Немецкий программист взломал первичный код шифрования разговоров в GSM сетях

Содержание

Введение
IMSI-ловушки. Что это?
Как это происходит
Анализ данных от диагностического интерфейса
Заключение
Полезные ссылки
Что такое IMSI?
Examples of IMSI numeric presentation[edit]
IMSI analysis[edit]
Home Network Identity[edit]
See also[edit]
WARNING
Что такое IMSI-перехватчик?
Когда появились первые IMSI-перехватчики?
Как IMSI-перехватчики монополизируют доступ к мобильнику?
Ассортимент продаваемых перехватчиков вызывает уважение. А что насчет кустарных поделок?
Могу ли я стать жертвой «случайного перехвата»?
Как IMSI-перехватчик может отслеживать мои перемещения?
Могут ли они слушать мои звонки?
Поиск по сайту
PHP Поиск
Форма определения оператора абонента (MNP)
Статистика по базе данных перенесенных номеров (БДПН)
IMSI, MCC, MNP, PLMN
IMSI (International Mobile Subscriber Identity — международный идентификационный номер подписчика) Последние три цифры Вашего номера IMSI одинаковы с последними тремя цифрами серийного номера, напечатанного на Вашей SIM карте. IMSI — соответствует конкретному абоненту. IMSI 25099… соответствует Российскому(250) оператору Билайн(99).
MCC (Mobile Country Code) — код, определяющий страну,в которой находится оператор мобильной связи, состоит из 3х десятичных цифр. Например, для России он равен 250, США — 310, Венгрия — 216, Китай — 460, Украина — 255, Белоруссия — 257.
MNC (Mobile Network Code) — код мобильной сети (оператора). Он идёт после MCC. Состоит из 2х или 3х десятичных цифр и для каждого оператора он уникален. Используется для сетей GSM, UMTS, CDMA, Tetra. Таблица кодов MCC и MNC для операторов по всему миру.
Коды MCC и MNP и соответствующие им названия страны и оператора доступны с помощью API запросов. Список МСС кодов.
PLMN это код страны + код оператора, т.е. MCC + MNP.
MSIN опознавательный номер абонентской станции — 10 десятичных знаков (для идентификации абонентской станции в пределах сети подвижной связи, к которой она подключена).
LAC (Location Area Code) — код локальной зоны. В двух словах LAC — это объединение некоторого количества базовых станций, которые обслуживаются одним контроллером базовых станций (BSC). Этот параметр может быть представлен как в десятичном, так и в шестнадцатеричном виде.
CellID (CID) — «идентификатор соты». Тот самый сектор базовой станции. Этот параметр также может быть представлен в десятичном, и шестнадцатеричном виде.
MNP API
Для получения информации об операторе абонента мобильной связи используйте следующий API-запрос: http://htmlweb.ru/api/mnp/phone/ТЕЛЕФОН?api_key=API_KEY_из_профиля Если успешно, то возвращается объект содержащий следующие поля: phone — номер телефона, region — Информация о регионе абонента: строка('Неизвестен') или массив ['id','name', …], mnc — mnc код оператора country — страна, например RU oper — Информация об операторе ['id','name','brand','mnc'] message — если есть доп. информация oper_from — id код оператора от кого перенесен, если номер перенесен от другого mobile=true — если данный абонент мобильной связи free=true — если это бесплатный номер типа 8-800 sip=true — данный номер работает по технологии IP-телефонииНапример: https://htmlweb.ru/json/mnp/phone/79185558000 {«status»:200, «phone»:79185558000, «region»:{«id»:49, «name»:»Ростовская область», «okrug»:»Южный федеральный округ», «autocod»:61.161, «capital»:1711, «english»:»Rostov oblast», «iso»:»ROS», «country»:»RU», «vid»:0}, «oper»:{«id»:3491, «name»:»МТС», «country»:»RU», «mnc»:1, «brand»:»»}, «upd»:»2018-12-12 08:58:16″, «mobile»:true, «limit»:18} Пример с перенесенным абонентом: https://htmlweb.ru/json/mnp/phone/79153472570 {«status»:200, «phone»:79153472570, «oper»:{«id»:4055, «name»:»ОАО «МегаФон»», «country»:»RU», «mnc»:2,»brand»:»МегаФон», «url»:»megafon.ru»}, «country»:»RU», «mnc»:2, «region»:{«id»:1, «name»:»Московская область», «okrug»:»Центральный федеральный округ», «autocod»:»50,90,150,190,177,199″, «capital»:1, «english»:»Moscow oblast», «iso»:»MOS», «country»:»RU», «vid»:0}, «oper_from»:1605, «mobile»:true, «limit»:79122 } Общие параметры для всех API сервисовДругие сервисы, доступные по APIСтоимсть API запроса и тарифы
Получить номер телефона в любой из 150 стран
В каких ещё странах доступен перенос номера от одного оператора к другому

Введение

Начнём издалека, а именно с того, что GSM-связь очень плохо поддаётся изучению. Нельзя просто так взять © и поэкспериментировать с мобильной связью. Хотите соорудить девайс и подключиться к сети, анализировать протокол? Облом — коммуникационные процессоры не имеют нужного API и тем более открытого кода.

По сути — это чёрные ящики за семью замками. Максимум, что они “выставляют” наружу — примитивный интерфейс на основе AT-команд. Хотя, если быть точным, то иногда немного больше – но об этом позже. Поднять свой сервер свою базовую станцию? Это долго, дорого и за вами могут приехать.

Существуют замечательные проекты, такие как OpenBTS и SDR (software defined radio), но не обольщайтесь. Во-первых, полноценная сотовая сеть состоит из множества компонентов, а во-вторых — необходимое железо неприлично дорогое. Вот такая несправедливость. Немецкий программист взломал первичный код шифрования разговоров в GSM сетях Не хотите ли прикупить OpenBTS development kit (сетей 2.5G) фирмы Range Networks за $3300?Ettus выпускает такие гик-девайсы для экспериментов в сотовых сетях вплоть до 6 ГГц. Цена около $4000.

IMSI-ловушки. Что это?

Но вернёмся к теме статьи. IMSI-ловушки — это мобильные ложные базовые станции, которые спецслужбы включают при различных обстоятельствах в разных местах. Мобильные телефоны “цепляются” к этим станциям, которые фактически выступают в роле Man-in-the-middle.

В результате мы имеем перехват разговоров, СМС и интернет-трафика. Факты использования таких устройств засекречены. В Германии, например, в 2002 году был принят закон, разрешающий спецслужбам применять такие устройства, однако не обошлось без бурных общественных дебатов.

А где-то и до дебатов не доходит. Однако косвенные доказательства есть. Как правило, ловушки включаются в местах народных волнений, либо вокруг объектов, представляющих высокую государственную важность.

Часто IMSI-идентификаторы особо интересных личностей заносятся в список фильтрации, и далее работают только с телефонами конкретных людей. А теперь познакомимся с IMSI-ловушками поподробнее. Для начала классифицируем их поведение. Оно может поддерживать 2 режима — активный и пассивный.

В активном ловушка выступает в роли базовой станции. В пассивном — мониторит канал и другие базовые станции. Наиболее интересен, конечно же, активный режим. Опишем его функции.

Прикидываемся базовой станцией

Согласно алгоритму GSM, сотовый телефон обычно выбирает станцию с наиболее сильным сигналом. Это разумно — можно снизить мощность передатчика и сэкономить батарейку. Таким образом ловушка “забирает” телефоны на себя. Далее она запрашивает с телефона его…

IMSI: Interntaion Mobile Subscriber Identifier — фактически это уникальный номер SIM-карты;
IMEI: Interntaion Mobile Equipment Identifier — уникальный номер аппарата.

Это происходит в рамках стандартных протоколов GSM-стека. Итак, мы вышли на конкретного человека.IMSI-ловушка “StingRay” известной фирмы Harris

Нарушение связи

Возможно оставить абонента без связи: сначала “захватить” на себя, а потом оборвать, и так до бесконечности. А можно выдавать мусор или заведомо некорректные пакеты.

Перехват разговоров

Самое вкусное. Здесь все не так просто, однако проще чем могло бы быть. Как известно, в GSM предусмотрели защиту от несанкционированного съёма информации. Существует несколько режимов:

А5/0 — фактически это plain text, шифрования нет;
А5/1 — первый вариант с потоковым шифром, который сейчас уже не считается достаточно стойким;
А5/2 — экспортный вариант А5/1 с намеренно заниженной стойкостью. Куда уж ниже?!
А5/3 — достаточно стойкий вариант, возникший с приходом 3G.

Как показал известный хакер Harald Welte, вся схема защиты в GSM местами зиждется на популярном принципе Security through obscurity и содержит фундаментальные уязвимости. При этом столпы GSM-индустрии годами игнорируют эти факты — всех всё устраивает.

Как это происходит

Опишем алгоритм, как ловушка вклинивается в эту систему. Сразу отметим, что если оператор изначально везде применяет А5/2, то задача становится тривиальной — этот шифр вскрывается в реальном времени. Но операторы не совсем идиоты, поэтому они используют А5/1.

Базовая станция анонсирует этот протокол и телефон на него “соглашается”, все довольны. Все шифры А5 работают на ключе, который хранится как у оператора, так и на SIM-карте. Он уникален для каждого абонента и за его сохранность отвечает крипточип SIM-карты.

Из этого следует, что ловушка по отношению к оригинальной базовой станции “прикидывается” абонентским устройством на алгоритме А5/1, а для реального телефона “прикидывается” базовой станцией на алгоритме А5/2, который вскрывается на лету.

