9/9/2013
Kilka lat temu pisaliśmy o jammerach GSM — specjalistycznych urządzeniach do zagłuszania sygnału telefonii komórkowej w okolicy. Teraz okazuje się, że nie trzeba wydawać pieniędzy na jammera — wystarczy telefon z serii C1 Motoroli.
Blokowanie rozmów telefonicznych i SMS-ów
Opracowana przez niemieckich studentów technika zagłuszania wynika ze sposobu, w jaki telefon komunikuje się z nadajnikami (BTS-ami) w sieciach 2G GSM. Zanim BTS przekaże do telefonu SMS-a lub rozmowę, “pinga” go (techniczny termin to “paging”) i dopiero po uzyskaniu odpowiedzi przekazuje połączenie. Atak polega na odpowiedzeniu na pinga szybciej niż ofiara (analogia do popularnej techniki ataku w sieciach przełączanych — arp spoofing).
Zagłuszanie rozmów i SMS-ów w akcji
Dzięki atakowi możemy uniemożliwić wykonywanie rozmowy telefonicznej lub otrzymywanie SMS-ów — jamming nie działa jednak na transmisję pakietową i sieci 3G. Ciekawostką, która może jednak niektórych zaskoczyć jest to, że sieci GSM, np. T-Mobile lub AT&T, ciągle wykorzystują właśnie sieć 2G do zestawiania połączeń głosowych i SMS.
Studenci wyliczyli, że potrzebowaliby tylko 11 telefonów, aby wyłączyć możliwość odbierania rozmów lub SMS-ów na terenie Berlina. Zakładając, że BTS pokrywa obszar koła, wyliczone przez studentów 120km^2 odpowiada obszarowi o promieniu ~6km.
Ale to nie wszystko — lekka zmiana w firmware pozwoliłaby studentom nie tylko na zagłuszanie, ale i na przechwytywanie rozmów i SMS-ów!
Ograniczenia ataku
Pewnym ograniczeniem ataku jest jednak to, że jammer może zagłuszać tylko telefony z sieci tylko i wyłącznie tego operatora, do którego sam jest podpięty (w końcu jest to atak na protokół, a nie na medium). Dodatkowo, zaimplementowany przez studentów atak nie przechwytuje danych (SMS-ów, rozmów) a jedynie uniemożliwia ich odbiór.
Atak zrealizowany został na telefonie Motorola C1 poprzez przeflashowanie firmware’u, na podstawie analizy dokumentacji do Vitelcom TSM30, która wyciekła do sieci i pozwoliła na zrozumienie jak działa komunikacja z nadajnikami sieci GSM każdemu, kto chciał się wgryź w kilka open-source’owych projektów.
No cóż, jak niektórzy już żartują, jeśli wysiądą wam rozmowy lub możliwość wysyłania SMS-ów — a jesteście w tej komfortowej sytuacji, że ktoś nie zagłusza wam komunikacji prawdziwym jammerem, tylko przeflashowaną Motką, to zawsze macie możliwość komunikacji pakietowej i przełączenia się na Twittera ;)
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
No, w końcu może GSM zdechnie. Mamy Internet i 3G, a ludzie nadal przepłacają za tą przestarzałą sieć…
CB Radio jest za darmo, a jakoś userów coraz mniej :(
Wiesz, mam nadajnik 3g play na dachu wieżowca po przeciwnej stronie ulicy, jakieś 100m od mieszkania. Jeśli ustawię telefon na 3g rozmowa przerywa i słychać tylko co którąś sylabę; a po przestawieniu się na 2g dźwięk jest krystalicznie czysty. Telefon fabrycznie nowy, już drugi – poprzedni się tak samo zachowywał.
Ano fakt – 3G ma ciekawe ścinki, i to dość często.
@Patryk – CB przegrywa z Yanoskiem i tego typu aplikacjami.
Koledze przedstawiłem telefon tylko na 2G i teraz kolega mi dziękuje bo musi ładować telefon co 5dni, nie jak wcześniej co 2 dni.
GSM pokryje większy obszar nieurbanizowany niż sieć 3G/4G które są projektowane pod miasta.
