Imsi перехватчик сотовой связи купить. Большой FAQ по перехвату мобильной связи: IMSI-кетчеры и как от них защититься. Кто прослушивает телефоны

Не так давно я изучал возможности HackRF по анализу трафика GSM сетей, синхронизирующий сигнал устройства несколько плавает, но в любом случае результатом будет доступ к различным системным сообщениям. Далее я предполагаю, что у вас установлен linux с gnuradio, а также вы являетесь счастливым обладателем hackrf. Если нет, вы можете использовать live cd, информация о котором есть в разделе «Программное обеспечение» форума. Это отличный вариант, когда hackrf работает прямо «из коробки».

Сначала нам необходимо определить частоту местной GSM станции. Для этого я использовал gprx, который включен в состав live cd. После анализа частот в районе 900 МГц вы увидите что-то вроде этого:

Вы можете увидеть постоянные каналы на 952 МГц и на 944.2 МГц. В дальнейшем эти частоты будут отправными точками.

Теперь же с помощью следующих команд мы должны установить Airprobe.

git clone git://git.gnumonks.org/airprobe.git

git clone git://git.gnumonks.org/airprobe.git

Cd airprobe/gsmdecode
./bootstrap
./configure
make

Cd airprobe/gsm-receiver
./bootstrap
./configure
make

Установка завершена. Теперь мы можем принимать GSM сигнал. Запустим wireshark с помощью команды

В качестве приемного устройства выберите «lo», а в качестве фильтра выберите gsmtap, как показано на следующем рисунке:

Теперь вернитесь в терминал и введите

cd airprobe/gsm-receiver/src/python
./gsm_receive_rtl.py -s 2e6

Откроется всплывающее окно, и вам необходимо будет отключить автоматический сбор, а также перевести слайдер на максимум. Далее вводим GSM частоты, полученные ранее, в качестве средней частоты.

Также выбираем пиковое и среднее значения в секции опций трассировки, как показано далее:

Вы увидите, что только сигнал верной последовательности (синий график) местами выходит за пиковое значение (зеленый график), тем самым показывая, что это постоянный канал. Теперь нужно начать декодирование. В окне нажимаем на середину этого самого частотного скачка. Вы можете увидеть ошибки, но это нормально. Я начал получать данные таким способом:

Теперь вы можете заметить, что gsm-данные приходят в wireshark. Как я упоминал в начале статьи, синхронизирующий сигнал плавает, поэтому для поддержания заданной частоты вам необходимо продолжать кликать на схему. Тем не менее, программа работает довольно хорошо. Как бы смешно это не звучало, но, обернув ваш hack rf в полотенце (или что-то подобное), вы повысите термальную стабильность синхронизирующего сигнала и уменьшите разброс. Сам по себе этот способ наверняка не покажется вам очень полезным, но я думаю, как минимум, он показывает огромный потенциал HackRF.

Клонирование SIM карты

Одной из распространенных проблем является клонирование SIM карты. В Интернете часто можно встретить объявления о легком способе клонировании карты, а также представлено множество утилит, например, SIM Card Seizure. В качестве целей клонирования обычно указывают возможность бесплатно звонить за чужой счет и возможность прослушивания разговоров владельца клонированной SIM-карты. В первом варианте использования у владельца клона будут проблемы с получением входящих звонков, а вот исходящие можно делать свободно. Основными потребителями являются люди, которые затем у метро предлагают прохожим дешево позвонить в любую страну мира. Что касается прослушивания абонента, то рассмотрению этого вопроса посвящен следующий раздел.

В предыдущем разделе была описан процесс проверки подлинности SIM-карты (рис. 120). Базовыми в этом процессе являются параметры IMSI и

K I . Для того чтобы клон мог пройти аутентификацию в AUC, он должен знать эти параметры. Узнать IMSI просто, он может быть записан на самой карте или прилагаться к ней. Его легко можно прочитать с SIM-карты при помощи устройства чтения смарт-карт. А вот с K I все несколько сложнее.

Как вы уже знаете, K I хранится всего в двух местах - в памяти SIM-карты и в памяти AUC. K I никогда не передается в открытом виде при аутентификации, т.е. его нельзя перехватить при аутентификации. У злоумышленников есть 4 варианта получения K I . Первый вариант это инсайдер в компании-операторе. Этот вариант предпочтительнее, т.к. можно получить информацию сразу по нескольким картам. Недостатки этого варианта заключаются в том, что ввиду значимости K I доступ к их значениям строго ограничен и при обнаружении массовой утечки инсайдер быстро будет вычислен. Кроме того, зачастую в AUC отсутствует функционал для считывания KI из тех же соображений безопасности. Второй вариант основан на похищении KI сразу после получения партии SIM-карт от производителя. Проблемы здесь те же что и в предыдущем варианте: количество людей, имеющих нужные доступы, исчисляется единицами.

Третий вариант: считать K I из памяти SIM-карты. Начнем с того что необходимо получить физический доступ к карте (вынуть ее из телефона жертвы под каким-то предлогом, знать PIN код). Важный недостаток: у SIM-карты нет интерфейса, по которому можно непосредственно считать или изменить K I .

И наконец, последний вариант: вычислить K I . Злоумышленник должен обладать сведениями об используемом оператором алгоритме A3. В этом случае можно попытаться вычислить K I , наблюдая за результатами преобразования RAND в SRES. Для этого вручную формируют RAND, вызывают алгоритм шифрования и передают ему RAND. Этот процесс автоматизируют такие программы как SimScan и WoronScan.

Именно таким образом были получены первые клоны SIM-карт. Это стало доступно из-за утечки сведений об алгоритме A3, называемой COMP128 в сеть. В алгоритме была обнаружена уязвимость, которая позволяла подбирать KI за приемлемое количество попыток. После обнаружения уязвимости большинство операторов заменило его чем-то более устойчивым. На текущий момент существует три версии COMP128. Вторая и третья версия на данный момент считаются невскрываемыми. И хотя в сети присутствуют программы, декларирующие возможность взлома этих версий, на поверку всегда оказывается, что их цель - заставить пользователя скачать «трояна» .

Если же злоумышленник не имеет сведений о реализации A3, то он может попытаться подобрать K I путем перебора (brute force). Здесь возникает еще одно препятствие: количество попыток для подбора KI ограничено. У

SIM-карты есть встроенный счетчик количества вызовов A3, и при превышении определенного порога (65535) карта блокируется и перестает отвечать на запросы регистрации (хотя остальные функции работают, например, телефонная книга). В обычных условиях эксплуатации, когда A3 вызывается при каждой регистрации SIM-карты в сети (при включении телефона), подобные ограничения не мешают абоненту. А вот для получения K I может понадобиться большее количество попыток.

Если же злоумышленнику удалось подобрать K I , то он получает возможность звонить за чужой счет. Но тут есть несколько ограничивающих факторов. Во-первых, т.к. деньги на счету начнут быстрее, чем обычно, весьма вероятно, что владелец SIM-карты может это заметить. В детальной распечатке сразу обнаружатся «лишние» звонки. Это касается и «безлимитных» тарифов, т.к. у них тоже есть ограничения, в частности при звонках за границу. Поэтому, злоумышленники стремятся как можно скорее выговорить весь доступный баланс и избавиться от клона. Во-вторых, если обе карты зарегистрированы в сети, то входящие звонки будут приходить на карту, которая последняя авторизовалась, либо с которой был совершен последний исходящий звонок. Соответственно, легитимный пользователь может заметить, что ему перестанут приходить ожидаемые звонки. Злоумышленникам в целях конспирации вообще противопоказано снимать трубку. Иначе корреспонденты пользователя сразу обнаружат мошенничество. В-третьих, оператор может вычислять SIM-карты, которые регистрируются в сети в географически разнесенных местах в течение ограниченного времени. При подозрениях в клонировании карты оператор заблокирует карту и выдаст абоненту новую.