Таким образом, ловушка извлекает секретный ключ абонента и реконструирует сессию с базовой станцией. Дело сделано. Как узнать, что ваш телефон переключился на слабый шифр? Обычно никак: индустрия сотовой связи заботится о людях — меньше знаешь, крепче спишь.

Однако в природе все же встречаются отдельные модели телефонов, которые как-то сигнализируют, и это не смартфоны. Где-то появляется иконка, а где-то незаметная строка утекает в лог, однако это обычно связано с переходом на А5/0. В любом случае, все это скорее исключения из правил.

Противодействие

Естественно, борцы против Большого Брата не оставляют это дело без внимания. Так появился проект SnoopSnitch — это программа для Android, помогающая в обнаружении IMSI-ловушек в повседневной жизни.

Принцип её работы заключается в регулярном сборе статистики об окружающих базовых станциях: их характеристиках и местоположении. В случае обнаружения отклонения от привычной картины программа выдаёт предупреждение.

Тут же можно загрузить свои данные на сервер — там формируется глобальная база знаний обо всех базовых станциях мира. К сожалению, программа недоступна для большинства телефонов. Это связано с особенностью её работы.

Как уже было отмечено, в GSM-отрасли любые технические детали старательно вымарываются, но кое-что просачивается. Baseband-процессоры Qualcomm имеют специальный диагностический интерфейс (программный), через который возможно информирование о разных событиях из жизни сотовой связи.

В лучших традициях жанра, этот интерфейс недоступен обычным Android-приложениям, однако он все же доступен при наличии root. Если у вас телефон на чипсете Qualcomm, то, возможно, вам повезло. Познакомимся с интерфейсом поподробнее. Для начала выкачаем ядро для Qualcomm. Оно называется msm — по одноимённой серии Qualcomm SoC.

Р’Р·Р»РѕРј СЃРѕС‚РѕРІС‹С… СЃРµС‚РµР№ GSM: СЂР°СЃСЃС‚Р°РІР»СЏРµРј С‚РѕС‡РєРё РЅР°Рґ В«iВ» — Encyclopedia Electronica

РќРёРєРѕР»Р°Р№ Р©Р•РўР¬РљРћ, ET CETERA

Р’ СЃРµСЂРµРґРёРЅРµ Р»РµС‚Р° СЃСЂР°Р·Сѓ РґРІРѕРµ РЅРµР·Р°РІРёСЃРёРјС‹С… РёСЃСЃР»РµРґРѕРІР°С‚РµР»РµР№ РЅР° РєСЂСѓРїРЅС‹С… С…Р°РєРµСЂСЃРєРёС… РєРѕРЅС„РµСЂРµРЅС†РёСЏС… РїСЂРѕРґРµРјРѕРЅСЃС‚СЂРёСЂРѕРІР°Р»Рё СѓСЏР·РІРёРјРѕСЃС‚СЊ СЃСЂРµРґСЃС‚РІ С€РёС„СЂРѕРІР°РЅРёСЏ РіРѕР»РѕСЃР° Рё СЃРѕРѕР±С‰РµРЅРёР№ РІ СЃРѕС‚РѕРІС‹С… СЃРµС‚СЏС… СЃС‚Р°РЅРґР°СЂС‚Р° GSM, СЃР°РјРѕРіРѕ РїРѕРїСѓР»СЏСЂРЅРѕРіРѕ РІ РјРёСЂРµ РЅР° РґР°РЅРЅС‹Р№ РјРѕРјРµРЅС‚. РњРµС‚РѕРґС‹ РЅРµ СЂРµРІРѕР»СЋС†РёРѕРЅРЅС‹: РѕРЅРё Р±С‹Р»Рё РёР·РІРµСЃС‚РЅС‹ Рё СЂР°РЅРµРµ, РѕРґРЅР°РєРѕ С‚РµС…РЅРёС‡РµСЃРєРёР№ РїСЂРѕРіСЂРµСЃСЃ СЃРґРµР»Р°Р» В«РїСЂРѕСЃР»СѓС€РєСѓВ» СЃРѕС‚РѕРІС‹С… СЃРµС‚РµР№ РґРѕСЃС‚СѓРїРЅРѕР№ РїСЂР°РєС‚РёС‡РµСЃРєРё Р»СЋР±РѕРјСѓ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєСѓ, СЌРєРёРїРёСЂРѕРІР°РЅРЅРѕРјСѓ РЅРµРѕР±С…РѕРґРёРјРѕР№ С‚РµС…РЅРёРєРѕР№. РЎР°РјРѕРµ РіР»Р°РІРЅРѕРµ, С‡С‚Рѕ С‚РµРїРµСЂСЊ РІРјРµСЃС‚Рѕ СЃРїРµС†РєРѕРјРїР»РµРєСЃРѕРІ (РїСЂРѕРёР·РІРѕРґСЃС‚РІР° Rohde & Schwarz, Endoacustica Рё РґСЂ.) Р·Р° РґРµСЃСЏС‚РєРё Рё СЃРѕС‚РЅРё С‚С‹СЃСЏС‡ РґРѕР»Р»Р°СЂРѕРІ В«С‡РµСЂРµСЃС‡СѓСЂ Р»СЋР±РѕРїС‹С‚РЅС‹РјВ» РїРѕРЅР°РґРѕР±РёС‚СЃСЏ Р»РёС€СЊ РјРѕС‰РЅС‹Р№ РєРѕРјРїСЊСЋС‚РµСЂ Рё Р¶РµР»Р°РЅРёРµ СЂР°Р·Р±РёСЂР°С‚СЊСЃСЏ РІ С‚РµС…РЅРёС‡РµСЃРєРёС… С‚РѕРЅРєРѕСЃС‚СЏС….

Р”РµР№СЃС‚РІРёС‚РµР»СЊРЅРѕ Р»Рё СЃРµС‚Рё GSM РЅР°СЃС‚РѕР»СЊРєРѕ СѓСЏР·РІРёРјС‹? РЎСѓС‰РµСЃС‚РІСѓСЋС‚ Р»Рё РїСЂРµС†РµРґРµРЅС‚С‹ РїРѕРґРѕР±РЅС‹С… РІР·Р»РѕРјРѕРІ РІ Р‘РµР»Р°СЂСѓСЃРё? РќР° С‡РµРј РѕСЃРЅРѕРІР°РЅС‹ РїСЂРµРґР»РѕР¶РµРЅРЅС‹Рµ С…Р°РєРµСЂР°РјРё РјРµС‚РѕРґС‹ РІР·Р»РѕРјР°, РІ С‡РµРј РёС… РѕСЃРѕР±РµРЅРЅРѕСЃС‚Рё? РљР°Рє Р·Р°С‰РёС‚РёС‚СЊСЃСЏ РѕС‚ СѓРіСЂРѕР· РїСЂРёРІР°С‚РЅРѕСЃС‚Рё? ET CETERA СЂР°СЃСЃС‚Р°РІР»СЏРµС‚ С‚РѕС‡РєРё РЅР°Рґ В«iВ» РІ СЌС‚РѕРј РІРѕРїСЂРѕСЃРµ.

Р§С‚РѕР±С‹ РїСЂРѕСЏСЃРЅРёС‚СЊ РґР»СЏ СЃРµР±СЏ РІСЃРµ Р°СЃРїРµРєС‚С‹ РїСЂРѕР±Р»РµРјС‹, РІ РїРµСЂРІСѓСЋ РѕС‡РµСЂРµРґСЊ РјС‹ РѕР±СЂР°С‚РёР»РёСЃСЊ, СЂР°Р·СѓРјРµРµС‚СЃСЏ, Рє СЃРѕС‚РѕРІС‹Рј РѕРїРµСЂР°С‚РѕСЂР°Рј.

Р’ РњРўРЎ Рё velcom РЅР°Рј РѕС‚РєР°Р·Р°Р»РёСЃСЊ С‡С‚Рѕ-Р»РёР±Рѕ РѕС„РёС†РёР°Р»СЊРЅРѕ РєРѕРјРјРµРЅС‚РёСЂРѕРІР°С‚СЊ, Р° РІРѕС‚ С‚РµС…РЅРёС‡РµСЃРєРёР№ РґРёСЂРµРєС‚РѕСЂ life:) РќРёРєРѕР»Р°Р№ Р®С€РєРµРІРёС‡ Р±С‹Р» Р±РѕР»РµРµ РјРЅРѕРіРѕСЃР»РѕРІРµРЅ: В«Р’СЃРµ С‚СЂРµР±РѕРІР°РЅРёСЏ СЃРѕ СЃС‚РѕСЂРѕРЅС‹ РЅР°С€РµРіРѕ РіРѕСЃСѓРґР°СЂСЃС‚РІР° Рє СЌС‚РѕРјСѓ РІРѕРїСЂРѕСЃСѓ РІСЃРµРіРґР° РїСЂРѕРІРµСЂСЏСЋС‚СЃСЏ РіРѕСЃСѓРґР°СЂСЃС‚РІРѕРј РЅР° СЌС‚Р°РїРµ СЃРµСЂС‚РёС„РёРєР°С†РёРё. РўРµС…РЅРѕР»РѕРіРёРё РёРґСѓС‚ РІРїРµСЂРµРґ, РІСЃРµ РІРѕР·РјРѕР¶РЅРѕ. РќРѕ Рѕ РїСЂРµС†РµРґРµРЅС‚Р°С… (РІР·Р»РѕРјРѕРІ — РїСЂРёРј. Р°РІС‚.) РєР°Рє Сѓ РґСЂСѓРіРёС… РѕРїРµСЂР°С‚РѕСЂРѕРІ, С‚Р°Рє Рё Сѓ РЅР°СЃ РІ СЃРµС‚Рё СЏ РїРѕРєР° РЅРµ СЃР»С‹С€Р°Р»В».

