Mendengarkan GSM dengan HackRF. Mendengarkan GSM menggunakan HackRF Imsi Cellular Interceptor buy

Mendengarkan Ponsel - salah satu metode akses tidak sah ke data pribadi. Termasuk intersepsi dan dekripsi paket GSM (standar komunikasi digital yang digunakan pada ponsel), pesan SMS dan MMS.

Risiko pelanggaran privasi pemilik ponsel, ponsel cerdas, dan tablet, atau lebih tepatnya, negosiasi dan korespondensi mereka meningkat dari hari ke hari. Perangkat yang memindai dan menganalisis aliran sinyal radio, perangkat lunak khusus untuk mendekripsi GSM, dan trik teknis dan perangkat lunak lainnya menjadi lebih mudah diakses saat ini daripada sebelumnya. Jika mau, Anda dapat membelinya, atau bahkan mendapatkannya secara gratis (utilitas). Mendengarkan ponsel sekarang menjadi hak prerogatif tidak hanya dari layanan khusus.

Siapa yang menyadap telepon

Kontingen dari mereka yang ingin mengetahui isi percakapan pribadi dan pesan SMS cukup besar, termasuk mata-mata amatir dan profesional yang canggih. Orang-orang ini memiliki tujuan dan niat yang berbeda, masing-masing.

Penyadapan telepon dilakukan dengan cara:

Penegakan hukum - untuk mencegah serangan teroris, provokasi, untuk mengumpulkan bukti selama proses operasional-investigasi, untuk mencari pelanggar. Dengan izin tertulis dari kejaksaan atau pengadilan, mereka dapat mencegat dan merekam percakapan telepon di semua sambungan kabel nirkabel (termasuk GSM) dan kabel.
Pesaing bisnis - mereka beralih ke profesional untuk melakukan spionase industri: mengumpulkan bukti kompromi tentang manajemen perusahaan saingan, mencari tahu rencana komersial, rahasia produksi, informasi tentang mitra. Mereka tidak menyisihkan uang dan tenaga untuk mencapai tujuan mereka, mereka menggunakan peralatan terbaru dan spesialis kelas atas.
Lingkaran dekat (anggota keluarga, teman, kenalan) - tergantung pada solvabilitas keuangan, komunikasi telepon dipantau secara independen (setelah mengenal teknologi secara singkat). Atau mereka meminta bantuan kepada "pengrajin" yang menyediakan jasa dengan harga terjangkau. Motif spionase sebagian besar bersifat rumah tangga: kecemburuan, pembagian warisan, intrik, perhatian yang berlebihan, keingintahuan yang dangkal.
Penipu dan pemeras - beroperasi secara eksklusif sendiri. Pilih korban (pelanggan komunikasi seluler) dengan sengaja. Selama intersepsi percakapan, mereka menemukan semua informasi yang menarik (aktivitas bisnis, rapat, rencana langsung, lingkaran kenalan). Dan kemudian mereka menggunakannya bersamaan dengan metode rekayasa sosial untuk memengaruhi pemilik ponsel guna memancingnya keluar dari dana.
hacker - mereka mencegat percakapan terutama oleh perangkat lunak - virus. Namun terkadang mereka juga menggunakan perangkat yang memindai GSM. Korban penyerangan dipilih secara acak, sesuai dengan prinsip "siapa yang tertangkap". Kepentingan mereka adalah ekstraksi informasi "piala". Permainan kata-kata yang direkam dari siaran telepon pribadi, kesalahpahaman yang lucu, pertikaian dilakukan oleh hooligan digital di berbagai publikasi online untuk menghibur pengunjung.
Pelawak - biasanya dikenal korban. Mereka mengatur spionase "satu kali" demi "kesenangan", lelucon, atau untuk membuat semacam kejutan. Meskipun terkadang mereka menyerah pada godaan yang keji, setelah mendengar dari bibir lawan bicara beberapa rahasia dari kehidupan pribadi atau bisnis mereka.

Metode Mendengarkan Seluler

1. Pemasangan "bug"

Metode pengawasan tradisional, namun demikian, efektif dan terjangkau dalam hal masalah keuangan. Perangkat mungil seukuran kepala peniti (atau bahkan lebih kecil) dipasang di ponsel korban tidak lebih dari 10 menit. Pada saat yang sama, kehadirannya disamarkan dengan hati-hati, secara visual dan perangkat keras.

"Bug" ini ditenagai oleh baterai, sehingga berfungsi meskipun tidak ada percakapan telepon, yaitu, ia terus-menerus "mendengarkan" ruang sekitarnya dalam radius sensitivitas mikrofon. Siaran suara melalui koneksi GSM atau melalui saluran radio tertentu, tergantung pada modifikasi teknis perangkat.

2. Intersepsi sinyal GSM

Dari sudut pandang teknis, salah satu metode yang paling sulit. Namun seiring dengan ini, dan salah satu yang paling produktif, bertenaga. Prinsip operasinya didasarkan pada perolehan akses tidak sah ke saluran GSM pribadi dan dekripsi selanjutnya dari paket-paketnya. Pencegat sinyal memasang peralatan pemindaian dengan perangkat lunak terintegrasi yang dirancang untuk "membaca" sinyal antara menara pengulang dan pelanggan. Dan kemudian, setelah menunggu koneksi dibuat (jika perburuan untuk nomor tertentu), penyadapan dimulai.

Algoritme enkripsi seluler

Semua operator seluler menggunakan algoritme enkripsi data rahasia untuk menyandikan sinyal. Masing-masing berfungsi untuk melakukan tugas-tugas tertentu:

A3 - mencegah kloning telepon (melindungi prosedur otorisasi);
A5 - menyandikan ucapan digital pelanggan (memastikan kerahasiaan negosiasi);
A8 adalah generator kunci kripto layanan yang menggunakan data yang diperoleh oleh algoritma A3 dan A5.

Pencegat memusatkan perhatian mereka pada algoritme A5 (yang menutupi ucapan), yang mereka mencegat dan mendekripsi. Karena kekhasan mengekspor cryptosystem A5, dua versi dikembangkan:

A5/1 - untuk negara-negara Eropa Barat;
A5/2 (dipreteli, versi lemah) untuk negara lain (termasuk negara bagian CIS).

Untuk beberapa waktu, inti dari algoritme A5 adalah misteri di balik tujuh meterai, rahasia teknologi pada tingkat rahasia negara. Namun, pada awal tahun 1994, situasinya telah berubah secara radikal - muncul sumber yang mengungkapkan secara rinci prinsip dasar enkripsi.

Hingga saat ini, hampir semua hal tentang A5 diketahui oleh publik yang berminat. Singkatnya: A5 membuat kunci 64-bit dengan menggeser tiga register linier secara tidak merata, yang panjangnya masing-masing 23, 22 dan 19 bit. Meskipun kunci untuk meretas memiliki resistensi yang tinggi, peretas telah belajar untuk "membukanya" pada peralatan berdaya sedang - baik di kuat (/1) maupun di versi lemah(/2). Mereka menggunakan perangkat lunak khusus (dikembangkan oleh mereka) yang menguraikan "kusut" A5 menggunakan berbagai metode kriptanalisis.

Peralatan intersepsi dan pemantauan

Perangkat pendengar seluler pertama muncul segera setelah penerapan standar GSM. Ada sekitar 20 solusi teratas yang secara aktif digunakan untuk penyadapan oleh swasta dan badan hukum. Harganya berfluktuasi antara $2-12.000. CM. Budyonny - insinyur desain melengkapi departemen Kementerian Dalam Negeri dengan alat pendengar.

Setiap model GSM-interceptor (sniffer), terlepas dari karakteristik teknisnya (desain, kecepatan, biaya), melakukan fungsi-fungsi berikut:

pemindaian saluran, deteksi aktif;
kontrol saluran kontrol dan suara dari repeater/ponsel;
perekaman sinyal ke media eksternal (hard drive, USB flash drive);
definisi nomor telepon pelanggan (menelepon dan menelepon).

Perangkat berikut digunakan secara aktif untuk memantau saluran seluler:

GSM Interceptor Pro - mencakup area jangkauan 0,8-25 km, mendukung A1 / 1 dan / 2;
PostWin adalah kompleks berdasarkan PC kelas P-III. Selain GSM-900, ini mencegat standar AMPS/DAMPS dan NMT-450;
SCL-5020 adalah perangkat buatan India. Menentukan jarak ke repeater, secara bersamaan dapat mendengarkan hingga 16 saluran GSM.

3. Mengubah "firmware" telepon

Setelah modifikasi teknis, ponsel korban menyalin semua percakapan dan mengirimkannya ke peretas melalui GSM, Wi-Fi, 3G, dan standar komunikasi lain yang relevan (opsional).

4. Pengenalan virus

Setelah menginfeksi OS ponsel cerdas, virus mata-mata khusus mulai melakukan "fungsi perekam bagan" secara diam-diam - yaitu, menangkap semua percakapan dan mengarahkannya ke penyusup. Biasanya, ini didistribusikan dalam bentuk MMS, SMS, dan pesan email yang terinfeksi.

Langkah-langkah untuk melindungi ponsel Anda dari penyadapan

Menginstal aplikasi keamanan di OS ponsel yang mencegah koneksi ke repeater palsu, memeriksa pengidentifikasi dan tanda tangan pangkalan operator seluler, mendeteksi saluran dan spyware yang mencurigakan, memblokir program lain agar tidak dapat mengakses mikrofon dan kamera video. Solusi teratas: Android IMSI-Catcher Detector, EAGLE Security, Darshak, CatcherCatcher

Melakukan diagnosa teknis baterai: saat mendengarkan, cepat habis, memanas saat telepon tidak digunakan.
Tanggapan langsung terhadap aktivitas telepon yang mencurigakan (lampu latar menyala secara acak, aplikasi yang tidak dikenal dipasang, gangguan, gema, dan suara berdenyut muncul selama percakapan). Penting untuk menghubungi bengkel agar spesialis memeriksa ponsel untuk mengetahui adanya "bug" dan virus.
Mematikan telepon dengan melepas baterai di malam hari, idealnya - masukkan baterai ke telepon hanya untuk melakukan panggilan keluar.

