Słuchanie GSM z HackRF. Słuchanie GSM za pomocą HackRF Imsi Cellular Interceptor kup

Słuchanie telefonu komórkowego - jedną z metod nieautoryzowanego dostępu do danych osobowych. Obejmuje przechwytywanie i deszyfrowanie pakietów GSM (standard komunikacji cyfrowej stosowany w telefonach komórkowych), wiadomości SMS i MMS.

Ryzyko wtargnięcia w prywatność właścicieli telefonów, smartfonów i tabletów, a raczej w ich negocjacje i korespondencję rośnie z dnia na dzień. Urządzenia skanujące i analizujące przepływ sygnałów radiowych, specjalne oprogramowanie do deszyfrowania GSM oraz inne sztuczki techniczne i programowe stały się dziś bardziej dostępne niż kiedykolwiek wcześniej. Jeśli chcesz, możesz je kupić, a nawet otrzymać za darmo (narzędzia). Słuchanie przez komórkę to obecnie przywilej nie tylko służb specjalnych.

Kto podsłuchuje telefony

Kontyngent chętnych do zapoznania się z treścią prywatnych rozmów i wiadomości SMS jest na tyle duży, że znajdują się w nim zarówno szpiedzy-amatorzy, jak i wyrafinowani profesjonaliści. Ci ludzie mają odpowiednio różne cele i intencje.

Podsłuch telefonu jest realizowany przez:

Egzekwowanie prawa - zapobieganie atakom terrorystycznym, prowokacjom, zbieranie dowodów w procesie operacyjno-śledczym, poszukiwanie sprawców. Za pisemną zgodą prokuratora lub sądu mogą przechwytywać i nagrywać rozmowy telefoniczne we wszystkich bezprzewodowych (w tym GSM) i przewodowych łączach komutacyjnych.
Konkurenci biznesowi - zwracają się do profesjonalistów za prowadzenie szpiegostwa przemysłowego: zbieranie kompromitujących dowodów na zarządzanie konkurencyjną firmą, odkrywanie planów handlowych, tajemnic produkcyjnych, informacji o partnerach. Nie szczędzą pieniędzy i wysiłku, aby osiągnąć swój cel, korzystają z najnowocześniejszego sprzętu i wysokiej klasy specjalistów.
Bliski krąg (członkowie rodziny, przyjaciele, znajomi) - w zależności od wypłacalności finansowej komunikacja telefoniczna jest monitorowana niezależnie (po krótkim zapoznaniu się z technologią). Albo zwracają się o pomoc do „rzemieślników”, którzy wykonują usługę po przystępnych cenach. Motywy szpiegostwa mają głównie charakter domowy: zazdrość, podział spadku, intrygi, przesadne przejawy troski, banalna ciekawość.
Oszuści i szantażyści - działają wyłącznie we własnym zakresie. Wybierz ofiary (subskrybentów komunikacja mobilna) celowo. Podczas przechwytywania rozmów dowiadują się wszystkich interesujących ich informacji (działalność biznesowa, spotkania, najbliższe plany, krąg znajomych). A potem używają go w połączeniu z metodami inżynierii społecznej, aby wpłynąć na właściciela telefonu, aby wywabić go z funduszy.
hakerzy - przechwytują rozmowy głównie za pomocą oprogramowania - wirusów. Ale czasami używają również urządzeń skanujących GSM. Ofiary do ataku wybierane są losowo, zgodnie z zasadą „kogo złapią”. Ich zainteresowania to wydobywanie „trofeów” informacyjnych. Kalambury nagrane z prywatnej anteny telefonicznej, zabawne nieporozumienia, starcia są układane przez cyfrowych chuliganów w różnych publikacjach internetowych dla rozrywki odwiedzających.
Jokery - zwykle znane ofiary. Organizują „jednorazowe” szpiegostwo dla „zabawy”, żartu lub zrobienia jakiejś niespodzianki. Choć czasem ulegają podłej pokusie, usłyszawszy z ust słuchanych rozmówców jakąś tajemnicę z ich życia osobistego lub służbowego.

Mobilne metody słuchania

1. Instalacja „błędu”

Tradycyjna metoda inwigilacji, ale skuteczna i niedroga finansowo. Niewielkie urządzenie wielkości główki szpilki (lub nawet mniejsze) jest instalowane w telefonie ofiary w ciągu nie więcej niż 10 minut. Jednocześnie jego obecność jest starannie maskowana, wizualnie i sprzętowo.

„Podsłuch” zasilany jest baterią, więc działa nawet wtedy, gdy nie ma rozmów telefonicznych, czyli stale „nasłuchuje” otaczającej przestrzeni w promieniu czułości mikrofonu. Transmisja dźwięku za pośrednictwem łącza GSM lub danego kanału radiowego, w zależności od modyfikacji technicznej urządzenia.

2. Przechwytywanie sygnału GSM

Z technicznego punktu widzenia jedna z najtrudniejszych metod. Ale wraz z tym i jednym z najbardziej produktywnych, potężnych. Jego zasada działania opiera się na uzyskaniu nieautoryzowanego dostępu do prywatnego kanału GSM i późniejszym rozszyfrowaniu jego pakietów. Przechwytywacz sygnału instaluje sprzęt skanujący ze zintegrowanym oprogramowaniem przeznaczonym do „odczytywania” sygnałów między wieżą przemiennika a abonentem. A potem, po odczekaniu na nawiązanie połączenia (jeśli polowanie dotyczy określonego numeru), rozpoczyna podsłuchiwanie.

Algorytmy szyfrowania mobilnego

Wszyscy operatorzy komórkowi używają tajnych algorytmów szyfrowania danych do kodowania sygnałów. Każdy z nich służy do wykonywania określonych zadań:

A3 - zapobiega klonowaniu telefonu (zabezpiecza procedurę autoryzacji);
A5 - koduje zdigitalizowaną mowę abonentów (zapewnia poufność negocjacji);
A8 to serwisowy generator kluczy kryptograficznych, który wykorzystuje dane uzyskane przez algorytmy A3 i A5.

Interceptory skupiają swoją uwagę na algorytmie A5 (który maskuje mowę), który przechwytują i deszyfrują. Ze względu na specyfikę eksportu kryptosystemu A5 opracowano jego dwie wersje:

A5/1 - dla krajów Europy Zachodniej;
A5/2 (okrojona, słaba wersja) dla innych krajów (w tym krajów WNP).

Przez pewien czas istotą algorytmu A5 była tajemnica kryjąca się za siedmioma pieczęciami, tajemnica technologiczna na poziomie tajemnicy państwowej. Jednak na początku 1994 roku sytuacja zmieniła się radykalnie - pojawiły się źródła, które szczegółowo ujawniły podstawowe zasady szyfrowania.

Do tej pory prawie wszystko wiadomo o A5 zainteresowanej publiczności. W skrócie: A5 tworzy klucz 64-bitowy poprzez nierównomierne przesunięcie trzech rejestrów liniowych, których długość wynosi odpowiednio 23, 22 i 19 bitów. Pomimo dużej odporności klucza na włamanie, hakerzy nauczyli się go „otwierać” na sprzęcie średniej mocy – zarówno w mocnym (/1), jak i w słabe wersje(/2). Używają specjalnego oprogramowania (opracowanego przez nich), które rozwiązuje „plątaninę” A5 za pomocą różnych metod kryptoanalizy.

Sprzęt do przechwytywania i monitorowania

Pierwsze mobilne podsłuchy pojawiły się zaraz po przyjęciu standardu GSM. Istnieje około 20 najlepszych rozwiązań, które są aktywnie wykorzystywane do podsłuchiwania przez podmioty prywatne i prawne. Ich koszt waha się od 2 do 12 000 USD. CM. Budionny - inżynierowie projektanci wyposażyli departamenty MSW w urządzenia podsłuchowe.

Każdy model przechwytywacza GSM (sniffera), niezależnie od właściwości technicznych (konstrukcja, szybkość, koszt), spełnia następujące funkcje:

skanowanie kanałów, aktywne wykrywanie;
sterowanie kanałem sterującym i głosowym repeatera/telefonu komórkowego;
nagrywanie sygnału na nośniki zewnętrzne (dysk twardy, pendrive);
definicja numery telefoniczne abonentów (dzwoniących i dzwoniących).

Następujące urządzenia są aktywnie wykorzystywane do monitorowania kanałów mobilnych:

GSM Interceptor Pro - obejmuje obszar zasięgu 0,8-25 km, obsługuje A1 / 1 i / 2;
PostWin to kompleks oparty na komputerze PC klasy P-III. Oprócz GSM-900 przechwytuje standardy AMPS/DAMPS i NMT-450;
SCL-5020 to urządzenie produkcji indyjskiej. Określa odległość do repeatera, może jednocześnie słuchać do 16 kanałów GSM.

3. Zmiana "firmware" telefonu

Po modyfikacji technicznej telefon ofiary kopiuje wszystkie rozmowy i przesyła je hakerowi za pośrednictwem GSM, Wi-Fi, 3G i innych odpowiednich standardów komunikacyjnych (opcjonalnie).

4. Wprowadzenie wirusów

Po zainfekowaniu systemu operacyjnego smartfona specjalny wirus szpiegowski zaczyna potajemnie wykonywać „funkcje rejestratora wykresów” — to znaczy przechwytuje wszystkie rozmowy i przekierowuje je do intruzów. Z reguły rozprzestrzenia się w postaci zainfekowanych wiadomości MMS, SMS i e-mail.

Środki ochrony telefonu komórkowego przed podsłuchem

Zainstalowanie aplikacji zabezpieczającej w systemie operacyjnym telefonu, która uniemożliwia połączenie z fałszywymi repeaterami, sprawdza identyfikatory i sygnatury baz operator mobilny, wykrywa podejrzane kanały i oprogramowanie szpiegujące, blokuje innym programom dostęp do mikrofonu i kamery wideo. Najlepsze rozwiązania: Android IMSI-Catcher Detector, EAGLE Security, Darshak, CatcherCatcher

Przeprowadzanie diagnostyki technicznej baterii: podczas słuchania szybko się rozładowuje, nagrzewa się, gdy telefon nie jest używany.
Natychmiastowa reakcja na podejrzaną aktywność telefonu (podświetlenie włącza się losowo, instalowane są nieznane aplikacje, podczas rozmów pojawiają się zakłócenia, echo i pulsujący szum). Konieczne jest skontaktowanie się z warsztatem, aby specjaliści zbadali telefon pod kątem obecności „błędów” i wirusów.
Wyłączenie telefonu poprzez wyjęcie baterii najlepiej w nocy - włóż baterię do telefonu tylko po to, aby wykonać połączenie wychodzące.