Немецкий программист взломал первичный код шифрования разговоров в GSM сетях

РћС„РёС†РёР°Р»СЊРЅС‹С… РєРѕРјРјРµРЅС‚Р°СЂРёРµРІ РѕС‚ РіРѕСЃСѓРґР°СЂСЃС‚РІРµРЅРЅС‹С… РѕСЂРіР°РЅРѕРІ РїРѕР»СѓС‡РёС‚СЊ РЅРµ СѓРґР°Р»РѕСЃСЊ: РЅРё РІ РћРїРµСЂР°С‚РёРІРЅРѕ-Р°РЅР°Р»РёС‚РёС‡РµСЃРєРѕРј С†РµРЅС‚СЂРµ РїСЂРё РїСЂРµР·РёРґРµРЅС‚Рµ Р РµСЃРїСѓР±Р»РёРєРё Р‘РµР»Р°СЂСѓСЃСЊ (РћРђР¦), РЅРё РІ РЈРїСЂР°РІР»РµРЅРёРё В«РљВ» РњР’Р” Р‘РµР»Р°СЂСѓСЃРё РЅР° РЅР°С€Рё Р·Р°РїСЂРѕСЃС‹ РЅРµ РѕС‚РІРµС‚РёР»Рё, Р° РІ РњРёРЅРёСЃС‚РµСЂСЃС‚РІРµ СЃРІСЏР·Рё Рё РёРЅС„РѕСЂРјР°С‚РёР·Р°С†РёРё РїРѕСЂРµРєРѕРјРµРЅРґРѕРІР°Р»Рё РѕР±СЂР°С‚РёС‚СЊСЃСЏ РІ РћРђР¦.
РўРµРј РЅРµ РјРµРЅРµРµ РѕС‚РґРµР»СЊРЅС‹Рµ СЌРєСЃРїРµСЂС‚С‹ РІ РґР°РЅРЅРѕР№ СЃС„РµСЂРµ СЃРѕРіР»Р°СЃРёР»РёСЃСЊ РїРѕРґРµР»РёС‚СЊСЃСЏ СЃРІРѕРёРј РјРЅРµРЅРёРµРј, Рё РЅРµ С‚РѕР»СЊРєРѕ РЅР° Р°РЅРѕРЅРёРјРЅРѕР№ РѕСЃРЅРѕРІРµ. РќРѕ РґР»СЏ РЅР°С‡Р°Р»Р°…
РќРµРјРЅРѕРіРѕ С‚РµРѕСЂРёРё

РЎРѕС‚РѕРІС‹Р№ С‚РµР»РµС„РѕРЅ РёР»Рё В«РјРѕР±РёР»СЊРЅС‹Р№ С‚РµСЂРјРёРЅР°Р»В» РїРѕРґРєР»СЋС‡Р°РµС‚СЃСЏ Рє СЃРµС‚Рё РѕРїРµСЂР°С‚РѕСЂР° С‡РµСЂРµР· Р±Р°Р·РѕРІС‹Рµ СЃС‚Р°РЅС†РёРё.

РћРґРЅР° Р±Р°Р·РѕРІР°СЏ СЃС‚Р°РЅС†РёСЏ (СЃРїРµС†РёР°Р»РёР·РёСЂРѕРІР°РЅРЅС‹Рµ РїСЂРёРµРјРѕРїРµСЂРµРґР°С‚С‡РёРє+РєРѕРјРїСЊСЋС‚РµСЂ, РІРєР»СЋС‡РµРЅРЅС‹Рµ РІ РѕРїРѕСЂРЅСѓСЋ СЃРµС‚СЊ СЃРѕС‚РѕРІРѕР№ РєРѕРјРїР°РЅРёРё) РѕР±СЃР»СѓР¶РёРІР°РµС‚ РѕРґРЅРѕРІСЂРµРјРµРЅРЅРѕ РЅРµСЃРєРѕР»СЊРєРѕ Р°РїРїР°СЂР°С‚РѕРІ Рё СЏРІР»СЏРµС‚СЃСЏ СЃРІРѕРµРѕР±СЂР°Р·РЅС‹Рј В«С€Р»СЋР·РѕРјВ», С‡РµСЂРµР· РєРѕС‚РѕСЂС‹Р№ РїСЂРѕС…РѕРґСЏС‚ РіРѕР»РѕСЃРѕРІС‹Рµ СЂР°Р·РіРѕРІРѕСЂС‹, РёРЅС‚РµСЂРЅРµС‚-РґР°РЅРЅС‹Рµ Рё РґСЂСѓРіР°СЏ СЃРІСЏР·Р°РЅРЅР°СЏ СЃ РєРѕРЅРєСЂРµС‚РЅС‹Рј Р°Р±РѕРЅРµРЅС‚РѕРј РёРЅС„РѕСЂРјР°С†РёСЏ.

Р”Р°РЅРЅС‹Рµ, РєРѕС‚РѕСЂС‹РјРё РѕР±РјРµРЅРёРІР°СЋС‚СЃСЏ РІ РѕС‚РєСЂС‹С‚РѕРј СЂР°РґРёРѕСЌС„РёСЂРµ РјРѕР±РёР»СЊРЅС‹Р№ С‚РµСЂРјРёРЅР°Р» Рё Р±Р°Р·РѕРІР°СЏ СЃС‚Р°РЅС†РёСЏ, РїСЂРµРґСѓСЃРјРѕС‚СЂРёС‚РµР»СЊРЅРѕ С€РёС„СЂСѓСЋС‚СЃСЏ РїСЂРё РїРѕРјРѕС‰Рё СЃРїРµС†РёР°Р»РёР·РёСЂРѕРІР°РЅРЅС‹С… Р°Р»РіРѕСЂРёС‚РјРѕРІ СЃРµРјРµР№СЃС‚РІР° A5.

Р�С… РЅРµСЃРєРѕР»СЊРєРѕ: A5/0 (Р±РµР· С€РёС„СЂРѕРІР°РЅРёСЏ), Рђ5/1 (РЅР°РёР±РѕР»РµРµ РјР°СЃСЃРѕРІС‹Р№, 64-Р±РёС‚РЅС‹Р№ РєР»СЋС‡), A5/2 (Р±РѕР»РµРµ СЃР»Р°Р±РѕРµ С€РёС„СЂРѕРІР°РЅРёРµ), A5/3 (РЅР°РёР±РѕР»РµРµ СѓСЃС‚РѕР№С‡РёРІС‹Р№ РјРµС‚РѕРґ, РєР»СЋС‡ 128 Р±РёС‚).

РџСЂРѕР±Р»РµРјР° РІ С‚РѕРј, С‡С‚Рѕ A5/1 Рё A5/2 Р±С‹Р»Рё СЂР°Р·СЂР°Р±РѕС‚Р°РЅС‹ РґРѕСЃС‚Р°С‚РѕС‡РЅРѕ РґР°РІРЅРѕ, РІ 1987 Рё 1989 РіРѕРґР°С…, Рё СЃ С‚РµС… РїРѕСЂ СЃРёР»СЊРЅРѕ СѓСЃС‚Р°СЂРµР»Рё.

РС‚Рё СЃС…РµРјС‹ С€РёС„СЂРѕРІР°РЅРёСЏ РІР·Р»РѕРјР°РЅС‹, Р° Р·РЅР°С‡РёС‚, Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРє, РѕР±Р»Р°РґР°СЋС‰РёР№ РѕРїСЂРµРґРµР»РµРЅРЅС‹Рј СЃРїРµС†-РџРћ Рё РЅРµ СЃР»РёС€РєРѕРј РґРѕСЂРѕРіРѕР№ С‚РµС…РЅРёРєРѕР№, РјРѕР¶РµС‚ РїРµСЂРµС…РІР°С‚С‹РІР°С‚СЊ (СЃР»СѓС€Р°С‚СЊ Рё Р·Р°РїРёСЃС‹РІР°С‚СЊ, Р° С‚Р°РєР¶Рµ РІ РЅРµРєРѕС‚РѕСЂС‹С… СЃР»СѓС‡Р°СЏС… СѓРїСЂР°РІР»СЏС‚СЊ РјР°СЂС€СЂСѓС‚РёР·Р°С†РёРµР№) Р·РІРѕРЅРєРё Рё SMS РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РїСЂСЏРјРѕ РёР· СЂР°РґРёРѕСЌС„РёСЂР° СЂСЏРґРѕРј СЃ РјРµСЃС‚РѕРј СЃРІРѕРµРіРѕ РЅР°С…РѕР¶РґРµРЅРёСЏ. Р‘РѕР»РµРµ СЃРІРµР¶РёР№ Р°Р»РіРѕСЂРёС‚Рј Рђ5/3 СЃС‡РёС‚Р°РµС‚СЃСЏ РЅР°РґРµР¶РЅС‹Рј — РїРѕРґС‚РІРµСЂР¶РґРµРЅРЅС‹С… СЃР»СѓС‡Р°РµРІ РµРіРѕ РІР·Р»РѕРјР° РЅРµ РёР·РІРµСЃС‚РЅРѕ.