Bagaimanapun, jika seseorang ingin mendengarkan telepon Anda, cepat atau lambat dia akan dapat melakukannya sendiri atau dengan bantuan orang lain. Jangan pernah kehilangan kewaspadaan dan pada manifestasi sekecil apa pun dari gejala intersepsi sinyal, ambil tindakan yang tepat.

Kloning kartu SIM

Salah satu masalah umum adalah kloning kartu SIM. Anda sering dapat menemukan iklan di Internet tentang cara mudah mengkloning kartu, dan ada banyak utilitas, seperti Penyitaan Kartu SIM. Sebagai tujuan kloning, mereka biasanya menunjukkan kemampuan untuk melakukan panggilan gratis dengan biaya orang lain dan kemampuan untuk mendengarkan percakapan pemilik kartu SIM yang dikloning. Dalam kasus penggunaan pertama, pemilik klon akan mengalami masalah dalam menerima panggilan masuk, tetapi panggilan keluar dapat dilakukan dengan bebas. Konsumen utama adalah orang-orang yang kemudian di kereta bawah tanah menawarkan panggilan murah kepada orang yang lewat ke negara mana pun di dunia. Adapun mendengarkan pelanggan, bagian selanjutnya dikhususkan untuk pertimbangan masalah ini.

Bagian sebelumnya menjelaskan proses autentikasi kartu SIM (Gambar 120). Dasar dalam proses ini adalah parameter IMSI dan

K saya . Agar tiruan dapat mengautentikasi dengan AUC, ia harus mengetahui parameter ini. Mengetahui IMSI itu mudah, bisa ditulis di kartu itu sendiri atau dilampirkan padanya. Itu dapat dengan mudah dibaca dari kartu SIM menggunakan pembaca kartu pintar. Tetapi dengan K I, semuanya menjadi lebih rumit.

Seperti yang sudah Anda ketahui, K I disimpan hanya di dua tempat - di memori kartu SIM dan di memori AUC. K I tidak pernah ditransmisikan secara jelas selama otentikasi, mis. itu tidak dapat dicegat selama otentikasi. Penyerang memiliki 4 opsi untuk mendapatkan K I . Opsi pertama adalah orang dalam di perusahaan yang beroperasi. Opsi ini lebih disukai, karena Anda bisa mendapatkan informasi tentang beberapa kartu sekaligus. Kerugian dari opsi ini adalah, karena signifikansi K I, akses ke nilainya sangat dibatasi, dan jika kebocoran massal terdeteksi, orang dalam akan segera dihitung. Selain itu, AUC seringkali tidak memiliki fungsi untuk membaca KI karena alasan keamanan yang sama. Opsi kedua didasarkan pada pencurian KI segera setelah menerima sejumlah kartu SIM dari pabrikan. Masalahnya di sini sama dengan versi sebelumnya: jumlah orang dengan akses yang diperlukan dihitung dalam satuan.

Opsi ketiga: baca K I dari memori kartu SIM. Mari kita mulai dengan fakta bahwa Anda perlu mendapatkan akses fisik ke kartu tersebut (keluarkan dari ponsel korban dengan alasan tertentu, ketahui kode PIN-nya). Kelemahan penting: kartu SIM tidak memiliki antarmuka yang dapat digunakan untuk membaca atau mengubah K I secara langsung.

Dan terakhir, opsi terakhir: hitung K I . Penyerang harus memiliki pengetahuan tentang algoritma A3 yang digunakan oleh operator. Dalam hal ini, Anda dapat mencoba menghitung KI dengan mengamati hasil konversi RAND menjadi SRES. Untuk melakukan ini, RAND dibentuk secara manual, algoritma enkripsi dipanggil, dan RAND diteruskan ke sana. Proses ini diotomatisasi oleh program seperti SimScan dan WoronScan.

Beginilah cara klon pertama kartu SIM diperoleh. Ini tersedia karena kebocoran informasi tentang algoritma A3, yang disebut COMP128, ke jaringan. Kerentanan ditemukan dalam algoritme yang memungkinkan pengambilan KI dalam jumlah upaya yang dapat diterima. Setelah kerentanan ditemukan, sebagian besar operator menggantinya dengan sesuatu yang lebih tangguh. Saat ini ada tiga versi COMP128. Versi kedua dan ketiga saat ini dianggap belum dibuka. Dan meskipun ada program di jaringan yang menyatakan kemungkinan untuk meretas versi ini, pada kenyataannya selalu ternyata tujuannya adalah untuk memaksa pengguna mengunduh Trojan.

Jika penyerang tidak memiliki informasi tentang penerapan A3, maka dia dapat mencoba mengambil K I dengan kekerasan. Di sini muncul kendala lain: jumlah upaya memilih KI terbatas. Pada

Kartu SIM memiliki penghitung panggilan A3 bawaan, dan ketika ambang tertentu (65535) terlampaui, kartu diblokir dan berhenti merespons permintaan pendaftaran (walaupun fungsi lain berfungsi, misalnya, buku telepon). Dalam kondisi pengoperasian normal, saat A3 dipanggil setiap kali kartu SIM terdaftar di jaringan (saat telepon dihidupkan), pembatasan tersebut tidak mengganggu pelanggan. Tetapi untuk mendapatkan K I, mungkin diperlukan lebih banyak upaya.

Jika penyerang berhasil menjemput K I , maka dia mendapat kesempatan untuk menelepon dengan biaya orang lain. Tetapi ada beberapa faktor pembatas di sini. Pertama, karena uang di akun akan mulai lebih cepat dari biasanya, kemungkinan besar pemilik kartu SIM akan memperhatikan hal ini. Dalam cetakan terperinci, panggilan "ekstra" akan segera terdeteksi. Ini juga berlaku untuk tarif "tidak terbatas", karena. mereka juga memiliki batasan, khususnya saat menelepon ke luar negeri. Oleh karena itu, penyerang berusaha untuk mengumumkan seluruh saldo yang tersedia secepat mungkin dan menyingkirkan klon tersebut. Kedua, jika kedua kartu terdaftar di jaringan, panggilan masuk akan datang ke kartu yang terakhir diotorisasi, atau dari mana panggilan keluar terakhir dilakukan. Karenanya, pengguna yang sah mungkin memperhatikan bahwa dia tidak akan lagi menerima panggilan yang diharapkan. Biasanya merupakan kontraindikasi bagi penjahat untuk mengangkat telepon untuk tujuan persekongkolan. Jika tidak, koresponden pengguna akan segera mendeteksi penipuan. Ketiga, operator dapat menghitung kartu SIM yang terdaftar di jaringan di tempat yang terpisah secara geografis untuk waktu yang terbatas. Jika kartu dicurigai dikloning, operator akan memblokir kartu tersebut dan mengeluarkan yang baru kepada pelanggan.

Singkatnya, kami dapat mengatakan bahwa mengkloning kartu SIM dimungkinkan, tetapi agak sulit. Jika operator memodernisasi implementasi A3 tepat waktu, dan karyawannya setia dan tidak korup, maka pelanggan tidak perlu takut dengan munculnya klon kartu SIM mereka. Selain itu, relevansi penipuan tersebut menurun, karena. permintaan panggilan murah ke luar negeri diimbangi dengan kemungkinan panggilan Skype, serta penawaran dari operator legal.

Intersepsi percakapan di jaringan GSM

Sebagian besar artikel peretasan GSM didasarkan pada artikel Eli Barkan tahun 2006 dan penelitian Karsten Noh.

Dalam artikel mereka, Barkan et al menunjukkan sejak itu dalam GSM, koreksi kesalahan terjadi sebelum enkripsi (dan seharusnya sebaliknya), pengurangan tertentu dalam ruang pencarian untuk memilih K C dimungkinkan dan penerapan serangan teks-sandi yang dikenal (dengan mendengarkan udara secara pasif sepenuhnya) dalam keadaan yang dapat diterima waktu menggunakan data yang telah dihitung sebelumnya.

Penulis artikel itu sendiri mengatakan bahwa ketika menerima peretasan tanpa gangguan dalam waktu 2 menit, diperlukan 50 terabyte data yang telah dihitung sebelumnya. Dalam artikel yang sama (di bagian tentang A5/2) disebutkan bahwa sinyal dari udara selalu disertai interferensi, yang mempersulit pemilihan kunci. Untuk A5 / 2, disajikan algoritme yang dimodifikasi yang mampu memperhitungkan interferensi, tetapi pada saat yang sama membutuhkan dua kali lebih banyak data yang dihitung sebelumnya dan, karenanya, waktu pemecahan menjadi dua kali lipat. Untuk A5/1, kemungkinan membangun algoritme serupa ditunjukkan, tetapi tidak diberikan. Dapat diasumsikan bahwa dalam hal ini juga diperlukan untuk menggandakan jumlah data yang dihitung sebelumnya.

Proses pemilihan kunci A5/1 bersifat probabilistik dan bergantung waktu, mis. semakin lama audisi berlangsung, semakin besar kemungkinan untuk mengambil K C . Jadi, 2 menit yang disebutkan dalam artikel adalah perkiraan, dan bukan waktu yang pasti untuk pemilihan K C .

Carsten Nohl sedang mengembangkan proyek peretasan GSM paling terkenal. Perusahaan keamanan komputernya akan memposting pada akhir tahun 2009 akses terbuka tabel pelangi kunci sesi algoritma A5/1, yang digunakan untuk mengenkripsi ucapan di jaringan GSM.

Karsten Nohl menjelaskan demarkasinya terhadap A5/1 sebagai keinginan untuk menarik perhatian publik masalah yang ada dan memaksa operator telekomunikasi untuk beralih ke teknologi yang lebih maju. Misalnya, teknologi UMTS melibatkan penggunaan algoritme A5 / 3 128-bit, yang kekuatannya sedemikian rupa sehingga tidak dapat diretas dengan cara apa pun yang tersedia saat ini.

Carsten menghitung bahwa tabel kunci A5/1 lengkap akan berukuran 128 petabyte ketika dikemas dan disimpan didistribusikan di beberapa komputer di jaringan. Untuk menghitungnya, dibutuhkan sekitar 80 komputer dan 2-3 bulan kerja. Penggunaan kartu grafis CUDA modern dan larik Xilinx Virtex yang dapat diprogram akan secara signifikan mengurangi waktu komputasi. Secara khusus, pidatonya di 26C3 (Chaos Communication Congress) pada Desember 2009 membuat banyak keributan. Rumuskan secara singkat esensi pidato sebagai berikut: segera kita dapat mengharapkan munculnya sistem murah untuk decoding online A5 / 1.