Резюмируя, можно сказать, что клонировать SIM-карты возможно, но достаточно тяжело. Если оператор своевременно модернизировал реализацию А3, а его сотрудники лояльны и неподкупны, то абонентам не стоит бояться появления клонов своей SIM-карты. Кроме того, актуальность такого мошенничества спадает, т.к. спрос на дешевые звонки за границу компенсируется возможностью звонков в Skype, а также предложениями от легальных операторов.

Перехват разговоров в сети GSM

Переходим к рассмотрению взлома GSM. Статьи про уязвимости в A5/1 появились около 15 лет назад, но публичной демонстрации взлома A5/1 в условиях реального мира до сих пор не было. Более того, как видно из описания работы сети надо понимать, что помимо взлома самого алгоритма шифрования нужно решить еще ряд сугубо инженерных проблем, которые обычно всегда опускаются из рассмотрения (в том числе на публичных демонстрациях).

Большинство статей по взлому GSM опираются на статью Эли Баркана в 2006 году и исследование Карстена Нола (Karsten Noh).

В своей статье Баркан с соавторами показал, что т.к. в GSM коррекция ошибок идет до шифрования (а надо бы наоборот), возможно определенное уменьшение пространства поиска для подбора K C и реализация known-ciphertext атаки (при полностью пассивном прослушивании эфира) за приемлемое время с помощью предварительно вычисленных данных.

Сами авторы статьи говорят, что при приеме без помех для взлома в течение 2 минут требуется 50 терабайт предвычисленных данных. В той же статье (в разделе про A5/2) указывается, что сигнал из эфира всегда идет с помехами, которые усложняют подбора ключа. Для A5/2 приведен измененный алгоритм, который способен учитывать помехи, но при этом требует вдвое большего объема предвычисленных данных и, соответственно, время взлома увеличивает в два раз. Для A5/1 указана возможность построения аналогичного алгоритма, но сам он не приведен. Можно предположить, что в этом случае также нужно увеличить объем предвычисленных данных вдвое.

Процесс подбора ключа A5/1 является вероятностным и зависит от времени, т.е. чем дольше идет прослушивание, тем больше вероятность подобрать K C . Таким образом, заявленные в статье 2 минуты - это примерное, а не гарантированное время подбора K C .

Карстен Нол разрабатывает самый известный проект по взлому GSM сетей. Его фирма, занимающаяся проблемами компьютерной безопасности, собиралась к концу 2009 года выложить в открытый доступ радужные таблицы сессионных ключей алгоритма A5/1, который используется для шифрования речи в сетях GSM.

Свой демарш против A5/1 Карстен Нол объясняет желанием привлечь внимание общественности к существующей проблеме и заставить операторов связи переходить на более совершенные технологии. Например, технология UMTS предполагает использование 128 битного алгоритма A5/3, стойкость которого такова, что никакими доступными средствами на сегодняшний день взломать его не удастся.

По расчетам Карстена, полная таблица ключей A5/1 в упакованном виде будет занимать 128 петабайт и распределенно храниться на множестве компьютеров в сети. Для ее расчета потребуется около 80 компьютеров и 2-3 месяца работы. Существенное уменьшение времени вычислений должно оказать использование современных CUDA графических карт и программируемых массивов Xilinx Virtex. В частности много шума наделало его выступление на 26С3 (Chaos Communication Congress) в декабре 2009 года. Кратко сформулировать суть выступления можно так: в скором времени можно ожидать появление бюджетных системы для онлайн декодирования A5/1.

Переходим к инженерным проблемам. Как получить данные из эфира? Для перехвата разговоров надо иметь полноценный сканер, который должен уметь разбираться, какие базовые вещают вокруг, на каких частотах, каким операторам они принадлежат, какие телефоны с какими TMSI в настоящий момент активны. Сканер должен уметь следить за разговором с указанного телефона, корректно обрабатывать переходы на другие частоты и базовые станции.

В интернете есть предложения по приобретению подобного сканера без дешифратора за 40-50 тыс. долларов. Это нельзя назвать бюджетным устройством.

Таким образом, для создания прибора, который после несложных манипуляций мог начинать прослушивать разговор по телефону, необходимо:

а) реализовать часть, которая работает с эфиром. В частности, позволяет указать, какой из TMSI соответствует искомому телефону или с помощью активных атак заставить телефоны «обнаружить» свои реальные IMSI и MSISDN;

б) реализовать алгоритм подбора K c для A5/1, хорошо работающий на реальных данных (с помехами/ошибками, пропусками и т.п.);

г) объединить все эти пункты в законченное работающее решение.

Карстен и остальные исследователи в основном решают пункт «в». В

частности он его коллеги предлагают использовать OpenBTS, airdump и Wireshark для создания перехватчика IMSI (IMSI catcher). Подробнее об устройстве и перехвате с его помощью звонков написано ниже в разделе «Атака человек-по-середине в GSM». Пока можно сказать, что это устройство эмулирует базовую станцию и встраивается между MS и настоящей базовой станцией.

Докладчики утверждают, что SIM-карта легко может запретить телефону показывать, что он работает в режиме шифрования A5/0 (т.е. без шифрования вообще) и что большинство SIM-карт в обороте именно такие. Это действительно возможно. В GSM 02.07, написано (Normative Annex B.1.26), что SIM-карта содержит специальный бит OFM в поле Administrative , который при значении равном единице, приведет к запрету индикации шифрования соединения (в виде амбарного замочка). В GSM 11.11 указаны следующие права доступа к этому полю: чтение доступно всегда, а права на запись описаны как «ADM». Конкретный набор прав, регулирующих запись в это поле, задается оператор на этапе создания SIM-карт. Таким образом, докладчики надеются, что большая часть карт выпускается с установленным битом и телефоны у них действительно не показывают индикацию отсутствия шифрования. Это действительно существенно облегчает работу IMSI сatcher-а т.к.

владелец телефона не может обнаружить отсутствие шифрования и что-то заподозрить.

Интересная деталь. Исследователи столкнулись с тем, что прошивки телефонов тестируются на соответствие спецификациям GSM и не тестируются на обработку нештатных ситуаций, поэтому, в случае некорректной работы базовой станции (например, «подставная» OpenBTS, которая использовалась для перехвата) телефоны зачастую зависают.

Наибольший резонанс вызвало заявление, что всего за $1500 можно из USRP, OpenBTS, Asterisk и airprobe собрать готовый комплект для прослушивания разговоров. Эта информация широко разошлась по Интернету, только авторы этих новостей и производных от них статей забыли упомянуть, что сами докладчики деталей не предоставили, а демонстрация не состоялась.

В декабре 2010 года Карстен и Мунот (Sylvain Munaut) снова выступил на конференции 27С3 с докладом про перехват разговоров в GSM сетях. На этот раз они представили более полный сценарий, но в нем присутствует множество «тепличных» условий.

Для обнаружения местоположения они используют интернет-сервисы, которые дают возможность вбрасывать в сеть SS7 запросы «send routing info». SSV - это сеть/стек протоколов, которые используются для общения телефонных операторов (GSM и «наземных») друг с другом и для общения компонент сети GSM друг с другом.