РћРґРЅР°РєРѕ РІР·Р»РѕРјР°РЅРЅС‹Р№ Рё СЃС‚Р°СЂС‹Р№ Рђ5/1 РѕСЃС‚Р°РµС‚СЃСЏ СЃР°РјС‹Рј РїРѕРїСѓР»СЏСЂРЅС‹Рј РІР°СЂРёР°РЅС‚РѕРј РІ РјРёСЂРµ, Рё РґРµР»Рѕ С‚СѓС‚ РЅРµ С‚РѕР»СЊРєРѕ Рё РЅРµ СЃС‚РѕР»СЊРєРѕ РІ РёРЅРµСЂС‚РЅРѕСЃС‚Рё Р»РёР±Рѕ РїСЂРёР¶РёРјРёСЃС‚РѕСЃС‚Рё РѕРїРµСЂР°С‚РѕСЂРѕРІ: РёСЃС‚РѕС‡РЅРёРє РІ РѕРґРЅРѕР№ РёР· Р±РµР»РѕСЂСѓСЃСЃРєРёС… СЃРѕС‚РѕРІС‹С… РєРѕРјРїР°РЅРёР№ СЃРѕРѕР±С‰РёР» ET CETERA, С‡С‚Рѕ РїРµСЂРµС…РѕРґСѓ РЅР° Рђ5/3 РјРµС€Р°РµС‚ РєР°С‡РµСЃС‚РІРѕ СЂРµР°Р»РёР·Р°С†РёРё Р°Р»РіРѕСЂРёС‚РјР° РІ СЂСЏРґРµ Р°Р±РѕРЅРµРЅС‚СЃРєРёС… СѓСЃС‚СЂРѕР№СЃС‚РІ. РњРЅРѕРіРёРµ С‚РµСЂРјРёРЅР°Р»С‹ СЃРѕРѕР±С‰Р°СЋС‚ Рѕ РїРѕРґРґРµСЂР¶РєРµ A5/3, РЅРѕ РїСЂРё СЌС‚РѕРј СЂР°Р±РѕС‚Р°СЋС‚ СЃ РґР°РЅРЅРѕР№ СЃРёСЃС‚РµРјРѕР№ С€РёС„СЂРѕРІР°РЅРёСЏ РЅРµРєРѕСЂСЂРµРєС‚РЅРѕ. Рђ Р»РёС€РЅРёР№ РїРѕС‚РѕРє Р¶Р°Р»РѕР±, СѓС‡РёС‚С‹РІР°СЏ Р·РЅР°С‡РёС‚РµР»СЊРЅС‹Р№ РїСЂРѕС†РµРЅС‚ В«РїСЂРѕР±Р»РµРјРЅРѕРіРѕВ» РѕР±РѕСЂСѓРґРѕРІР°РЅРёСЏ РІ СЃРµС‚Рё, РЅРёРєРѕРјСѓ РЅРµ РЅСѓР¶РµРЅ. Р‘РµР»РѕСЂСѓСЃСЃРєРёРµ РѕРїРµСЂР°С‚РѕСЂС‹ СЂР°Р±РѕС‚Р°СЋС‚ СЃ СѓСЏР·РІРёРјС‹Рј Р°Р»РіРѕСЂРёС‚РјРѕРј A5/1, Р·Р°РІРµСЂРёР» РЅР°СЃ РёСЃС‚РѕС‡РЅРёРє. Р�СЃРїРѕР»СЊР·РѕРІР°РЅРёРµ РґР°РЅРЅРѕРіРѕ Р°Р»РіРѕСЂРёС‚РјР° РїРѕРґС‚РІРµСЂРґРёР»Рё РІ life:).

Р’СЃРµ СЃРєР°Р·Р°РЅРЅРѕРµ РєР°СЃР°РµС‚СЃСЏ, РІ РїРµСЂРІСѓСЋ РѕС‡РµСЂРµРґСЊ, РіРѕР»РѕСЃР° Рё SMS: РґР°РЅРЅС‹Рµ (РёРЅС‚РµСЂРЅРµС‚-С‚СЂР°С„РёРє) С€РёС„СЂСѓСЋС‚СЃСЏ РґСЂСѓРіРёРјРё Р°Р»РіРѕСЂРёС‚РјР°РјРё (GEA1/GEA2/GEA3), РёРЅС„РѕСЂРјР°С†РёРё Рѕ РІР·Р»РѕРјРµ РєРѕС‚РѕСЂС‹С… РІ РїСЂРµСЃСЃРµ Рё РѕС‚РєСЂС‹С‚РѕРј РґРѕСЃС‚СѓРїРµ РїРѕРєР° РЅРµ РїСЂРѕСЃРєР°Р»СЊР·С‹РІР°Р»Рѕ. Рљ С‚РѕРјСѓ Р¶Рµ РґР°С‚Р°-С‚СЂР°С„РёРє РіРѕСЂР°Р·РґРѕ РїСЂРѕС‰Рµ РїСЂРё РЅРµРѕР±С…РѕРґРёРјРѕСЃС‚Рё Р·Р°С‰РёС‰Р°С‚СЊ Р±РѕР»РµРµ РјРѕС‰РЅС‹РјРё РјРµС‚РѕРґР°РјРё С€РёС„СЂРѕРІР°РЅРёСЏ.

Р’РїСЂРѕС‡РµРј, С‡С‚РѕР±С‹ СЃР»СѓС€Р°С‚СЊ С‡СѓР¶РёРµ СЂР°Р·РіРѕРІРѕСЂС‹, РёРЅРѕРіРґР° РґР°Р¶Рµ РЅРµ РЅСѓР¶РЅРѕ РІР·Р»Р°РјС‹РІР°С‚СЊ РєСЂРёРїС‚РѕРіСЂР°С„РёС‡РµСЃРєСѓСЋ Р·Р°С‰РёС‚Сѓ — СЃСѓС‰РµСЃС‚РІСѓСЋС‚ Р±РѕР»РµРµ РёР·СЏС‰РЅС‹Рµ СЃРїРѕСЃРѕР±С‹.

РњРµС‚РѕРґ 1: С„Р°Р»СЊС€РёРІР°СЏ Р±Р°Р·РѕРІР°СЏ СЃС‚Р°РЅС†РёСЏ

РћРґРёРЅ РёР· С…РѕСЂРѕС€Рѕ РёР·РІРµСЃС‚РЅС‹С… Рё СѓСЃРїРµС€РЅРѕ СЂР°Р±РѕС‚Р°СЋС‰РёС… РјРµС‚РѕРґРѕРІ — РёСЃРїРѕР»СЊР·РѕРІР°РЅРёРµ В«С„Р°Р»СЊС€РёРІРѕР№ Р±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРёВ», Р°С‚Р°РєР° С‚РёРїР° В«man in the middleВ» (В«С‡РµР»РѕРІРµРє РїРѕСЃРµСЂРµРґРёРЅРµВ»).

Р¤СѓРЅРґР°РјРµРЅС‚Р°Р»СЊРЅР°СЏ РїСЂРѕР±Р»РµРјР° СЃРёСЃС‚РµРјС‹ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё GSM СЃРІСЏР·Р°РЅР° СЃ С‚РµРј, С‡С‚Рѕ РїСЂРё СЂРµРіРёСЃС‚СЂР°С†РёРё РІ СЃРµС‚Рё Р°РїРїР°СЂР°С‚ РїСЂРѕРІРµСЂСЏРµС‚СЃСЏ СЃРµС‚СЊСЋ РЅР° РїСЂРёРЅР°РґР»РµР¶РЅРѕСЃС‚СЊ Рє РЅРµР№, Р° РІРѕС‚ СЃР°Рј С‚РµР»РµС„РѕРЅ РїСЂРѕРІРµСЂРёС‚СЊ СЃРµС‚СЊ РЅР° Р°РґРµРєРІР°С‚РЅРѕСЃС‚СЊ РЅРµ РјРѕР¶РµС‚, С‡РµРј СѓСЃРїРµС€РЅРѕ Рё РїРѕР»СЊР·СѓСЋС‚СЃСЏ В«РїСЂРѕСЃР»СѓС€РёРІР°С‚РµР»РёВ».

РћРЅРё СЃС‚Р°РІСЏС‚ РІ РЅРµРїРѕСЃСЂРµРґСЃС‚РІРµРЅРЅРѕР№ Р±Р»РёР·РѕСЃС‚Рё РѕС‚ Р°Р±РѕРЅРµРЅС‚Р° РёСЃС‚РѕС‡РЅРёРє РјРѕС‰РЅРѕРіРѕ СЃРёРіРЅР°Р»Р°, РјРёРјРёРєСЂРёСЂСѓСЋС‰РёР№ РїРѕРґ СЃС‚Р°РЅРґР°СЂС‚РЅСѓСЋ Р±Р°Р·РѕРІСѓСЋ СЃС‚Р°РЅС†РёСЋ СЃРѕС‚РѕРІРѕР№ СЃРµС‚Рё. РўРµР»РµС„РѕРЅ РІРёРґРёС‚ СЃС‚Р°РЅС†РёСЋ Рё РЅРµ РјРѕР¶РµС‚ СѓРґРµСЂР¶Р°С‚СЊСЃСЏ, С‡С‚РѕР±С‹ Рє РЅРµР№ РЅРµ РїРѕРґРєР»СЋС‡РёС‚СЊСЃСЏ — СЃРёРіРЅР°Р»-С‚Рѕ С‚Р°РєРѕР№ РјРѕС‰РЅС‹Р№, С…РѕСЂРѕС€РёР№!

