда появились первые IMSI-перехватчики?

Первые IMSI-перехватчики появились еще в 1993 году и были большими, тяжелыми и дорогими. «Да здравствуют отечественные микросхемы — с четырнадцатью ножками... и четырьмя ручками». Изготовителей таких перехватчиков можно было пересчитать по пальцам, а высокая стоимость ограничивала круг пользователей — исключительно государственными учреждениями. Однако сейчас они становятся все более дешевыми и все менее громоздкими. Например, Крис Пейдж построил IMSI-перехватчик всего за 1500 долларов и представил его на конференции DEF CON еще в 2010 году. Его версия состоит из программируемого радио и бесплатного программного обеспечения с открытым исходным кодом: GNU Radio, OpenBTS, Asterisk. Вся необходимая разработчику информация находится в открытом доступе. А в середине 2016 года хакер Evilsocket предложил свою версию портативного IMSI-перехватчика всего за 600 долларов.

Как IMSI-перехватчики монополизируют доступ к мобильнику?

  • Обманывают твой мобильник, заставляя его думать, что это единственное доступное соединение.
  • Настраиваются таким образом, что без посредничества IMSI-перехватчика ты не можешь сделать вызов.
  • Подробнее о монополизации читай в публикации научно-исследовательского центра SBA Research: IMSI-Catch Me If You Can: IMSI-Catcher-Catchers.
Какие перехватчики есть в продаже?

Ассортимент продаваемых перехватчиков вызывает уважение. А что насчет кустарных поделок?

  • Сегодня (в 2017 году) предприимчивые технические специалисты изготавливают IMSI-перехватчики, пользуясь доступными в открытой продаже высокотехнологичными коробочными компонентами и мощной радиоантенной, и затрачивают при этом не больше 600 долларов (см. версию IMSI-перехватчика хакера Evilsocket). Это что касается стабильных IMSI-перехватчиков. Но есть и экспериментальные, более дешевые, которые работают нестабильно. Например, в 2013 году на конференции Black Hat была представлена версия нестабильного IMSI-перехватчика, общая стоимость аппаратных компонентов которого составила 250 долларов. Сегодня подобная реализация обошлась бы еще дешевле.
  • Если вдобавок учесть, что современная западная высокотехнологичная военная техника имеет открытую архитектуру аппаратного обеспечения и открытый код программного обеспечения (это сегодня обязательное условие, чтобы обеспечить совместимость разрабатываемых для военных нужд программно-аппаратных систем), — у разработчиков, заинтересованных в изготовлении IMSI-перехватчиков, есть все козыри для этого. Об этой современной тенденции военного хай-тека можно почитать в журнале Leading Edge (см. статью «Преимущества SoS-интеграции», опубликованную в февральском выпуске журнала за 2013 год). Не говоря уже о том, что недавно Министерство обороны США выразило свою готовность заплатить 25 миллионов долларов подрядчику, который разработает эффективную систему для радиоидентификации (см. апрельский выпуск ежемесячного журнала Military Aerospace, 2017). Одно из основных требований, предъявляемых к этой системе, — должны быть открытыми ее архитектура и компоненты, из которых она будет состоять. Таким образом, открытость архитектуры — это сегодня обязательное условие совместимости разрабатываемых для военных нужд программно-аппаратных систем.
  • Поэтому изготовителям IMSI-перехватчиков даже большой технической квалификацией обладать не нужно — нужно только уметь подобрать комбинацию уже существующих решений и поместить их в одну коробку.
  • Кроме того, современная — дешевеющая непомерными темпами — микроэлектроника позволяет вместить свою кустарную поделку не только в одну коробку, но даже (!) в один чип (см. описание концепции SoC) и даже более того — настроить внутричиповую беспроводную сеть (см. описание концепции NoC по той же ссылке), которая приходит на смену традиционным шинам передачи данных. Что уж говорить об IMSI-перехватчиках, когда в открытом доступе сегодня можно найти даже технические подробности об аппаратных и программных компонентах суперсовременного американского истребителя F-35.

Могу ли я стать жертвой «случайного перехвата»?

Вполне возможно. Имитируя сотовую вышку, IMSI-перехватчики прослушивают весь локальный трафик — куда в числе прочего попадают и разговоры невинных прохожих (читай «откровения старшей сестры Большого Брата»). И это любимый аргумент «адвокатов неприкосновенности частной жизни», выступающих против использования IMSI-перехватчиков силовыми структурами, которые применяют это высокотехнологичное оборудование для выслеживания преступников.

Как IMSI-перехватчик может отслеживать мои перемещения?

  • Чаще всего IMSI-перехватчики, используемые местными силовыми структурами, применяются для трассировки.
  • Зная IMSI целевого мобильника, оператор может запрограммировать IMSI-перехватчик, чтобы он связывался с целевым мобильником, когда тот находится в пределах досягаемости.
  • После подключения оператор использует процесс картографирования радиочастот, чтобы выяснить направление цели.

Могут ли они слушать мои звонки?