Далее авторы делают ссылку на реализацию мобильной связи в Германии. Там полученное в результате запроса RAND хорошо коррелирует с кодом региона (area code/zip code). Поэтому такие запросы там дают возможность определить с точностью до города или даже части города, где в Германии находится этот абонент. Но так делать оператор не обязан.

Теперь исследователи знают город. После этого они берут сниффер, едут в найденный ранее город и начинают посещать все его LAC. Приехав на территорию, которая входит в какой-то LAC, они посылают жертве SMS и слушают, идет ли пейджинг(paging) телефона жертвы (это происходит по незашифрованному каналу, во всех базовых сразу). Если вызов есть, то они получают сведения о TMSI, который был выдан абоненту. Если нет - едут проверять следующий LAC.

Необходимо заметить, что т.к. IMSI при пейджинге не передается (и исследователи его не знают), а передается только TMSI (который они и хотят узнать), то производится «атака по времени» (timing attack). Они посылают несколько SMS с паузами между ними, и смотрят, для каких TMSI производится пейджинг, повторяя процедуру до тех пор, пока в списке «подозрительных» TMSI не останется только один (или ни одного).

Чтобы жертва не заметила такого «прощупывания», посылается такой SMS, который не будет показан абоненту. Это или специально созданный flash sms, или неверный (битый) SMS, который телефон обработает и удалит, при этом пользователю ничего показано не будет.

Выяснив LAC, они начинают посещать все соты этого LAC, посылать SMS-ки и слушать отклики на пейджинг. Если есть ответ, то жертва находится вот в этой соте, и можно начинать взламывать ее сессионный ключ (K C) и слушать ее разговоры.

Перед этим необходимо записать эфир. Здесь исследователи предлагают следующее:

1) существуют производимые на заказ FPGA-платы, которые способны одновременно записывать все каналы либо uplink (канал связи от абонента (телефона или модема) к базовой станции сотового оператора), либо downlink (канал связи от базовой станции к абоненту) частот GSM (890-915 и 935-960 МГц соответственно). Как уже было отмечено, стоит такое оборудование 4050 тыс. долларов, поэтому доступность такого оборудования для простого исследователя безопасности сомнительна;

2) можно брать менее мощное и более дешевое оборудование и слушать часть частот на каждом из них. Такой вариант стоит примерно 3,5 тыс. евро с решением на базе USRP2;

3) можно сначала сломать сессионный ключ, и потом декодировать траффик «на лету» и следовать за сменой частоты (frequency hopping) при помощи четырех телефонов, у которых вместо родной прошивки стоит альтернативная прошивка OsmocomBB. Роли телефонов: 1-й телефон используется для пейджинга и контроля ответов, 2-й телефон выделен абоненту для разговора. При этом каждый телефон должен писать и прием и передачу. Это очень важный пункт. До этого момента OsmocomBB фактически не работал и за год (с 26С3 до 27С3) OsmocomBB был доделан до пригодного к использованию состояния, т.е. до конца 2010 года не было практического работающего решения.

Взлом сессионного ключа. Находясь в одной соте с жертвой, они посылают ей SMS, записывают общение жертвы с базовой, и взламывают ключ, пользуясь тем, что во время установления сессии (session setup) происходит обмен множеством полупустых пакетов или с предсказуемым содержимым. Для ускорения взлома используются радужные таблицы. На момент проведения 26C3 эти таблицы были не так хорошо заполнены и взлом делался вовсе не за минуты и даже не за десятки минут (авторы упоминают час). То есть, до 27C3 даже у Карстена (основного исследователя в этой области) не было решения, которое позволяло взломать KC за приемлемое время (в течении которого, скорее всего, не произойдет смена сессионого ключа (rekeying)).

Затем исследователи пользуются тем, что смена ключа редко делается после каждого звонка или SMS и сессионный ключ, который они узнали, не будет меняться в течение какого-то времени. Теперь, зная ключ, они могут декодировать зашифрованный траффик к/от жертвы в режиме реального времени, и делать смену частоты (frequency hopping) одновременно с жертвой. Для захвата эфира в этом случае реально достаточно четырех перепрошитых телефонов, так как не требуется писать все частоты и все таймслоты. Исследователи продемонстрировали эту технологию в работе. Правда «жертва» сидела на месте и обслуживалась одной сотой.

Подводя промежуточный итог можно утвердительно ответить на вопрос о возможности перехвата и расшифровке на лету GSM разговоров. При этом надо иметь помнить следующее:

1) Технология, описанная выше не существует в виде, доступном для любого желающего (в т.ч. script kiddies). Это даже не конструктор, а заготовка для деталей конструктора, которые надо доделывать до пригодного к использованию состоянию. Исследователи неоднократно замечают, что у них нет четких планов по выкладыванию в общий доступ конкретики реализации. Это означает, что на основании этих наработок производители Ближнего Востока не изготавливают массово устройства за 100 долларов, которые могут слушать все.

2) OsmocomBB поддерживает только одно семейство чипов (хотя и самое распространенное).

3) Способ определения местоположения по запросам к HLR и перебору LAC работает скорее в теории, чем на практике. На практике злоумышленник или знает, где находится жертва физически, или не может попасть в туже соту что и жертва. Если злоумышленник не можете послушать ту же соту, в которой находиться жертва, то способ не работает.

В отличие от демонстрации, в реальности в средней по нагрузке LA присутствуют тысячи пейджинговых сообщений. Более того, пейджинг работает не в момент отправки, а в определенные временные окна и пачками (по пейджинг-группам со своими очередями, номер которой есть остаток от деления IMSI на количество каналов, которое в каждой соте может быть свое), что опять усложняет реализацию.

4) Допустим, LA найден. Теперь надо “нащупать” ответ абонента. Передатчик телефона имеет мощность 1 -2 ватта. Соответственно, просканировать его с расстояния нескольких десятков метров тоже является задачей (не простой). Получается парадокс: LA накрывает, например, целую область (город). В ней, например, 50 сот, у некоторых из которых радиус действия доходит до 30 км. Мы пытаемся поймать и расшифровать на ненаправленную антенну излучение. Для реализации этой задачи в таком варианте требуется много оборудования. Если же исходить из предпосылки, при которой жертва находиться в прямой видимости, т.е. расстояния, на котором перехват выглядит более реалистичным, намного эффективнее и проще направленный микрофон. Надо отметить, что на демонстрации исследователи перехватывают свои телефоны на расстоянии 2-х метров.

5) Перемещение жертвы между сотами также вызывает проблемы, т.к. вам также надо перемещаться вместе с ней.

6) Телефоны, используемые в демонстрации, требуют аппаратной модификации, в них нужно убрать фильтр с антенны, в противном случае телефоны «чужой» uplink не «увидят». Фильтр в телефоне нужен для того что бы «слушать» не все частоты, а только «свою».

7) Если в сети регулярно происходит смена ключа (rekeying) или меняются TMSI (ни один из исследователей не учитывал это), то это способ не работает вообще или работает очень плохо (время расшифровки может оказаться больше чем время разговора).

8) Прослушивать всю сеть не получится, надо знать номер телефона.

Защита от перехватывания трафика

1) Вместо константного байта использовать для пейджинга пустых GSM-сообщений случайные значения.

2) Менять K C после каждого звонка.

3) Менять TMSI как можно чаще.

Пункты 2 и 3 можно решить простой переконфигурацией элементов сети провайдера и не требуют обновления прошивок или оборудования.

