Все о GSM

с трудами этих авторов не знаком. Посмотрю при случае.
А вот с длиной ключа есть нюанс - на его вскрытие есть не более 65536 (2^16) попыток, Шансы угадать 2^-29

Пожалуйста. Правда не нашел русского перевода...
ShamirBirukov.pdf

Это почему? Для того, чтобы получить Кi не надо обращаться к СИМ-карте. Он получается из анализа принятых пакетов.

Добавлю, что основные идеи, изложенные в статье Шамира и Бирюкова были известны и раньше.
Кстати, в последнее время что-то стал замечать, что материалы о безопасности GSM стали стремительно исчезать из интернета... Вот и Аналоговые Девицы поубирали даташиты от своих комплектов микросхем для GSM...

имхо, материалы о, якобы, небезопасности GSM, отыграны. "Арап сделал своё дело - арап может уйти"....

В смысле?

Как это не надо обращаться к SIM, если Ki хранится в ней?
Что мы будем читать в принятых пакетах, и кто их передаёт?
Если БС, то это запрос аутентификации . На него SIM из полученного от БС триплета, вычисленного в VLR с использованием Кi и RND, вычислит ответ с использованием Ki
В итоге - Вы не знаете ни исходного RND, ни Кi, а получаете только результат. Скажем так, "произведение" двух неизвестных. Одно уравнение с двумя неизвестными...

Можно, конечно, попытаться отправить на SIM запрос, полученный из известных Вам RND' и Ki'.... Не берусь сказать, чем в этом случае, ответит SIM, и ответит ли вообще, но попыток дождаться ответа у Вас всего 65536

Если вы говорите о трафиковых пакетах, они шифруются с помощью Кс. Да, Кс получается с участием Ki....
Задача - из пакета, неизвестного содержания, закодированного неизвестным Кс нужно вычислить этот Кс.
Допустим, можно вычислить, зная что именно передаётся в пакете....
Но как найти нужные пакеты? Установить соединение своей БС и нужной MS. А как узнать её TMSI???
Цикл, однако

В смысле - стимулировали продажи новых аппаратов с "лучшей" защитой, развитие сетей новых поколений с улучшеной защитой.. и в этом духе.

Надо следить за всем - за номерами фреймов, мультифреймов, суперфреймов, гиперфреймов, за процедурой регистрации мобильных станций, запоминать весь трафик, когда накопится достаточное количество пакетов - расшифровывать. Поэтому и нужны многоканальные эффективные приемники. SIM мы не имеем возможности трогать - она в аппарате объекта, а мы слушаем по воздуху. Вот TMSI узнать - это то, с чего мы и начинали этот разговор. Это не совсем тривиально. Можно "на слух" - прослушивать все расшифрованное пока не узнаешь голос объекта, можно послать ему "рекламную" СМС что он выиграл приз, можно скопировать СИМ-карту, можно активную станцию подсунуть и заставить аппарат объекта зарегистрироваться и выдать свой IMSI...

А сколько времени требуется, в среднем, портативному оборудованию перехвата GSM-трафика, чтобы расшифровать собранные пакеты? И каковы производительные мощности такого оборудования в эквиваленте с процессорами настольных ПК?

Сейчас это делается практически мгновенно - менее секунды. Время зависит от производительности компьютера и от того, сколько памяти выделено для построения предрассчитанных таблиц. Чем больше памяти, тем меньше время.

Всё, что дольше таймслота оно само наступит, что за ним следить то? Можно и самому составить из отдельных таймслотов.
Скопировать SIM - всё более проблематично, иных производителей так и вовсё пока никак. Заметим, копировать то надо и Ki.... Сказки про массовое клонирование SIM пусть остаются на совести сказочников.
Ну и подсунуть активную станцию, работающую не только на приём, говорили уже об этом - проблематично само по-себе.

В общем - то тех пор, пока не увижу вживую как это работает - относиться к открытым публикациям на эту тему, по-прежнему, буду с улыбкой...
Ну, а уверовавших разубеждать - дело мало перспективное

А что Вас удивляет? Ну нестоек алгоритм А5/1 к взлому, что в этом такого? А насчет активной станции - это как раз проще, но заметнее. И "дешевые" способы прослушивания как раз и состоят в том, что рядом с объектом находится человек с дипломатом, в котором базовая станция и, фактически, мобильный телефон. Объект регистрируется на базовой станции, далее базовая станция регистрируется в сотовой сети по своей СИМ и транслирует разговор. В результате, если Вы звоните, Вашему абоненту звонок идет не от Вас, а от левой СИМ с закрытым номером. Сами понимаете, что так можно ловить только исходящие звонки, плюс качество плохое - связь часто падает. Но нормальных систем это не касается. Правда, пару лет назад опять был всплеск интереса к активным системам, которые заставляли телефон перейти из 3g в 2g. Но это, опять же, промежуточное решение.