РђРїРїР°СЂР°С‚ РїРѕРґРєР»СЋС‡Р°РµС‚СЃСЏ, Рё РїСЃРµРІРґРѕР±Р°Р·РѕРІР°СЏ СЃС‚Р°РЅС†РёСЏ РєРѕРјР°РЅРґСѓРµС‚ РµРјСѓ РѕС‚РєР»СЋС‡РёС‚СЊ С€РёС„СЂРѕРІР°РЅРёРµ (РїРµСЂРµР№С‚Рё РЅР° Р°Р»РіРѕСЂРёС‚Рј A5/0) — С‚РµР»РµС„РѕРЅ РѕР±СЏР·Р°РЅ РїРѕРґС‡РёРЅРёС‚СЊСЃСЏ.

РўРµРїРµСЂСЊ РІСЃРµ СЂР°Р·РіРѕРІРѕСЂС‹ СЃ РЅРµРіРѕ, РїРѕРєР° Р°РїРїР°СЂР°С‚ РЅР°С…РѕРґРёС‚СЃСЏ РІ Р·РѕРЅРµ РґРµР№СЃС‚РІРёСЏ С„Р°Р»СЊС€РёРІРѕР№ Р±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРё, РІ РѕС‚РєСЂС‹С‚РѕРј РІРёРґРµ РїСЂРѕС…РѕРґСЏС‚ С‡РµСЂРµР· СЃРёСЃС‚РµРјСѓ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєР°.

РўР°Рј РѕРЅРё Р·Р°РїРёСЃС‹РІР°СЋС‚СЃСЏ (РѕР±СЂР°Р±Р°С‚С‹РІР°СЋС‚СЃСЏ, РїРµСЂРµРЅР°РїСЂР°РІР»СЏСЋС‚СЃСЏ Рё С‚.Рї.) Рё Р»РёС€СЊ РїРѕС‚РѕРј РїРѕСЃС‚СѓРїР°СЋС‚ — РёР»Рё РЅРµ РїРѕСЃС‚СѓРїР°СЋС‚, РєР°Рє СѓР¶ СЂРµС€РёС‚ РѕРїРµСЂР°С‚РѕСЂ В«С€Р»СЋР·Р°В» — РІ РЅР°СЃС‚РѕСЏС‰СѓСЋ СЃРѕС‚РѕРІСѓСЋ СЃРµС‚СЊ.

РќРёС‡РµРіРѕ РІР·Р»Р°РјС‹РІР°С‚СЊ РЅРµ РЅР°РґРѕ: С‚РµР»РµС„РѕРЅ СЃР»РµРїРѕ РІС‹РїРѕР»РЅСЏРµС‚ РєРѕРјР°РЅРґС‹ РЅРµРЅР°СЃС‚РѕСЏС‰РµР№ Р±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРё Рё РѕС‚РєР»СЋС‡Р°РµС‚ С€РёС„СЂРѕРІР°РЅРёРµ, Р° РѕСЃС‚Р°Р»СЊРЅРѕРµ — РґРµР»Рѕ С‚РµС…РЅРёРєРё.

РњРµС‚РѕРґ СЃС‚Р°СЂС‹Р№, РЅРѕ СЂР°РЅРµРµ РґР»СЏ РµРіРѕ СЂРµР°Р»РёР·Р°С†РёРё РЅСѓР¶РЅРѕ Р±С‹Р»Рѕ РїСЂРёРѕР±СЂРµСЃС‚Рё РґРѕСЂРѕРіРѕСЃС‚РѕСЏС‰РёР№ РєРѕРјРїР»РµРєСЃ (РѕР±Р»Р°РґР°С‚РµР»РµРј РїР°С‚РµРЅС‚Р° РЅР° С‚РµС…РЅРѕР»РѕРіРёСЋ, РєСЃС‚Р°С‚Рё, СЏРІР»СЏРµС‚СЃСЏ РёР·РІРµСЃС‚РЅР°СЏ С„РёСЂРјР° Rohde & Schwarz) РёР»Рё СЃРѕР±СЂР°С‚СЊ РµРіРѕ СЃР°РјРѕРјСѓ РёР· РЅРµ РјРµРЅРµРµ РґРѕСЂРѕРіРѕСЃС‚РѕСЏС‰РёС… РєРѕРјРїРѕРЅРµРЅС‚РѕРІ. РўРµРїРµСЂСЊ Р¶Рµ РїСЂРѕРіСЂР°РјРјРЅРѕРµ РѕР±РµСЃРїРµС‡РµРЅРёРµ РґР»СЏ В«СЌРјСѓР»СЏС‚РѕСЂР° Р±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРёВ» СЃРІРѕР±РѕРґРЅРѕ Р»РµР¶РёС‚ РІ РЎРµС‚Рё (СЂР°Р·СѓРјРµРµС‚СЃСЏ, С„РѕСЂРјР°Р»СЊРЅРѕ OpenBTS Рё Р°РЅР°Р»РѕРіРё РѕС‚РєСЂС‹С‚Рѕ (СЂР°Р·СѓРјРµРµС‚СЃСЏ, С†РёРё”РїРµС‡РµРЅРёСЏ РґР»СЏ “РѕР±СЂР°С‚СЊ РµРіРѕ СЃР°РјРѕРјСѓ РёР· РЅРµ РјРµРЅРµРµ РґРѕСЂРѕРіРѕСЃС‚РѕСЏС‰РёС… РєРѕРјРїРѕРЅРµРЅС‚РѕРІ. СѓРїР°СЋС‚ РІ РЅР°СЃС‚РѕСЏС‰СѓСЋ СЃРѕС‚РѕРІСѓСЋ СЃРµС‚СЊ. РїСЂРµРґРЅР°Р·РЅР°С‡РµРЅС‹ РґР»СЏ СЂРµС€РµРЅРёСЏ РґСЂСѓРіРёС…, Р°Р±СЃРѕР»СЋС‚РЅРѕ РЅРµРІРёРЅРЅС‹С…, Р·Р°РґР°С‡), Р° С‚РµС…РЅРёС‡РµСЃРєР°СЏ С‡Р°СЃС‚СЊ РѕР±РѕР№РґРµС‚СЃСЏ Р¶РµР»Р°СЋС‰РёРј РІ СЃСЂР°РІРЅРёС‚РµР»СЊРЅРѕ СЃРєСЂРѕРјРЅСѓСЋ СЃСѓРјРјСѓ.

Р’ СЌС‚РѕРј РіРѕРґСѓ С€СѓРјСѓ РЅР° РёР·РІРµСЃС‚РЅРѕР№ С…Р°РєРµСЂСЃРєРѕР№ РєРѕРЅС„РµСЂРµРЅС†РёРё Defcon РЅР°РІРµР» РљСЂРёСЃ РџСЌР№РґР¶РµС‚С‚, РєРѕС‚РѕСЂС‹Р№ РїСЂРѕРґРµРјРѕРЅСЃС‚СЂРёСЂРѕРІР°Р», РЅР°СЃРєРѕР»СЊРєРѕ Р»РµРіРєРѕ Р·Р°РёРЅС‚РµСЂРµСЃРѕРІР°РЅРЅС‹Р№ СЃРїРµС†РёР°Р»РёСЃС‚ РјРѕР¶РµС‚ РїРµСЂРµС…РІР°С‚РёС‚СЊ Рё Р·Р°РїРёСЃР°С‚СЊ СЂР°Р·РіРѕРІРѕСЂС‹ (РїРѕ СЃРµС‚Рё GSM, РєРѕРЅРµС‡РЅРѕ) СЃР»СѓС€Р°С‚РµР»РµР№ СЃРІРѕРµРіРѕ РґРѕРєР»Р°РґР° http://www.tombom.co.uk/cellphonespying.odp. РЎР°РјРѕРµ Р»СЋР±РѕРїС‹С‚РЅРѕРµ РІ СЌС‚РѕРј РґРѕРєР»Р°РґРµ http://www.youtube.com/watch?v=q8JuYh7Km34 РЅРµ СЃР°Рј С„Р°РєС‚ РїРµСЂРµС…РІР°С‚Р° — С‚РµС…РЅРёРєР°, РїРѕРІС‚РѕСЂРёРјСЃСЏ, РѕС‚РЅСЋРґСЊ РЅРµ РЅРѕРІР°. РЎР°РјРѕРµ Р»СЋР±РѕРїС‹С‚РЅРѕРµ С‚Рѕ, С‡С‚Рѕ, РїРѕ СЃР»РѕРІР°Рј РљСЂРёСЃР°, СЃРёСЃС‚РµРјР° РёР· РЅРѕСѓС‚Р±СѓРєР° СЃ РѕС‚РєСЂС‹С‚С‹Рј РџРћ (Debian/OpenBTS/Asterisk), СЂР°РґРёРѕРјРѕРґСѓР»РµР№ (USRP1 РїР»СЋСЃ РґРѕС‡РµСЂРЅРёРµ РїР»Р°С‚С‹) Рё РґРІСѓС… РЅР°РїСЂР°РІР»РµРЅРЅС‹С… Р°РЅС‚РµРЅРЅ РѕР±РѕС€Р»Р°СЃСЊ РµРјСѓ РІ СЃРєСЂРѕРјРЅС‹Рµ РїРѕР»С‚РѕСЂС‹ С‚С‹СЃСЏС‡Рё РґРѕР»Р»Р°СЂРѕРІ. РўР°РєР¶Рµ РїСЂРёРјРµС‡Р°С‚РµР»СЊРЅРѕ, С‡С‚Рѕ СЃ С‚РѕС‡РєРё Р·СЂРµРЅРёСЏ Р°РјРµСЂРёРєР°РЅСЃРєРёС… Р·Р°РєРѕРЅРѕРІ РґРµРјРѕРЅСЃС‚СЂР°С†РёСЏ РЅРµ РїРѕРєРёРґР°Р»Р° РїСЂР°РІРѕРІРѕРіРѕ РїРѕР»СЏ: РґР»СЏ Р»РµРіРёС‚РёРјРёР·Р°С†РёРё СЂР°Р±РѕС‚С‹ РІ СЂР°РґРёРѕСЌС„РёСЂРµ РљСЂРёСЃ РІРѕСЃРїРѕР»СЊР·РѕРІР°Р»СЃСЏ Р»СЋР±РёС‚РµР»СЊСЃРєРѕР№ СЂР°РґРёРѕР»РёС†РµРЅР·РёРµР№, Р° С„Р»СЌС€РєСѓ СЃРѕ РІСЃРµРјРё РїСЂРѕСЃР»СѓС€Р°РЅРЅС‹РјРё/Р·Р°РїРёСЃР°РЅРЅС‹РјРё РІ С…РѕРґРµ РІС‹СЃС‚СѓРїР»РµРЅРёСЏ СЂР°Р·РіРѕРІРѕСЂР°РјРё РїРѕРєР°Р·Р°С‚РµР»СЊРЅРѕ СѓРЅРёС‡С‚РѕР¶РёР».