Tak czy inaczej, jeśli ktoś chce słuchać twojego telefonu, prędzej czy później będzie mógł to zrobić, samodzielnie lub z pomocą kogoś innego. Nigdy nie trać czujności i przy najmniejszych objawach przechwycenia sygnału podejmuj odpowiednie działania.

klonowanie karty SIM

Jednym z typowych problemów jest klonowanie kart SIM. W Internecie często można znaleźć reklamy dotyczące łatwego sposobu sklonowania karty, a istnieje wiele narzędzi, takich jak zajęcie karty SIM. Jako cele klonowania najczęściej wskazują możliwość wykonywania bezpłatnych połączeń na cudzy koszt oraz możliwość podsłuchiwania rozmów właściciela sklonowanej karty SIM. W pierwszym przypadku właściciel klona będzie miał problemy z odbieraniem połączeń przychodzących, ale połączenia wychodzące można wykonywać swobodnie. Głównymi konsumentami są osoby, które następnie w metrze oferują przechodniom tanie połączenia do dowolnego kraju na świecie. Jeśli chodzi o słuchanie abonenta, następna sekcja poświęcona jest rozważeniu tego problemu.

W poprzedniej sekcji opisano proces uwierzytelniania karty SIM (Rysunek 120). Podstawowe w tym procesie są parametry IMSI oraz

K I . Aby klon mógł uwierzytelnić się za pomocą AUC, musi znać te parametry. Znalezienie IMSI jest łatwe, można go zapisać na samej karcie lub dołączyć do niej. Można go łatwo odczytać z karty SIM za pomocą czytnika kart inteligentnych. Ale w przypadku K I wszystko jest nieco bardziej skomplikowane.

Jak już wiesz, K I jest przechowywany tylko w dwóch miejscach - w pamięci karty SIM oraz w pamięci AUC. K I nigdy nie jest przesyłane w sposób wyraźny podczas uwierzytelniania, tj. nie można go przechwycić podczas uwierzytelniania. Atakujący mają 4 możliwości zdobycia K I . Pierwsza opcja to insider w firmie operacyjnej. Ta opcja jest lepsza, ponieważ możesz uzyskać informacje o kilku kartach jednocześnie. Wady tej opcji polegają na tym, że ze względu na znaczenie KI dostęp do ich wartości jest ściśle ograniczony, aw przypadku wykrycia wycieku masowego szybko obliczy się osobę poufną. Ponadto AUC często nie ma funkcji odczytu KI z tych samych powodów bezpieczeństwa. Druga opcja polega na kradzieży KI zaraz po otrzymaniu partii kart SIM od producenta. Problemy są tutaj takie same jak w poprzedniej wersji: liczba osób z niezbędnym dostępem jest obliczana w jednostkach.

Trzecia opcja: odczytaj K I z pamięci karty SIM. Zacznijmy od tego, że musisz uzyskać fizyczny dostęp do karty (wyjąć ją pod jakimś pretekstem z telefonu ofiary, znać PIN). Ważna wada: karta SIM nie ma interfejsu, przez który można bezpośrednio odczytać lub zmienić K I .

I wreszcie ostatnia opcja: oblicz K I . Atakujący musi posiadać wiedzę na temat algorytmu A3 używanego przez operatora. W takim przypadku możesz spróbować obliczyć K I, obserwując wyniki konwersji RAND na SRES. W tym celu RAND jest tworzony ręcznie, wywoływany jest algorytm szyfrowania i przekazywany do niego RAND. Proces ten jest zautomatyzowany przez programy takie jak SimScan i WoronScan.

W ten sposób uzyskano pierwsze klony kart SIM. Stało się to możliwe dzięki wyciekowi do sieci informacji o algorytmie A3 o nazwie COMP128. W algorytmie wykryto lukę, która umożliwiała pobranie KI w akceptowalnej liczbie prób. Po wykryciu luki większość operatorów zastąpiła ją czymś bardziej odpornym. Obecnie dostępne są trzy wersje COMP128. Wersje druga i trzecia są obecnie uważane za nieotwarte. I choć w sieci istnieją programy, które deklarują możliwość włamania się do tych wersji, w rzeczywistości zawsze okazuje się, że ich celem jest zmuszenie użytkownika do pobrania trojana.

Jeśli atakujący nie ma informacji o implementacji A3, to może spróbować odebrać K I brutalną siłą. Tu pojawia się kolejna przeszkoda: liczba prób wyboru KI jest ograniczona. Na

Karty SIM mają wbudowany licznik połączeń A3, a po przekroczeniu określonego progu (65535) karta jest blokowana i przestaje odpowiadać na żądania rejestracji (chociaż działają inne funkcje, np. książka telefoniczna). W normalnych warunkach pracy, gdy A3 jest wywoływany za każdym razem, gdy karta SIM jest rejestrowana w sieci (gdy telefon jest włączony), takie ograniczenia nie przeszkadzają abonentowi. Ale aby uzyskać K I, może być potrzebnych więcej prób.

Jeśli atakującemu udało się odebrać K I , wówczas ma możliwość wezwania kosztem kogoś innego. Ale jest tu kilka czynników ograniczających. Po pierwsze, ponieważ pieniądze na koncie zaczną się szybciej niż zwykle, jest bardzo prawdopodobne, że właściciel karty SIM może to zauważyć. Na szczegółowym wydruku natychmiast zostaną wykryte „dodatkowe” połączenia. Dotyczy to również taryf „nieograniczonych”, ponieważ. mają również ograniczenia, w szczególności w przypadku połączeń zagranicznych. Dlatego osoby atakujące starają się jak najszybciej wymówić całe dostępne saldo i pozbyć się klona. Po drugie, jeśli obie karty są zarejestrowane w sieci, to połączenia przychodzące będą przychodzić na kartę, która była ostatnio autoryzowana lub z której wykonano ostatnie połączenie wychodzące. W związku z tym uprawniony użytkownik może zauważyć, że nie będzie już odbierał oczekiwanych połączeń. Podnoszenie telefonu w celu spisku jest generalnie przeciwwskazane dla złoczyńców. W przeciwnym razie korespondenci użytkownika natychmiast wykryją oszustwo. Po trzecie, operator może obliczyć karty SIM, które są zarejestrowane w sieci w geograficznie oddalonych miejscach na ograniczony czas. W przypadku podejrzenia, że karta jest sklonowana, operator zablokuje kartę i wyda abonentowi nową.

Podsumowując, możemy powiedzieć, że klonowanie kart SIM jest możliwe, ale raczej trudne. Jeśli operator terminowo zmodernizował wdrożenie A3, a jego pracownicy są lojalni i nieprzekupni, to abonenci nie powinni obawiać się pojawienia się klonów swojej karty SIM. Ponadto znaczenie takich oszustw zmniejsza się, ponieważ. popyt na tanie rozmowy za granicą jest równoważony możliwością rozmów przez Skype, a także ofertami legalnych operatorów.

Przechwytywanie rozmów w sieci GSM

Większość artykułów o hackowaniu GSM opiera się na artykule Eli Barkana z 2006 roku i badaniach Karstena Noh.

W swoim artykule Barkan i wsp. wykazali, że od tego czasu w GSM korekcja błędów idzie przed szyfrowaniem (a powinno być na odwrót), możliwe jest pewne zmniejszenie przestrzeni poszukiwań dla wyboru K C i realizacja ataku ze znanym szyfrogramem (z całkowicie pasywnym nasłuchem powietrza) w akceptowalnym czas przy użyciu wstępnie obliczonych danych.

Sami autorzy artykułu twierdzą, że przy otrzymaniu bez zakłóceń włamania w ciągu 2 minut wymagane jest 50 terabajtów wstępnie obliczonych danych. W tym samym artykule (w części o A5/2) wskazano, że sygnał z powietrza zawsze przychodzi z zakłóceniami, co komplikuje wybór klucza. Dla A5/2 przedstawiono zmodyfikowany algorytm, który jest w stanie uwzględnić zakłócenia, ale jednocześnie wymaga dwukrotnie większej ilości wstępnie obliczonych danych, a zatem czas pękania podwaja się. Dla A5/1 wskazana jest możliwość skonstruowania podobnego algorytmu, ale nie jest ona podawana. Można przypuszczać, że w tym przypadku również konieczne jest podwojenie ilości danych precomputed.

Proces wyboru klucza A5/1 jest probabilistyczny i zależny od czasu, tj. im dłużej trwa przesłuchanie, tym bardziej prawdopodobne jest, że podniesie K C. Zatem podane w artykule 2 minuty to przybliżony, a nie gwarantowany czas na wybór K C .

Carsten Nohl rozwija najsłynniejszy projekt hakerski GSM. Jego firma zajmująca się bezpieczeństwem komputerowym miała ogłosić to pod koniec 2009 roku otwarty dostęp tęczowe tablice kluczy sesyjnych algorytmu A5/1, który służy do szyfrowania mowy w sieciach GSM.

Karsten Nohl wyjaśnia swój zabieg przeciwko A5/1 jako chęć zwrócenia uwagi opinii publicznej istniejący problem i zmusić operatorów telekomunikacyjnych do przejścia na bardziej zaawansowane technologie. Na przykład technologia UMTS polega na wykorzystaniu 128-bitowego algorytmu A5 / 3, którego siła jest taka, że nie można go zhakować żadnymi dostępnymi dziś środkami.

Carsten oblicza, że kompletna tabela kluczy A5/1 miałaby rozmiar 128 petabajtów po spakowaniu i przechowywaniu rozproszonym na wielu komputerach w sieci. Do jego obliczenia potrzebnych będzie około 80 komputerów i 2-3 miesiące pracy. Zastosowanie nowoczesnych kart graficznych CUDA oraz programowalnych macierzy Xilinx Virtex powinno znacznie skrócić czas obliczeń. W szczególności jego przemówienie na konferencji 26C3 (Kongres Komunikacji Chaosu) w grudniu 2009 roku zrobiło dużo hałasu. Krótko sformułuj istotę przemówienia w następujący sposób: wkrótce możemy spodziewać się pojawienia się tanich systemów do dekodowania online A5/1.