Помимо этого, на рынке представлены разные модифицированные телефоны, например, крипто смарт телефон «Cancort», который обеспечивает работу на линиях связи стандарта GSM 900/1800 в двух режимах:

Открытый режим (обычный режим GSM);

Режим шифрования с гарантированным от взлома шифрованием информации.

Cancort выполняет следующие функции:

Шифрование/расшифровка коротких сообщений (услуга SMS)

Шифрование/расшифровка данных (услуга BS26 и GPRS).

Шифрование/расшифровка электронной почты.

Шифрование/расшифровка информации всех телефонных директорий (SIM PB).

Шифрование/расшифровка информации MMS.

Также для защиты можно использовать скремблеры, которые хорошо зарекомендовали себя при защите обычных телефонных сетей. В качестве примера можно привести GUARD GSM. Данное устройство (как и аналоги) соединяется с сотовым телефоном по проводной гарнитуре и имеет небольшие размеры. Скремблер GUARD GSM имеет тридцать два режима скремб-лирования.

Принцип работы данного скремблера основан на первоначальном разрушении и временной перестановки звука на передающей стороне с его последующим восстановлением на принимающей стороне. Этот процесс двухсторонний. Временная перестановка отрезков речевого сигнала и восстановление их последовательности на приеме занимают некоторый интервал времени. Поэтому обязательным свойством такой аппаратуры является небольшая задержка сигнала на приемной стороне. Начало разговора, как правило, начинается в открытом режиме и далее по обоюдной команде устройства переключаются в режим скремблирования. При ведении переговоров прибор выполняет одновременно две функции скремблирование и дескремблирова-ние. То есть произнесенная одним из абонентов речь шифруется с его стороны, а второй скремблер, находящийся у второго абонента расшифровывает данную речь. И тоже самое происходит в обратном направлении, когда начинает говорить второй абонент.

Технические характеристики:

1. Разборчивость речи не менее 95%.

2. Тип соединения полный дуплекс.

3. Задержка сигнала в линии не более 100 мс.

4. Уровень защищенности линейного сигнала временный.

5. Использование в сетях стандарта GSM 900/1800.

6. Тип подключения к сотовому телефону проводная гарнитура 7. Габаритные размеры 80х45х16 мм

Атака “человек-по-середине” в GSM

Рассмотренная ранее атака активно использовала устройство под названием IMSI-catcher. В этом разделе рассматривается принцип работы подобного устройства и его ограничения.

В Интернет можно встретить множество предложений по продаже специальных устройств, которые могут эмулировать базовые станции. В подобных объявлениях декларируется, что такие эмуляторы позволяют скрытно прослушивать любые разговоры, не ставя в известность оператора и даже не зная номера телефона прослушиваемого человека.

Устройства с подобным функционалом действительно существуют (например, производимый компанией Rohde & Schwarz комплекс RA 900), но они обладают далеко не столь впечатляющими возможностями:

1) скрытно можно только установить, находится ли в зоне покрытия телефон, в который вставлена SIM-карта с указанным IMSI, либо получить список IMSI/IMEI но не номеров телефонов в зоне покрытия «псевдоба-зовой». Это подразумевает, что злоумышленнику известен IMSI.

2) Можно прослушивать исходящие разговоры с конкретного телефона, но у абонента при этом будет отключено шифрование сигнала. Кроме того, номер звонящего абонента будет изменен или скрыт. При этом сам абонент может это обнаружить и установить факт прослушивания (или заподозрить).

3) При непосредственном прослушивании входящие звонки не могут быть доставлены абоненту и, соответственно, не могут быть прослушаны. Для остальных абонентов сети прослушиваемый абонент находится «вне зоны покрытия».

Как видно, функционал предполагает наличия определенных сведений о жертве.

Принципы работы IMSI-catcher

IMSI-catcher представляет собой устройство, которое, с одной стороны, ведет себя как базовая станция сети GSM, а с другой стороны содержит в себе SIM-карту или какие-то другие технические средства для соединения с коммуникационными сетями. Используется оно следующим образом:

1. Устройство размещается недалеко от мобильного телефона жертвы. Дальность определяется исходя из уровня мощности реальной базовой станции.

2. При работе устройство представляется обычной станцией. Естественно что она должна выдавать себя за станцию того оператора, к которому принадлежит жертва. В стандарте GSM не требуется, чтобы базовая станция подтверждала свою аутентичность телефону (в отличие от сетей UMTS, например), поэтому сделать это достаточно легко. Частота и мощность сигнала поддельной базы подбираются так, чтобы реальные базовые станции всех соседних сетей не создавали ей помех в работе.

3. Телефон жертвы заставляют выбрать поддельную базу в качестве наилучшей доступной базовой станции из-за ее хорошего и мощного сигнала. Принцип выбора был описан ранее. В результате, злоумышленник может определить IMEI жертвы.

4. Для прослушивания разговоров при регистрации поддельная база сообщает телефону о необходимости перехода в режим шифрования A5/0, то есть без шифрования вообще. Телефон по стандарту GSM не может отказаться.

5. После этого все исходящие звонки жертвы проходят через поддельную станцию в открытом виде и могут быть там записаны/прослушаны. Устройство при этом выступает в роли прокси, самостоятельно соединяясь с набранным номером и прозрачно транслируя сквозь себя голос в обе стороны.

Ограничения IMSI-catcher

1. При подключении к поддельной станции жертва становится недоступной для входящих звонков. Для обеспечения поддержки входящих звонков устройство должно обслуживаться сетью оператора так же как остальные базовые станции. Для этого надо подключиться к какому-то контроллеру базовых станций (BSC) и прописаться в его таблицах маршрутизации. Но если у злоумышленника есть доступ к сети оператора на уровне, позволяющем подключать и конфигурировать новые базовые станции, то в этом случае эффективнее использовать СОРМ. Если кроме жертвы в зону покрытия устройства попадут другие мобильные телефоны, расположенные рядом с жертвой, то они будут показывать наличие покрытия, но ни входящие, ни исходящие звонки обслуживаться не будут. Это может вызвать подозрения.

2. Большинство современных телефонов имеют индикацию шифрования (в виде замочка) и жертва может насторожиться, если увидит, что соединение не шифруется.

3. Для трансляции исходящих звонков, устройству нужен выход в телефонную сеть. Если для этого используется собственный GSM-модуль с SIM-картой, то исходящие звонки от поддельной станции будут совершаться с номером, отличным от номера жертвы. Для сокрытия этого можно использовать услугу «сокрытие номера звонящего» (calling line identification restriction, CLIR), что также может насторожить получателей звонка и они могут сообщить об этом жертве. Как вариант, при использовании WiFi+VoIP можно подменить номер поддельной станции на правильный, но это усложняет конструкцию.

Для более точной подмены необходимо чтобы устройство использовало SIM-карту того же оператора, которым пользуется жертва, в этом случае у злоумышленника будет возможность транслировать звонки жертвы на служебные и короткие номера.

4. Если жертва движется, то может легко выйти из зоны покрытия устройства, это приведет к тому, что процесс надо будет начинать сначала.

Перечисленные недостатки показывают, применение подобного устройства ограничивается краткосрочным перехватом разговоров и практически не подходит для длительного прослушивания.

Таким образом, основная польза от подобного устройства может быть в том, чтобы идентифицировать ШЗШМШ жертвы, про которую точно известно только ее местоположение, а потом уже использовать сведения о Ш5І для проведения обычного прослушивания средствами СОРМ.