  • Это зависит от используемого IMSI-перехватчика. Перехватчики с базовой функциональностью просто фиксируют: «в таком-то месте находится такой-то мобильник».
  • Для прослушивания разговоров IMSI-перехватчику требуется дополнительный набор функций, которые производители встраивают за дополнительную плату.
  • 2G-вызовы прослушиваются легко. IMSI-перехватчики для них доступны уже более десяти лет.
  • Стоимость IMSI-перехватчика зависит от количества каналов, рабочего диапазона, типа шифрования, скорости кодирования/декодирования сигнала и от того, какие радиоинтерфейсы должны быть охвачены.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Антон Карев: Окончил физтех Алтайского госуниверситета. 20 лет занимаюсь низкоуровневым программированием на Ассемблере и Си. С уклоном в Secure Coding. Провожу в скайпе индивидуальные уроки по программированию на Ассемблере, Си, Питоне. Хочешь пообщаться? Пиши на email: anton.barnaul.1984@mail.ru

Комментарии (25)

  • Дополните пожалуйста о том могут ли перехватить End-To-End шифрование.
    Также хотелось бы узнать о решениях для защиты под iOS.

  • Мы с ][-редакцией сейчас готовим FAQ по «кэш-атакам по сторонним каналам». Эта методика в том числе и для end-to-end шифрования применима.

  • Могут ли устройства не только перехватывать, но и менять HTTP-трафик "на лету"?

    • Vaca, ответ определённо да. Например, посредством атаки «человек посередине» (MITM). Другой вопрос, ответ на который более тревожен: «Какая квалификация для этого необходима?»

      И ответ на него – никакая. Сегодня весь хайтек в открытой продаже находится, а на хакерских конференциях все самые новые технологии описываются ещё задолго до того, как они внедрятся. В том числе военный хайтек. Поэтому современный хакер – это просто опытный журналист, который может быстро находить в открытых источниках необходимые данные. А у давно известной атаки «человек по середине», есть более современный аналог – «обезьяна посередине».

      Данная ситуация также усугубляется политикой западных спецслужб, которые выступают за открытость аппаратных и программных архитектур. В связи с этим есть весомые основания полагать, что «правда Сноудена» и откровения WikiLeaks – это не демарш бунтарей, а контролируемая утечка ЦРУ. Зачем они это делают? Затем, что кибероперации – уже давно не являются ключом к превосходству в т.н. «театре боевых действий». Сегодня в тренде – т.н. «знание-центрические войны» (или эпистемологические): манипуляция фильтрами истины противника; причём даже не на уровне психологических воздействий и социальной инженерии, а на уровне духовных технологий (более подробную информацию об этом см. в разделе «спецназ» в моём блоге – ссылка в подписи к статье). Т.о. ЦРУ раскрывает хайтек-секреты, чтобы перенаправить неискушённых конкурентов по гонке вооружений – по заведомо неактуальному следу.

      • тогда к вопросу про end-to-end - зачем пытаться перехватить трафик например мессенджеров и пытаться расшифровывать его, когда можно доставить эксплоит на устройство, даже если идут запросы только на легитимные ресурсы?

  • Vaca, я не очень понимаю, как ваш вопрос связан с темой статьи. Если у вас есть какие-то посторонние вопросы по кибербезопасности, и вы считаете меня компетентным ответить на них – пишите на почту: vedacoder@mail.ru .

  • Что касается о решениях для iOS, то значительная часть материала данного FAQ-а абстрагирован от какой либо ОС; и т.о. он универсально применим к любой платформе и любой ОС. Однако решений для защиты эффективных ни существует – ни для iOS, ни для каких-либо других платформ. Сегодня ситуация с защитой/нападением такая, что нападать всё легче и дешевле, а защищаться всё сложнее и дороже. И эта разница с течением времени лавинообразно увеличивается.

  • Интересно, что автор скажет по поводу GSM Spy Finder из гугл-плей, вроде наши делают, но манера общения автора и спорные отзывы настораживают.

  • Почитав отзывы к программе и авторские комментарии на них – могу только поддержать вашу точку зрения: «спорные отзывы настораживают». Описание программы больше маркетинговые мечты напоминает, нежели реальную функциональность. Но даже если бы все перечисленные в описании пункты правдой были, то всё равно, программа эта не могла бы гарантировать, что «прослушка ОТСУТСТВУЕТ» – она могла бы гарантировать только, что «прослушка НЕ ОБНАРУЖЕНА». А это две большие разницы.

  • Спасибо автору за статью и ответы на комменты!

  • А вы видели в GNU Radio модули для декодирования 3G сетей? Я видел только модули для 2G и 4G. Значит, стандарт 3G более защищённый, т.к. более закрытый. Пока все взламывают GSM и LTE сети, можно купить хорошую антенну и усилитель и иметь в 3G такую же скорость, как в 4G, которая на практике гораздо ниже максимально заявленной.

    Интересно, а кто-то пробовал взламывать не мобильники, а оборудование сотовых операторов? Ведь ПО базовой станции не безупречно и оно тоже может думать, что от мобильника "входные данные всегда корректны".

    • А OpenBTS может расшифровывать трафик, который идёт через него? На сколько я понял, OpenBTS-UMTS может только демодулировать 3G сигнал, передать зашифрованный byte-stream через интернет, и заново смодулировать радиосигнал и передать его реальной базовой станции. Но расшифровать на лету 3G-интернет, voice|video call он не способен (на сколько я понял из описания).

      • А может и нет. Нашёл в свободной продаже аппаратную реализацию OpenBTS за 1700$ для 2G сетей. Продавец сказал, что она позволяет прослушивать разговоры абонентов, которые подключены через неё.

Похожие материалы