Р‘РµР·СѓСЃР»РѕРІРЅРѕ, РІСЃРµ РІС‹РіР»СЏРґРёС‚ РєСЂР°СЃРёРІРѕ Р»РёС€СЊ РІ С‚РµРѕСЂРёРё, Р° РЅР° РїСЂР°РєС‚РёРєРµ РґРµР№СЃС‚РІСѓРµС‚ СЂСЏРґ СЃРµСЂСЊРµР·РЅС‹С… РѕРіСЂР°РЅРёС‡РµРЅРёР№: РєР°Р¶РґС‹Р№ РІСЃС‚СЂРµС‡РЅС‹Р№-РїРѕРїРµСЂРµС‡РЅС‹Р№ СЃ РїРѕР»СѓС‚РѕСЂР° С‚С‹СЃСЏС‡Р°РјРё РІ РєР°СЂРјР°РЅРµ РїСЂРѕСЃР»СѓС€РёРІР°С‚СЊ СЌС„РёСЂ РЅРµ СЃРјРѕР¶РµС‚ — С…РѕС‚СЏ Р±С‹ РїРѕС‚РѕРјСѓ, С‡С‚Рѕ РѕРЅ РґРѕР»Р¶РµРЅ Р±С‹С‚СЊ РґРѕСЃС‚Р°С‚РѕС‡РЅРѕ РїРѕРґРєРѕРІР°РЅ РІ С‚РµС…РЅРёС‡РµСЃРєРѕРј РїР»Р°РЅРµ.

РҐРІР°С‚Р°РµС‚ Рё РґСЂСѓРіРёС… Р°СЃРїРµРєС‚РѕРІ.

РџРµСЂРІРѕРµ Рё РІР°Р¶РЅРµР№С€РµРµ РѕРіСЂР°РЅРёС‡РµРЅРёРµ: Р°Р±РѕРЅРµРЅС‚Р° РїСЂРёРґРµС‚СЃСЏ В«СЃРѕРїСЂРѕРІРѕР¶РґР°С‚СЊВ» РїСЂРё РґРІРёР¶РµРЅРёРё, С‡С‚РѕР±С‹ РѕРЅ В«СЃР»СѓС‡Р°Р№РЅРѕВ» РЅРµ РїРѕРґРєР»СЋС‡РёР»СЃСЏ Рє РЅР°СЃС‚РѕСЏС‰РµР№ СЃРµС‚Рё СЃРѕС‚РѕРІРѕРіРѕ РѕРїРµСЂР°С‚РѕСЂР°. Рђ СЂР°Р· С‚Р°Рє, С‚Рѕ СЃ РіРѕСЂР°Р·РґРѕ РјРµРЅСЊС€РёРјРё СѓСЃРёР»РёСЏРјРё РјРѕР¶РЅРѕ РєРѕРЅС‚СЂРѕР»РёСЂРѕРІР°С‚СЊ РїРµСЂРµРіРѕРІРѕСЂС‹ Р°Р±РѕРЅРµРЅС‚Р° Р±РѕР»РµРµ С‚СЂР°РґРёС†РёРѕРЅРЅС‹РјРё СЃРїРѕСЃРѕР±Р°РјРё.

Р’С‚РѕСЂРѕРµ РѕРіСЂР°РЅРёС‡РµРЅРёРµ: СЃРёСЃС‚РµРјР° РЅРµ РјРѕР¶РµС‚ РїСЂРёРЅРёРјР°С‚СЊ С‡РµСЂРµР· С„Р°Р»СЊС€РёРІСѓСЋ Р±Р°Р·РѕРІСѓСЋ СЃС‚Р°РЅС†РёСЋ РІС…РѕРґСЏС‰РёРµ Р·РІРѕРЅРєРё. Р’РѕР·РјРѕР¶РЅРѕСЃС‚Рё РѕР±С…РѕРґР° РљСЂРёСЃ РїСЂРµРґР»РѕР¶РёР», РЅРѕ РѕРЅРё РїРѕС‚СЂРµР±СѓСЋС‚ РґРѕРїРѕР»РЅРёС‚РµР»СЊРЅС‹С… СѓСЃРёР»РёР№ Рё РІР·Р»РѕРјР° СЃРёСЃС‚РµРјС‹ С€РёС„СЂРѕРІР°РЅРёСЏ.

Р‘РѕР»РµРµ С‚РѕРіРѕ, Р·РІРѕРЅРєРё РѕС‚ Р°Р±РѕРЅРµРЅС‚Р° РїСЃРµРІРґРѕР±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРё Р±СѓРґСѓС‚ РґРѕСЃС‚Р°РІР»СЏС‚СЊСЃСЏ СЃРѕР±РµСЃРµРґРЅРёРєР°Рј СЃ РЅРµРїСЂР°РІРёР»СЊРЅС‹Рј РЅРѕРјРµСЂРѕРј, Рё РїРѕР»СѓС‡Р°С‚РµР»Рё Р·РІРѕРЅРєРѕРІ РјРѕРіСѓС‚ СЌС‚Сѓ РЅРµСЃС‚С‹РєРѕРІРєСѓ Р»РµРіРєРѕ Р·Р°РјРµС‚РёС‚СЊ.

РўСЂРµС‚РёР№ РІРѕРїСЂРѕСЃ СЃРІСЏР·Р°РЅ СЃ РёРЅРґРёРєР°С†РёРµР№. Р‘РѕР»СЊС€РёРЅСЃС‚РІРѕ СЃРѕС‚РѕРІС‹С… Р°РїРїР°СЂР°С‚РѕРІ РёРЅС„РѕСЂРјРёСЂСѓСЋС‚ РІР»Р°РґРµР»СЊС†РµРІ Рѕ С‚РѕРј, С‡С‚Рѕ С€РёС„СЂРѕРІР°РЅРёРµ РѕС‚РєР»СЋС‡РµРЅРѕ, СЃРїРµС†РёР°Р»СЊРЅРѕР№ РїРёРєС‚РѕРіСЂР°РјРјРѕР№ РёР»Рё С‚РµРєСЃС‚РѕРј.

РЎР»СѓС‡Р°РµС‚СЃСЏ, С‡С‚Рѕ РѕРїРµСЂР°С‚РѕСЂС‹ РѕС‚РєР»СЋС‡Р°СЋС‚ С€РёС„СЂРѕРІР°РЅРёРµ РїСЂРёРЅСѓРґРёС‚РµР»СЊРЅРѕ РІ С†РµР»РѕРј СЂРµРіРёРѕРЅРµ РґР»СЏ СѓРїСЂРѕС‰РµРЅРёСЏ СЂР°Р±РѕС‚С‹ СЃРїРµС†СЃР»СѓР¶Р±: РЅР°РїСЂРёРјРµСЂ, СЌС‚Рѕ РёРјРµР»Рѕ РјРµСЃС‚Рѕ РІРѕ РІСЂРµРјСЏ РїРµС‡Р°Р»СЊРЅРѕ РёР·РІРµСЃС‚РЅС‹С… СЃРѕР±С‹С‚РёР№ РІРѕРєСЂСѓРі В«РќРѕСЂРґ-РѕСЃС‚Р°В» РІ РњРѕСЃРєРІРµ.

РћРґРЅР°РєРѕ РѕРїРµСЂР°С‚РѕСЂС‹ С‚Р°РєР¶Рµ РёРјРµСЋС‚ РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ РѕС‚РєР»СЋС‡РёС‚СЊ РёРЅРґРёРєР°С†РёСЋ РЅР° Р°РїРїР°СЂР°С‚Рµ, Р·Р°РїСЂРѕРіСЂР°РјРјРёСЂРѕРІР°РІ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёРј РѕР±СЂР°Р·РѕРј РІС‹РґР°РІР°РµРјС‹Рµ Р°Р±РѕРЅРµРЅС‚Р°Рј SIM-РєР°СЂС‚С‹.

РќР°С€Рё РёСЃС‚РѕС‡РЅРёРєРё РІ Р±РµР»РѕСЂСѓСЃСЃРєРёС… СЃРѕС‚РѕРІС‹С… РєРѕРјРїР°РЅРёСЏС… Р·Р°С‚СЂСѓРґРЅРёР»РёСЃСЊ СЃРѕРѕР±С‰РёС‚СЊ, СЂРµР°Р»РёР·РѕРІР°РЅР° Р»Рё СЌС‚Р° РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ РІ СЃРµС‚СЏС… РЅР°С€РµР№ СЂРµСЃРїСѓР±Р»РёРєРё.