Mari beralih ke masalah teknik. Bagaimana cara mendapatkan data dari udara? Untuk mencegat percakapan, Anda perlu memiliki pemindai lengkap yang harus dapat mengetahui basis mana yang menyiarkan, pada frekuensi apa, operator mana yang mereka miliki, telepon mana yang TMSI aktif saat ini. Pemindai harus dapat mengikuti percakapan dari telepon yang ditentukan, memproses transisi dengan benar ke frekuensi dan stasiun pangkalan lain.

Ada penawaran di Internet untuk membeli pemindai serupa tanpa dekoder seharga 40-50 ribu dolar. Itu tidak bisa disebut perangkat anggaran.

Jadi, untuk membuat perangkat yang, setelah manipulasi sederhana, dapat mulai mendengarkan percakapan di telepon, diperlukan:

a) menerapkan bagian yang bekerja dengan eter. Secara khusus, ini memungkinkan Anda untuk menentukan TMSI mana yang sesuai dengan ponsel yang Anda cari atau, menggunakan serangan aktif, memaksa ponsel untuk "menemukan" IMSI dan MSISDN aslinya;

b) menerapkan algoritme untuk menyesuaikan K c untuk A5/1 yang bekerja dengan baik pada data nyata (dengan derau/kesalahan, celah, dll.);

d) gabungkan semua poin ini menjadi solusi kerja yang lengkap.

Karsten dan para peneliti lainnya pada dasarnya memecahkan poin "c". PADA

Secara khusus, ia dan rekan-rekannya menyarankan untuk menggunakan OpenBTS, airdump, dan Wireshark untuk membuat pencegat IMSI (penangkap IMSI). Rincian lebih lanjut tentang perangkat dan intersepsi panggilan dengan bantuannya dijelaskan di bawah ini di bagian "Serangan Man-in-the-middle di GSM". Sejauh ini, kita dapat mengatakan bahwa perangkat ini mengemulasi stasiun pangkalan dan disematkan di antara MS dan stasiun pangkalan nyata.

Pembicara berpendapat bahwa kartu SIM dapat dengan mudah mencegah telepon menunjukkan bahwa itu berjalan dalam mode enkripsi A5/0 (yaitu tidak ada enkripsi sama sekali) dan sebagian besar kartu SIM yang beredar hanya itu. Itu sangat mungkin. Di GSM 02.07, tertulis (Normative Annex B.1.26) bahwa kartu SIM berisi bit OFM khusus di bidang Administratif, yang jika disetel ke satu, akan menonaktifkan indikasi enkripsi koneksi (dalam bentuk kunci gudang) . Di GSM 11.11, hak akses berikut ke kolom ini ditentukan: baca selalu tersedia, dan izin tulis dijelaskan sebagai "ADM". Serangkaian hak khusus yang mengatur entri di bidang ini ditetapkan oleh operator pada tahap pembuatan kartu SIM. Dengan demikian, para pembicara berharap sebagian besar kartu dirilis dengan bit set dan ponsel mereka tidak benar-benar menunjukkan indikasi kurangnya enkripsi. Ini benar-benar membuat pekerjaan penangkap IMSI jauh lebih mudah.

pemilik ponsel tidak dapat mendeteksi kurangnya enkripsi dan mencurigai sesuatu.

Detail yang menarik. Para peneliti telah menemukan fakta bahwa firmware ponsel diuji untuk kepatuhan dengan spesifikasi GSM dan tidak diuji untuk menangani situasi abnormal, oleh karena itu, jika operasi stasiun pangkalan salah (misalnya, OpenBTS "dummy" yang digunakan untuk intersepsi) , ponsel sering macet.

Resonansi terbesar disebabkan oleh pernyataan bahwa hanya dengan $ 1.500 dimungkinkan untuk merakit kit siap pakai untuk mendengarkan percakapan dari USRP, OpenBTS, Asterisk, dan airprobe. Informasi ini beredar luas di Internet, hanya penulis berita dan artikel yang berasal dari mereka yang lupa menyebutkan bahwa pembicara sendiri tidak memberikan detail, dan demonstrasi tidak dilakukan.

Pada Desember 2010, Carsten dan Munaut (Sylvain Munaut) kembali berbicara di konferensi 27C3 dengan laporan tentang penyadapan percakapan di jaringan GSM. Kali ini mereka menghadirkan skenario yang lebih lengkap, namun memiliki banyak kondisi "rumah kaca".

Untuk penemuan lokasi, mereka menggunakan layanan Internet, yang memungkinkan untuk mengirim permintaan "send routing info" ke dalam jaringan SS7. SSV adalah tumpukan jaringan/protokol yang digunakan untuk berkomunikasi operator telepon(GSM dan "terrestrial") satu sama lain dan untuk berkomunikasi komponen jaringan GSM satu sama lain.

Selanjutnya, penulis membuat referensi implementasi komunikasi seluler di Jerman. Di sana, RAND yang diperoleh sebagai hasil kueri berkorelasi baik dengan kode wilayah (kode area / kode pos). Oleh karena itu, permintaan semacam itu di sana memungkinkan untuk menentukan secara akurat kota atau bahkan bagian kota tempat pelanggan ini berada di Jerman. Tetapi operator tidak diwajibkan untuk melakukannya.

Sekarang para penjelajah mengenal kota itu. Setelah itu, mereka mengendus, pergi ke kota yang mereka temukan sebelumnya dan mulai mengunjungi semua LAC-nya. Sesampainya di wilayah yang merupakan bagian dari beberapa LAC, mereka mengirim SMS ke korban dan mendengarkan apakah ponsel korban melakukan paging (ini terjadi melalui saluran yang tidak terenkripsi, di semua pangkalan sekaligus). Jika ada panggilan, maka mereka mendapat informasi tentang TMSI yang dikeluarkan untuk pelanggan. Jika tidak, mereka pergi untuk memeriksa LAC berikutnya.

Perlu dicatat bahwa sejak IMSI tidak ditransmisikan selama paging (dan peneliti tidak mengetahuinya), tetapi hanya TMSI yang ditransmisikan (yang ingin mereka ketahui), kemudian dilakukan "serangan waktu". Mereka mengirim beberapa SMS dengan jeda di antaranya dan melihat TMSI mana yang di-page dengan mengulangi prosedur hingga hanya satu (atau tidak ada) yang tersisa dalam daftar TMSI "mencurigakan".

Untuk mencegah korban mengetahui "penyelidikan" seperti itu, SMS dikirim yang tidak akan ditampilkan ke pelanggan. Ini bisa berupa flash sms yang dibuat khusus, atau SMS yang salah (rusak), yang akan diproses dan dihapus oleh ponsel, sementara tidak ada yang ditampilkan kepada pengguna.

Setelah mengetahui LAC, mereka mulai mengunjungi semua sel LAC ini, mengirim SMS dan mendengarkan tanggapan paging. Jika ada jawaban, maka korban ada di sel ini, dan Anda dapat mulai memecahkan kunci sesinya (K C) dan mendengarkan percakapannya.

Sebelum itu, Anda perlu merekam siaran. Di sini, para peneliti menyarankan hal-hal berikut:

1) ada papan FPGA yang dibuat khusus yang mampu merekam semua saluran atau uplink secara bersamaan (saluran komunikasi dari pelanggan (telepon atau modem) ke stasiun pangkalan operator seluler), atau downlink (saluran komunikasi dari stasiun pangkalan ke pelanggan) frekuensi GSM (masing-masing 890-915 dan 935-960 MHz). Seperti yang telah disebutkan, peralatan semacam itu harganya $4050, sehingga ketersediaan peralatan semacam itu untuk peneliti keamanan sederhana diragukan;

2) Anda dapat mengambil peralatan yang kurang bertenaga dan lebih murah dan mendengarkan beberapa frekuensi pada masing-masing peralatan tersebut. Opsi ini berharga sekitar 3,5 ribu euro dengan solusi berdasarkan USRP2;

Peretasan kunci sesi. Berada di sel yang sama dengan korban, mereka mengirim SMS ke sana, merekam komunikasi korban dengan pangkalan, dan memecahkan kunci, memanfaatkan fakta bahwa selama pengaturan sesi (pengaturan sesi) terjadi pertukaran banyak paket setengah kosong atau dengan konten yang dapat diprediksi. Tabel pelangi digunakan untuk mempercepat peretasan. Pada saat 26C3, tabel ini tidak terisi dengan baik dan peretasan tidak dilakukan dalam hitungan menit bahkan puluhan menit (penulis menyebutkan satu jam). Artinya, sebelum 27C3, bahkan Carsten (peneliti utama di bidang ini) tidak memiliki solusi yang memungkinkannya untuk memecahkan KC dalam waktu yang dapat diterima (selama itu, kemungkinan besar, tidak akan ada perubahan kunci sesi (rekeying)).

Para peneliti kemudian memanfaatkan fakta bahwa rekeying jarang dilakukan setelah setiap panggilan atau SMS, dan session key yang mereka pelajari tidak akan berubah untuk sementara waktu. Sekarang, dengan mengetahui kuncinya, mereka dapat mendekodekan lalu lintas terenkripsi ke/dari korban secara real time, dan melakukan frekuensi melompat pada saat yang sama dengan korban. Dalam hal ini, empat ponsel yang di-flash benar-benar cukup untuk menangkap udara, karena tidak perlu menulis semua frekuensi dan semua slot waktu. Para peneliti telah mendemonstrasikan teknologi ini dalam tindakan. Benar, "korban" duduk diam dan dilayani seperseratus.

Menyimpulkan hasil antara, kami dapat dengan tegas menjawab pertanyaan tentang kemungkinan mencegat dan mendekripsi percakapan GSM dengan cepat. Dalam melakukannya, Anda harus mengingat hal-hal berikut:

1) Teknologi yang dijelaskan di atas tidak ada dalam bentuk yang tersedia untuk siapa saja (termasuk script kiddies). Ini bahkan bukan konstruktor, tetapi kosong untuk bagian konstruktor yang perlu diselesaikan ke status yang dapat digunakan. Peneliti berulang kali memperhatikan bahwa mereka tidak memiliki rencana yang jelas untuk memposting akses umum spesifik implementasi. Artinya, berdasarkan perkembangan ini, produsen di Timur Tengah tidak memproduksi perangkat seharga $100 secara massal yang dapat didengarkan semua orang.

