Construyendo aparato interceptador de llamadas
Hace mas de un año comenzamos con este proyecto algunos colegas y yo en un foro de hacking pero por diversas cuestiones tuvimos que abandonarlo, sin embargo yo lo segui junto con ANIMATRIX pero me temo que le perdi la pista. Ahora traigo todo lo que tengo sobre el aparato, diria que solo falta tener un poco de plata y la ayuda de ustedes para terminarlo, a ver si alguien se anima y me escribe, aqui les dejo lo que tengo:
El sistema como tal, debe poder trabajar en todas las redes GSM dentro de las bandas seleccionadas (850/900/1800/1900 MHz) interceptando a todos los objetivos dentro de un radio especifico pudiendo grabar llamadas y recibir mensajes SMS salientes y entrantes en ambos casos. El sistema opera interceptando los datos en el aire (IMSI/TMSI), como dato extra conocemos que el algoritmo COMP128 puede servir para estas funciones pero hemos podido dar con el, habria que crear uno similar para el encriptamiento A5.0, A5.1, y A5.2 que desencripta en tiempo real. Todos los archivos generados deben convertirse en mp3 para poder trabajar con ellos.
El sistema base debe poder poseer 2 celdas con 4 canels de audio que logren captar hasta dos objetivos de manera simultanea, podria extenderse hasta 12 celdas de 24 canales de audio con 12 objetivos simultaneos en un mismo radio y sin ningun retraso.
El aparato no dependera de la tarjeta SIM del objetivo sino de una aplicacion API que este pasiva en el aire obteniendo los datos de interceptacion IMSI y KI del objetivo. Todo el proceso se controla desde una laptop modificada para este trabajo donde estaran los demas componentes del aparato asi como las aplicaciones necesarias para hacer el trabajo en tiempo real y rapido, con la posibilidad de mover el sistema de acuerdo a las necesidades. Segun el trabajo realizado con este metodo se puede localizar al objetivo con un rango maximo de error de 250mts pero pudiendo reducirlo de acuerdo con el tiempo de seguimiento. Para explicar mejor el funcionamiento cito lo siguiente:
"Toda red de GSM, tiene un máximo de capacidad de hasta 992 usuarios (canales) por celda, esto significa que nunca podrá brindar mas de 992 interconexiones inalámbricas con los celulares (usuarios), y si tomamos por ejemplo una zona de un “centro comercial”,a la fecha con la gran incorporación de “nuevos usuarios” al sistema de telefonía celular, podemos llegar a tener en una zona de +/- 40.000 mt2 (cuatro hectáreas) unos 600/700 usuarios activos.-
Todo sistema de interconexión (API) en una red GSM, contempla que cada BTS (celda), no admita mas de un 60% de su capacidad, lo que da unos 595 usuarios como máximo por celda, esto significa que un área de 40.000 mt2, donde superamos la cantidad de usuarios presentes, la red, en forma “automática”, comparte a esos usuarios con las 2 celdas mas próximas, o sea que esos usuarios espontáneamente y en forma “aleatoria”, ya que la asignación lo da la BCCH (la que designa cada canal a cada usuario), que designa la MSC, a cada celda, o sea que se “reparten” en una forma “aleatoria”, a los “usuarios” en un rango que no supera los 40.000 mt2, unos 600/700 usuarios.-
Si tratamos de interpretar esta situación, un sistema “apropiado” para trabajar en un radio de “acción” apreciable donde consideraremos que como límite siempre tendremos el “uplink”, ó el “outgoing”, o sea la señal generada por el “celular” ó “estación móvil” (se considera a la voz del locutor propietario del celular), que siempre estará limitada a un radio no mayor a los 500/800 mts, en las mejores condiciones, ese sistema debería de tener no menos de posibilidad de “interceptar” con una capacidad de mínimo 3 celdas para un radio de +/- 200/300 mt ó de 6 celdas para el límite de radio +/- 500/800 mt de nuestro objetivo.-
En estas condiciones planteadas, estamos considerando, un límite de capacidad de la Red GSM, esto significa, que nos aproximamos al límite de su capacidad de “interconexión”, cosa que no sucede en zonas donde la cantidad de usuarios “disminuye”, y una celda no llega a “atender” a no mas de 150 o 200 usuarios “permanentes” y a no mas de unos 200 usuarios, que “transitan” por la zona o sea que “hacen “roaming”, y solo ocupan transitoriamente la celda que les da servicio.-
En las condiciones más favorables (muy pocos usuarios registrados), y con una densidad muy baja, podremos obtener de un objetivo el máximo de “capacidad de interceptación” que estará rondando los 2 km en zonas urbanas y de más de 5 km en zonas sub-urbanas."