W Korei Południowej nie ma już od dawna GSM i jakoś nie przerywa rozmów
GSM jest najtańszy do instalacji, do obsługi speecha jest najlepszy (dłuższa historia – kwestia wydajności, mniejszej ilości konwersji, nie potrzeba dodatkowego softu jak przy pakietówce itp.). Więc argument o przepłacaniu jest bezsensowny. Żadnego dostawcy nie stać na rozmieszczenie UMTS’a/WCDMA na całym swoim obszarze zasięgu (zwłaszcza że TE sieci są w stosunku do LTE przestarzałe i powoli zastępowane) Poza tym nie jestem przekonany czy na wszystkich sieciach ten atak zadziała – każdy supplier sprzętu troche inaczej pewne kwestie rozwiązuje – są rozwiązania które takie działania uniemożliwiają – co sprawia że potencjalna blokada za długo nie potrwa. Kolejna sprawa – sieci GSM przewidują blacklistowanie sprzętu (node Eir) – wystarczy zblacklistować taką zmodyfikowaną mobilkę i koniec zabawy. Do tego tego typu atak zakłada że mobilka odpowie szybciej na paging niż wszystkie inne w celi – co jest śmiałym założeniem – dodatkowo ograniczającym miejsce na którym z taką mobilkę się można znajdować. And so on, so on, so on. GSM jest systemem który ma juz całkiem ładną brode – i popsuć go nie aż tak łatwo.
..nie bierzesz pod uwage ze nie wszedzie jest 3G…
Ja osobiscie duzo bym ze nie dal w mojej okolicy.
Tai. Tylko ja często przełączam telefon na tą przestarzałą sieć bo wtedy da się poprawnie rozmawiać. Znika spora cześć problemów z zasięgiem i jakością rozmów. Swoją drogą nie zrozumiałem do końca ataku. Z opisu wynika że nawet jak telefon jest połączony w 3g to rozmowy są realizowane w 2g. Dawno nie czytałem dokumentacji połączeń GSM, ale wydawało mi się że BTS pracuje tylko w jednej technologi (na jednym paśmie) i jeżeli odbiornik (np. telefon) pracuje w 3g to cała komunikacja odbywa się w 3g). Zresztą objawem problemów związanych z przełączaniem jest rozłączanie rozmowy w trakcie przełączania z 3g na 2g i z powrotem telefonu jak ginie, pojawia się zasięg 3g.
Nie tylko zasięg, ale też większa zapotrzebowanie na energie.
3G zżera więcej prądu.
GSM możne i jest “przestarzałe”, ale w stosunku do UMTS ma kilka zalet
– większy zasięg nadajnika, 2G 29km – 3G 8km (z tego co pamiętam)
– mniejsze zużycie baterii w telefonie – na obszarze mocno zabudowanym bateria na GSM wystarcza na 4-6 dni, na UMTS max na 2-3
to, że połączenia są zestawiane na 2G a dopiero później przełączane na 3G lub CDMA to patent stosowany przez wielu, jeśli nie wszystkich operatorów…
“Zanim BTS przekaże do telefonu SMS-a lub rozmowę, “pinga” go i dopiero po uzyskaniu odpowiedzi przekazuje połączenie” – to takie toporne rozwiązanie jest zastosowane? Myślałem, że czujniki parkowania oparte na mikrostykach przyklejonych taśmą klejącą do zderzaka, nie mają szans powodzenia, a tu takie kwiatki?! ;)
Grzegorz – dobrze pamiętasz ;). To że GSM ma lepsze parametry do speecha daje jeszcze jedną ważną rzecz – można dzięki temu droższą i trudniejszą w utrzymaniu infrastrukture 3g przeznaczyć na pakietówkę. Inna rzecz że pakietówka po GSM w sytuacji gdy nie ma innej od biedy daje rade.
Leszek- Co do odbiorników – to troche bardziej skomplikowane – 2g/3g są oddzielnymi sieciami dostępowymi (nie tylko odbiorniki ale stacja nimi zarządzająca) – ale można je na różnych poziomach konfiguracji powiązać. Zalezy też jak jest handleowany handover między 3g i 2g i ogólnie konfiguracja sieci. Znów nie wchodząc w szczegóły – można aktywne połączenie z 2g do 3g i vice versa przekazać – kwestia tak naprawde czy operator chce miec taką opcję u siebie w sieci.
command_dos – Kwestia specyfiki sieci – mobilki nie mają stałego aktywnego połaczenia do stacji bazowej – jedynie nasłuchują – co jakiś czas tylko raportując bądź informując o zmianie położenia pomiędzy obszarami lokalizacyjnymi. Więc stacja bazowa nie wie gdzie i czy nadal dana mobilka która się w danej komórce zarejestrowała jest. “Ping” (pageing) idzie po calym obszarze lokalizacyjnym – w założeniu ma na niego odpowiedzieć tylko mobilka do której jest przeznaczony. Takie rozwiązanie ma jedną bardzo dużą zaletę – bateria w telefonie żyje dużo dłużej, a sam telefon znacznie mniej promieniuje.
kolega z branży?