Przejdźmy do problemów inżynierskich. Jak uzyskać dane z powietrza? Aby przechwytywać rozmowy, musisz mieć pełnoprawny skaner, który powinien być w stanie dowiedzieć się, które stacje bazowe nadają w okolicy, na jakich częstotliwościach, do jakich operatorów należą, które telefony, z którymi TMSI są obecnie aktywne. Skaner musi być w stanie śledzić rozmowę z określonego telefonu, poprawnie przetwarzać przejścia na inne częstotliwości i stacje bazowe.

W Internecie pojawiają się oferty zakupu podobnego skanera bez dekodera za 40-50 tysięcy dolarów. Nie można go nazwać urządzeniem budżetowym.

Tak więc, aby stworzyć urządzenie, które po prostych manipulacjach mogłoby rozpocząć podsłuchiwanie rozmowy przez telefon, konieczne jest:

a) zaimplementować część współpracującą z eterem. W szczególności pozwala określić, który z TMSI odpowiada telefonowi, którego szukasz, lub za pomocą aktywnych ataków wymusić na telefonach „odkrycie” ich prawdziwego IMSI i MSISDN;

b) zaimplementować algorytm dopasowywania Kc dla A5/1, który działa dobrze na rzeczywistych danych (z szumami/błędami, lukami itp.);

d) połączyć wszystkie te punkty w kompletne działające rozwiązanie.

Karsten i reszta badaczy zasadniczo rozwiązują punkt „c”. W

W szczególności on i jego koledzy sugerują użycie OpenBTS, airdump i Wireshark do stworzenia przechwytywacza IMSI (IMSI catcher). Więcej szczegółów na temat urządzenia i przechwytywania połączeń za jego pomocą opisano poniżej w sekcji „Atak typu man-in-the-middle w sieci GSM”. Na razie można powiedzieć, że to urządzenie emuluje stację bazową i jest osadzone pomiędzy MS a rzeczywistą stacją bazową.

Mówcy argumentują, że karta SIM może łatwo uniemożliwić telefonowi pokazanie, że działa w trybie szyfrowania A5/0 (tj. bez szyfrowania w ogóle) i że większość kart SIM w obiegu właśnie taki jest. To naprawdę możliwe. W GSM 02.07 jest napisane (Załącznik normatywny B.1.26), że karta SIM zawiera specjalny bit OFM w polu Administracyjnym, którego ustawienie na jeden spowoduje wyłączenie sygnalizacji szyfrowania połączenia (w postaci blokady stodoły) . W GSM 11.11 określone są następujące prawa dostępu do tego pola: odczyt jest zawsze dostępny, a uprawnienia do zapisu są opisane jako „ADM”. Konkretny zestaw uprawnień regulujących wpisy w tym polu ustala operator na etapie tworzenia kart SIM. Dlatego prelegenci mają nadzieję, że większość kart zostanie wydana z ustawionym bitem, a ich telefony tak naprawdę nie wykazują oznak braku szyfrowania. To naprawdę znacznie ułatwia pracę łapacza IMSI.

właściciel telefonu nie może wykryć braku szyfrowania i coś podejrzewać.

Ciekawy szczegół. Badacze spotkali się z faktem, że oprogramowanie telefonu jest testowane pod kątem zgodności ze specyfikacją GSM, a nie pod kątem obsługi w nietypowych sytuacjach, a więc w przypadku nieprawidłowego działania stacji bazowej (np. , telefony często się zawieszają.

Największy rezonans wywołało stwierdzenie, że za jedyne 1500 dolarów można złożyć gotowy zestaw do odsłuchu rozmów z USRP, OpenBTS, Asterisk i airprobe. Informacje te szeroko krążyły w Internecie, tylko autorzy tych newsów i artykułów z nich wywodzących zapomnieli dodać, że sami prelegenci nie podali szczegółów, a demonstracja się nie odbyła.

W grudniu 2010 roku Carsten i Munaut (Sylvain Munaut) ponownie wystąpili na konferencji 27C3 z raportem na temat przechwytywania rozmów w sieciach GSM. Tym razem przedstawili pełniejszy scenariusz, ale ma on sporo warunków „cieplarniowych”.

Do wykrywania lokalizacji wykorzystują usługi internetowe, które umożliwiają wysyłanie żądań „wyślij informacje o trasie” do sieci SS7. SSV to stos sieci/protokołów używany do komunikacji operatorzy telefoniczni(GSM i „naziemny”) oraz do wzajemnej komunikacji elementów sieci GSM.

Ponadto autorzy odnoszą się do wdrażania komunikacji mobilnej w Niemczech. Tam RAND uzyskany w wyniku zapytania dobrze koreluje z kodem regionu (numer kierunkowy / kod pocztowy). Dlatego takie żądania umożliwiają dokładne określenie miasta, a nawet części miasta, w którym ten abonent znajduje się w Niemczech. Ale operator nie jest do tego zobowiązany.

Teraz odkrywcy znają miasto. Następnie biorą sniffera, udają się do znalezionego wcześniej miasta i zaczynają odwiedzać wszystkie jego LAC. Przybywając na terytorium będące częścią jakiegoś LAC, wysyłają SMS-a do ofiary i nasłuchują, czy telefon ofiary jest przywoływany (dzieje się to przez niezaszyfrowany kanał, we wszystkich bazach jednocześnie). Jeśli jest połączenie, otrzymują informację o TMSI, który został wydany subskrybentowi. Jeśli nie, idą sprawdzić następny LAC.

Należy zauważyć, że od IMSI nie jest przesyłany podczas przywoływania (a badacze o tym nie wiedzą), ale przesyłany jest tylko TMSI (który chcą wiedzieć), następnie przeprowadzany jest „atak na czas”. Wysyłają kilka SMS-ów z przerwami pomiędzy nimi i sprawdzają, które TMSI są wywoływane, powtarzając procedurę, aż tylko jeden (lub żaden) nie pozostanie na liście „podejrzanych” TMSI.

Aby ofiara nie zauważyła takiego „sondowania”, wysyłany jest SMS, który nie zostanie pokazany subskrybentowi. Jest to albo specjalnie utworzony SMS flash, albo niepoprawny (zepsuty) SMS, który telefon przetworzy i usunie, podczas gdy nic nie zostanie pokazane użytkownikowi.

Po znalezieniu LAC zaczynają odwiedzać wszystkie komórki tego LAC, wysyłać SMS-y i nasłuchiwać odpowiedzi przywoławczych. Jeśli jest odpowiedź, ofiara jest w tej celi i możesz zacząć łamać jej klucz sesyjny (K C) i słuchać jej rozmów.

Wcześniej musisz nagrać transmisję. Tutaj naukowcy sugerują, co następuje:

1) są wykonane na zamówienie płytki FPGA, które są w stanie jednocześnie rejestrować wszystkie kanały lub uplink (kanał komunikacji od abonenta (telefonu lub modemu) do stacji bazowej operator mobilny) lub downlink (kanał komunikacji ze stacji bazowej do abonenta) o częstotliwościach GSM (odpowiednio 890-915 i 935-960 MHz). Jak już wspomniano, taki sprzęt kosztuje 4050 USD, więc dostępność takiego sprzętu dla prostego badacza bezpieczeństwa jest wątpliwa;

2) możesz wziąć słabszy i tańszy sprzęt i na każdym z nich posłuchać niektórych częstotliwości. Ta opcja kosztuje około 3,5 tysiąca euro z rozwiązaniem opartym na USRP2;

Włamanie do klucza sesji. Będąc w tej samej celi z ofiarą, wysyłają do niej SMS-y, nagrywają komunikację ofiary z bazą i łamią klucz, wykorzystując fakt, że podczas zestawiania sesji (konfiguracji sesji) dochodzi do wymiany wielu pakiety w połowie puste lub z przewidywalną zawartością. Tęczowe stoły służą do przyspieszenia hakowania. W czasach 26C3 tablice te nie były tak dobrze wypełnione, a hakowanie nie odbywało się w ciągu minut, a nawet dziesiątek minut (autorzy wspominają o godzinie). Oznacza to, że przed 27C3 nawet Carsten (główny badacz w tej dziedzinie) nie miał rozwiązania, które pozwoliłoby mu złamać KC w akceptowalnym czasie (podczas którego najprawdopodobniej nie doszłoby do zmiany klucza sesyjnego (rekeying)).

Naukowcy następnie wykorzystują fakt, że ponowne wprowadzanie kluczy jest rzadko wykonywane po każdym połączeniu lub SMS-ie, a klucz sesji, którego się uczą, nie zmieni się przez jakiś czas. Teraz, znając klucz, mogą dekodować zaszyfrowany ruch do/od ofiary w czasie rzeczywistym i wykonywać przeskakiwanie częstotliwości w tym samym czasie co ofiara. W tym przypadku cztery flashowane telefony naprawdę wystarczą, aby uchwycić powietrze, ponieważ nie jest konieczne zapisywanie wszystkich częstotliwości i wszystkich szczelin czasowych. Naukowcy zademonstrowali tę technologię w działaniu. To prawda, że \u200b\u200b„ofiara” siedziała nieruchomo i była obsługiwana przez jedną setną.

Podsumowując wynik pośredni, możemy twierdząco odpowiedzieć na pytanie o możliwość przechwytywania i deszyfrowania rozmów GSM w locie. Czyniąc to, należy pamiętać o następujących kwestiach:

1) Opisana powyżej technologia nie istnieje w formie dostępnej dla nikogo (w tym script kiddies). To nawet nie jest konstruktor, ale półfabrykat na części konstruktora, które należy uzupełnić do stanu używalności. Badacze wielokrotnie zauważają, że nie mają jasnych planów oddelegowania ogólny dostęp specyfika implementacji. Oznacza to, że w oparciu o te osiągnięcia producenci na Bliskim Wschodzie nie produkują masowo urządzeń za 100 USD, których każdy może słuchać.