2) OsmocomBB hanya mendukung satu keluarga chip (walaupun yang paling umum).

Berbeda dengan demo, pada kenyataannya ada ribuan pesan paging di LA rata-rata beban. Selain itu, paging tidak berfungsi pada saat pengiriman, tetapi pada jendela waktu tertentu dan dalam batch (menurut grup paging dengan antriannya sendiri, yang jumlahnya merupakan sisa pembagian IMSI dengan jumlah saluran, yang bisa berbeda di setiap sel), yang sekali lagi memperumit implementasi .

4) Katakanlah LA ditemukan. Sekarang kita perlu "merasakan" jawaban pelanggan. Pemancar telepon memiliki daya 1-2 watt. Karenanya, memindainya dari jarak beberapa puluh meter juga merupakan tugas (bukan tugas yang mudah). Ternyata sebuah paradoks: LA mencakup, misalnya, seluruh wilayah (kota). Di dalamnya, misalnya, 50 sel, beberapa di antaranya memiliki jangkauan hingga 30 km. Kami mencoba menangkap dan menguraikan radiasi pada antena segala arah. Untuk menyelesaikan tugas ini dalam perwujudan ini, diperlukan banyak peralatan. Jika kita melanjutkan dari premis di mana korban berhadapan langsung, yaitu. jarak di mana intersepsi terlihat lebih realistis, mikrofon directional jauh lebih efektif dan sederhana. Perlu dicatat bahwa dalam demonstrasi tersebut, para peneliti mencegat ponsel mereka pada jarak 2 meter.

5) Pergerakan mangsa antar sel juga menimbulkan masalah, karena Anda juga perlu bergerak dengannya.

6) Telepon yang digunakan dalam demonstrasi memerlukan modifikasi perangkat keras, mereka perlu melepas filter dari antena, jika tidak, telepon uplink "alien" tidak akan "melihat". Filter di telepon diperlukan untuk "mendengarkan" tidak semua frekuensi, tetapi hanya untuk "milik sendiri".

7) Jika jaringan secara teratur mengubah kunci (rekeying) atau mengubah TMSI (tidak ada peneliti yang memperhitungkannya), maka metode ini tidak berfungsi sama sekali atau bekerja sangat buruk (waktu dekripsi mungkin lebih lama dari waktu percakapan ).

8) Mendengarkan seluruh jaringan tidak akan berfungsi, Anda perlu mengetahui nomor teleponnya.

Perlindungan terhadap gangguan lalu lintas

1) Alih-alih byte konstan, gunakan nilai acak untuk paging pesan GSM kosong.

2) Ubah K C setelah setiap panggilan.

3) Ganti TMSI sesering mungkin.

Poin 2 dan 3 dapat diselesaikan dengan konfigurasi ulang sederhana dari elemen jaringan penyedia dan tidak memerlukan pembaruan firmware atau perangkat keras.

Selain itu, berbagai ponsel modifikasi ada di pasaran, misalnya ponsel pintar Cancort crypto, yang menyediakan operasi pada jalur komunikasi GSM 900/1800 dalam dua mode:

Mode terbuka (mode GSM Normal);

Mode enkripsi dengan enkripsi informasi anti-hack.

Cancort melakukan fungsi-fungsi berikut:

Enkripsi/dekripsi pesan singkat (layanan SMS)

Enkripsi/dekripsi data (layanan BS26 dan GPRS).

Enkripsi/dekripsi email.

Enkripsi / dekripsi informasi semua direktori telepon (SIM PB).

Enkripsi/dekripsi informasi MMS.

Anda juga dapat menggunakan pengacak untuk perlindungan, yang telah membuktikan diri dengan baik dalam melindungi jaringan telepon konvensional. Contohnya adalah GUARD GSM. Perangkat ini (seperti analog) terhubung ke ponsel melalui headset berkabel dan berukuran kecil. Pengacak GSM GUARD memiliki tiga puluh dua mode pengacakan.

Prinsip pengoperasian pengacak ini didasarkan pada penghancuran awal dan penataan ulang sementara suara di sisi transmisi dengan pemulihan selanjutnya di sisi penerima. Proses ini dua arah. Permutasi temporal segmen sinyal ucapan dan pemulihan urutannya pada penerimaan membutuhkan interval waktu tertentu. Oleh karena itu, properti wajib dari peralatan tersebut adalah penundaan sinyal kecil di sisi penerima. Awal percakapan, biasanya, dimulai dalam mode terbuka dan kemudian, atas perintah bersama, perangkat beralih ke mode pengacakan. Saat bernegosiasi, perangkat secara bersamaan menjalankan dua fungsi, pengacakan dan penguraian. Artinya, ucapan yang diucapkan oleh salah satu pelanggan dienkripsi di pihaknya, dan pengacak kedua yang terletak di pelanggan kedua mendekripsi ucapan ini. Dan hal yang sama terjadi sebaliknya, saat pelanggan kedua mulai berbicara.

Spesifikasi:

1. Kejelasan ucapan minimal 95%.

2. Tipe koneksi full duplex.

3. Penundaan sinyal di saluran tidak lebih dari 100 ms.

4. Tingkat perlindungan sinyal linier bersifat sementara.

5. Gunakan dalam jaringan standar GSM 900/1800.

6. Jenis sambungan ke telepon selular headset kabel 7. Dimensi keseluruhan 80x45x16 mm

Serang "man-in-the-middle" di GSM

Serangan yang dibahas sebelumnya secara aktif menggunakan perangkat yang disebut IMSI-catcher. Bagian ini membahas cara kerja alat tersebut dan keterbatasannya.

Di Internet, Anda dapat menemukan banyak penawaran penjualan perangkat khusus yang dapat meniru stasiun pangkalan. Pengumuman semacam itu menyatakan bahwa emulator semacam itu memungkinkan Anda mendengarkan percakapan apa pun secara diam-diam tanpa memberi tahu operator dan bahkan tanpa mengetahui nomor telepon orang yang disadap.

Perangkat dengan fungsi serupa memang ada (misalnya, kompleks RA 900 yang diproduksi oleh Rohde & Schwarz), tetapi memiliki kemampuan yang jauh lebih mengesankan:

1) secara diam-diam Anda hanya dapat menentukan apakah ponsel berada dalam area jangkauan, di mana kartu SIM dengan IMSI yang ditentukan dimasukkan, atau mendapatkan daftar IMSI / IMEI tetapi bukan nomor telepon di area jangkauan "pseudo-base". Ini menyiratkan bahwa IMSI diketahui penyerang.

2) Anda dapat mendengarkan percakapan keluar dari telepon tertentu, tetapi enkripsi sinyal pelanggan akan dinonaktifkan. Selain itu, nomor penelepon akan diubah atau disembunyikan. Pada saat yang sama, pelanggan sendiri dapat mendeteksi ini dan menetapkan fakta mendengarkan (atau mencurigai).

3) Dengan mendengarkan langsung, panggilan masuk tidak dapat dikirim ke pelanggan dan karenanya tidak dapat didengarkan. Untuk pelanggan jaringan lainnya, pelanggan yang mendengarkan berada "di luar area jangkauan".

Seperti yang Anda lihat, fungsinya mengasumsikan adanya informasi tertentu tentang korban.

Cara kerja penangkap IMSI

Penangkap IMSI adalah perangkat yang, di satu sisi, berperilaku seperti stasiun pangkalan jaringan GSM, dan di sisi lain, berisi kartu SIM atau lainnya sarana teknis untuk terhubung ke jaringan komunikasi. Ini digunakan sebagai berikut:

1. Alat tersebut diletakkan di dekat ponsel korban. Kisaran ditentukan berdasarkan tingkat daya stasiun pangkalan nyata.

2. Selama pengoperasian, perangkat muncul sebagai stasiun normal. Secara alami, dia harus menyamar sebagai stasiun operator tempat korban berada. Standar GSM tidak mengharuskan stasiun pangkalan untuk mengautentikasi dirinya sendiri ke telepon (tidak seperti jaringan UMTS, misalnya), jadi ini cukup mudah dilakukan. Frekuensi dan kekuatan sinyal dari pangkalan palsu dipilih sehingga stasiun pangkalan nyata dari semua jaringan tetangga tidak mengganggu operasinya.

3. Ponsel korban terpaksa memilih base palsu sebagai base station terbaik yang ada karena sinyalnya bagus dan kuat. Prinsip seleksi telah dijelaskan sebelumnya. Alhasil, penyerang bisa mengetahui IMEI korban.

4. Untuk mendengarkan percakapan selama pendaftaran, pangkalan palsu memberi tahu ponsel tentang perlunya beralih ke mode enkripsi A5 / 0, yaitu tanpa enkripsi sama sekali. Ponsel GSM tidak bisa menolak.

5. Setelah itu, semua panggilan keluar korban melewati stasiun palsu tersebut secara clear dan dapat direkam/didengarkan disana. Dalam hal ini, perangkat bertindak sebagai proxy, menghubungkan secara independen ke nomor yang dihubungi dan secara transparan menyiarkan suara melalui dirinya sendiri di kedua arah.

Keterbatasan penangkap IMSI

1. Saat terhubung ke stasiun palsu, korban menjadi tidak tersedia untuk panggilan masuk. Untuk mendukung panggilan masuk, perangkat harus dilayani oleh jaringan operator dengan cara yang sama seperti BTS lainnya. Untuk melakukan ini, Anda perlu terhubung ke semacam pengontrol stasiun pangkalan (BSC) dan mendaftar di tabel perutean. Tetapi jika penyerang memiliki akses ke jaringan operator pada tingkat yang memungkinkan untuk menghubungkan dan mengonfigurasi stasiun pangkalan baru, maka dalam hal ini lebih efisien menggunakan SORM. Jika selain korban, orang lain masuk ke area jangkauan perangkat ponsel terletak di sebelah korban, mereka akan menunjukkan jangkauan, tetapi panggilan masuk maupun keluar tidak akan dilayani. Hal ini dapat menimbulkan kecurigaan.

2. Mayoritas telepon modern memiliki indikasi enkripsi (dalam bentuk gembok) dan korban mungkin waspada jika melihat bahwa koneksi tidak dienkripsi.