że tak z ciekawości zapytam, która firma, bo pracowałem jako konsultant w fabryce na postępu/baletach 6 lat…
“co jakiś czas tylko raportując bądź informując o zmianie położenia pomiędzy obszarami lokalizacyjnymi”
a nie jest to tak, że komórka się zgłasza co jakiś czas “HEJ HEJ, JESTEM” a sieć sobie analizuje, robi triangulacje i odpowiada “OK, TWÓJ LAC to xxxxx” (LAC-obszar przywołania, składa się z kilkunastu do kilkudziesięciu BTSów) i jak ktoś dzwoni to w całym obszarze jest przywołanie, a dopiero przy zestawianiu połączenia sieć decyduje, z którym BTSem komórka gada (to na 2G i tak, na 3G może gadać z wieloma naraz)
jako programista rzeczy niezwiązanych bezpośrednio z siecią GSM, ale około niej, takich rzeczy się dowiedziałem :)
Handleowany handover? Wygrałeś pan 2 internety…
oskar :)
handover to inaczej przełączenie się komórki z komunikacji pomiędzy jedną stacją a inną, i co ciekawe, to nie dzieje się z na zasadzie “najmocniejsza” tylko “któreś z możliwych przejść ustawionych przez operatora”
Grzegorz –
Z branży. Ericpol (konsultujemy dla ///). Ja troszke upraszczałem to z raportowaniem – już i tak wchodzimy tutaj mocno w szczegóły które niekoniecznie mają znaczenie dla treści artykułu ;) Twoje wyjasnienie jest znacznie bardziej precyzyjne oczywiście – tam jeszcze trzeba wspomniec o measurementach jakie idą też niekiedy itp. itd. Ale fakt faktem paging idzie od razu dla kilku LAI – czego pod uwagę nie wziąłem – i co w teorii może pozwolić przy tak opisanym ataku zblokowac kilka cellek. Acz ilość zmiennych tutaj jest na tyle duża że nadal nie jestem przekonany na ile to w normalnych warunkach by to zadziałało.
Skąd się wzięła ta wartość “obszaru 120km”?
“wyliczone przez studentów 120km^2 odpowiada obszarowi o promieniu ~6km.”
Też mnie to zastanawiało. Może Ci studenci nie mieli jeszcze wykładów z Matematyki ;)
Dla uproszczenia obliczeń przyjęli, że pi wynosi 5 :-)
Maksymalny teoretyczny zasięg cellki to 120km ;) W praktyce są znaaaaaacznie mniejsze. Podejrzewam że autor chciał nieco dodać dramatyzmu. Do tego 120km max cell range to nie to samo co 120 km kwadratowych tak nieco się czepiając;)
Maksymalny obszar pokrycia 120 km^2? To daje promień nieco ponad 6km, nie pamiętam już zbyt dobrze zajęć z telekomunikacji, ale wydaje mi się że było to znacznie więcej, coś bliżej 30km…
W 2G standardowe celki mają promień ok 35-37km, ew jest możliwość wydłużenia zasięgu 2x pod warunkiem zużycia timeslotów na czas przelotu komunikatu. Więcej standard nie przwiduje. Więc skąd 120km?
Ale to Motka blokuje, nie BTS, więc promień celki nie ma znaczenia, znaczenie ma zasięg transpondera w telefonie. Motka przecież nie sieje z taką mocą jak BTS, studenci założyli że ma zasięg o promieniu ~6km
Proszę bardzo :)
http://www.3gpp.org/ftp/Specs/archive/45_series/45.010/45010-a00.zip
Dobra – źle przeczytałem arta ;) Inna sprawa że 6km to i tak ogromna cellka jak na warunki miejskie….
Marek – nie – maksymalny ZASIĘG. Daje to obszar cellki circa about 2*PI*120 km^2 (minus troche). ;) Inna rzecz że takie cellki primo wymagają specjalnej konfiguracji sieci (żeby obsługiwała Extended Range Cell) no i jak już to raczej w Somalli i na pustyniach się je spotyka. W mieście cellka o zasięgu kilometra jest już całkiem duża (kwestia interferencji, ilości subskrybentów, zakłóceń itp. itd.)
Więc tak – jedna motorola może wyłączyć większą część Somalli z GSM pod warunkiem że znajdzie się wystarczająco blisko nadajnika. Na miasto potrzeba ich jednak kilka więcej.
W tytule jest mowa o OBSZARZE 120km^2, nie o odległości 120km.
P.S. I nie będzie zblacklistowana, i jeszcze pare inych warunków zajdzie.
MT przejrzyj cały wykład tych gości, który (bardzo okrojony) skrót przedstawia artykuł.
Takiej celki nie zblacklistujesz bo pracuje na warstwie już od 1 wzwyż, a cały protokół włącznie z TMSI, IMSI, IMEI itp kontrolujesz softowo, a nie możesz zbanować przeźroczystego telefonu.