2) OsmocomBB obsługuje tylko jedną rodzinę chipów (aczkolwiek najpopularniejszą).

W przeciwieństwie do wersji demonstracyjnej, w rzeczywistości w LA o średnim obciążeniu są tysiące komunikatów przywoławczych. Ponadto przywoływanie nie działa w momencie wysyłania, ale w określonych oknach czasowych i w partiach (zgodnie z grupami przywoławczymi z własnymi kolejkami, których liczba jest resztą z dzielenia IMSI przez liczbę kanałów, które mogą być różne w każdej komórce), co ponownie komplikuje implementację.

4) Powiedzmy, że LA zostało znalezione. Teraz musimy „poczuć” odpowiedź subskrybenta. Nadajnik telefonu ma moc 1-2 watów. W związku z tym zeskanowanie go z odległości kilkudziesięciu metrów to również zadanie (niełatwe). Okazuje się paradoks: LA obejmuje np. cały region (miasto). Mieści się w nim na przykład 50 ogniw, z których część ma zasięg do 30 km. Próbujemy złapać i rozszyfrować promieniowanie na antenie dookólnej. Aby wykonać to zadanie w tym przykładzie wykonania, potrzeba dużo sprzętu. Jeśli wyjdziemy z przesłanki, w której ofiara znajduje się w bezpośredniej linii wzroku, tj. odległość, z której przechwytywanie wygląda bardziej realistycznie, mikrofon kierunkowy jest znacznie skuteczniejszy i prostszy. Należy zauważyć, że podczas demonstracji naukowcy przechwytują swoje telefony z odległości 2 metrów.

5) Ruch ofiary między komórkami również powoduje problemy, ponieważ trzeba też się z nim poruszać.

6) Telefony użyte w demonstracji wymagają modyfikacji sprzętowej, muszą usunąć filtr z anteny, w przeciwnym razie „obce” telefony uplinkowe nie będą „widziały”. Filtr w telefonie jest potrzebny, żeby „słuchać” nie wszystkich częstotliwości, a tylko „swoich”.

7) Jeśli sieć regularnie zmienia klucz (rekeying) lub zmienia TMSI (żaden z badaczy nie wziął tego pod uwagę), to ta metoda nie działa wcale lub działa bardzo słabo (czas odszyfrowania może być dłuższy niż czas rozmowy ).

8) Słuchanie całej sieci nie będzie działać, musisz znać numer telefonu.

Ochrona przed przechwytywaniem ruchu

1) Zamiast stałego bajtu używaj losowych wartości do stronicowania pustych wiadomości GSM.

2) Zmień K C po każdym wywołaniu.

3) Zmieniaj TMSI tak często, jak to możliwe.

Punkty 2 i 3 można rozwiązać poprzez prostą rekonfigurację elementów sieci dostawcy i nie wymagają aktualizacji oprogramowania układowego ani sprzętu.

Ponadto na rynku dostępne są różne zmodyfikowane telefony, na przykład smartfon Cancort crypto, który zapewnia pracę na liniach komunikacyjnych GSM 900/1800 w dwóch trybach:

Tryb otwarty (normalny tryb GSM);

Tryb szyfrowania z odpornym na włamanie szyfrowaniem informacji.

Cancort wykonuje następujące funkcje:

Szyfrowanie/odszyfrowywanie krótkich wiadomości (usługa SMS)

Szyfrowanie/odszyfrowywanie danych (usługa BS26 i GPRS).

Szyfrowanie/odszyfrowywanie wiadomości e-mail.

Szyfrowanie / deszyfrowanie informacji we wszystkich książkach telefonicznych (SIM PB).

Szyfrowanie/odszyfrowywanie informacji MMS.

Do ochrony można również użyć skramblerów, które dobrze sprawdziły się w ochronie konwencjonalnych sieci telefonicznych. Przykładem jest GUARD GSM. To urządzenie (podobnie jak analogi) jest podłączone do telefonu komórkowego za pomocą przewodowego zestawu słuchawkowego i ma niewielkie rozmiary. Scrambler GUARD GSM posiada trzydzieści dwa tryby szyfrowania.

Zasada działania tego skramblera polega na początkowym zniszczeniu i chwilowym przestawieniu dźwięku po stronie nadawczej z późniejszym jego przywróceniem po stronie odbiorczej. Ten proces jest dwukierunkowy. Permutacja czasowa segmentów sygnału mowy i odtworzenie ich kolejności w odbiorze zajmuje określony przedział czasu. Dlatego obowiązkową właściwością takiego sprzętu jest małe opóźnienie sygnału po stronie odbiorczej. Rozpoczęcie rozmowy z reguły rozpoczyna się w trybie otwartym, a następnie na obopólną komendę urządzenia przełączają się w tryb szyfrowania. Podczas negocjacji urządzenie wykonuje jednocześnie dwie funkcje szyfrowania i deszyfrowania. Oznacza to, że mowa wypowiedziana przez jednego z abonentów jest z jego strony szyfrowana, a drugi szyfrator znajdujący się u drugiego abonenta deszyfruje tę mowę. I to samo dzieje się w przeciwnym kierunku, gdy drugi abonent zaczyna mówić.

Dane techniczne:

1. Zrozumiałość mowy co najmniej 95%.

2. Typ połączenia pełny dupleks.

3. Opóźnienie sygnału w linii nie większe niż 100 ms.

4. Poziom ochrony sygnału liniowego jest tymczasowy.

5. Zastosowanie w sieciach standardu GSM 900/1800.

6. Rodzaj połączenia z komórka przewodowy zestaw słuchawkowy 7. Wymiary gabarytowe 80x45x16 mm

Atak „man-in-the-middle” w sieci GSM

Omówiony wcześniej atak aktywnie wykorzystywał urządzenie o nazwie IMSI-catcher. W tej sekcji omówiono sposób działania takiego urządzenia i jego ograniczenia.

W Internecie można znaleźć wiele ofert sprzedaży specjalnych urządzeń, które mogą emulować stacje bazowe. Takie ogłoszenia deklarują, że takie emulatory pozwalają potajemnie podsłuchiwać dowolne rozmowy bez informowania o tym operatora i nawet bez znajomości numeru telefonu osoby podsłuchiwanej.

Istnieją urządzenia o podobnej funkcjonalności (np. kompleks RA 900 firmy Rohde & Schwarz), ale o znacznie mniej imponujących możliwościach:

1) w tajemnicy można jedynie ustalić, czy telefon znajduje się w zasięgu, do którego włożona jest karta SIM o podanym IMSI, lub uzyskać listę numerów IMSI/IMEI, ale nie numerów telefonów w obszarze zasięgu „pseudo-bazowego”. Oznacza to, że IMSI jest znany atakującemu.

2) Możesz słuchać rozmów wychodzących z określonego telefonu, ale abonent będzie miał wyłączone szyfrowanie sygnału. Ponadto numer dzwoniącego zostanie zmieniony lub ukryty. Jednocześnie sam abonent może to wykryć i ustalić fakt słuchania (lub podejrzenia).

3) W przypadku bezpośredniego słuchania połączenia przychodzące nie mogą być dostarczane do abonenta, a zatem nie mogą być słuchane. W przypadku innych abonentów sieci słuchany abonent jest „poza obszarem zasięgu”.

Jak widać, funkcjonalność zakłada obecność pewnych informacji o ofierze.

Jak działa IMSI-catcher

IMSI-catcher to urządzenie, które z jednej strony zachowuje się jak stacja bazowa sieci GSM, a z drugiej strony zawiera kartę SIM lub inny środki techniczne do łączenia się z sieciami komunikacyjnymi. Jest używany w następujący sposób:

1. Urządzenie umieszcza się w pobliżu telefonu komórkowego ofiary. Zasięg jest określany na podstawie poziomu mocy rzeczywistej stacji bazowej.

2. Podczas pracy urządzenie wygląda jak normalna stacja. Oczywiście musi podszywać się pod stację operatora, do którego należy ofiara. Standard GSM nie wymaga, aby stacja bazowa uwierzytelniała się w telefonie (w przeciwieństwie do na przykład sieci UMTS), więc jest to dość łatwe. Częstotliwość i siła sygnału fałszywej bazy są dobierane tak, aby prawdziwe stacje bazowe wszystkich sąsiednich sieci nie zakłócały jej działania.

3. Telefon ofiary jest zmuszony wybrać fałszywą bazę jako najlepszą dostępną stację bazową ze względu na jej dobry i silny sygnał. Zasada wyboru została opisana wcześniej. W rezultacie atakujący może ustalić numer IMEI ofiary.

4. Aby podsłuchiwać rozmowy podczas rejestracji, fałszywa baza informuje telefon o konieczności przełączenia w tryb szyfrowania A5/0, czyli bez szyfrowania w ogóle. Telefon GSM nie może odmówić.

5. Następnie wszystkie połączenia wychodzące ofiary przechodzą przez fałszywą stację w sposób czysty i mogą być tam nagrywane/odsłuchiwane. W tym przypadku urządzenie działa jako proxy, niezależnie łącząc się z wybieranym numerem i transparentnie transmitując głos przez siebie w obu kierunkach.

Ograniczenia IMSI-catchera

1. Po podłączeniu do fałszywej stacji ofiara staje się niedostępna dla połączeń przychodzących. Aby obsługiwać połączenia przychodzące, urządzenie musi być obsługiwane przez sieć operatora w taki sam sposób, jak inne stacje bazowe. Aby to zrobić, musisz połączyć się z jakimś kontrolerem stacji bazowej (BSC) i zarejestrować się w jego tablicach routingu. Jeśli jednak atakujący ma dostęp do sieci operatora na poziomie umożliwiającym podłączenie i skonfigurowanie nowych stacji bazowych, to w takim przypadku bardziej efektywne jest użycie SORM. Jeśli oprócz ofiary inne osoby dostaną się w obszar zasięgu urządzenia Telefony komórkowe znajdujące się obok ofiary, pokażą zasięg, ale ani połączenia przychodzące, ani wychodzące nie będą obsługiwane. To może wzbudzić podejrzenia.

2. Większość nowoczesne telefony mieć oznaczenie szyfrowania (w postaci kłódki) i ofiara może być ostrożna, jeśli zobaczy, że połączenie nie jest szyfrowane.