3. Untuk menyiarkan panggilan keluar, perangkat memerlukan output masuk jaringan telepon. Jika Anda menggunakan modul GSM Anda sendiri dengan kartu SIM untuk ini, panggilan keluar dari stasiun palsu akan dilakukan dengan nomor yang berbeda dari nomor korban. Untuk menyembunyikan ini, Anda dapat menggunakan layanan "menyembunyikan nomor penelepon" (pembatasan identifikasi saluran panggilan, CLIR), yang juga dapat mengingatkan penerima panggilan dan mereka dapat melaporkannya kepada korban. Alternatifnya, saat menggunakan WiFi + VoIP, Anda dapat mengganti nomor stasiun palsu dengan yang benar, tetapi ini memperumit desain.

Untuk penggantian yang lebih akurat, perangkat harus menggunakan kartu SIM dari operator yang sama yang digunakan oleh korban, dalam hal ini penyerang dapat menyiarkan panggilan korban ke layanan dan nomor pendek.

4. Jika korban bergerak, ia dapat dengan mudah meninggalkan area jangkauan perangkat, ini akan mengarah pada fakta bahwa prosesnya harus dimulai kembali.

Kekurangan ini menunjukkan bahwa penggunaan perangkat semacam itu terbatas pada intersepsi percakapan jangka pendek dan praktis tidak cocok untuk mendengarkan dalam jangka panjang.

Dengan demikian, penggunaan utama perangkat semacam itu mungkin untuk mengidentifikasi SHZSHMSH korban, yang hanya lokasinya yang diketahui secara pasti, dan kemudian menggunakan informasi tentang SH5I untuk melakukan pendengaran normal melalui SORM.

Kesimpulan

Intersepsi pesan dalam jaringan MBM dimungkinkan. Namun, mengingat kondisi yang diperlukan untuk pelaksanaan intersepsi, kami dapat mengatakan bahwa MBM jauh lebih terlindungi daripada yang ditampilkan di film dan Internet.

Kami beralih ke pertimbangan meretas GSM. Artikel tentang kerentanan di A5/1 muncul sekitar 15 tahun yang lalu, tetapi belum ada demonstrasi publik tentang peretasan A5/1 di dunia nyata. Selain itu, seperti yang dapat dilihat dari uraian operasi jaringan, harus dipahami bahwa selain memecahkan algoritme enkripsi itu sendiri, sejumlah masalah rekayasa murni harus diselesaikan, yang biasanya selalu diabaikan (termasuk pada demonstrasi publik). ). Sebagian besar artikel peretasan GSM didasarkan pada artikel Eli Barkan tahun 2006 dan penelitian Karsten Noh. Dalam artikel mereka, Barkan et al menunjukkan sejak itu dalam GSM, koreksi kesalahan terjadi sebelum enkripsi (dan seharusnya sebaliknya), pengurangan tertentu dalam ruang pencarian untuk memilih KC dimungkinkan dan penerapan serangan teks sandi yang dikenal (dengan mendengarkan udara secara pasif sepenuhnya) dalam kondisi yang dapat diterima waktu menggunakan data yang telah dihitung sebelumnya. Penulis artikel itu sendiri mengatakan bahwa ketika menerima peretasan tanpa gangguan dalam waktu 2 menit, diperlukan 50 terabyte data yang telah dihitung sebelumnya. Dalam artikel yang sama (di bagian tentang A5/2) disebutkan bahwa sinyal dari udara selalu disertai interferensi, yang mempersulit pemilihan kunci. Untuk A5 / 2, disajikan algoritme yang dimodifikasi yang mampu memperhitungkan interferensi, tetapi pada saat yang sama membutuhkan dua kali lebih banyak data yang dihitung sebelumnya dan, karenanya, waktu pemecahan menjadi dua kali lipat. Untuk A5/1, kemungkinan membangun algoritme serupa ditunjukkan, tetapi algoritme itu sendiri tidak diberikan. Dapat diasumsikan bahwa dalam hal ini juga diperlukan untuk menggandakan jumlah data yang dihitung sebelumnya. Proses pemilihan kunci A5/1 bersifat probabilistik dan bergantung waktu, mis. semakin lama audisi berlangsung, semakin besar kemungkinan untuk mengambil KC. Dengan demikian, 2 menit yang disebutkan dalam artikel tersebut merupakan perkiraan, dan bukan waktu yang dijamin untuk pemilihan KC. Carsten Nohl sedang mengembangkan proyek peretasan GSM paling terkenal. Pada akhir tahun 2009, firma keamanan komputernya akan merilis tabel pelangi kunci sesi dari algoritma A5/1, yang digunakan untuk mengenkripsi percakapan di jaringan GSM, kepada publik pada akhir tahun 2009. Karsten Nol menjelaskan batasannya terhadap A5/1 sebagai keinginan untuk menarik perhatian publik terhadap masalah yang ada dan memaksa operator telekomunikasi untuk beralih ke teknologi yang lebih maju. Misalnya, teknologi UMTS melibatkan penggunaan algoritme A5 / 3 128-bit, yang kekuatannya sedemikian rupa sehingga tidak dapat diretas dengan cara apa pun yang tersedia saat ini. Carsten menghitung bahwa tabel kunci A5/1 lengkap akan berukuran 128 petabyte ketika dikemas dan disimpan didistribusikan di beberapa komputer di jaringan. Untuk menghitungnya, dibutuhkan sekitar 80 komputer dan 2-3 bulan kerja. Penggunaan kartu grafis CUDA modern dan larik Xilinx Virtex yang dapat diprogram akan secara signifikan mengurangi waktu komputasi. Secara khusus, pidatonya di 26C3 (Chaos Communication Congress) pada Desember 2009 membuat banyak keributan. Rumuskan secara singkat esensi pidato sebagai berikut: segera kita dapat mengharapkan munculnya sistem murah untuk decoding online A5 / 1. Mari beralih ke masalah teknik. Bagaimana cara mendapatkan data dari udara? Untuk mencegat percakapan, Anda perlu memiliki pemindai lengkap yang harus dapat mengetahui basis mana yang menyiarkan, pada frekuensi apa, operator mana yang mereka miliki, telepon mana yang TMSI aktif saat ini. Pemindai harus dapat mengikuti percakapan dari telepon yang ditentukan, memproses transisi dengan benar ke frekuensi dan stasiun pangkalan lain. Ada penawaran di Internet untuk membeli pemindai serupa tanpa dekoder seharga 40-50 ribu dolar. Itu tidak bisa disebut perangkat anggaran. Jadi, untuk membuat perangkat yang, setelah manipulasi sederhana, dapat mulai mendengarkan percakapan di telepon, diperlukan:

b) menerapkan algoritme pemilihan KC untuk A5/1 yang bekerja dengan baik pada data nyata (dengan noise/kesalahan, celah, dll.);

d) gabungkan semua poin ini menjadi solusi kerja yang lengkap.

Karsten dan para peneliti lainnya pada dasarnya memecahkan poin "c". Secara khusus, ia dan rekan-rekannya menyarankan untuk menggunakan OpenBTS, airdump, dan Wireshark untuk membuat pencegat IMSI (penangkap IMSI). Sejauh ini, kita dapat mengatakan bahwa perangkat ini mengemulasi stasiun pangkalan dan disematkan di antara MS dan stasiun pangkalan nyata. Pembicara berpendapat bahwa kartu SIM dapat dengan mudah mencegah telepon menunjukkan bahwa itu berjalan dalam mode enkripsi A5/0 (yaitu tidak ada enkripsi sama sekali) dan sebagian besar kartu SIM yang beredar hanya itu. Itu sangat mungkin. Di GSM 02.07, tertulis (Normative Annex B.1.26) bahwa kartu SIM berisi bit OFM khusus di bidang Administratif, yang jika disetel ke satu, akan menonaktifkan indikasi enkripsi koneksi (dalam bentuk kunci gudang) . Di GSM 11.11, hak akses berikut ke kolom ini ditentukan: baca selalu tersedia, dan izin tulis dijelaskan sebagai "ADM". Kumpulan hak khusus yang mengatur entri di bidang ini diatur oleh operator pada tahap pembuatan kartu SIM. Dengan demikian, para pembicara berharap sebagian besar kartu dirilis dengan bit set dan ponsel mereka tidak benar-benar menunjukkan indikasi kurangnya enkripsi. Ini benar-benar membuat pekerjaan penangkap IMSI jauh lebih mudah. pemilik ponsel tidak dapat mendeteksi kurangnya enkripsi dan mencurigai sesuatu. Detail yang menarik. Para peneliti telah menemukan fakta bahwa firmware ponsel diuji untuk kepatuhan dengan spesifikasi GSM dan tidak diuji untuk menangani situasi abnormal, oleh karena itu, jika operasi stasiun pangkalan salah (misalnya, OpenBTS "dummy" yang digunakan untuk intersepsi) , ponsel sering macet. Resonansi terbesar disebabkan oleh pernyataan bahwa hanya dengan $ 1.500 dimungkinkan untuk merakit kit siap pakai untuk mendengarkan percakapan dari USRP, OpenBTS, Asterisk, dan airprobe. Informasi ini beredar luas di Internet, hanya penulis berita dan artikel yang berasal dari mereka yang lupa menyebutkan bahwa pembicara sendiri tidak memberikan detail, dan demonstrasi tidak dilakukan. Pada Desember 2010, Carsten dan Munaut (Sylvain Munaut) kembali berbicara di konferensi 27C3 dengan laporan tentang penyadapan percakapan di jaringan GSM. Kali ini mereka menghadirkan skenario yang lebih lengkap, namun memiliki banyak kondisi "rumah kaca". Untuk penemuan lokasi, mereka menggunakan layanan Internet, yang memungkinkan untuk mengirim permintaan "send routing info" ke dalam jaringan SS7. SS7 adalah tumpukan jaringan/protokol yang digunakan untuk berkomunikasi antar operator telepon (GSM dan darat) dan untuk berkomunikasi antar komponen jaringan GSM. Selanjutnya, penulis membuat referensi implementasi komunikasi seluler di Jerman. Di sana, RAND yang diperoleh sebagai hasil kueri berkorelasi baik dengan kode wilayah (kode area / kode pos). Oleh karena itu, permintaan semacam itu di sana memungkinkan untuk menentukan secara akurat kota atau bahkan bagian kota tempat pelanggan ini berada di Jerman. Tetapi operator tidak diwajibkan untuk melakukannya. Sekarang para penjelajah mengenal kota itu. Setelah itu, mereka mengendus, pergi ke kota yang mereka temukan sebelumnya dan mulai mengunjungi semua LAC-nya. Sesampainya di wilayah yang merupakan bagian dari beberapa LAC, mereka mengirim SMS ke korban dan mendengarkan apakah paging telepon korban sedang berlangsung (ini terjadi melalui saluran yang tidak terenkripsi, di semua pangkalan sekaligus). Jika ada panggilan, maka mereka mendapat informasi tentang TMSI yang dikeluarkan untuk pelanggan. Jika tidak, mereka pergi untuk memeriksa LAC berikutnya. Perlu dicatat bahwa sejak IMSI tidak ditransmisikan selama paging (dan peneliti tidak mengetahuinya), tetapi hanya TMSI yang ditransmisikan (yang ingin mereka ketahui), kemudian dilakukan "serangan waktu". Mereka mengirim beberapa SMS dengan jeda di antaranya dan melihat TMSI mana yang di-page dengan mengulangi prosedur hingga hanya satu (atau tidak ada) yang tersisa dalam daftar TMSI "mencurigakan". Untuk mencegah korban mengetahui "penyelidikan" seperti itu, SMS dikirim yang tidak akan ditampilkan ke pelanggan. Ini bisa berupa flash sms yang dibuat khusus, atau SMS yang salah (rusak), yang akan diproses dan dihapus oleh ponsel, sementara tidak ada yang ditampilkan kepada pengguna. Setelah mengetahui LAC, mereka mulai mengunjungi semua sel LAC ini, mengirim SMS dan mendengarkan tanggapan paging. Jika ada jawaban, maka korban ada di sel ini, dan Anda dapat mulai memecahkan kunci sesi (KC) dan mendengarkan percakapannya. Sebelum itu, Anda perlu merekam siaran. Di sini, para peneliti menyarankan hal-hal berikut:

1) ada papan FPGA yang dibuat khusus yang mampu merekam secara bersamaan semua saluran baik uplink (saluran komunikasi dari pelanggan (telepon atau modem) ke stasiun pangkalan operator seluler), atau downlink (saluran komunikasi dari stasiun pangkalan ke pelanggan) frekuensi GSM (masing-masing 890 –915 dan 935–960 MHz). Seperti yang telah disebutkan, peralatan semacam itu berharga 40–50 ribu dolar, sehingga ketersediaan peralatan semacam itu untuk peneliti keamanan sederhana diragukan;

3) pertama-tama Anda dapat memecahkan kunci sesi, lalu mendekode lalu lintas dengan cepat dan mengikuti lompatan frekuensi menggunakan empat ponsel yang memiliki firmware OsmocomBB alternatif alih-alih firmware asli. Peran telepon: Telepon pertama digunakan untuk paging dan kontrol jawaban, telepon kedua ditugaskan ke pelanggan untuk percakapan. Dalam hal ini, setiap telepon harus menulis penerimaan dan transmisi. Ini adalah poin yang sangat penting. Sampai saat itu, OsmocomBB tidak benar-benar berfungsi, dan dalam setahun (dari 26C3 ke 27C3) OsmocomBB diselesaikan menjadi keadaan yang dapat digunakan, yaitu. hingga akhir tahun 2010 belum ada solusi kerja yang praktis. Peretasan kunci sesi. Berada di sel yang sama dengan korban, mereka mengirim SMS ke sana, merekam komunikasi korban dengan pangkalan, dan memecahkan kunci, memanfaatkan fakta bahwa selama pengaturan sesi (pengaturan sesi) terjadi pertukaran banyak paket setengah kosong atau dengan konten yang dapat diprediksi. Tabel pelangi digunakan untuk mempercepat peretasan. Pada saat 26C3, tabel ini tidak terisi dengan baik dan peretasan tidak dilakukan dalam hitungan menit bahkan puluhan menit (penulis menyebutkan satu jam). Artinya, sebelum 27C3, bahkan Carsten (peneliti utama di bidang ini) tidak memiliki solusi yang memungkinkannya untuk memecahkan KC dalam waktu yang dapat diterima (selama itu, kemungkinan besar, tidak akan ada perubahan kunci sesi (rekeying)). Para peneliti kemudian memanfaatkan fakta bahwa rekeying jarang dilakukan setelah setiap panggilan atau SMS, dan session key yang mereka pelajari tidak akan berubah untuk sementara waktu. Sekarang, dengan mengetahui kuncinya, mereka dapat mendekodekan lalu lintas terenkripsi ke/dari korban secara real time, dan melakukan frekuensi melompat pada saat yang sama dengan korban. Dalam hal ini, empat ponsel yang di-flash benar-benar cukup untuk menangkap udara, karena tidak perlu menulis semua frekuensi dan semua slot waktu. Para peneliti telah mendemonstrasikan teknologi ini dalam tindakan. Benar, "korban" duduk diam dan dilayani seperseratus. Menyimpulkan hasil antara, kami dapat dengan tegas menjawab pertanyaan tentang kemungkinan mencegat dan mendekripsi percakapan GSM dengan cepat. Dalam melakukannya, Anda harus mengingat hal-hal berikut:

1) Teknologi yang dijelaskan di atas tidak ada dalam bentuk yang tersedia untuk siapa saja (termasuk script kiddies). Ini bahkan bukan konstruktor, tetapi kosong untuk bagian konstruktor yang perlu diselesaikan ke status yang dapat digunakan. Para peneliti berulang kali memperhatikan bahwa mereka tidak memiliki rencana yang jelas untuk menjelaskan secara spesifik penerapannya di domain publik. Artinya, berdasarkan perkembangan ini, produsen di Timur Tengah tidak memproduksi perangkat seharga $100 secara massal yang dapat didengarkan semua orang.

2) OsmocomBB hanya mendukung satu keluarga chip (walaupun yang paling umum).

3) Metode penentuan lokasi dengan permintaan ke HLR dan pencacahan LAC bekerja dalam teori daripada dalam praktek. Dalam praktiknya, penyerang mengetahui keberadaan korban secara fisik, atau tidak dapat masuk ke sel yang sama dengan korban. Jika penyerang tidak dapat mendengarkan sel yang sama tempat korban berada, maka metode tersebut tidak berfungsi. Berbeda dengan demo, pada kenyataannya ada ribuan pesan paging di LA rata-rata beban. Selain itu, paging tidak berfungsi pada saat pengiriman, tetapi pada jendela waktu tertentu dan dalam batch (menurut grup paging dengan antriannya sendiri, yang jumlahnya merupakan sisa pembagian IMSI dengan jumlah saluran, yang bisa berbeda di setiap sel), yang sekali lagi memperumit implementasi .

4) Katakanlah LA ditemukan. Sekarang kita perlu "merasakan" jawaban pelanggan. Pemancar telepon memiliki daya 1-2 watt. Karenanya, memindainya dari jarak beberapa puluh meter juga merupakan tugas (bukan tugas yang mudah). Ternyata sebuah paradoks: LA mencakup, misalnya, seluruh wilayah (kota). Di dalamnya, misalnya, 50 sel, beberapa di antaranya memiliki jangkauan hingga 30 km. Kami mencoba menangkap dan menguraikan radiasi pada antena segala arah. Untuk menyelesaikan tugas ini dalam perwujudan ini, diperlukan banyak peralatan. Jika kita melanjutkan dari premis di mana korban berhadapan langsung, yaitu. jarak di mana intersepsi terlihat lebih realistis, mikrofon terarah yang jauh lebih efektif dan sederhana. Perlu dicatat bahwa dalam demonstrasi tersebut, para peneliti mencegat ponsel mereka pada jarak 2 meter.

5) Pergerakan mangsa antar sel juga menimbulkan masalah, karena Anda juga perlu bergerak dengannya.

8) Mendengarkan seluruh jaringan tidak akan berfungsi, Anda perlu mengetahui nomor teleponnya.

Belum lama ini, saya mempelajari kemungkinan HackRF untuk menganalisis lalu lintas jaringan GSM, sinyal sinkronisasi perangkat agak mengambang, tetapi bagaimanapun, hasilnya adalah akses ke berbagai pesan sistem. Selanjutnya, saya berasumsi bahwa Anda telah menginstal linux dengan gnuradio, dan Anda juga pemilik hackrf yang bangga. Jika tidak, Anda dapat menggunakan live cd, yang informasinya ada di bagian "Perangkat Lunak" di forum. Ini adalah opsi yang bagus ketika hackrf bekerja langsung di luar kotak.

Pertama kita perlu menentukan frekuensi stasiun GSM lokal. Untuk ini saya menggunakan gprx, yang disertakan dengan live cd. Setelah menganalisis frekuensi sekitar 900 MHz, Anda akan melihat sesuatu seperti ini:

Anda dapat melihat saluran tetap pada 952 MHz dan 944,2 MHz. Di masa depan, frekuensi ini akan menjadi titik awal.

Sekarang, dengan bantuan perintah berikut, kita harus menginstal Airprobe.

git clone git://git.gnumonks.org/airprobe.git

cd airprobe/gsmdecode
./bootstrap
./konfigurasi
membuat

cd airprobe/penerima gsm
./bootstrap
./konfigurasi
membuat

Instalasi selesai. Sekarang kita bisa menerima sinyal GSM. Jalankan wireshark dengan perintah

Pilih "lo" sebagai perangkat penerima, dan pilih gsmtap sebagai filter, seperti yang ditunjukkan pada gambar berikut:

Sekarang kembali ke terminal dan ketik

cd airprobe/gsm-receiver/src/python
./gsm_receive_rtl.py -s 2e6

Jendela pop-up akan terbuka dan Anda harus mematikan pengumpulan otomatis, serta mengatur penggeser ke maksimum. Selanjutnya kita masukkan frekuensi GSM yang didapat tadi sebagai frekuensi tengah.