Заключение

Перехват сообщений в ОБМ сетях возможен. Но, учитывая условия, необходимые для реализации перехвата, можно сказать, что ОБМ защищен намного лучше, чем это показано в фильмах и Интернете.

Перехват GSM
*GSM 900* Перехват
Изделие *GM* предназначено для приема и обработки сигналов
стандарта GSM-900, 1800 как при отсутствии так и при наличии криптозащиты
(алгоритмы А5.1 и А5.2).
“GM” позволяет:
- контролировать прямой управляющий или голосовой канал (излучение
базы)
- контролировать обратный управляющий или голосовой канал (излучение
трубки)
- сканировать все каналы в поиске активных в данном месте
- сканировать каналы выборочно и задавать время их пересканирования
- организовать сквозное прослушивание
- организовать выборочное прослушивание по известным TMSI, IMSI, IMEI,
номеру АОН, Ki.
- автоматически вести запись разговора на жёсткий диск
- контролировать разговор без записи
- вести поиск активного абонента (для открытых каналов)
- фиксировать номер набираемый сотовым абонентом
- фиксировать номер телефона звонящего на сотовый аппарат (при
включенной системе АОН)
- отображать все регистрации в канале
Изделие содержит два приёмных канала - прямой и обратный.
При отсутствии криптозащиты *GM* может работать в двух режимах:
- поиск активного мобильного абонента.
При наличии криптозащиты только в режиме
- контроль управляющего канала станции (прямого и обратного);
При контроле управляющего канала станции *GM* определяет следующие
параметры для каждого соединения:
- IMSI или TMSI (в зависимости от режима работы контролируе-
мой сети, эти сигналы передаются базовой станцией);
- IMEI (при его запросе базовой станцией и при энергетической

Доступности мобильного абонентатак как при этом фиксируется излучение
трубки);
- набираемый номер (при соединении по инициативе мобильного
абонента и при его энергетической доступноститак как при этом фиксируется
излучение трубки);
- номер АОН (при его передаче базовой станцией).
В режиме поиска активного абонента контролируется любое очередное
соединение. В этом режиме *GM* постоянно просматривает весь диапазон и
при обнаружении активного абонента переходит в режим контроля (конечно
если абонент в данный момент говорит,так как аппарат включает передатчик
только на время разговора). При необходимости (если данный разговор не
интересует) оператор может сбросить режим контроля и “GM” снова перейдёт
в режим сканирования пока не найдет другого активного абонента. Режим
поиска активного абонента целесообразно использовать при сопровождении. В
данном режиме работы *GM* не определяет идентификаторы абонента!
При контроле управляющего канала базовой станции возможны два варианта
работы:
- в сквозном режиме
- в режиме отбора по признакам
В сквозном режиме на контроль становится первый попавшейся разговор в
контролируемой соте, а также отображаются все регистрации. Если данный
разговор не интересен, то контроль можно прекратить нажатием кнопки
“Break”.
В режиме отбора контролируются только соединения с заданным
TMSI, IMSI, IMEI, номером АОН или набираемым номером. Список отбора
включает до 200 идентификаторов. В случае контроля канала закрытого
криптом режим отбора осуществляется по известному Ki, который позволяет
однозначно идентифицировать абонента без задания TMSI, IMSI или IMEI.
При этом список отбора включает до 40 абонентов.
*GM* выполнен в виде моноблока размером 450x250x50 мм. Управление
работой *GM* осуществляется от внешней ПЭВМ (возможно подключение
ноутбука) через последовательный порт RS-232.
В комплект поставки входит устройство с программным обеспечением,
позволяющее считывать параметр Ki с СИМ карты, чтение происходит в
пределах 10 часов.
Питание *GM* осуществляется от сети переменного тока 220В. так и
постоянного напряжением 12 В, например от бортовой сети автомобиля.
Под заказ возможно изготовление каналов в диапазоне 1800Мгц и 450Мгц.

Аббревиатура и обозначения
TMSI – временный идентификатор (номер) подвижного абонента
IMSI – международный идентификационный номер подвижного абонента
IMEI – международный идентификационный номер оборудования
подвижной
станции
Ki – индивидуальный ключ аутенфикации абонента
1. Комплекс предназначен для приема сигналов системы ТТТ.
2. Комплекс имеет два канала приема и обработки - один в верхнем и один в нижнем участке диапазона.
3. Комплекс обеспечивает настройку на любой из 124 возможных каналов управления.

4. При работе комплекса возможно два режима:
- без отбора;
- с отбором.
Таблица отбора может включать до 40 идентификаторов.
Идентификатор состоит из IМSI и IМЕI (возможно задание только IMSI или только IMEI).
Комплекс осуществляет отбор по IМSI, IМЕI и ТМSI. Отбор по ТМSI после включения комплекса
обеспечивается только после получения команды с заданным IМЕI или IМSI.
Внимание! IМЕI - идентификационный номер трубки (определяется ее производителем). IМSI -
международный идентификационный номер абонента (записан в SIМ карте). В общем случае нет прямого
соответствия городскому номеру абонента. Таблица соответствия задается оператором (компанией, выдающей
трубки).
5. Обеспечивается определение исходящего номера.
6. Обеспечивается отработка режима handover.
7. Не обеспечивается обработка в соответствии с алгоритмами А5.
8. Управление комплексом осуществляется программой под Windows по последовательному порту.
9. Регистрация может осуществляться как на магнитофон, так и на саунд-бластер.
10. По включению питания комплекс переходит в режим поиска активного абонента. При его обнаружении
комплекс переходит в режим приема. Предусмотрен сброс абонента. В данном режиме управление от
компьютера не требуется. В данном режиме идентификаторы абонента не определяются.
После запуска управляющей программы комплекс переходит в режим контроля заданного канала
управления (обеспечивается выполнение пунктов 3 … 5).

КРАТКОЕ ОПИСАНИЕ СИСТЕМЫ.
Широкое использование системы началось в 1993 году с момента создания компании МТС и
получения разрешения на использование диапазона 890 - 915 МГц и 935 - 960 МГц без 10 МГц,
предназначенных для работы РЛС.
По данным открытой печати в настоящее время в России насчитывается от 180 до 220 тысяч
пользователей. Система по экономическим показателям является достаточно дорогой и ее пользователями, как
правило, является прослойка общества, относящаяся к так называемому среднему классу (как минимум).
Данный факт создал предпосылки и необходимость разработки средств контроля за информацией,
циркулирующей в сети системы.
Настоящий стандарт получил широкое распространение в районах с большой плотностью населения.
В настоящее время система развернута и находится в эксплуатации в ниже перечисленных городах:
- МОСКВА;
- САНКТ-ПЕТЕРБУРГ;
- САМАРА;
- ТОЛЬЯТТИ;
- РОСТОВ на ДОНУ;
- КАЛУГА;
- СЕВЕРОДВИНСК;
- МУРМАНСК;
- СМОЛЕНСК;
- ТУЛА;
- ПСКОВ;
- РЯЗАНЬ;
- ВЛАДИМИР;
- АРХАНГЕЛЬСК;
- ПЕТРОЗАВОДСК.
- КИЕВ
- ДНЕПРОПЕТРОВСК
- ДОНЕЦК
- ОДЕССА
Также заканчивается ввод системы в некоторых других городах, например ЯРОСЛАВЛЬ.
В стандарте обеспечен автоматический роуминг приблизительно с 58 странами мира.