РљР°Рє Р¶Рµ Р·Р°С‰РёС‚РёС‚СЊСЃСЏ РѕС‚ РїРѕРґРѕР±РЅС‹С… СѓСЏР·РІРёРјРѕСЃС‚РµР№? РЎР°РјС‹Р№ РїСЂРѕСЃС‚РѕР№ СЃРїРѕСЃРѕР± — РїРѕР»СЊР·РѕРІР°С‚СЊСЃСЏ РёСЃРєР»СЋС‡РёС‚РµР»СЊРЅРѕ 3G-СЃРµС‚СЏРјРё.

РўРѕРіРґР° Р±СѓРґРµС‚ РїСЂРёРјРµРЅСЏС‚СЊСЃСЏ Р±РѕР»РµРµ РјРѕС‰РЅС‹Р№ Р°Р»РіРѕСЂРёС‚Рј Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ (РєСЃС‚Р°С‚Рё, РѕРЅ РјРѕР¶РµС‚ СЂР°Р±РѕС‚Р°С‚СЊ Рё РІ 2G-СЃРµС‚СЏС…), РІ СЂР°РјРєР°С… РєРѕС‚РѕСЂРѕРіРѕ РЅРµ С‚РѕР»СЊРєРѕ С‚РµР»РµС„РѕРЅ РѕРїРѕР·РЅР°РµС‚СЃСЏ СЃРµС‚СЊСЋ, РЅРѕ Рё СЃРµС‚СЊ РїСЂРѕРІРµСЂСЏРµС‚СЃСЏ РЅР° РєРѕСЂСЂРµРєС‚РЅРѕСЃС‚СЊ Р°РїРїР°СЂР°С‚РѕРј. РЈРІС‹, 3G-РїРѕРєСЂС‹С‚РёСЋ РґРѕ РїРѕРєСЂС‹С‚РёСЏ 2G РµС‰Рµ РѕС‡РµРЅСЊ РґР°Р»РµРєРѕ, Рё РЅР° РїСЂР°РєС‚РёРєРµ СЂР°Р±РѕС‚Р°С‚СЊ С‚РѕР»СЊРєРѕ РІ 3G РґР»СЏ РЅР°С€РµР№ СЃС‚СЂР°РЅС‹ РїСЂР°РєС‚РёС‡РµСЃРєРё РЅРµСЂРµР°Р»СЊРЅРѕ.

РџСЂР°РІРґР°, Сѓ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРѕРІ РµСЃС‚СЊ Р»Р°Р·РµР№РєР° РґР°Р¶Рµ СЃ 3G: РѕРЅРё РјРѕРіСѓС‚ С†РµР»РµРЅР°РїСЂР°РІР»РµРЅРЅРѕ В«РіР»СѓС€РёС‚СЊВ» 3G-РґРёР°РїР°Р·РѕРЅ, Рё РµСЃР»Рё С‚РµР»РµС„РѕРЅ РЅРµ РЅР°СЃС‚СЂРѕРµРЅ РІ СЂРµР¶РёРј В«С‚РѕР»СЊРєРѕ 3GВ» (С‡Р°С‰Рµ РІСЃРµРіРѕ РґРµР№СЃС‚РІРёС‚РµР»СЊРЅРѕ СЂР°Р±РѕС‚Р°РµС‚ РІР°СЂРёР°РЅС‚ В«2G+3GВ», РїРѕ РїСЂРёС‡РёРЅРµ СЃР»Р°Р±РѕРіРѕ РїРѕРєСЂС‹С‚РёСЏ), С‚Рѕ РѕРЅ, РЅРµ РЅР°Р№РґСЏ 3G-СЃРµС‚Рё, РїРѕРґРєР»СЋС‡РёС‚СЃСЏ Рє С„Р°Р»СЊС€РёРІРѕР№ Р±Р°Р·РѕРІРѕР№ СЃС‚Р°РЅС†РёРё 2G…
РљРѕРЅРµС‡РЅРѕ Р¶Рµ, Р°Р±РѕРЅРµРЅС‚Сѓ РІР°Р¶РЅРѕ СЃР»РµРґРёС‚СЊ Р·Р° РїРѕРІРµРґРµРЅРёРµРј С‚РµР»РµС„РѕРЅР°, Р° С‚Р°РєР¶Рµ Р·Р° РєРѕСЂСЂРµРєС‚РЅРѕСЃС‚СЊСЋ РЅРѕРјРµСЂРѕРІ РІС…РѕРґСЏС‰РёС… РІС‹Р·РѕРІРѕРІ: РµСЃР»Рё РЅРѕРјРµСЂ РІС‹РіР»СЏРґРёС‚ СЃС‚СЂР°РЅРЅРѕ, Р° РІР°С€ СЃРѕР±РµСЃРµРґРЅРёРє РіРѕРІРѕСЂРёС‚, С‡С‚Рѕ Сѓ РЅРµРіРѕ РІСЃРµ РІ РїРѕСЂСЏРґРєРµ, С‚Рѕ РЅРµ РёСЃРєР»СЋС‡РµРЅРѕ, С‡С‚Рѕ РіРґРµ-С‚Рѕ РЅРµРїРѕРґР°Р»РµРєСѓ Р·Р°С‚Р°РёР»СЃСЏ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРє.
РњРµС‚РѕРґ 2: СЂР°СЃС€РёС„СЂРѕРІРєР° СЂР°Р·РіРѕРІРѕСЂРѕРІ Рё SMS

Перехват разговоров в сети GSM

Переходим к рассмотрению взлома GSM. Статьи про уязвимости в A5/1 появились около 15 лет назад, но публичной демонстрации взлома A5/1 в ус- ловиях реального мира до сих пор не было.

Более того, как видно из описания работы сети надо понимать, что помимо взлома самого алгоритма шифрования нужно решить еще ряд сугубо инженерных проблем, которые обычно всегда опускаются из рассмотрения (в том числе на публичных демонстрациях). Большинство статей по взлому GSM опираются на статью Эли Баркана в 2006 году и исследование Карстена Нола (Karsten Noh).

В своей статье Баркан с соавторами показал, что т.к. в GSM коррекция ошибок идет до шифрования (а надо бы наоборот), возможно определенное уменьшение пространства поиска для подбора KC и реализация known– ciphertext атаки (при полностью пассивном прослушивании эфира) за прием- лемое время с помощью предварительно вычисленных данных.

Сами авторы статьи говорят, что при приеме без помех для взлома в течение 2 минут требуется 50 терабайт предвычисленных данных. В той же статье (в разделе про A5/2) указывается, что сигнал из эфира всегда идет с помехами, которые усложняют подбора ключа.

Для A5/2 приведен измененный алгоритм, который способен учитывать помехи, но при этом требует вдвое большего объема предвычисленных данных и, соответственно, время взлома увеличивает в два раз. Для A5/1 указана возможность построения аналогич- ного алгоритма, но сам он не приведен.

Можно предположить, что в этом случае также нужно увеличить объем предвычисленных данных вдвое. Процесс подбора ключа A5/1 является вероятностным и зависит от времени, т.е. чем дольше идет прослушивание, тем больше вероятность подобрать KC. Таким образом, заявленные в статье 2 минуты – это примерное, а не гарантированное время подбора KC.

Карстен Нол разрабатывает самый известный проект по взлому GSM сетей. Его фирма, занимающаяся проблемами компьютерной безопасности, собиралась к концу 2009 года выложить в открытый доступ радужные таблицы сессионных ключей алгоритма A5/1, который используется для шифрования речи в сетях GSM.

Свой демарш против A5/1 Карстен Нол объясняет желанием привлечь внимание общественности к существующей проблеме и заставить операторов связи переходить на более совершенные технологии. Например, технология UMTS предполагает использование 128 битного алгоритма A5/3, стойкость которого такова, что никакими доступными средствами на сегодняшний день взломать его не удастся.

По расчетам Карстена, полная таблица ключей A5/1 в упакованном виде будет занимать 128 петабайт и распределенно храниться на множестве компьютеров в сети. Для ее расчета потребуется около 80 компьютеров и 2–3 месяца работы. Существенное уменьшение времени вычислений должно оказать использование современных CUDA графических карт и программируемых массивов Xilinx Virtex.

В частности много шума наделало его выступление на 26С3 (Chaos Communication Congress) в декабре 2009 года. Кратко сформулировать суть выступления можно так: в скором времени можно ожидать появление бюджетных системы для онлайн декодирования A5/1. Переходим к инженерным проблемам.

Как получить данные из эфира? Для перехвата разговоров надо иметь полноценный сканер, который должен уметь разбираться, какие базовые вещают вокруг, на каких частотах, каким операторам они принадлежат, какие телефоны с какими TMSI в настоящий момент активны. Сканер должен уметь следить за разговором с указанного телефона, корректно обрабатывать переходы на другие частоты и базовые станции. В интернете есть предложения по приобретению подобного сканера без дешифратора за 40–50 тыс. долларов. Это нельзя назвать бюджетным устройством. Таким образом, для создания прибора, который после несложных манипуляций мог начинать прослушивать разговор по телефону, необходимо:

а) реализовать часть, которая работает с эфиром. В частности, позволяет указать, какой из TMSI соответствует искомому телефону или с помощью активных атак заставить телефоны «обнаружить» свои реальные IMSI и MSISDN;

б) реализовать алгоритм подбора KC для A5/1, хорошо работающий на реальных данных (с помехами/ошибками, пропусками и т.п.);

в) рассчитать для него «радужные таблицы» (rainbow tables);

г) объединить все эти пункты в законченное работающее решение.