Как взаимодействует несанкционированная BTS с легальной BTS?

Т.е. легальная BTS видит какую-то BTS или мобильные станции, только не абонентов, а генерируемые несанкционированной BTS

Легальная БТС видит нелегальную как несколько мобильных телефонов. И платит за разговоры, кстати, владелец этой нелегальной БТС

Как так?

Нелегальная БТС передаёт данные SIM свои, подменные или данные легальных абонентов?

Если "левая" БТС выдаёт подменнки, то получается можно зарабывать миллионы на услугах связи + можно настроить нечто типа анонимайзера для абонентов. Т.е. они цепляются к несанкционированной БТС и дальше их идентификационные данные заменяются, что делает их анонимами для оператора связи.

Если, всё правильно понял, то вдобавок можно с помощью "левой" БТС избежать легальному абоненту определения местоположения. Т.е. всё замыкается на "левой" БТС. Все данные об легальных абонентах будут только на ней.

Избежать определения местоположения нельзя, так как телефон должен находиться недалеко от левой БТС. К тому же левая БТС излучаем сигнал на частотах диапазона Down, что в общем-то незаконно и вычисляется на раз.

А левая БТС генерирует коды любого оператора?
Т.е. допустим подключился к левой БТС абонент "МТС", то БТС сможет транслировать его сигнал уже как "Билайн"?

Оператор же не видет легальных абонентов за несанкционированной БТС, и не факт, что все абоненты поключены к левой БТС, может прям рядом вышка другого оператора. Как-то так.

Левая БТС излучает сигнал, что незаконно.

что бы стать по-настоящему левой она должна излучать на законной частоте и обзывать себя законным СId ....
Иначе, телефон "подзащитного" не получит хендовера на неё.
Таким образом, две BTS, вещая на одной частоте, устроят интерференцию и телефон не будет просить хендовер на левую.
Значит, левую нужно подсунуть вместо той правой, чей сигнал в данном месте слаб.
Но, тогда правый BSC через правую BTS будет плохо слышать телефон подзащитного и, вдобавок, с интерференцией от левого телефона....
колизия, однако. BSC решит её в пользу хендовера на другую правую станцию.

Так и делается - выбираются станции, которые далеко.

читайте выше, я добавил про "колизию"
И ещё - станции, которые совсем далеко, не входят в список соседей и подзащитный телефон их не слушает, совсем не слушает.
даже если станция с хорошим сигналом , но с "далёким" СId появится у него под носом, слушать её он не будет

Я не имею ввиду что телефон перепрыгнет на эту станцию по хендоверу - это ничего не даст, так как система не увидит его на другой своей станции. Я говорю о процедуре начальной регистрации в сети. Телефон сканирует все частоты, слушает ВССН, выбирает станции с наиболее сильным сигналом, пытается зарегистрироваться на них. Этой, более сильной, должна оказаться левая станция. Параллельно можно джаммером поддавливать частоты, на которых передается ВССН легальных станций. Причем, если это умный джаммер - который давит импульсами большой мощности только информацию BCCH, то его крайне сложно засечь.

хорошо, принудили подзащитного к повторной регистрации в сети...
Задавили на время BCCH правой сети. Зарегистрировали подзащитного на левой БС...
А как вы его отсортируете из числа других юзеров, точно так же свалившихся в вашу, левую соту? Причём, со всех задавленных соседей свалившихся. По голосу?
плюс к тому - все они, включая подзащитного, останутся без входящей связи, СМС...
Да, решения есть, но без "шнурка" к сети оператора (СОРМ) это баловство или развод.

кстати, один из способов защиты - автоматическая, периодическая отправка СМС самому себе с другого, не засвеченного телефона или из другой сети....
Или не СМС, а "маячков" безопасности, по GPRS, например...
Запатентуйте.
Согласен на жалкие 75% от роялти