3. Aby transmitować połączenia wychodzące, urządzenie musi mieć wyjście in sieć telefoniczna. Jeśli użyjesz do tego własnego modułu GSM z kartą SIM, to połączenia wychodzące z fałszywej stacji będą realizowane z numeru innego niż numer ofiary. Aby to ukryć, można skorzystać z usługi „ukrywanie numeru dzwoniącego” (ograniczenie identyfikacji dzwoniącego, CLIR), która może również zaalarmować odbiorców połączenia, a oni mogą zgłosić to poszkodowanemu. Alternatywnie, korzystając z WiFi + VoIP, możesz zastąpić fałszywy numer stacji prawidłowym, ale komplikuje to projekt.

W celu dokładniejszej zamiany urządzenie musi korzystać z karty SIM tego samego operatora, z którego korzysta ofiara, w takim przypadku atakujący będzie mógł rozgłaszać połączenia ofiary z serwisem i krótkie numery.

4. Jeśli ofiara się porusza, może łatwo opuścić obszar zasięgu urządzenia, co doprowadzi do tego, że proces będzie musiał rozpocząć się od nowa.

Te mankamenty pokazują, że użycie takiego urządzenia ogranicza się do krótkotrwałego przechwytywania rozmów i praktycznie nie nadaje się do długotrwałego słuchania.

Tak więc głównym zastosowaniem takiego urządzenia może być zidentyfikowanie SHZSHMSH ofiary, o którym dokładnie wiadomo tylko jego położenie, a następnie wykorzystanie informacji o SH5I do przeprowadzenia normalnego podsłuchu za pomocą SORM.

Wniosek

Możliwe jest przechwytywanie wiadomości w sieciach MBM. Ale biorąc pod uwagę warunki niezbędne do realizacji przechwytu, możemy powiedzieć, że MBM jest znacznie lepiej chroniony niż jest to pokazywane w filmach i Internecie.

Zwracamy się do rozważenia hakowania GSM. Artykuły o lukach w zabezpieczeniach A5/1 pojawiły się około 15 lat temu, ale jak dotąd nie doszło do publicznej demonstracji hakowania A5/1 w świecie rzeczywistym. Ponadto, jak widać z opisu działania sieci, należy rozumieć, że oprócz złamania samego algorytmu szyfrowania, należy rozwiązać szereg problemów czysto inżynierskich, które zazwyczaj są zawsze pomijane (w tym podczas publicznych demonstracji ). Większość artykułów o hackowaniu GSM opiera się na artykule Eli Barkana z 2006 roku i badaniach Karstena Noh. W swoim artykule Barkan i wsp. wykazali, że od tego czasu w GSM korekcja błędów idzie przed szyfrowaniem (a powinno być na odwrót), możliwe jest pewne zmniejszenie przestrzeni poszukiwań dla wybrania KC i realizacja ataku ze znanym szyfrogramem (z całkowicie pasywnym nasłuchem eteru) w akceptowalnym czas przy użyciu wstępnie obliczonych danych. Sami autorzy artykułu twierdzą, że przy otrzymaniu bez zakłóceń włamania w ciągu 2 minut wymagane jest 50 terabajtów wstępnie obliczonych danych. W tym samym artykule (w części o A5/2) wskazano, że sygnał z powietrza zawsze przychodzi z zakłóceniami, co komplikuje wybór klucza. Dla A5/2 przedstawiono zmodyfikowany algorytm, który jest w stanie uwzględnić zakłócenia, ale jednocześnie wymaga dwukrotnie większej ilości wstępnie obliczonych danych, a zatem czas pękania podwaja się. Dla A5/1 wskazano możliwość skonstruowania podobnego algorytmu, ale samego algorytmu nie przedstawiono. Można przypuszczać, że w tym przypadku również konieczne jest podwojenie ilości danych precomputed. Proces wyboru klucza A5/1 jest probabilistyczny i zależny od czasu, tj. im dłużej trwa przesłuchanie, tym bardziej prawdopodobne jest, że wybierze KC. Zatem podane w artykule 2 minuty to przybliżony, a nie gwarantowany czas na wybór KC. Carsten Nohl rozwija najsłynniejszy projekt hakerski GSM. Do końca 2009 roku jego firma zajmująca się bezpieczeństwem komputerowym zamierzała upublicznić do końca 2009 roku tęczowe tablice kluczy sesyjnych algorytmu A5/1, który służy do szyfrowania mowy w sieciach GSM. Karsten Nol tłumaczy swój atak na A5/1 chęcią zwrócenia uwagi opinii publicznej na istniejący problem i zmuszenia operatorów telekomunikacyjnych do przejścia na bardziej zaawansowane technologie. Na przykład technologia UMTS polega na wykorzystaniu 128-bitowego algorytmu A5 / 3, którego siła jest taka, że nie można go zhakować żadnymi dostępnymi dziś środkami. Carsten oblicza, że kompletna tabela kluczy A5/1 miałaby rozmiar 128 petabajtów po spakowaniu i przechowywaniu rozproszonym na wielu komputerach w sieci. Do jego obliczenia potrzebnych będzie około 80 komputerów i 2-3 miesiące pracy. Zastosowanie nowoczesnych kart graficznych CUDA oraz programowalnych macierzy Xilinx Virtex powinno znacznie skrócić czas obliczeń. W szczególności jego przemówienie na konferencji 26C3 (Kongres Komunikacji Chaosu) w grudniu 2009 roku zrobiło dużo hałasu. Krótko sformułuj istotę przemówienia w następujący sposób: wkrótce możemy spodziewać się pojawienia się tanich systemów do dekodowania online A5/1. Przejdźmy do problemów inżynierskich. Jak uzyskać dane z powietrza? Aby przechwytywać rozmowy, musisz mieć pełnoprawny skaner, który powinien być w stanie dowiedzieć się, które stacje bazowe nadają w okolicy, na jakich częstotliwościach, do jakich operatorów należą, które telefony, z którymi TMSI są obecnie aktywne. Skaner musi być w stanie śledzić rozmowę z określonego telefonu, poprawnie przetwarzać przejścia na inne częstotliwości i stacje bazowe. W Internecie pojawiają się oferty zakupu podobnego skanera bez dekodera za 40-50 tysięcy dolarów. Nie można go nazwać urządzeniem budżetowym. Tak więc, aby stworzyć urządzenie, które po prostych manipulacjach mogłoby rozpocząć podsłuchiwanie rozmowy przez telefon, konieczne jest:

b) zaimplementować algorytm selekcji KC dla A5/1, który działa dobrze na rzeczywistych danych (z szumami/błędami, lukami itp.);

d) połączyć wszystkie te punkty w kompletne działające rozwiązanie.

Karsten i reszta badaczy zasadniczo rozwiązują punkt „c”. W szczególności on i jego koledzy sugerują użycie OpenBTS, airdump i Wireshark do stworzenia przechwytywacza IMSI (IMSI catcher). Na razie można powiedzieć, że to urządzenie emuluje stację bazową i jest osadzone pomiędzy MS a rzeczywistą stacją bazową. Mówcy argumentują, że karta SIM może łatwo uniemożliwić telefonowi pokazanie, że działa w trybie szyfrowania A5/0 (tj. bez szyfrowania w ogóle) i że większość kart SIM w obiegu właśnie taki jest. To naprawdę możliwe. W GSM 02.07 jest napisane (Załącznik normatywny B.1.26), że karta SIM zawiera specjalny bit OFM w polu Administracyjnym, którego ustawienie na jeden spowoduje wyłączenie sygnalizacji szyfrowania połączenia (w postaci blokady stodoły) . W GSM 11.11 określone są następujące prawa dostępu do tego pola: odczyt jest zawsze dostępny, a uprawnienia do zapisu są opisane jako „ADM”. Konkretny zestaw uprawnień rządzący wpisem w tym polu jest ustalany przez operatora na etapie tworzenia kart SIM. Dlatego prelegenci mają nadzieję, że większość kart zostanie wydana z ustawionym bitem, a ich telefony tak naprawdę nie wykazują oznak braku szyfrowania. To naprawdę znacznie ułatwia pracę łapacza IMSI. właściciel telefonu nie może wykryć braku szyfrowania i coś podejrzewać. Ciekawy szczegół. Badacze spotkali się z faktem, że oprogramowanie telefonu jest testowane pod kątem zgodności ze specyfikacją GSM, a nie pod kątem obsługi w nietypowych sytuacjach, a więc w przypadku nieprawidłowego działania stacji bazowej (np. , telefony często się zawieszają. Największy rezonans wywołało stwierdzenie, że za jedyne 1500 dolarów można złożyć gotowy zestaw do odsłuchu rozmów z USRP, OpenBTS, Asterisk i airprobe. Informacje te szeroko krążyły w Internecie, tylko autorzy tych newsów i artykułów z nich wywodzących zapomnieli dodać, że sami prelegenci nie podali szczegółów, a demonstracja się nie odbyła. W grudniu 2010 roku Carsten i Munaut (Sylvain Munaut) ponownie wystąpili na konferencji 27C3 z raportem na temat przechwytywania rozmów w sieciach GSM. Tym razem przedstawili pełniejszy scenariusz, ale ma on sporo warunków „cieplarniowych”. Do wykrywania lokalizacji wykorzystują usługi internetowe, które umożliwiają wysyłanie żądań „wyślij informacje o trasie” do sieci SS7. SS7 to stos sieci/protokołów używany do komunikacji między operatorami telefonicznymi (GSM i stacjonarnymi) oraz do komunikacji między elementami sieci GSM. Ponadto autorzy odnoszą się do wdrażania komunikacji mobilnej w Niemczech. Tam RAND uzyskany w wyniku zapytania dobrze koreluje z kodem regionu (numer kierunkowy / kod pocztowy). Dlatego takie żądania umożliwiają dokładne określenie miasta, a nawet części miasta, w którym ten abonent znajduje się w Niemczech. Ale operator nie jest do tego zobowiązany. Teraz odkrywcy znają miasto. Następnie biorą sniffera, udają się do znalezionego wcześniej miasta i zaczynają odwiedzać wszystkie jego LAC. Przybywając na terytorium należące do jakiegoś LAC, wysyłają SMS-a do ofiary i nasłuchują, czy trwa wywoływanie telefonu ofiary (dzieje się to przez niezaszyfrowany kanał, we wszystkich bazach jednocześnie). Jeśli jest połączenie, otrzymują informację o TMSI, który został wydany subskrybentowi. Jeśli nie, idą sprawdzić następny LAC. Należy zauważyć, że od IMSI nie jest przesyłany podczas przywoływania (a badacze o tym nie wiedzą), ale przesyłany jest tylko TMSI (który chcą wiedzieć), następnie przeprowadzany jest „atak na czas”. Wysyłają kilka SMS-ów z przerwami pomiędzy nimi i sprawdzają, które TMSI są wywoływane, powtarzając procedurę, aż tylko jeden (lub żaden) nie pozostanie na liście „podejrzanych” TMSI. Aby ofiara nie zauważyła takiego „sondowania”, wysyłany jest SMS, który nie zostanie pokazany subskrybentowi. Jest to albo specjalnie utworzony SMS flash, albo niepoprawny (zepsuty) SMS, który telefon przetworzy i usunie, podczas gdy nic nie zostanie pokazane użytkownikowi. Po znalezieniu LAC zaczynają odwiedzać wszystkie komórki tego LAC, wysyłać SMS-y i nasłuchiwać odpowiedzi na przywołanie. Jeśli jest odpowiedź, ofiara jest w tej celi i możesz zacząć łamać jej klucz sesyjny (KC) i słuchać jej rozmów. Wcześniej musisz nagrać transmisję. Tutaj naukowcy sugerują, co następuje:

1) są wykonane na zamówienie układy FPGA, które są w stanie jednocześnie rejestrować wszystkie kanały uplink (kanał komunikacyjny od abonenta (telefon lub modem) do stacji bazowej operatora komórkowego) lub downlink (kanał komunikacyjny ze stacji bazowej) do abonenta) częstotliwości GSM (odpowiednio 890 – 915 i 935 – 960 MHz). Jak już wspomniano, taki sprzęt kosztuje 40–50 tysięcy dolarów, więc dostępność takiego sprzętu dla prostego badacza bezpieczeństwa jest wątpliwa;

2) możesz wziąć słabszy i tańszy sprzęt i na każdym z nich posłuchać niektórych częstotliwości. Ta opcja kosztuje około 3,5 tysiąca euro z rozwiązaniem opartym na USRP2;

3) możesz najpierw złamać klucz sesji, a następnie dekodować ruch w locie i śledzić przeskakiwanie częstotliwości za pomocą czterech telefonów, które mają alternatywne oprogramowanie OsmocomBB zamiast natywnego oprogramowania. Role telefonu: 1. telefon jest używany do przywoływania i kontroli odpowiedzi, 2. telefon jest przypisany do abonenta do rozmowy. W takim przypadku każdy telefon musi zapisywać zarówno odbiór, jak i transmisję. To bardzo ważny punkt. Do tego momentu OsmocomBB właściwie nie działał, aw rok (od 26C3 do 27C3) OsmocomBB został doprowadzony do stanu używalności, tj. do końca 2010 r. nie było praktycznego rozwiązania. Włamanie do klucza sesji. Będąc w tej samej celi z ofiarą, wysyłają do niej SMS-y, nagrywają komunikację ofiary z bazą i łamią klucz, wykorzystując fakt, że podczas zestawiania sesji (konfiguracji sesji) dochodzi do wymiany wielu pakiety w połowie puste lub z przewidywalną zawartością. Tęczowe stoły służą do przyspieszenia hakowania. W czasach 26C3 tablice te nie były tak dobrze wypełnione, a hakowanie nie odbywało się w ciągu minut, a nawet dziesiątek minut (autorzy wspominają o godzinie). Oznacza to, że przed 27C3 nawet Carsten (główny badacz w tej dziedzinie) nie miał rozwiązania, które pozwoliłoby mu złamać KC w akceptowalnym czasie (podczas którego najprawdopodobniej nie doszłoby do zmiany klucza sesyjnego (rekeying)). Naukowcy następnie wykorzystują fakt, że ponowne wprowadzanie kluczy jest rzadko wykonywane po każdym połączeniu lub SMS-ie, a klucz sesji, którego się uczą, nie zmieni się przez jakiś czas. Teraz, znając klucz, mogą dekodować zaszyfrowany ruch do/od ofiary w czasie rzeczywistym i wykonywać przeskakiwanie częstotliwości w tym samym czasie co ofiara. W tym przypadku cztery flashowane telefony naprawdę wystarczą, aby uchwycić powietrze, ponieważ nie jest konieczne zapisywanie wszystkich częstotliwości i wszystkich szczelin czasowych. Naukowcy zademonstrowali tę technologię w działaniu. To prawda, że \u200b\u200b„ofiara” siedziała nieruchomo i była obsługiwana przez jedną setną. Podsumowując wynik pośredni, możemy twierdząco odpowiedzieć na pytanie o możliwość przechwytywania i deszyfrowania rozmów GSM w locie. Czyniąc to, należy pamiętać o następujących kwestiach:

1) Opisana powyżej technologia nie istnieje w formie dostępnej dla nikogo (w tym script kiddies). To nawet nie jest konstruktor, ale półfabrykat na części konstruktora, które należy uzupełnić do stanu używalności. Badacze wielokrotnie zauważają, że nie mają jasnych planów upublicznienia specyfiki wdrożenia. Oznacza to, że w oparciu o te osiągnięcia producenci na Bliskim Wschodzie nie produkują masowo urządzeń za 100 USD, których każdy może słuchać.

2) OsmocomBB obsługuje tylko jedną rodzinę chipów (aczkolwiek najpopularniejszą).

3) Metoda określania lokalizacji przez zapytania do HLR i wyliczanie LAC działa raczej w teorii niż w praktyce. W praktyce atakujący albo wie, gdzie fizycznie znajduje się ofiara, albo nie może dostać się do tej samej celi co ofiara. Jeśli atakujący nie może słuchać tej samej komórki, w której znajduje się ofiara, metoda nie działa. W przeciwieństwie do wersji demonstracyjnej, w rzeczywistości w LA o średnim obciążeniu są tysiące komunikatów przywoławczych. Ponadto przywoływanie nie działa w momencie wysyłania, ale w określonych oknach czasowych i w partiach (zgodnie z grupami przywoławczymi z własnymi kolejkami, których liczba jest resztą z dzielenia IMSI przez liczbę kanałów, które mogą być różne w każdej komórce), co ponownie komplikuje implementację.

4) Powiedzmy, że LA zostało znalezione. Teraz musimy „poczuć” odpowiedź subskrybenta. Nadajnik telefonu ma moc 1-2 watów. W związku z tym zeskanowanie go z odległości kilkudziesięciu metrów to również zadanie (niełatwe). Okazuje się paradoks: LA obejmuje np. cały region (miasto). Mieści się w nim na przykład 50 ogniw, z których część ma zasięg do 30 km. Próbujemy złapać i rozszyfrować promieniowanie na antenie dookólnej. Aby wykonać to zadanie w tym przykładzie wykonania, potrzeba dużo sprzętu. Jeśli wyjdziemy z przesłanki, w której ofiara znajduje się w bezpośredniej linii wzroku, tj. odległość, z której przechwytywanie wygląda bardziej realistycznie, znacznie skuteczniejszy i prostszy mikrofon kierunkowy. Należy zauważyć, że podczas demonstracji naukowcy przechwytują swoje telefony z odległości 2 metrów.

5) Ruch ofiary między komórkami również powoduje problemy, ponieważ trzeba też się z nim poruszać.

8) Słuchanie całej sieci nie będzie działać, musisz znać numer telefonu.

Nie tak dawno temu studiowałem możliwości HackRF do analizy ruchu w sieciach GSM, sygnał synchronizacji urządzenia nieco unosi się, ale w każdym razie wynikiem będzie dostęp do różnych komunikatów systemowych. Ponadto zakładam, że masz zainstalowanego Linuksa z gnuradio i jesteś dumnym właścicielem hackrf. Jeśli nie, możesz użyć live cd, o którym mowa w dziale „Oprogramowanie” na forum. Jest to świetna opcja, gdy hackrf działa od razu po wyjęciu z pudełka.

Najpierw musimy określić częstotliwość lokalnej stacji GSM. W tym celu użyłem gprx, który jest dołączony do live cd. Po przeanalizowaniu częstotliwości około 900 MHz zobaczysz coś takiego:

Możesz zobaczyć stałe kanały na 952 MHz i 944,2 MHz. W przyszłości te częstotliwości będą punktami wyjścia.

Teraz za pomocą następujących poleceń musimy zainstalować Airprobe.

git clone git://git.gnumonks.org/airprobe.git

cd airprobe/gsmdecode
./bootstrap
./konfiguruj
robić

cd sonda powietrzna/odbiornik gsm
./bootstrap
./konfiguruj
robić

Instalacja zakończona. Teraz możemy odbierać sygnał GSM. Uruchom wireshark za pomocą polecenia

Wybierz „lo” jako urządzenie odbiorcze i wybierz gsmtap jako filtr, jak pokazano na poniższym rysunku:

Teraz wróć do terminala i wpisz

cd airprobe/odbiornik gsm/src/python
./gsm_receive_rtl.py -s 2e6

Otworzy się wyskakujące okienko i będziesz musiał wyłączyć automatyczne zbieranie, a także ustawić suwak na maksimum. Następnie jako częstotliwość środkową wpisujemy otrzymane wcześniej częstotliwości GSM.

Wybieramy również wartości szczytowe i średnie w sekcji opcji śledzenia, jak pokazano poniżej:

Zobaczysz, że tylko prawidłowy sygnał sekwencji (niebieski wykres) wychodzi miejscami poza wartość szczytową (zielony wykres), co wskazuje, że jest to kanał stały. Teraz musimy rozpocząć dekodowanie. W oknie kliknij środek tego samego skoku częstotliwości. Mogą pojawić się błędy, ale jest to normalne. Zacząłem zbierać dane w ten sposób:

Teraz możesz zauważyć, że dane GSM przychodzą do wireshark. Jak wspomniałem na początku artykułu, sygnał zegara płynie, więc trzeba klikać na obwód, aby utrzymać ustawioną częstotliwość. Jednak program działa całkiem dobrze. Jakkolwiek zabawnie to brzmi, owinięcie hacka rf w ręcznik (lub podobny) zwiększy stabilność termiczną sygnału zegara i zmniejszy rozprzestrzenianie się. Sama metoda prawdopodobnie nie okaże się zbyt użyteczna, ale myślę, że przynajmniej pokazuje ogromny potencjał HackRF.