К достоинствам системы относятся цифровой способ передачи данных, большое количество
одновременно обслуживаемых абонентов, трудность создания двойников (клонирование SIM-карты), удобство
работы абонента, возможность определения похищенных аппаратов при использовании легальных SIM-карт и
т.д.
Вышеперечисленные факторы определили целесообразность создания средств контроля.
ОСНОВНЫЕ АЛГОРИТМЫ ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСА.
Алгоритмы обработки радиотрафика обеспечивают наиболее полный и качественный доступ к
информации, циркулирующей в сети, а также позволяют наращивать возможности комплекса при появлении
новых стандартов без изменения основного программного обеспечения путем добавления дополнительных
модулей. К ним, к примеру, относится планируемое появление вокодера с повышенным качеством речи,
передачи данных и факсимильных передач. При опытной эксплуатации комплекса возможна доработка
режимов под конкретные задачи пользователя.
Комплекс используется в стационарном и мобильном вариантах.
РЕЖИМЫ РАБОТЫ.
(базовый комплект поставки)
Режим сканирования позволяет определить видимые частоты базовых станций в точке стояния, а также
основные параметры сети. В процессе работы обеспечивается выбор времени анализа конкретной частоты и
анализируется режим работы каналов управления. Данный режим позволяет обеспечить оптимальную
конфигурацию приемного тракта. Выбранная конфигурация может быть оперативно загружена или сохранена.
Режим ручного сканирования № 1 обеспечивает автоматическое определение загруженных каналов
видимых частот с индикацией наличия активности. Позволяет оператору выбрать на просмотр активные
речевые слоты. При наличии абонента в зоне радиовидимости обеспечивает прием дуплекса.
Режим ручного сканирования № 2 обеспечивает автоматическую перестройку по видимым частотам с
остановкой на активных частотных слотах и формирование до четырех дуплексов в режиме конечного
автомата. При отключении активного канала автосканирование продолжается. Возможно продолжить
сканирование по командам оператора. Данный режим позволяет в автомате произвести фиксацию переговоров
при отсутствии или наличии оператора максимально возможного числа каналов. Используется в основном при
низкой активности трафика, например при отсутствии оператор в ночное время или при малом количестве
видимых частот. Обеспечивает прием дуплекса при наличии последнего в зоне радиовидимости.
Режим работы по временным номерам позволяет на выбранных каналах управления (не более шести)
обеспечить автоматическую настройку на временные номера абонентов с ведением статистики, а при выборе
абонента представляющего интерес по полученным сведениям или при перерегистрации в сети при работе в
мобильном варианте, занести его в базу данных и постоянное отслеживание при непрерывном контроле.
Вероятность постоянного контроля зависит от количества перекрестных частот (при 10-12 вероятность
составляет 80 %), а также от скорости перемещения (до 80 км/ч по стандарту используемого сигнала).
Дополнительный комплект поставки.
Режим энергетического определения № 1 обеспечивает определение энергетически доступных
определением активных частот и выдачу результата оператору, по команде последнего производится
постановка канала на прием с одновременным приемом дуплекса. Количество каналов приема - до четырех
дуплексов.
Режим энергетического определения № 2 обеспечивает определение энергетически доступных
абонентов в диапазоне работы переносных аппаратов. Позволяет обеспечить автосканирование диапазона с
определением активных частот и автоматическую настройку на активные слоты с фиксацией переговоров. По
окончании сеанса автоконтроль продолжается.
При расширенном варианте поставляется модуль позволяющий определить и идентифицировать, при
наличии в зоне радиовидимости переносного аппарата, номер фиксированного или мобильного абонента при
вызове в направлении на базовую станцию, а также при прохождении номера IMEI произвести идентификацию
абонента.
Регионы по России, где абоненты МТС могут пользоваться услугами связи:
(данные на 6 апреля)
1. МТС
Москва, Московская обл., Тверь, Тверская обл., Сыктывкар, Ухта, Кострома, Республика Коми.
2. Русская Телефонная Компания (РТК) - подключены к коммутатору МТС

Владимир, Владимирская обл., Калуга, Калужская обл., Псков, Рязань, Рязанская обл., Смоленск,
Смоленская обл., Тула, Тульская обл.
3. Реком
Орел, Липецк.
4. Тамбовская электросвязь
Тамбов, Мичуринск.
5. Национальный роуминг
Город, оператор Зона обслуживания
1. Санкт-Петербург
Северо-Западный GSM
(250 02)
Архангельск,
Вологда,
Ленинградская обл.,
Мурманск,
Новгород Великий,
Петрозаводск,
Северодвинск,
Череповец
2. Самара
СМАРТС
(250 07)
Астрахань,
Тольятти,
Уфа
3. Ростов-на Дону
Донтелеком
(250 10)
Азов,
Таганрог
4. Краснодар
Кубань GSM
(250 13)
Адлер, Анапа,
Геленджик,
Горячий Ключ,
Дагомыс, Ейск,
Лазаревская, Мацеста,
Красная Поляна,
Динская, Новороссийск,
Туапсе, Сочи,
Тимашевск, Темрюк,
Крымск, Хоста
5. Екатеринбург
Уралтел
(250 39)
6. Нижний Новгород
НСС
(250 03)
(!!! Для исходящей связи необходим
международный доступ)
7. Ставрополь
СтавТелеСот
(250 44)
Ессентуки,
Невиномысск,
Кисловодск,
Пятигорск,
Минеральные Воды
8. Новосибирск
ССС 900
(250 05)
9. Омск
Мобильные системы связи
(250 05)
10. Сургут
Ермак RMS
(250 17)
Лангепас,
Нижневартовск,
Мегион,
Ханты-Мансийск,
Нефтюганск
11. Хабаровск
Дальневосточные сотовые
системы-900
10
(250 12)
12. Калининград
ЭКСТЕЛ
(250 28)
Международный роуминг
Страна Операторы
1. Австрия 1. MobilKom
2. max.mobil. Telecoms Service
3. CONNECT
2. Авcтралия 4. Telstra
3. Азербайджан (СНГ) 5. Azercell
4. Андорра 6. STA
5. Бахрейн 7. Batelco
6. Бельгия 8. Belgacom Mobile
9. Mobistar S.A.
7. Берег Слоновой Кости 10. SIM
8. Болгария 11. MobilTel AD
9. Великобритания 12. Vodafone Ltd.
13. Cellnet
14. Orange GSM-1800
10. Венгрия 15. Westel 900 GSM Mobile
16. Pannon GSM
11. Германия 17. DeTeMobile (D-1)
18. Mannesmann Mobilfunk (D-2)
12. Греция 19. Panafon S.A.
20. STET Hellas
13. Грузия (СНГ) 21. Geocell
22. Magticom Ltd
14. Гонконг 23. Hong Kong Telecom CSL
24. Hutchison Telephone Comp.
25. SmarTone Mobile Communications
15. Гибралтар 26.Gibtel
16. Дания 27. Sonofon
28. TeleDanmark Mobil A/S
17. о. Джерси 29. Jersey Telecoms
18. Италия 30. TIM
31. Omnitel Pronto Italia S.p.A.
19. Исландия 32. Lands siminn
33. TAL
20. Испания 34. Airtel Movil, S.A.
35. Telefonica Moviles
21. Индонезия 36. Satelindo
37. PT Excelcomindo Pratama
38. Telkomsel
22. Ирландия 39. Eircell
40. Esat Digifone
23. Кипр 41. CYTA
24. Китай 42. China Telecom
25. Латвия 43. LMT
44. Baltcom GSM
26. Литва 45. Bite GSM
46. Omnitel
27. Ливан 47. LibanCell
48. FTML S.A.L.
28. Люксембург 49. P&T Luxembourg
50. Tango
29. о. Мэн 51. Manx Telecom Ltd.
30. Макао 52. CTM
31. Македония 53. GSM MobiMak
11
32. Маврикий 54. Cellplus
33. Малайзия 55. Celcom
34. Мальта 56. Telecell Limited
57. Vodafone Malta
35. Молдова 58. Voxtel
36. Норвегия 59. Telenor Mobil AS
60. NetCom GSM as
37. Новая Зеландия 61. BellSouth New Zealand
38. Нидерланды 62. Libertel B.V.
63. KPN Telecom
64. Telfort
39. ОАЭ 65. Etisalat
40. Португалия 66. Telecel
67. TMN
41. Польша 68. Polska Telefonia Cyfrowa (ERA)
69. Polkomtel S.A.
70. Centertel GSM-1800
42. Румыния 71. MobilFon SA
72. MobilRom
43. США 73. Omnipoint
44. Сингапур 74. SingTel Mobile (GSM 900/1800)
75. MobileOne
45. Словакия 76. Globtel
77. EuroTel Bratislava
46. Словения 78. Mobitel
47. Тайланд 79. Advanced info Service (AIS)
48. Тайвань 80. Chunghwa Telecom LDM
81. GSM PCC
82. FarEasTone
83. Mobitai Communications Corp.
49. Турция 84. Telsim
85. Turkcell
50. Узбекистан 86. Coscom
51. Украина 87. UMC
88. Kyivstar
89. URS
52. Финляндия 90. Oy Radiolinja Ab
91. Sonera
53. Франция 92. SFR
93. France Telecom
54. Хорватия 94. HPT
55. Чехия 95. EuroTel Praha
96. RadioMobil
56. Швеция 97. Europolitan AB
98. Comviq GSM AB
99. Telia Mobile AB
57. Швейцария 100. Swiss Telecom PTT
58. Шри Ланка 101. MTN
59. Эстония 102. EMT
103. Radiolinja Eesti
104. AS Ritabell
60. Югославия 105. Mobtel *Srbija* BK-PTT
106. ProMonte (Черногория)
61. Южная Африка 107. MTN
108. Vodacom (Pty) Ltd

