13:13
24/12/2014

Użytkownik wykopu o nazwisku “cierkawski” przedstawił opis budowy IMSI Catchera własnej konstrukcji, który został oparty o USRP (programowalne radio), wzmacniacz GSM oraz oprogramowanie OpenBTS.

IMSI Catcher zbudowany domowym sposobem

O IMSI Catcherach (tzw. jaskółkach/płaszczkach) pisaliśmy już wiele razy. Urządzenia te są głównie wykorzystywane przez służby specjalne w celu identyfikacji i namierzania konkretnej osoby (tryb pasywny) bądź podsłuchiwania (albo modyfikowania) połączeń z jej telefonu komórkowego; zarówno fonii jak i danych (tryb aktywny).

Zabawki te są drogie i oficjalnie nabywać mogą je tylko odpowiednie służby. Ale jak pokazuje czytelnik Wykopu, IMSI Catchera można zbudować sobie samodzielnie (za kwotę poniżej 10 000 PLN).

Sieć GSM "cierkawskiego" z podpiętym testowym telefonem (widać numer IMSI)

Sieć GSM “cierkawskiego” z podpiętym testowym telefonem (widać numer IMSI)

Projekt, jak pisze “cierkawski“, powstał ponieważ zawsze chciał on móc zadzwonić do osoby przebywającej obok niego bez znajomości jej numeru telefonu.

Pomysł narodził się, kiedy stałem pewnego razu na przystanku autobusowym, a obok mnie była bardzo ładna dziewczyna. Wstydziłem się do niej odezwać i zapytać o numer telefonu. Wiecie #tfwnogf.
Gdybym posiadał wtedy takie urządzenie, to mógłbym do niej wysłać SMSa lub zadzwonić.

Cierkawski pokazuje działanie swojej sieci GSM na poniższym filmiku:

Na kolejnym filmiku Cierkawskiego widać jak problematyczne niekiedy (bez odpowiedniego zagłuszenia sygnału) jest wymuszenie przepięcia danego telefonu na “fałszywy” nadajnik:

Jeśli interesuje was dlaczego od strony technicznej takie ataki są możliwe (bo przecież możnaby było wymuszać szyfrowanie, możnaby wprowadzić obowiazek weryfikacji tożsamości BTS, itp.) to polecamy lekturę artykułu pt. To przez Brytyjczyków mamy słabe GSM.

Wszystkim pasjonatom przypominamy, że rozłaszanie swojej sieci na częstotliwościach operatorów GSM może wpędzić was w kłopoty. Zwłaszcza, jeśli przejmujecie w ten sposób urządzenia innych osób — klasycznym problemem, który przywołuje literatura, poza oczywistym szpiegowaniem i podsłuchiwaniem, jest także uniemożliwienie takim osobom wykonania połączenia alarmowego w sytuacji zagrażającej życiu.

openbts2

Cierkawski na swoim filmiku ujawnił numery IMSI i kilka numerów telefonów (por. OPSEC). Pewnie niebawem okaże się, czy były one kupione gotówką, czy kartą ;)

PS. Aby sprawdzić, czy wokół was nie działa taki “cierkawski”, wyposażcie się w tę aplikację do wykrywania fałszywych sieci GSM.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. ,,Pomysł narodził się, kiedy stałem pewnego razu na przystanku autobusowym, a obok mnie była bardzo ładna dziewczyna.”

    Hehe… Nie ma to jak inspiracja kobietami :)

  2. Pierwszy testowy telefon w PTC, kolejne podłączone 5 razy Polkomtel, następnie P4.

  3. hehe, ta historyjka z przystanku niesamowicie pasuje mi do wykopu

  4. Jak się robi coś tak fajnego z 3310? Chyba odłożę smartfona do szuflady i będę sprawdzać moce sieci.

    • W ogóle kiedyś to były piękne czasy – niecały 1000 mAh i telefon trzymał tydzień, teraz u mnie 2500 mAh ledwo na dobę wystarcza. (chociaż nie narzekam, nie posądzajcie mnie o to – mój Nexus robi jakieś 1000 razy więcej niż stara Nokia, jestem tego świadomy)

    • Netmonitor zapewne :)

  5. Wytłumaczcie czemu w tytule jest “(no prawie)”? Co temu rozwiązaniu brakuje by nazwać je IMSI catcherem?

    • Podejrzewam, ze komputer musialby sie jeszcze łączyć (np przez wifi) z dodatkowym telefonem, ktory (będąc podlaczonym do innego BTSa) posredniczylby w wykonywaniu żądań przechwyconych telefonow, tak by nie mogly one łatwo zorientowac sie, ze cos jest nie tak. Tzn jasne wysylane smsy czy nawiazywane rozmowy bylyby z innego numeru telefonu no ale w przypadku smsów można dodawac automatycznie tekst “wyslano z bramki sms”, a w przypadku dzwonienia mozna by ukryc numer co w prosty sposob zwiekszyloby mozliwosci tego projektu.