Zasięg celki też nie ma znaczenia (choć można go łatwo zwiększyć małym piecykiem) bo cały obszar przywołania blokuje jeden BTS spoofowany przez jedną Motorolę. W tym wypadku 11 bo jedna była za wolna, żeby wydolić na ponad 600 zapytań na minutę a jedna wyrabia 1atak /s. Nie trzeba z nimi paradować po całym mieście i na upartego można zmieniając hardware na dobry FPGA i dobry uc+oscylator zrobić to na jednym telefonie czy sprzęcie typu BladeRF czy jawbreaker. Zwłaszcza, że ilość komórek pada z każdym atakiem bo rozsyłana jest informacja o całkowitym wypadnięciu celki z sieci. Nasłuchujesz wszystko, posyłasz w eter 10 pakietów/sek, a dzieła zniszczenia dokonują skorelowane BTSy na obszarze całego miasta. W tym wypadku bardzo zaludnionego.
Panowie, no nie powiedziałbym, że taki (lub podobny) atak działa tylko w 2G, bo z tego co widzę to mechanizm page request jest taki sam zarówno w GSM jak i w UMTS i LTE.
We wszystkich można zastosować IMSI detach polegający na podesłaniu informacji o wyskoczeniu celki z sieci, co prowokuje stację do redukcji zapytań do rzeczonej, pod którą podszywa się atakujący na tej warstwie, która nota bene nie jest uwierzytelniana.
Autor sam o tym powiedział kilkakrotnie, a podsumował pod koniec wykładu.
ja w plusie, w warszawie nadal ustawiam 2g w telefonie. Mniej zrywa, bo nadajniki 3g sa w wiekszosci miejsc warszawy na “1 kresce”. Niby 3g ma miekie przelaczanie, ale i tak jest fatalnie tutaj, a co dopiero w reszcie polski…
Chodzi również o oszczędność baterii. 2G ze względu na starszy standard jest mniej obciążający baterię od 3G. Nie mówiąc już o zasięgu który dla 3G jest znacznie mocniejszy.
kultura użytkowników CB sama do tego stanu doprowadza, mam na myśli kanał 19.
NSA już dawno o tym wiedziała…
Warto zwrócić uwagę, że ten firmware umożliwia również przejmowanie cudzych SMSów, a docelowo także rozmów, co zaprezentowane jest na drugim filmiku na ich kanale YT.
Do mniejszych miast wystarczą 2-3 telefony (lub jeden mocarny SDR) i można je trzymać w jednym plecaku w zasięgu jednego BTS.
Dziś między godziną 17 a 20 nie mogłem się do nikogo dodzwonić ani nikt do mnie, komunikat “Sieć Zajęta” ;)
PS: Plus
Co wy za głupoty opowiadacie? Na GSM lepsza jakość połączeń? Ja mam zwykle tryb tylko 3G, bo mam prąd w domu, więc telefon naładować mogę, a z moich obserwacji wynika, że korzystając z transmisji danych to właśnie w trybie 2G krócej działa. Jakość połączeń na 3G jest znacznie lepsza – czasem sieć mnie zrzuci na 2G w trakcie połączenia i spadek jakości jest zauważalny, dźwiek jest znacznie mniej wyraźny – na sieci 3G w Playu leci kodekiem HD Voice, nawet jeśli po drugiej stronie go nie ma (co i tak znacznie poprawia jakość, bo straty są tylko po jednej stronie).
Mam Nokię 6310i, 3G mnie nie dotyczy :)
Nie i tyle. Ja chcę dalej korzystać z 6310i.
z 3G jest jeden problem, nie działa :) non stop zrywa
rozmowy, więc ja tam wolę 2G i mam spokój :)
“zawsze macie możliwość komunikacji pakietowej i przełączenia się na Twittera ;) ” ja tam wolę http://minds.com
Do Patryka….
Ludzie odchodzą od CB bo komu chce się krzyczeć “breko – breko” przecież to idiotyczne….
Czy ktos moglby mi pomoc prosze, od jakiegos czasu mam na dupie jakiegos typa z jammerem, bo nie da sie do mnie dodzwonic, zmienialem karte sim na inne to po kilku dniach ta tez przestawala dzialac. Komp przestrzelony (ochrona bezposredniego dostepu do pamieci wylaczona i nie da sie wlaczyc), trojany na telefonach. Z tego co widze to jest to osoba jakies dwa domy dalej – zastanawia mnie tylko jedno, jak to jest mozliwe gdyz inne osoby maja mocny sygnal nawet jesli sa w tej samej sieci a ja mam tylko jedna kreske? Czy psy moga namierzyc tego typka i cos z tym zrobic?