Ее можно заказать!
Делайте выводы.

Перехват радио и сотовой связи

Чтобы перехватить разговор с радиотелефона, обладать особенной аппаратурой не требуется. Достаточно знать, в каком диапазоне частот работает устройство, и подключиться к данной частоте перехватчиком.

Для перехвата разговоров по сотовой связи необходимо иметь в наличии более сложную аппаратуру. Как уже говорилось, мобильные компании тщательно шифруют свои сигналы, поэтому перехватить и распознать их не так-то просто. Комплексы перехвата и контроля сотовой связи марки AMPS или NMT-450i изготавливаются в странах Западной Европы и на просторах Российской Федерации.

Работа комплексов заключается в обнаружении входящих и исходящих сигналов, образующихся при поступлении звонков, отслеживании номеров абонентов, привязанных к данному разговору, отслеживании за перемещением контролируемого абонента во время телефонного разговора.

Количество одновременно прослушиваемых абонентов зависит от мощности устройства и установленного программного обеспечения.

В среднем, комплекс перехвата и слежения сотовой связи способен контролировать сразу 14 абонентов или семь телефонных звонков. Некоторые приборы дополнительно оборудуется магнитофонами и диктофонами для одновременной записи разговоров. Информация передается на жесткий диск прикрепленного ЭВМ или сохраняется на карте памяти самого устройства. Комплекс полностью контролирует «жизнь» абонента, осуществляя постоянный мониторинг его звонков и сообщений.

Цена на подобные комплексы зависит от их мощности и количества одновременно контролируемых абонентов. В денежном эквиваленте колеблется в районе 10-50 тысяч долларов. Стоит учитывать тот факт, что перехватить и подавить GSM связь гораздо сложнее. Ученые Британии и Германии работают над созданием перехватывающих комплексов, и на данный момент их стоимость составляет порядка 500 тысяч долларов.

Передача акустической информации по линиям электропередач

Данные передатчики или сетевые закладки встраиваются в электрические приборы, питающиеся от стационарной сети в 220 вольт. Иногда сетевые закладки встраиваются в сами розетки. Устройство состоит из микрофона, усилителя и низкочастотного передатчика. Диапазон частот - 10-350 кГц.

Устанавливать высокочастотные передатчики не имеет смысла, поскольку их проще обнаружить. Прием сигналов и их передача происходит по одной электрической фазе.

Если фазы отличаются, в качестве связующего компонента используется конденсатор. Устройство приема акустической информации изготавливается под заказ. Однако, с его задачами отлично справится блок бытовых переговорных устройств.

Продаются они в любом радиотехническом магазине. Передатчики информации встраивают в электрические приборы и питаются энергией с их помощью. Обнаружить сетевые закладки сложно, поскольку при сканировании радио эфира любая электронная машина будет создавать помехи.

В Российской Федерации разработан и используется в эксплуатации комплекс перехвата и расшифровки сообщений на пейджер, который можно встретить в продаже во всех странах СНГ.

Комплекс состоит из миниатюрной ЭВМ, на котором устанавливается соответствующее программное обеспечение, приемника и преобразователя сигналов с пейджера. В качестве приемного устройства применяется радио сканер AR3000 или радиостанция.

Комплекс осуществляет перехват :

  • текстовых;
  • звуковых;
  • цифровых сообщений.

Которые в свою очередь отправлены с использованием радио пейджинговой связи.

Раскодированные сообщения сохраняются на жестком диске в архивном файле, а в названии файла указывается время и дата сообщения. На жестком диске ЭВМ можно отфильтровать сообщения одного абонента, отфильтровать все сообщения в заданном интервале времени или производить другие действия с полученными файлами. Параметры поиска и фильтрации меняются.

Заместитель директора по развитию Керимов Ростислав.

Прослушивание мобильного телефона — один из методов несанкционированного доступа к личным данным. Включает в себя перехват и расшифровку GSM-пакетов (стандарта цифровой связи, используемого в мобильных), SMS- и MMS-сообщений.

Риск вторжения в частную жизнь владельцев телефонов, смартфонов и планшетов, а точнее в их переговоры и переписку растёт день ото дня. Девайсы, которые сканируют и анализируют поток радиосигналов, специальное ПО для дешифровки GSM и прочие технические и программные хитрости сегодня стали доступными как никогда раннее. При желании их можно купить, а то и вовсе заполучить бесплатно (утилиты). Прослушка мобильного теперь уже прерогатива не только спецслужб.

Кто прослушивает телефоны

Контингент жаждущих узнать содержание частных бесед и SMS-посланий достаточно велик, он включает в себя как шпионов-любителей, так и искушённых профессионалов. Цели и намерения соответственно у этих людей разные.