  6. Przedstawiony w filmie USRP kosztuje jedyne 6500 zł.

    • To samo można zrobić z bladeRF, za $420+przesyłka.

    • Jeszcze taniej można spróbować budowy przy pomocy HackRF.
      http://greatscottgadgets.com/hackrf/

      Koszt zakupu np. w sklepie niemieckim to 299Euro (we Francji 10 Euro taniej).

      Przy pomocy Asteriska można zbudować OpenBTS.

      Do siego Roku echo date(‘Y’, strtotime(“now + 1 year”)); !!!

    • Do mojego komentarza powyżej: jednak nie można zbudować OpenBTS (half-duplex) . Oczywiście IMSI Catchera również.

  7. Kiedy zobaczyłem tytuł natychmiast zabrałem się do czytania, bo myślałem że zobaczę coś ciekawego. Tymczasem, zamiast oczekiwanego przezroczystego catchera, zobaczyłem małego, prywatnego BTSa skonfigurowanego do pracy na komercyjnym kanale. Jedyna różnica w porównaniu z tym co jest opisane w jednym z wielu FAQ dostępnych na sieci to to, że dysponuje o wiele większą mocą niż gołe USRP z doczepioną anteną.
    Zrobienie prawdziwego catchera, potrafiącego niezauważenie podszyć się pod rzeczywisty BTS i w dalszym ciągu umożliwić korzystanie z telefonu jest o wiele trudniejsze, ale myślę że powinno dać się zhackować OpenBTS czy YateBTS żeby podłączyć dwa radia i skonfigurować prawie przezroczysty routing pomiędzy nimi.

  8. Nie można wykonywać połączeń :)

  9. Zadziala toto z hackRf One? Potrzebny fullduplex?

    • Z hackRF nie będzie działać. Potrzebny jest full duplex i pełen determinizm (trzeba przestrzegać zależności czasowych).
      A tak swoją droga, to jeśli ktoś chce się bawić w SDR to lepiej zaoszczędzić jeszcze trochę i kupić coś porządniejszego. A jak ma być tanio to RTL dongle ma podobnej jakości odbiornik a kosztuje drobny ułamek ceny hackRF.

  10. Co za koles 0.o Bal sie poderwac fajna mloda inteligentna dupke to zbudowal costam a ona juz jest w domu i jej nie spotka w zyciu -.- rotfl 2015

  11. No faktycznie Polak zbudował na bazie pomysłu hakiera bonzo

    dork:radio programowalne bts kaszuba

    wielkie w0w – polak zbudował

  12. Widziałem kiedyś blok warunkowy w kodzie OpenPBX a w komentrzu widniał nie jaki krzysztof jerzyna ze szczecina – polak wymyślił , taki wniosek, prosty nośny, średnio prawdziwy

    • Nie jaki? I pewnie nie dźwiedź.

  13. To rozwiązanie jak sądzę jest nielegalne. Jakie paragrafy?

    • prawo telekomunikacyjne, brak zezwolenia na nadawanie w danym paśmie.

  14. hackRF to bzdura. Ma tak mala moc wyjściowa, że zasięg jest 3m. Dosłownie 3m. A i dokładanie wzmacniacza nic nie daje, bo płyta nie jest projektowana pod zastosowania GSM.
    Cały sprzęt o przyzwoitym zasięgu możecie kupić na http://maniana.strefa.pl
    i ten sprzęt umożliwia np. wykonywanie rozmów alarmowych, ma pełne wyjście na świat bez dodatkowych telefonów.
    Mam hurtownie w metalowej hali. W środku normalnie nie ma zasięgu sieci komercyjnych. Zainstalowałem ten sprzęt w hali i mam wewnętrzna siec komórkową. Mogę rozmawiać z pracownikami za darmo. Pracownicy mogą tez odbierać rozmowy zewnętrzne i dzwonić na zewnątrz. Żaden operator komercyjny wam tego nie da.
    Ale IMSI catcher, żeby działał tak jak powinien działać IMSI catcher, wymaga dużo więcej sprzętu niż tylko płyta główna.