Карстен и остальные исследователи в основном решают пункт «в». В частности он его коллеги предлагают использовать OpenBTS, airdump и Wireshark для создания перехватчика IMSI (IMSI catcher). Пока можно сказать, что это устройство эмулирует базовую станцию и встраивается между MS и настоящей базовой станцией.

Докладчики утверждают, что SIM–карта легко может запретить телефону показывать, что он работает в режиме шифрования A5/0 (т.е. без шифрования вообще) и что большинство SIM–карт в обороте именно такие. Это действительно возможно. В GSM 02.07, написано (Normative Annex B.1.

26), что SIM–карта содержит специальный бит OFM в поле Administrative , который при значении равном единице, приведет к запрету индикации шифрования соединения (в виде амбарного замочка). В GSM 11.11 указаны следующие права доступа к этому полю: чтение доступно всегда, а права на запись описаны как «ADM».

Конкретный набор прав, регулирующих запись в это поле, задается оператор на этапе создания SIM–карт. Таким образом, докладчики надеются, что большая часть карт выпускается с установленным битом и телефоны у них действительно не показывают индикацию отсутствия шифрования. Это действительно существенно облегчает работу IMSI сatcher–а т.к.

владелец телефона не может обнаружить отсутствие шифрования и что–то заподозрить. Интересная деталь.

Исследователи столкнулись с тем, что прошивки телефонов тестируются на соответствие спецификациям GSM и не тестируются на обработку нештатных ситуаций, поэтому, в случае некорректной работы базовой станции (например, «подставная» OpenBTS, которая использовалась для перехвата) телефоны зачастую зависают.

Наибольший резонанс вызвало заявление, что всего за $1500 можно из USRP, OpenBTS, Asterisk и airprobe собрать готовый комплект для прослушивания разговоров. Эта информация широко разошлась по Интернету, только авторы этих новостей и производных от них статей забыли упомянуть, что сами докладчики деталей не предоставили, а демонстрация не состоялась.

В декабре 2010 года Карстен и Мунот (Sylvain Munaut) снова выступил на конференции 27С3 с докладом про перехват разговоров в GSM сетях. На этот раз они представили более полный сценарий, но в нем присутствует множество «тепличных» условий. Для обнаружения местоположения они используют интернет–сервисы, которые дают возможность вбрасывать в сеть SS7 запросы «send routing info».

SS7 – это сеть/стек протоколов, которые используются для общения телефонных операторов (GSM и «наземных») друг с другом и для общения компонент сети GSM друг с другом. Далее авторы делают ссылку на реализацию мобильной связи в Германии. Там полученное в результате запроса RAND хорошо коррелирует с кодом региона (area code/zip code).

Поэтому такие запросы там дают возможность определить с точностью до города или даже части города, где в Германии находится этот абонент. Но так делать оператор не обязан. Теперь исследователи знают город. После этого они берут сниффер, едут в найденный ранее город и начинают посещать все его LAC.

Приехав на территорию, которая входит в какой–то LAC, они посылают жертве SMS и слушают, идет ли пейджинг(paging) телефона жертвы (это происходит по незашифрованному каналу, во всех базовых сразу). Если вызов есть, то они получают сведения о TMSI, который был выдан абоненту. Если нет – едут проверять следующий LAC. Необходимо заметить, что т.к.

IMSI при пейджинге не передается (и исследователи его не знают), а передается только TMSI (который они и хотят узнать), то производится «атака по времени» (timing attack). Они посылают несколько SMS с паузами между ними, и смотрят, для каких TMSI производится пейджинг, повторяя процедуру до тех пор, пока в списке «подозрительных» TMSI не останется только один (или ни одного). Чтобы жертва не заметила такого «прощупывания», посылается такой SMS, который не будет показан абоненту. Это или специально созданный flash sms, или неверный (битый) SMS, который телефон обработает и удалит, при этом пользователю ничего показано не будет. Выяснив LAC, они начинают посещать все соты этого LAC, посылать SMS–ки и слушать отклики на пейджинг. Если есть ответ, то жертва находится вот в этой соте, и можно начинать взламывать ее сессионный ключ (KC) и слушать ее разговоры. Перед этим необходимо записать эфир. Здесь исследователи предлагают следующее:

1) существуют производимые на заказ FPGA–платы, которые способны одновременно записывать все каналы либо uplink (канал связи от абонента (телефона или модема) к базовой станции сотового оператора), либо downlink (канал связи от базовой станции к абоненту) частот GSM (890–915 и 935–960 МГц соответственно). Как уже было отмечено, стоит такое оборудование 40– 50 тыс. долларов, поэтому доступность такого оборудования для простого ис- следователя безопасности сомнительна;

2) можно брать менее мощное и более дешевое оборудование и слушать часть частот на каждом из них. Такой вариант стоит примерно 3,5 тыс. евро с решением на базе USRP2;

3) можно сначала сломать сессионный ключ, и потом декодировать траффик «на лету» и следовать за сменой частоты (frequency hopping) при помощи четырех телефонов, у которых вместо родной прошивки стоит альтернативная прошивка OsmocomBB. Роли телефонов: 1–й телефон используется для пейджинга и контроля ответов, 2–й телефон выделен абоненту для разговора.

При этом каждый телефон должен писать и прием и передачу. Это очень важный пункт. До этого момента OsmocomBB фактически не работал и за год (с 26С3 до 27С3) OsmocomBB был доделан до пригодного к использованию состояния, т.е. до конца 2010 года не было практического работающего решения. Взлом сессионного ключа.

Находясь в одной соте с жертвой, они посылают ей SMS, записывают общение жертвы с базовой, и взламывают ключ, пользуясь тем, что во время установления сессии (session setup) происходит обмен множеством полупустых пакетов или с предсказуемым содержимым. Для ускорения взлома используются радужные таблицы.

На момент проведения 26C3 эти таблицы были не так хорошо заполнены и взлом делался вовсе не за минуты и даже не за десятки минут (авторы упоминают час).

То есть, до 27C3 даже у Карстена (основного исследователя в этой области) не было решения, которое позволяло взломать KC за приемлемое время (в течении которого, скорее всего, не произойдет смена сессионого ключа (rekeying)).

Затем исследователи пользуются тем, что смена ключа редко делается после каждого звонка или SMS и сессионный ключ, который они узнали, не будет меняться в течение какого–то времени. Теперь, зная ключ, они могут декодировать зашифрованный траффик к/от жертвы в режиме реального времени, и делать смену частоты (frequency hopping) одновременно с жертвой.

Для захвата эфира в этом случае реально достаточно четырех перепрошитых телефонов, так как не требуется писать все частоты и все таймслоты. Исследователи продемонстрировали эту технологию в работе. Правда «жертва» сидела на месте и обслуживалась одной сотой. Подводя промежуточный итог можно утвердительно ответить на вопрос о возможности перехвата и расшифровке на лету GSM разговоров. При этом надо иметь помнить следующее:

1) Технология, описанная выше не существует в виде, доступном для любого желающего (в т.ч. script kiddies). Это даже не конструктор, а заготовка для деталей конструктора, которые надо доделывать до пригодного к исполь- зованию состоянию.

Исследователи неоднократно замечают, что у них нет четких планов по выкладыванию в общий доступ конкретики реализации.

Это означает, что на основании этих наработок производители Ближнего Востока не изготавливают массово устройства за 100 долларов, которые могут слушать все.

2) OsmocomBB поддерживает только одно семейство чипов (хотя и самое распространенное).

3) Способ определения местоположения по запросам к HLR и перебору LAC работает скорее в теории, чем на практике. На практике злоумышленник или знает, где находится жертва физически, или не может попасть в туже соту что и жертва. Если злоумышленник не может послушать ту же соту, в ко- торой находиться жертва, то способ не работает.

В отличие от демонстрации, в реальности в средней по нагрузке LA присутствуют тысячи пейджинговых сообщений.

Более того, пейджинг работает не в момент отправки, а в определенные временные окна и пачками (по пейджинг–группам со своими очередями, номер которой есть остаток от деления IMSI на количество каналов, которое в каждой соте может быть свое), что опять усложняет реализацию.

4) Допустим, LA найден. Теперь надо “нащупать” ответ абонента. Передатчик телефона имеет мощность 1–2 ватта. Соответственно, проскани- ровать его с расстояния нескольких десятков метров тоже является задачей (не простой).

Получается парадокс: LA накрывает, например, целую область (город). В ней, например, 50 сот, у некоторых из которых радиус действия доходит до 30 км. Мы пытаемся поймать и расшифровать на ненаправленную антенну излучение.

Для реализации этой задачи в таком варианте требуется много оборудования. Если же исходить из предпосылки, при которой жертва находиться в прямой видимости, т.е.

расстояния, на котором перехват выгля- дит более реалистичным, намного эффективнее и проще направленный мик- рофон. Надо отметить, что на демонстрации исследователи перехватывают свои телефоны на расстоянии 2–х метров.

5) Перемещение жертвы между сотами также вызывает проблемы, т.к. вам также надо перемещаться вместе с ней.

6) Телефоны, используемые в демонстрации, требуют аппаратной модификации, в них нужно убрать фильтр с антенны, в противном случае теле- фоны «чужой» uplink не «увидят». Фильтр в телефоне нужен для того что бы «слушать» не все частоты, а только «свою».

7) Если в сети регулярно происходит смена ключа (rekeying) или меняются TMSI (ни один из исследователей не учитывал это), то это способ не работает вообще или работает очень плохо (время расшифровки может оказаться больше чем время разговора).

8) Прослушивать всю сеть не получится, надо знать номер телефона.