Kami juga memilih nilai puncak dan rata-rata di bagian opsi jejak, seperti yang ditunjukkan di bawah ini:

Anda akan melihat bahwa hanya sinyal urutan yang benar (grafik biru) yang melampaui nilai puncak (grafik hijau) di beberapa tempat, yang menunjukkan bahwa ini adalah saluran permanen. Sekarang kita perlu memulai decoding. Di jendela, klik di tengah lompatan frekuensi yang sama ini. Anda mungkin melihat kesalahan, tetapi ini normal. Saya mulai mendapatkan data dengan cara ini:

Sekarang Anda dapat melihat bahwa data gsm datang ke wireshark. Seperti yang saya sebutkan di awal artikel, sinyal jam mengapung, jadi Anda harus terus mengklik sirkuit untuk mempertahankan frekuensi yang disetel. Namun, program ini bekerja dengan cukup baik. Selucu kedengarannya, membungkus hack rf Anda dengan handuk (atau sejenisnya) akan meningkatkan stabilitas termal sinyal jam dan mengurangi penyebaran. Sendiri, Anda mungkin tidak akan menemukan metode ini sangat berguna, tapi saya pikir setidaknya itu menunjukkan potensi besar HackRF.

penyadapan GSM
*GSM 900* Intersepsi
Produk *GM* dirancang untuk menerima dan memproses sinyal
standar GSM-900, 1800 baik jika tidak ada maupun jika ada proteksi kripto
(algoritma A5.1 dan A5.2).
"GM" memungkinkan:
- kontrol kontrol langsung atau saluran suara (radiasi
basis)
- pantau kontrol mundur atau saluran suara (radiasi
tabung)
- pindai semua saluran untuk mencari yang aktif di lokasi tertentu
- memindai saluran secara selektif dan mengatur waktu pemindaian ulang
- mengatur mendengarkan ujung ke ujung
- atur mendengarkan selektif dengan TMSI, IMSI, IMEI,
Nomor AON, Ki.
- secara otomatis merekam percakapan di hard drive
- mengontrol percakapan tanpa merekam
- cari pelanggan aktif (untuk saluran terbuka)
- perbaiki nomor yang dihubungi oleh pelanggan seluler
- perbaiki nomor telepon penelepon di perangkat seluler (jika
mengaktifkan sistem ID penelepon)
- tampilkan semua pendaftaran di saluran
Produk berisi dua saluran penerima - maju dan mundur.
Dengan tidak adanya cryptoprotection, *GM* dapat beroperasi dalam dua mode:
- cari pelanggan seluler yang aktif.
Di hadapan cryptoprotection hanya dalam mode
- kontrol saluran kontrol stasiun (maju dan mundur);
Saat memantau saluran kontrol stasiun, *GM* menentukan hal berikut
parameter untuk setiap koneksi:
- IMSI atau TMSI (tergantung pada mode operasi yang dikendalikan
jaringan saya, sinyal-sinyal ini ditransmisikan oleh stasiun pangkalan);
- IMEI (saat diminta oleh stasiun pangkalan dan saat energi

Ketersediaan pelanggan seluler, karena radiasinya tetap
tabung);
- nomor yang dipanggil (saat menghubungkan diprakarsai oleh ponsel
pelanggan dan dengan ketersediaan energinya, karena dalam hal ini adalah
radiasi tabung);
- Nomor ANI (ketika ditransmisikan oleh stasiun pangkalan).
Dalam mode pencarian pelanggan aktif, setiap panggilan berikutnya dipantau.
menggabungkan. Dalam mode ini, *GM* secara konstan memindai seluruh rentang dan
ketika pelanggan aktif terdeteksi, itu beralih ke mode kontrol (tentu saja
jika pelanggan sedang berbicara, karena perangkat menyalakan pemancar
hanya selama durasi panggilan). Jika perlu (jika percakapan ini tidak
tertarik) operator dapat mengatur ulang mode kontrol dan "GM" akan kembali ke
ke mode pindai hingga menemukan pihak lain yang aktif. Mode
mencari pelanggan aktif disarankan untuk digunakan saat memelihara. PADA
*GM* tidak mendeteksi pengidentifikasi pelanggan dalam mode operasi ini!
Saat memantau saluran kontrol stasiun pangkalan, dua opsi dimungkinkan
bekerja:
- dalam mode tembus
- dalam mode pemilihan fitur
Dalam mode end-to-end, percakapan pertama yang tersedia di
sel yang dipantau, dan semua registrasi ditampilkan. Jika diberikan
percakapan tidak menarik, maka kontrol dapat dihentikan dengan menekan tombol
Merusak.
Dalam mode pemilihan, hanya koneksi dengan yang diberikan
TMSI, IMSI, IMEI, nomor ANI atau nomor panggilan. Daftar pilihan
mencakup hingga 200 pengidentifikasi. Dalam hal kontrol saluran tertutup
pemilihan mode crypto dilakukan sesuai dengan Ki yang diketahui, yang memungkinkan
mengidentifikasi pelanggan secara unik tanpa menentukan TMSI, IMSI atau IMEI.
Daftar pilihan mencakup hingga 40 pelanggan.
*GM* dibuat dalam bentuk monoblok berukuran 450x250x50 mm. Kontrol
pekerjaan *GM* dilakukan dari PC eksternal (dimungkinkan untuk terhubung
laptop) melalui port serial RS-232.
Paket termasuk perangkat dengan perangkat lunak,
memungkinkan untuk membaca parameter Ki dari kartu SIM, pembacaan dilakukan di
dalam waktu 10 jam.
*GM* ditenagai oleh listrik arus bolak-balik 220V. jadi
Tegangan DC 12 V, misalnya dari jaringan on-board mobil.
Di bawah pesanan, dimungkinkan untuk membuat saluran di kisaran 1800 MHz dan 450 MHz.

Singkatan dan sebutan
TMSI - pengidentifikasi sementara (nomor) pelanggan seluler
IMSI - Identitas Pelanggan Seluler Internasional
IMEI - Nomor Identifikasi Peralatan Internasional
seluler
stasiun
Ki – kunci autentikasi individu pelanggan
1. Kompleks ini dirancang untuk menerima sinyal dari sistem TTT.
2. Kompleks ini memiliki dua saluran penerima dan pemrosesan - satu di bagian atas dan satu lagi di bagian bawah jangkauan.
3. Kompleks menyediakan penyetelan ke salah satu dari 124 saluran kontrol yang memungkinkan.

4. Selama pengoperasian kompleks, dua mode dimungkinkan:
- tanpa seleksi;
- dengan pilihan.
Tabel pemilihan dapat mencakup hingga 40 pengidentifikasi.
Pengenal terdiri dari IMSI dan IMEI (dimungkinkan untuk menentukan hanya IMSI atau hanya IMEI).
Kompleks melakukan seleksi berdasarkan IMSI, IMEI dan TMSI. Seleksi oleh TMSI setelah menyalakan kompleks
diberikan hanya setelah menerima perintah dengan IMEI atau IMSI yang diberikan.
Perhatian! IMEI - nomor identifikasi handset (ditentukan oleh pabrikannya). IMSI -
nomor identifikasi internasional pelanggan (tercatat dalam kartu SIM). Secara umum, tidak ada yang langsung
korespondensi dengan nomor kota pelanggan. Tabel korespondensi diatur oleh operator (perusahaan penerbit
tabung).
5. Identifikasi nomor keluar disediakan.
6. Mode serah terima sedang dikerjakan.
7. Pemrosesan sesuai dengan algoritme A5 tidak tersedia.
8. Kompleks ini dikendalikan oleh program Windows melalui port serial.
9. Pendaftaran dapat dilakukan baik pada tape recorder maupun pada sound blaster.
10. Saat daya dihidupkan, kompleks beralih ke mode pencarian pelanggan aktif. Atas penemuannya
kompleks masuk ke mode terima. Reset pelanggan disediakan. Dalam mode ini, kontrol
tidak diperlukan komputer. Dalam mode ini, ID pelanggan tidak ditentukan.
Setelah memulai program kontrol, kompleks beralih ke mode kontrol saluran yang ditentukan
manajemen (penegakan poin 3 ... 5 dipastikan).

DESKRIPSI SINGKAT SISTEM.
Penggunaan sistem secara luas dimulai pada tahun 1993 dengan didirikannya MTS dan
memperoleh izin untuk menggunakan rentang 890 - 915 MHz dan 935 - 960 MHz tanpa 10 MHz,
dimaksudkan untuk pengoperasian radar.
Menurut pers terbuka, saat ini ada antara 180.000 dan 220.000
pengguna. Menurut indikator ekonomi, sistem ini cukup mahal dan penggunanya juga
sebagai aturan, ada lapisan masyarakat yang disebut kelas menengah (setidaknya).
Fakta ini menciptakan prasyarat dan kebutuhan untuk mengembangkan sarana kontrol atas informasi,
sistem yang beredar dalam jaringan.
Standar ini telah tersebar luas di daerah dengan kepadatan penduduk yang tinggi.
Sistem saat ini digunakan dan beroperasi di kota-kota berikut:
- MOSKOW;
- SAINT PETERSBURG;
- SAMARA;
- TOLYATTI;
- ROSTOV-ON-DON;
- KALUGA;
- SEVERODVINSK;
- MURMANSK;
- SMOLENSK;
- TULA;
- PSKOV;
- RYAZAN;
- VLADIMIR;
- ARKHANGELSK;
- PETROZAVODSK.
- KYIV
- DNEPROPETROVSK
- DONETSK
- ODESSA
Pengenalan sistem di beberapa kota lain, seperti Yaroslavl, juga berakhir.
Standar menyediakan roaming otomatis dengan sekitar 58 negara di dunia.