    • HackRF to nie jest bzdura. Po prostu to nie jest gotowe rozwiązanie do którego podłączasz antenę i masz nadajnik o dowolnej mocy. Praktycznie do każdego radia SDR musisz podłączyć wzmacniasz który da ci na wyjściu moc której potrzebujesz. I zwykle będzie to wzmacniacz o paśmie dużo węższym niż możliwości nadajnika który nim steruje. Ceny bardzo-szerokopasmowych wzmacniaczy mocy zaczynają się od sum czterocyfrowych (w USD) i idą daleko w górę.

      Co nie zmienia faktu że hackRF to tandeta, ale nie dlatego że ma małą moc wyjściowa.

    • Nie wiem jaki jest obecnie status hackRF, ale kilka miesięcy temu nie działał jeszcze z openbts. Mierzyłem natomiast moc wyjściowa i jest to poniżej 1mW.Problem w tym, ze nie da się tego wiele wzmocnić i zasięg nawet 100m jest problemem bo nadajnik zapycha odbiornik. Jest to sprzęt spoza głównego nurtu z marnymi perspektywami rozwoju.

    • hackRF nigdy nie będzie działać z openBTS, to nie ta klasa sprzętu. Dwa radia które wiem że na pewno będą działać to bladeRF i USRP w dowolnej wersji. bladeRF zaczęło działać z openBTS dopiero kiedy chłopaki dodali tagowanie czasem odebranych pakietów i danych do wysłania.
      Wiem że OpenBTS sprawiał trochę kłopotów z bladeRF, ale bardzo ładnie działa YateBTS. Na stronie Yate możesz nawet zamówić gotowe pudełko z bladeRF, jakimś komputerem w środku i wstępnie skonfigurowanym oprogramowaniem.

      Co do mocy to musisz chyba mieś uszkodzony egzemplarz, bo wg pomiarów ludzi z którymi rozmawiałem powinno być jakieś 6-8dBm, a u Ciebie wyszło 0dBm. Jak mierzyłeś tę moc?

    • Fakt, pomyliłem bladeRF i hackRF. Wszystko co pisałem tyczy się bladeRF.
      hackRF jest half duplex, nigdy nie będzie działać z openbts-em i temu podobnymi.
      Mam dostęp do profesjonalnego sprzętu pomiarowego i nawet 0dBm jest ciężko wyciągnąć z bladeRF (mowie tu o sygnale GSM a nie CW, dla CW to na niskich częstotliwościach da się wycisnąć te 6dBm, ale na wyższych można tylko pomarzyć). Ale tak jak pisze, nic rozsądnego się z tej płyty nie da zrobić, nawet dodając wzmacniacz. Przeszło przez moje ręce setki zestawów do amatorskich stacji GSM i tak naprawdę najlepsze były te pierwsze: USRP1 (z przeróbkami). Potem B100 od ettusa było w miarę rozsądne. Ale w tej chwili nie ma tak naprawdę przyzwoitej płyty do Openbts-a. Koala jest bardzo przyzwoitym sprzętem, ale też nie jest perfekcyjna. Perfekcyjny sprzęt nigdy nie będzie w przedziale cenowym dla amatorów.

    • A mierzyłeś moc średnią czy szczytową? Bo jak średnią to nic dziwnego że wyszło Ci tak mało przy sygnale modulowanym impulsowo. W szczycie modulacji moc powinna być zbliżona do średniej mocy CW.
      BladeRF jest zbudowana w oparciu o LMS6002D, który został zaprojektowany jako transceiver do budowy stacji bazowych telefonii 3G. Tyle że do wyjścia nadajnika trzeba podłączyć wzmacniacz, i to raczej co najmniej dwustopniowy (końcówka mocy i przedwzmacniacz do jej wysterowania).
      Wiadomo że sprzęt amatorski nigdy nie zbliży się jakością do specjalistycznego sprzętu profesjonalnego, którego ceny są o kilka rzędów wielkości wyższe. Ale taką cenę płacisz za taniość sprzętu, i za jego uniwersalność.