Przechwytywanie GSM
*GSM 900* Przechwycenie
Produkt *GM* jest przeznaczony do odbierania i przetwarzania sygnałów
standard GSM-900, 1800 zarówno przy braku, jak iw obecności kryptoprotekcji
(algorytmy A5.1 i A5.2).
„GM” umożliwia:
- sterować bezpośrednim sterowaniem lub kanałem głosowym (promieniowanie
zasady)
- monitorować sterowanie zwrotne lub kanał głosowy (promieniowanie
rurki)
- skanuj wszystkie kanały w poszukiwaniu aktywnych w danej lokalizacji
- skanuj kanały selektywnie i ustawiaj czas ich ponownego skanowania
- zorganizuj słuchanie od końca do końca
- organizować selektywne słuchanie według znanych TMSI, IMSI, IMEI,
Numer AON, Ki.
- automatycznie nagrywaj rozmowę na dysku twardym
- kontroluj rozmowę bez nagrywania
- wyszukaj aktywnego abonenta (dla kanałów otwartych)
- naprawić numer wybierany przez abonenta komórkowego
- naprawić numer telefonu dzwoniącego na urządzeniu komórkowym (jeśli
włączony system identyfikacji dzwoniącego)
- wyświetl wszystkie rejestracje w kanale
Produkt zawiera dwa kanały odbiorcze - do przodu i do tyłu.
W przypadku braku ochrony kryptograficznej *GM* może działać w dwóch trybach:
- wyszukaj aktywnego abonenta mobilnego.
W obecności ochrony kryptograficznej tylko w trybie
- kontrola kanału kontrolnego stacji (do przodu i do tyłu);
Podczas monitorowania kanału kontrolnego stacji, *GM* określa, co następuje
parametry dla każdego połączenia:
- IMSI lub TMSI (w zależności od trybu pracy sterowanego
mojej sieci, sygnały te są transmitowane przez stację bazową);
- IMEI (na żądanie stacji bazowej i gdy energia

Dostępność abonenta telefonii komórkowej, ponieważ promieniowanie jest stałe
rurki);
- wybierany numer (podczas łączenia inicjowanego przez telefon komórkowy
abonenta i jego dostępnością energii, gdyż w tym przypadku
promieniowanie rurowe);
- Numer ANI (jeśli jest nadawany przez stację bazową).
W trybie wyszukiwania aktywnego abonenta każde następne połączenie jest monitorowane.
mieszanina. W tym trybie *GM* stale skanuje cały zasięg i
po wykryciu aktywnego abonenta przechodzi w tryb sterowania (oczywiście
czy abonent aktualnie rozmawia, ponieważ urządzenie włącza nadajnik
tylko na czas rozmowy). Jeśli to konieczne (jeśli ta rozmowa nie jest
zainteresowany) operator może zresetować tryb sterowania, a „GM” ponownie przejdzie do
w tryb skanowania, aż znajdzie innego aktywnego rozmówcę. Tryb
wyszukiwanie aktywnego abonenta jest wskazane podczas utrzymywania. W
*GM* nie wykrywa identyfikatorów abonentów w tym trybie pracy!
Podczas monitorowania kanału sterującego stacji bazowej możliwe są dwie opcje
Pracuje:
- w trybie przelotowym
- w trybie wyboru funkcji
W trybie end-to-end pierwsza dostępna rozmowa w
monitorowanej komórki i wyświetlane są wszystkie rejestracje. Jeśli podano
rozmowa nie jest interesująca, wtedy sterowanie można przerwać naciskając przycisk
Przerwa.
W trybie selekcji tylko połączenia z zadanym
TMSI, IMSI, IMEI, numer ANI lub wybrany numer. Lista wyboru
zawiera do 200 identyfikatorów. W przypadku sterowania kanałem zamkniętym
wybór trybu kryptograficznego odbywa się zgodnie ze znanym Ki, co pozwala
jednoznacznie identyfikować abonenta bez podawania TMSI, IMSI lub IMEI.
Lista wyboru obejmuje do 40 abonentów.
*GM* wykonany jest w formie monobloku o wymiarach 450x250x50 mm. Kontrola
praca *GM* odbywa się z zewnętrznego komputera PC (istnieje możliwość podłączenia
laptop) przez port szeregowy RS-232.
W zestawie urządzenie z oprogramowaniem,
umożliwiające odczyt parametru Ki z karty SIM, odczyt odbywa się w
w ciągu 10 godzin.
*GM* zasilany z sieci prąd przemienny 220 V. Więc
Napięcie stałe 12 V, na przykład z sieci pokładowej samochodu.
Na zamówienie istnieje możliwość wykonania kanałów w zakresie 1800 MHz i 450 MHz.

Skróty i oznaczenia
TMSI - tymczasowy identyfikator (numer) abonenta sieci komórkowej
IMSI — międzynarodowy identyfikator abonenta mobilnego
IMEI — międzynarodowy numer identyfikacyjny sprzętu
mobilny
stacje
Ki – indywidualny klucz uwierzytelniający abonenta
1. Kompleks przystosowany jest do odbioru sygnałów z systemu TTT.
2. Kompleks posiada dwa kanały odbiorcze i przetwarzające - jeden w górnym i jeden w dolnym zakresie pasma.
3. Kompleks zapewnia strojenie do dowolnego ze 124 możliwych kanałów sterowania.

4. Podczas działania kompleksu możliwe są dwa tryby:
- bez wyboru;
- z wyborem.
Tabela wyboru może zawierać do 40 identyfikatorów.
Identyfikator składa się z IMSI i IMEI (można podać tylko IMSI lub tylko IMEI).
Kompleks dokonuje selekcji za pomocą IMSI, IMEI i TMSI. Wybór przez TMSI po włączeniu kompleksu
udzielane dopiero po otrzymaniu polecenia z danym IMEI lub IMSI.
Uwaga! IMEI - numer identyfikacyjny słuchawki (określany przez producenta). IMSI -
międzynarodowy numer identyfikacyjny abonenta (zapisany na karcie SIM). Ogólnie rzecz biorąc, nie ma bezpośredniego
korespondencja z numerem miasta abonenta. Tabela korespondencji jest ustalana przez operatora (firmę wydającą
rurki).
5. Zapewniona jest identyfikacja numeru wychodzącego.
6. Trwa opracowywanie trybu przekazania.
7. Przetwarzanie zgodnie z algorytmami A5 nie jest zapewnione.
8. Kompleks jest kontrolowany przez program Windows za pośrednictwem portu szeregowego.
9. Rejestrację można przeprowadzić zarówno na magnetofonie, jak i na sound blasterze.
10. Po włączeniu zasilania kompleks przełącza się w tryb wyszukiwania aktywnego abonenta. Po jego odkryciu
kompleks przechodzi w tryb odbioru. Zapewniony jest reset abonenta. W tym trybie sterowanie
nie wymaga komputera. W tym trybie identyfikatory abonentów nie są ustalane.
Po uruchomieniu programu sterującego kompleks przełącza się w tryb sterowania określonym kanałem
zarządzania (zapewnione jest wykonanie punktów 3 ... 5).

KRÓTKI OPIS SYSTEMU.
Powszechne stosowanie systemu rozpoczęło się w 1993 roku wraz z utworzeniem MTS i
uzyskanie pozwolenia na korzystanie z zakresu 890 – 915 MHz i 935 – 960 MHz bez 10 MHz,
przeznaczone do pracy radaru.
Według otwartej prasy jest ich obecnie od 180 000 do 220 000
użytkownicy. Według wskaźników ekonomicznych system jest dość drogi, a jego użytkownicy, jak np
z reguły istnieje warstwa społeczeństwa należąca do tzw. klasy średniej (przynajmniej).
Fakt ten stworzył przesłanki i potrzebę wypracowania środków kontroli nad informacją,
system krążący w sieci.
Standard ten stał się powszechny na obszarach o dużej gęstości zaludnienia.
System jest obecnie wdrożony i działa w następujących miastach:
- MOSKWA;
- SANKT PETERSBURG;
-SAMARA;
- TOLIATTI;
- ROSTOW-NAD-DONEM;
- KALUGA;
- SEVERODWIŃSK;
- MURMAŃSK;
- SMOLEŃSK;
- TULA;
- PSKOW;
- RYAZAN;
- WŁADIMIR;
- ARKHANGELSK;
- PETROZAWODZK.
- KIJÓW
- DNIEPROPETROWSK
- DONIECK
- ODESSA
Kończy się też wprowadzanie systemu w niektórych innych miastach, np. w Jarosławiu.
Standard zapewnia automatyczny roaming z około 58 krajami świata.