Keuntungan dari sistem ini termasuk metode transmisi data digital, sejumlah besar
melayani pelanggan secara bersamaan, kesulitan membuat kembar (kloning kartu SIM), kenyamanan
operasi pelanggan, kemampuan untuk mengidentifikasi perangkat yang dicuri saat menggunakan kartu SIM resmi dan
dll.
Faktor-faktor di atas telah menentukan kelayakan pembuatan kontrol.
ALGORITMA DASAR FUNGSI KOMPLEKS.
Algoritme pemrosesan lalu lintas radio menyediakan akses paling lengkap dan berkualitas tinggi
informasi yang beredar di jaringan, dan juga memungkinkan Anda untuk meningkatkan kemampuan kompleks saat
standar baru tanpa mengubah dasar perangkat lunak dengan menambahkan tambahan
modul. Ini termasuk, misalnya, pengenalan yang direncanakan dari vocoder yang ditingkatkan ucapan,
transmisi data dan faksimili. Selama operasi uji coba kompleks, dimungkinkan untuk disempurnakan
mode untuk tugas pengguna tertentu.
Kompleks ini digunakan dalam versi stasioner dan seluler.
CARA KERJA.
(set pengiriman dasar)
Mode pemindaian memungkinkan Anda untuk menentukan frekuensi yang terlihat dari stasiun pangkalan di titik berdiri, serta
pengaturan jaringan dasar. Selama bekerja, pilihan waktu untuk menganalisis frekuensi tertentu disediakan dan
mode operasi saluran kontrol dianalisis. Mode ini memberikan optimal
menerima konfigurasi jalur. Konfigurasi yang dipilih dapat dimuat atau disimpan dengan cepat.
Mode Pemindaian Manual #1 menyediakan deteksi otomatis saluran yang dimuat
frekuensi tampak dengan indikasi adanya aktivitas. Memungkinkan operator untuk memilih mana yang aktif
slot ucapan. Jika ada pelanggan di zona visibilitas radio, itu menyediakan penerimaan dupleks.
Mode Pemindaian Manual #2 menyediakan penyetelan otomatis ke frekuensi yang terlihat
berhenti pada slot frekuensi aktif dan membentuk hingga empat dupleks dalam mode end-to-end
mesin. Saat saluran aktif dinonaktifkan, pemindaian otomatis dilanjutkan. Kemungkinan untuk melanjutkan
pemindaian dengan perintah operator. Mode ini memungkinkan Anda untuk memperbaiki negosiasi di mesin
dengan tidak adanya atau kehadiran operator dari jumlah saluran maksimum yang mungkin. Terutama digunakan untuk
aktivitas lalu lintas rendah, misalnya saat tidak ada operator pada malam hari atau saat jumlah operator sedikit
frekuensi yang terlihat. Menyediakan penerimaan dupleks di hadapan yang terakhir di zona visibilitas radio.
Mode operasi dengan nomor sementara memungkinkan pada saluran kontrol yang dipilih (tidak lebih dari enam)
menyediakan penyetelan otomatis ke nomor sementara pelanggan dengan statistik, dan saat memilih
pelanggan yang diminati sesuai dengan informasi yang diterima atau saat mendaftar ulang di jaringan saat bekerja
versi seluler, masukkan ke dalam database dan terus pantau dengan pemantauan berkelanjutan.
Probabilitas kontrol konstan tergantung pada jumlah frekuensi crossover (pada 10-12, probabilitasnya
adalah 80%), serta kecepatan pergerakan (hingga 80 km / jam sesuai standar sinyal yang digunakan).
Set pengiriman tambahan.
Mode Penentuan Energi #1 menyediakan penentuan energi yang tersedia
menentukan frekuensi aktif dan mengeluarkan hasilnya ke operator, atas perintah yang terakhir,
mengatur saluran untuk penerimaan dengan penerimaan dupleks secara simultan. Jumlah saluran penerimaan - hingga empat
dupleks.
Mode Penentuan Energi #2 menyediakan penentuan energi yang tersedia
pelanggan dalam jangkauan perangkat portabel. Memungkinkan Anda memberikan rentang pemindaian otomatis
penentuan frekuensi aktif dan penyetelan otomatis ke slot aktif dengan fiksasi negosiasi. Oleh
Saat sesi berakhir, kontrol otomatis berlanjut.
Dengan versi yang diperluas, sebuah modul disediakan yang memungkinkan Anda untuk menentukan dan mengidentifikasi kapan
keberadaan perangkat portabel di zona visibilitas radio, jumlah pelanggan tetap atau seluler saat
panggilan ke arah stasiun pangkalan, serta saat lewat nomor IMEI melakukan identifikasi
pelanggan.
Wilayah di Rusia tempat pelanggan MTS dapat menggunakan layanan komunikasi:
(data per 6 April)
1. MTS
Moskow, wilayah Moskow, Tver, wilayah Tver, Syktyvkar, Ukhta, Kostroma, Republik Komi.
2. Perusahaan Telepon Rusia (RTK) - terhubung ke sakelar MTS

Vladimir, wilayah Vladimir, Kaluga, wilayah Kaluga, Pskov, Ryazan, wilayah Ryazan, Smolensk,
Wilayah Smolensk, Tula, wilayah Tula
3. Merekomendasikan
Elang, Lipetsk.
4. Telekomunikasi Tambov
Tambov, Michurinsk.
5. Jelajah nasional
Kota, area Layanan operator
1. Sankt Peterburg
GSM barat laut
(250 02)
Arkhangelsk,
Vologda,
Wilayah Leningrad.,
Murmansk,
Novgorod Agung,
Petrozavodsk,
Severodvinsk,
Cherepovets
2.Samara
CERDAS
(250 07)
Astrakhan,
Tolyatti,
Ufa
3. Rostov-on-Don
Dontelecom
(250 10)
Azov,
Taganrog
4. Krasnodar
Kuban GSM
(250 13)
Adler, Anapa,
Gelendzhik,
Tombol panas,
Dagomys, Yeysk,
Lazarevskaya, Matsesta,
Krasnaya Polyana,
Dinskaya, Novorossiysk,
Tuapse, Sochi,
Timashevsk, Temryuk,
Krymsk, Hosta
5. Yekaterinburg
Uraltel
(250 39)
6. Nizhny Novgorod
NSS
(250 03)
(!!! Untuk komunikasi keluar, Anda perlu
akses internasional)
7. Stavropol
Menjadi TeleSot
(250 44)
Essentuki,
Nevinomisk,
Kislovodsk,
Pyatigorsk,
Air mineral
8. Novosibirsk
CCC 900
(250 05)
9. Omsk
Sistem komunikasi bergerak
(250 05)
10. Surgut
Ermak RMS
(250 17)
Langepas,
Nizhnevartovsk,
Megion,
Khanty-Mansiysk,
Neftyugansk
11. Khabarovsk
Seluler Timur Jauh
sistem-900
10
(250 12)
12. Kaliningrad
EXTEL
(250 28)
jelajah internasional
Operator Negara
1. Austria 1. MobilKom
2.maks seluler. Layanan Telekomunikasi
3. HUBUNGKAN
2. Australia 4. Telstra
3.Azerbaijan (CIS) 5.Azercell
4. Andorra 6. STA
5. Bahrain 7. Batelco
6. Belgia 8. Belgacom Mobile
9 Mobistar S.A.
7. Pantai Gading 10. SIM
8.Bulgaria 11.MobilTel AD
9. Inggris 12. Vodafone Ltd.
13. Selnet
14. Oranye GSM-1800
10. Hungaria 15. Westel 900 GSM Mobile
16.Pannon GSM
11. Jerman 17. DeTeMobile (D-1)
18. Mannesmann Mobilfunk (D-2)
12. Yunani 19. Panafon S.A.
20. STET Hellas
13. Georgia (CIS) 21. Geocell
22 Magticom Ltd
14. Hong Kong 23. CSL Telekomunikasi Hong Kong
24. Perusahaan Telepon Hutchison.
25.Komunikasi Seluler SmartTone
15. Gibraltar 26. Gibtel
16. Denmark 27. Sonofon
28 TeleDanmark Mobil A/S
17.o. Jersey 29. Telekomunikasi Jersey
18. Italia 30. TIM
31. Omnitel Pronto Italia S.p.A.
19. Islandia 32. Mendarat siminn
33.TAL
20. Spanyol 34. Airtel Movil, S.A.
35. Ponsel Telefonica
21. Indonesia 36. Satelindo
37.PT Excelcomindo Pratama
38. Telkomsel
22. Irlandia 39. Aircell
40. Esat Digifone
23. Siprus 41. CYTA
24. Cina 42. Telekomunikasi Cina
25.Latvia 43.LMT
44.Balcom GSM
26. Lituania 45. Gigit GSM
46. Omnitel
27. Libanon 47. LibanCell
48. FTML S.A.L.
28. Luksemburg 49. P&T Luksemburg
50. Tango
29.o. Maine 51. Manx Telecom Ltd.
30. Makau 52. CTM
31. Makedonia 53. GSM MobiMak
11
32. Mauritius 54. Cellplus
33.Malaysia 55.Celcom
34. Malta 56. Telecell Limited
57 Vodafone Malta
35. Moldova 58. Voxtel
36. Norwegia 59. Telenor Mobil AS
60. NetCom GSM as
37. Selandia Baru 61. BellSouth Selandia Baru
38. Belanda 62. Libertel B.V.
63. KPN Telekomunikasi
64. Telfort
39. UEA 65. Etisalat
40. Portugal 66. Telecel
67.TMN
41. Polandia 68. Polska Telefonia Cyfrowa (ERA)
69. Polkomtel S.A.
70. Centertel GSM-1800
42. Rumania 71. MobilFon SA
72.Mobil Rm
43. AS 73. Titik serba ada
44. Singapura 74. SingTel Mobile (GSM 900/1800)
75.Ponsel Satu
45. Slowakia 76. Globtel
77. EuroTel Bratislava
46. Slovenia 78. Mobil
47. Thailand 79. Layanan info lanjutan (AIS)
48. Taiwan 80. Chunghwa Telecom LDM
81.GSM PCC
82. FarEasTone
83Mobitai Communications Corp.
49. Turki 84. Telsim
85. Turksel
50. Uzbekistan 86. Coscom
51. Ukraina 87. UMC
88. Bintang Kyiv
89.URS
52. Finlandia 90. Oy Radiolinja Ab
91. Sonera
53. Prancis 92. SFR
93 Telekomunikasi Prancis
54. Kroasia 94. HPT
55. Republik Ceko 95. EuroTel Praha
96.RadioMobil
56. Swedia 97. Europolitan AB
98 Komviq GSM AB
99 Telia Mobile AB
57. Swiss 100. Swiss Telecom PTT
58. Sri Lanka 101. MTN
59. Estonia 102. EMT
103. Radiolinja Eesti
104. SEBAGAI Ritabel
60. Yugoslavia 105. Mobtel *Srbija* BK-PTT
106. ProMonte (Montenegro)
61. Afrika Selatan 107. MTN
108. Vodacom (Pty) Ltd

Itu bisa dipesan!
Buatlah kesimpulan Anda sendiri.

Tip komputer untuk pengguna pemula