  15. Można sporo taniej: http://dangerousprototypes.com/2013/01/01/29c3-further-hacks-on-the-calypso-platform/
    Nieco okrojona wersja BTS, ale działa, i to w half-duplex. Sprzęt też nie jest drogi, a “najtrudniejsze” jest przerobienie filtrów.

  16. Do zabawy można wykorzystać nanoBTS (czasami widywany na e-bay) albo niemiecki SysmoBTS. To nie jest tanie hobby, bo nowy BTS o mocy rzędu 10W kosztuje 2500 – 3000 Euro ale jeśli ktoś bardzo chce, da się.

    • Hobby nie jest tanie i do kłopotów może zaprowadzić, bo w PL nielegalne są nawet wzmacniacze GSM, które w wielu miejscach są bardzo przydatne. W UK Vodafone oficjalnie sprzedaje miniaturowy BTS podłączany do łącza xDSL i rozgłaszający sygnał Vodafone (widocznie Vodafone jest świadomy problemów z zasięgiem w pewnych rejonach kraju). Oczywiście zakazują używania tego sprzętu poza UK (jest przed tym zabezpieczony, najwidoczniej wykrywa kraj po IP sieci do której jest podłączony).

      W każdym razie taka zabawa skończy się, gdy ludzie zgłoszą kłopoty z telefonami i naślą policję. Zapewne Cierkawski jest tego świadomy i przeprowadza eksperymenty na własny użytek i nie w bloku, co widać gdy na filmiku wspomina o złapaniu telefonów na sali obok (bo w bloku już byłoby po nim, ludzie zauważyliby nienormalne zachowanie telefonów). Sprzęt nie jest też (na szczęście) zbyt przenośny.

      Jestem laikiem i zastanawiam się, czy tego typu sprzęt da się wykorzystać do ochrony przed wyciekiem informacji np. utworzyć własną sieć na terenie firmy i mieć kontrolę nad tym, co jest wysyłane z telefonów. W miejscach, gdzie jest dużo tajnych danych a jednocześnie trudno całkowicie zabronić używania telefonów (choć do newralgicznych pomieszczeń czy na poufne negocjacje blokuje się wnoszenie telefonów, bo jak wiadomo mają one kamerę) taka własna sieć mogłaby być przydatna. Sam projekt jest dość ciekawy, jednak jego używanie legalne niestety nie jest.

  17. Takie zabawy nie są i nie będą legalne poza ekranowanym laboratorium, co nie znaczy, że ludzie nie będą zgłębiać tego tematu.
    Na marginesie: nie wszystko, co nielegalne jest złe, chociaż prawie zawsze jest ryzykowne. Gdyby trzymać się ściśle litery prawa trzeba by zapomnieć o wielu intelektualnych rozrywkach, np. reverse engineering. Nie chodzi o to, żeby nie łamać prawa. Chodzi o to, żeby nie szkodzić ani nie stwarzać zagrożenia.
    “Fałszywa” sieć GSmMUMTS jest jakimś pomysłem na kontrolę pracowników ale dość kłopotliwym w realizacji i chyba nierealnym. Mimo wszystko pewniejszy jest zakaz używania urządzeń i wykrywanie działających nadajników telefonów.
    Niektóre insytytucje i agencje wprowadzają dziwaczne zakazy. Np. ABW zakazuje wnoszenia na teren delegatury… nośników danych (w domyśle zapewne nośników nadających się do zapisu: kart pamięci, pendrajwów itp.). Nie zauważyłem, żeby ktoś sprawdzał czy ten zakaz jest przestrzegany.

  18. Mocno mnie zdziwiło że gościu nie zatarł na filmie numerów IMEI i numerów telefonów. Zwłaszcza, że uruchomienie jakichkolwiek nadajników GSM bez zezwolenia jest prawnie zakazane.

  19. Dziwne że na drugim filmiku z nokia 3310 pokazuje kartę sim plusgsm (26001) a w OpenBTS > tmsis ma zalogowany telefon z T-mobile/ERA (26002)?

  20. Polecam nową apkę do wykrywania podsłuchów w telefonach na Androidzie:
    https://opensource.srlabs.de/projects/snoopsnitch

    Nie, to nie jest spam ;)

    • A tak, Karsten Nohl zebrał za nią niezłe brawa na 31c3 :)

  21. http://www.elektroda.pl/rtvforum/topic3185611.html#15566492 I tu już zupełnie.
    Pozdrawiam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.