Do zalet systemu należy cyfrowa metoda transmisji danych, duża liczba
jednoczesna obsługa abonentów, trudność tworzenia bliźniaków (klonowanie karty SIM), wygoda
działanie abonenckie, możliwość identyfikacji skradzionych urządzeń podczas korzystania z legalnych kart SIM i
itp.
Powyższe czynniki zadecydowały o możliwości stworzenia kontroli.
PODSTAWOWE ALGORYTMY DZIAŁANIA KOMPLEKSÓW.
Algorytmy przetwarzania ruchu radiowego zapewniają najbardziej kompletny i wysokiej jakości dostęp do
informacji krążących w sieci, a także pozwalają zwiększyć możliwości kompleksu kiedy
nowe standardy bez zmiany podstawowych oprogramowanie dodając dodatkowe
moduły. Należą do nich np. planowane wprowadzenie wokodera wspomagającego mowę,
transmisji danych i faksów. Podczas próbnej eksploatacji kompleksu możliwe jest dopracowanie
tryby dla określonych zadań użytkownika.
Kompleks jest używany w wersji stacjonarnej i mobilnej.
TRYBY PRACY.
(podstawowy zestaw dostawy)
Tryb skanowania pozwala określić widzialne częstotliwości stacji bazowych w punkcie stojącym, jak również
podstawowe ustawienia sieciowe. W trakcie pracy zapewniony jest wybór czasu na analizę określonej częstotliwości i
analizowany jest tryb pracy kanałów sterujących. Ten tryb zapewnia optymalne
otrzymać konfigurację ścieżki. Wybraną konfigurację można wczytać lub zapisać w locie.
Tryb skanowania ręcznego nr 1 zapewnia automatyczne wykrywanie załadowanych kanałów
widoczne częstotliwości ze wskazaniem obecności aktywności. Pozwala operatorowi wybrać, który aktywny
szczeliny mowy. Jeśli w strefie widoczności radiowej znajduje się abonent, zapewnia odbiór dwukierunkowy.
Ręczny tryb wyszukiwania nr 2 zapewnia automatyczne dostrajanie do widzialnych częstotliwości z
zatrzymać się na aktywnych szczelinach częstotliwości i utworzyć do czterech dupleksów w trybie end-to-end
maszyna. Gdy aktywny kanał jest wyłączony, automatyczne skanowanie jest kontynuowane. Możliwość kontynuacji
skanowanie za pomocą poleceń operatora. Ten tryb pozwala naprawić negocjacje w maszynie
w przypadku nieobecności lub obecności operatora maksymalnej możliwej liczby kanałów. Stosowany głównie do
mała aktywność ruchu, na przykład, gdy w nocy nie ma operatora lub gdy jest ich niewielu
widoczne częstotliwości. Zapewnia odbiór dupleksowy w obecności tego ostatniego w strefie widoczności radiowej.
Tryb pracy według tymczasowych numerów pozwala na wybrane kanały sterowania (nie więcej niż sześć)
zapewnić automatyczne dostrajanie do tymczasowych numerów abonentów ze statystykami i przy wyborze
zainteresowany abonent zgodnie z otrzymanymi informacjami lub podczas ponownej rejestracji w sieci podczas pracy
wersja mobilna, wprowadź ją do bazy danych i stale monitoruj z ciągłym monitoringiem.
Prawdopodobieństwo stałej kontroli zależy od liczby częstotliwości podziału (przy 10-12 prawdopodobieństwo
wynosi 80%), a także od prędkości poruszania się (do 80 km/h zgodnie ze standardem używanego sygnału).
Dodatkowy zestaw dostawczy.
Tryb określania energii nr 1 zapewnia określanie dostępnej energii
wyznaczanie częstotliwości aktywnych i wydawanie wyniku operatorowi na jego polecenie,
ustawienie kanału do odbioru z jednoczesnym odbiorem dupleksowym. Liczba kanałów odbiorczych - do czterech
dupleks.
Tryb określania energii nr 2 zapewnia określanie dostępnej energii
abonentów w zasięgu urządzeń przenośnych. Umożliwia podanie zakresu automatycznego skanowania
wyznaczanie aktywnych częstotliwości i automatyczne dostrajanie do aktywnych slotów z fiksacją negocjacji. Przez
Po zakończeniu sesji autokontrola jest kontynuowana.
Wraz z wersją rozszerzoną dostarczany jest moduł, który pozwala określić i zidentyfikować, kiedy
obecność urządzenia przenośnego w strefie widoczności radiowej, numer abonenta stacjonarnego lub mobilnego, kiedy
połączenia w kierunku stacji bazowej, a także podczas mijania Numery IMEI dokonać identyfikacji
abonent.
Regiony w Rosji, w których abonenci MTS mogą korzystać z usług komunikacyjnych:
(dane z 6 kwietnia)
1. MTS
Moskwa, obwód moskiewski, Twer, obwód Twer, Syktywkar, Ukhta, Kostroma, Republika Komi.
2. Rosyjska firma telefoniczna (RTK) - podłączona do przełącznika MTS

Włodzimierz, obwód władimirski, Kaługa, obwód kałuski, Psków, Ryazan, obwód riazański, Smoleńsk,
Obwód smoleński, Tula, obwód Tula
3. Poleć
Orzeł, Lipieck.
4. Telekomunikacja Tambowska
Tambow, Miczurinsk.
5. Roaming krajowy
Miasto, operator Obszar usług
1. Petersburg
Północno-zachodni GSM
(250 02)
Archangielsk,
Wołogda,
obwód leningradzki.,
Murmańsk,
Nowogród Wielki,
Pietrozawodsk,
Siewierodwińsk,
Czerepowiec
2. Samara
INTELIGENTNE
(250 07)
Karakuł,
Togliatti,
Ufa
3. Rostów nad Donem
Dontelecom
(250 10)
Azow,
Taganrog
4. Krasnodar
Kuban GSM
(250 13)
Adler, Anapa,
Gelendżyk,
Klawisz skrótu,
Dagomys, Yeysk,
Łazariewskaja, Matsesta,
Krasnaja Polana,
Dinskaya, Noworosyjsk,
Tuapse, Soczi,
Timaszewsk, Temryuk,
Krymsk, Chosta
5. Jekaterynburg
Uraltel
(250 39)
6. Niżny Nowogród
NSS
(250 03)
(!!! Do komunikacji wychodzącej potrzebujesz
dostęp międzynarodowy)
7. Stawropol
Zostań TeleSotem
(250 44)
Essentuki,
Niewinomisk,
Kisłowodzk,
Piatigorsk,
Woda mineralna
8. Nowosybirsk
CCC 900
(250 05)
9. Omsk
Systemy komunikacji mobilnej
(250 05)
10. Surgut
Ermak RMS
(250 17)
Langepas,
Niżniewartowsk,
Megion,
Chanty-Mansyjsk,
Nieftiugańsk
11. Chabarowsk
Daleki Wschód komórkowy
systemy-900
10
(250 12)
12. Kaliningrad
EXTEL
(250 28)
Roaming międzynarodowy
Operatorzy krajowi
1. Austria 1. MobilKom
2. maksymalna mobilność. Usługa telekomunikacyjna
3. POŁĄCZ
2. Australia 4. Telstra
3. Azerbejdżan (WNP) 5. Azercell
4. Andora 6. STA
5. Bahrajn 7. Batelco
6. Belgia 8. Belgacom Mobile
9 Mobistar S.A.
7. Wybrzeże Kości Słoniowej 10. SIM
8. Bułgaria 11. MobilTel AD
9. Wielka Brytania 12. Vodafone Ltd.
13. Sieć komórkowa
14. Pomarańczowy GSM-1800
10. Węgry 15. Westel 900 GSM Mobile
16. Pannon GSM
11. Niemcy 17. DeTeMobile (D-1)
18. Mannesmann Mobilfunk (D-2)
12. Grecja 19. Panafon SA
20. STET Hellas
13. Gruzja (WNP) 21. Geocell
22 Magticom Sp
14. Hong Kong 23. Hong Kong Telecom CSL
24. Hutchison Telephone Comp.
25. Komunikacja mobilna SmartTone
15. Gibraltar 26. Gibtel
16. Dania 27. Sonofon
28 TeleDanmark Mobil A/S
17. o. Jersey 29. Telekomunikacja w Jersey
18. Włochy 30. TYM
31. Omnitel Pronto Italia S.p.A.
19. Islandia 32. Lands siminn
33.TAL
20. Hiszpania 34. Airtel Movil, SA
35. Telefonica Moviles
21. Indonezja 36. Satelindo
37. PT Excelcomindo Pratama
38. Telkomsel
22. Irlandia 39. Aircell
40. Esat Digifone
23. Cypr 41. CYTA
24. Chiny 42. Telekomunikacja w Chinach
25. Łotwa 43. LMT
44. Baltcom GSM
26. Litwa 45. Bite GSM
46. Omnitel
27. Liban 47. LibanCell
48. FTML S.A.L.
28. Luksemburg 49. P&T Luksemburg
50. Tango
29. o. Maine 51. Manx Telecom Ltd.
30. Makau 52. WZT
31. Macedonia 53. GSM MobiMak
11
32. Mauritius 54. Cellplus
33. Malezja 55. Celcom
34. Malta 56. Telecell Limited
57 Vodafone Malta
35. Mołdawia 58. Voxtel
36. Norwegia 59. Telenor Mobil AS
60. NetCom GSM as
37. Nowa Zelandia 61. BellSouth Nowa Zelandia
38. Holandia 62. Libertel B.V.
63. Telekomunikacja KPN
64. Telfort
39. ZEA 65. Etisalat
40. Portugalia 66. Telecel
67.TMN
41. Polska 68. Polska Telefonia Cyfrowa (ERA)
69. Polkomtel S.A.
70. Centertel GSM-1800
42. Rumunia 71. MobilFon SA
72. Mobilny rzym
43. USA 73. Wszechpunkt
44. Singapur 74. SingTel Mobile (GSM 900/1800)
75. Telefon komórkowy
45. Słowacja 76. Globtel
77. EuroTel Bratysława
46. Słowenia 78. Mobitel
47. Tajlandia 79. Zaawansowana usługa informacyjna (AIS)
48. Tajwan 80. Chunghwa Telecom LDM
81.GSM PCC
82. Daleki Wschód
83Mobitai Communications Corp.
49. Türkiye 84. Telsim
85. Turkcell
50. Uzbekistan 86. Coscom
51. Ukraina 87. UMC
88. Kijówstar
89.URS
52. Finlandia 90. Oy Radiolinja Ab
91. Sonera
53. Francja 92. SFR
93 France Telecom
54. Chorwacja 94. HPT
55. Czechy 95. EuroTel Praha
96.Radiomobil
56. Szwecja 97. Europolitan AB
98 Comviq GSM AB
99 Telia Mobile AB
57. Szwajcaria 100. Swiss Telecom PTT
58. Sri Lanka 101. MTN
59. Estonia 102. EMT
103. Radiolinja Eesti
104. AS Ritabell
60. Jugosławia 105. Mobtel *Srbija* BK-PTT
106. ProMonte (Czarnogóra)
61. Republika Południowej Afryki 107. MTN
108. Vodacom (Pty) Ltd

Można go zamówić!
Wyciągnij własne wnioski.

Wskazówki komputerowe dla początkujących użytkowników