Прослушкой телефонов занимаются:

  • Правоохранительные органы — для предупреждения терактов, провокаций, сбора доказательств во время оперативно-следственного процесса, поиска правонарушителей. При наличии письменного разрешения прокурора или суда могут перехватывать и записывать телефонные беседы во всех беспроводных (в том числе GSM) и проводных коммутационных линиях.
  • Конкуренты по бизнесу — обращаются к профи для ведения промышленного шпионажа: сбор компромата на руководство компании-соперника, выведывание коммерческих планов, секретов производства, информации о партнёрах. Не жалеют денег и сил для достижения своей цели, задействуют новейшую аппаратуру и специалистов высокого класса.
  • Близкое окружение (члены семьи, друзья, знакомые) — в зависимости от финансовой состоятельности отслеживание телефонного общения осуществляют самостоятельно (после краткого ознакомления с технологией). Либо обращаются за помощью к «умельцам», предоставляющим услугу по приемлемым ценам. Мотивы шпионажа носят преимущественно бытовой характер: ревность, делёж наследства, интриги, чрезмерные проявления заботы, банальное любопытство.
  • Аферисты и шантажисты — орудуют исключительно своими силами. Выбирают жертв (абонентов мобильной связи) целенаправленно. В ходе перехвата разговоров выведывают всю интересующую информацию (бизнес-деятельность, встречи, ближайшие планы, круг знакомств). А затем используют её в совокупности с методами социальной инженерии для воздействия на владельца телефона, чтобы выманить у него финансовые средства.
  • Хакеры — выполняют перехват разговоров преимущественно программными средствами — вирусами. Но иногда задействуют и девайсы, сканирующие GSM. Жертв для атаки выбирают случайным образом, по принципу «кто попадётся». Их интересы — добыча информационных «трофеев». Записанные из частного телефонного эфира каламбуры, забавные недоразумения, выяснения отношений выкладываются цифровыми хулиганами в различных интернет-изданиях на потеху посетителям.
  • Шутники — как правило, знакомые жертвы. Организовывают «единоразовый» шпионаж ради «забавы», розыгрыша или чтобы сделать какой-нибудь сюрприз. Хотя иногда поддаются подлому соблазну, услышав из уст прослушиваемых собеседников какой-нибудь секрет из личной или деловой жизни.

Методы прослушивания мобильных

1. Установка «жучка»

Традиционный метод слежки, но, тем не менее, действенный и доступный в плане финансового вопроса. Крошечный девайс размером с булавочною головку (а то и меньше) устанавливается в телефон жертвы не более чем за 10 минут. При этом его присутствие тщательно маскируется, визуально и аппаратно.

«Жучок» запитывается от батареи, поэтому функционирует даже, если переговоры по телефону не ведутся, то есть постоянно «слушает» окружающее его пространство в радиусе чувствительности микрофона. Звук транслирует по GSM-связи либо по заданному радиоканалу, в зависимости от технической модификации устройства.

2. Перехват GSM-сигнала

С технической точки зрения один из самых сложных методов. Но наряду с этим, и один из самых результативных, мощных. Его принцип действия основан на получении несанкционированного доступа к приватному каналу GSM и последующему дешифрованию его пакетов. Перехватчик сигнала устанавливает сканирующую аппаратуру с интегрированным ПО, предназначенным для «чтения» сигналов, между вышкой-ретранслятором и абонентом. А затем, дождавшись установки связи (если охота идёт за конкретным номером), начинает прослушку.

Алгоритмы шифрования мобильной связи

Все операторы мобильной связи для кодировки сигналов используют засекреченные алгоритмы шифрования данных. Каждый из них служит для выполнения конкретных задач:

  • A3 — предотвращает клонирование телефона (защищает процедуру авторизации);
  • A5 — кодирует оцифрованную речь абонентов (обеспечивает конфиденциальность переговоров);
  • A8 — сервисный генератор криптоключей, использующий данные, полученные алгоритмами A3 и A5.

Перехватчики фокусируют своё внимание на алгоритме A5 (который маскирует речь), именно его они перехватывают и подвергают дешифрированию. В силу особенностей экспортирования криптосистемы A5, были разработаны две её версии:

  • A5/1 — для стран Западной Европы;
  • A5/2 (урезанная, слабая версия) для других стран (в том числе и для государств СНГ).

Какое-то время сущность алгоритма A5 являлась тайной за семью печатями, технологическим секретом на уровне государственной тайны. Однако к началу 1994 года ситуация коренным образом изменилась — появились источники, раскрывающие в подробностях его основные принципы шифрования.

На сегодняшний день об A5 интересующейся общественности известно практически всё. Если кратко: A5 создаёт 64-битный ключ путём неравномерного сдвига трёх линейных регистров, длина которых соответственно 23, 22 и 19 бит. Несмотря на высокую стойкость ключа к взлому, хакеры научились его «вскрывать» на оборудовании средней мощности — и в сильной (/1), и в слабой версиях (/2). Они используют специальный софт (ими же и разработанный), который распутывает «клубок» A5, используя разнообразные методы криптоанализа.

Оборудование для перехвата и мониторинга

Первые девайсы для прослушки мобильных появились сразу же после принятия стандарта GSM. Насчитывается порядка 20-ти топовых решений, которые активно используются для прослушки частными и юридическими лицами. Их стоимость колеблется в пределах 2-12000 долл. Среди авторов, создавших (и создающих) оборудование для перехвата GSM, числится и Военная академия связи им. С.М. Будённого — инженеры-конструкторы оснащали прослушивающими устройствами отделы МВД.

Любая модель GSM-перехватчика (снифера), в независимости от технических характеристик (конструкции, быстродействия, стоимости), выполняет следующие функции:

  • сканирование каналов, детектирование активных;
  • контроль управляющего и голосового канала ретранслятора/мобильного телефона;
  • запись сигнала на внешний носитель (винчестер, USB-флешку);
  • определение телефонных номеров абонентов (вызываемого и вызывающего).

Для мониторинга мобильных каналов активно применяются следующие девайсы:

  • GSM Interceptor Pro — охватывает зону покрытия 0,8-25 км, поддерживает работу с A1/1 и /2;
  • PostWin — комплекс на базе ПК класса P-III. Кроме GSM-900, перехватывает стандарты AMPS/DAMPS и NMT-450;
  • SCL-5020 — аппарат индийского производства. Определяет расстояние до ретранслятора, может одновременно прослушивать до 16 GSM-каналов.

3. Подмена «прошивки» телефона

После технической модификации телефон жертвы все переговоры копирует и отправляет взломщику по GSM, Wi-Fi, 3G и другим актуальным стандартам связи (на выбор).

4. Внедрение вирусов

Особый вирус-шпион после инфицирования ОС смартфона, начинает скрытно выполнять «функции самописца» — то есть фиксирует все переговоры и перенаправляет злоумышленникам. Как правило, он распространяется в виде заражённых MMS , SMS и сообщений по электронной почте.

Меры защиты мобильного телефона от прослушивания

  1. Установка в ОС телефона защитного приложения, которое предотвращает подключение к ложным ретрансляторам, сверяет идентификаторы и сигнатуры баз мобильного оператора, детектирует подозрительные каналы и вирусы-шпионы, блокирует доступ другим программам к микрофону и видеокамере. Топовые решения: Android IMSI-Catcher Detector, EAGLE Security, Darshak, CatcherCatcher

  1. Проведение технической диагностики батареи: при прослушке она быстро разряжается, греется, когда телефон не используется.
  2. Немедленное реагирование на подозрительную активность телефона (произвольно загорается подсветка, инсталлируются неизвестные приложения, во время переговоров появляются помехи, эхо и пульсирующий шум). Необходимо обратиться в ремонтную мастерскую для того, чтобы специалисты осмотрели телефон на наличие «жучков» и вирусов.
  3. Отключение телефона с извлечением батареи на ночь, в идеале — вставлять батарею в телефон только для совершения исходящего звонка.

Как бы там ни было, если кто-то захочет прослушать ваш телефон, рано или поздно он это сможет сделать, самостоятельно или с чужой помощью. Никогда не теряйте бдительности и при малейшем проявлении симптомов перехвата сигнала, принимайте соответствующие меры.