Algunas especificaciones tecnicas son las siguientes:
Bandas de operación: 850 / 900 / 1800 / 1900 MHz
Modos de GSM: EGSM, 2GSM, GSMX1, 3GSM(*)
Modulación: GMSK (TDMA/FDMA)
Nivel de encriptamiento: A5.0, A5.1, A5.2, y A5.3 (COMP 128)
Retardo de desencriptamiento: A5.0 = instantáneo, A5.2 = 20 a 40 segundos; A5.1 y A5.3 de 10 a 20 minutos
Normas internacionales: GSM 06.1.0 (Ericsson, Nokia, Motorota, Siemens)
Capacidad de exploración: 992 canales en 0,2 Usec. Por BTS (celda)
Cantidad de celdas de exploración simultánea: 6 celdas (canales altos y bajos)
Exploración de Redes: manual/automática
Exploración de canales: activos, actividad y “flooating” (muestreo de actividad)
Interceptación de llamadas: máximo 3 llamadas simultáneas al 50%, 2 llamadas al 100%
Interceptación de SMS: hasta 10 objetivos simultáneos al 100%
Muestreo de datos: ANI, IDE, DTMF, GPRS, en decimal
Muestreo de actividad: usuarios, por IMSI y TMSI, con posibilidad de captura manual
Muestreo de canales con actividad: la totalidad de la celda explorada
Registro de actividad: número y registro de celda, LAC, BCCH, canales, usuarios, objetivos
Registros de interceptación: archivos de datos, archivos “wav” (audio),, archivos “txt” (SMS)
Operatividad: Laptop PC Pentium 4 40GB, 256 Mb, base LINUX / WINDOWS
Alimentación: Triple alimentación: interna (12 VCC LITIUM 5 AMP), externa 12 VCC, externa 110/220 VCA
Accesorios: Antena exterior de 6 dBm ovni-direccional multi-banda
Accesorios: CellTrack portátil de mano mod. Nokia 6670/CTR (IC-GSM-01)
Accesorios: Antena direccional 12 dBm multi-banda con soporte y coaxil
Accesorios: Software adicional de “geo-localización GSM”
Construccion:
Primero se necesita un celular Nokia 6670 que por ser cuatribanda y tener Symbian OS nos sirve bastante para el aparato, solo nos hara falta el CellTrack que se pueden descargar desde aqui http://www.afischer-online.de/sos/celltrack/p.html
El siguiente texto fue traducido por alguien del foro y da una idea de otro sistema de encriptacion que se vendia por ebay y que podia ayudar:
La Criptografía pública
• RSA con llave de 2048 bits
• DSA con llave de 2048 bits
• DH con la clave de 2048 bits
Descripción: RSA y DSA son utilizados al mismo tiempo para autenticación. Las llaves son engendradas durante la instalación y son diferente en cada teléfono. La llave privada nunca es compartida. El Diffie- Hellman (DH) y el algoritmo de RSA es utilizado para el cambio clave. La llave de la sesión es sólo válida para 1 llamada telefónica y seguramente destruido después del uso. El software utiliza el (el público) la biblioteca rsaref2.
La Criptografía simétrica
• AES con de 256 bits
• RC4 con la de 256 bits
Descripción : Ambos algoritmos de la codificación son utilizados al mismo tiempo. El paquete de datos es cifrado primero con AES y con los crypto-datos entonces son cifrados otra vez con RC4. Ambos algoritmos son inicializados con la llave cambiada de la sesión. Los primeros 4096 byte son desechados de ambos
algoritmos para prevenir los ataques de la inicialización del estado. Ambos algoritmos son utilizados en Contra Modo (CTR).
Picar en trocitos el Algoritmo
• SHA512
• MD5
Descripción : Ambos picars en trocitos los algoritmos son utilizados al mismo tiempo para seguridad doble.
El Número al azar
• la piscina de 2048 bits de la semilla
• el pedacito Bajo del ruido de micrófono
• Llama el generador interno del número al azar
• Timestamp
Descripción : de una piscina de 2048 bits de la semilla es engendrada durante la instalación. La piscina de la semilla es actualizada periódicamente. La semilla inicial mide la fluctuación del pedacito menos significativo del ruido de micrófono, la piscina interna del número al azar de teléfono y el timestamp. El PRF es aplicado según la especificación de IPSec definida en RFC-4306.
De la antena pues ya la he visto, todas las especificaciones tecnicas estan aqui www.data-linc.com/plantlinc/plr580.htm con esta antena podremos alcanzar un radio de 6.5km.
Nos hace falta mas sobre los algoritmos A3, A5 y A8.
La antena se conecta a la pc desde un cable USB y el celular por Blue.
Aqui unas imagenes del programa que podria ayudar pero hace falta encontrar
Textos de ayuda:
Algo de información sobre la red telefonica conmutada:
http://trajano.us.es/~isabel/publicaciones/tema7.pdf#search=%22red%20telefonica%20conmutada%22
Síntesis sobre GSM:
http://es.wikipedia.org/wiki/GSM
Hack telefonia celular
http://www.hackcanada.com/blackcrawl/cell/
Como trabajan las redes de celulares
http://www.acm.org/crossroads/espanol/xrds7-2/cellular.html
http://ntrg.cs.tcd.ie/undergrad/4ba2.05/group7/index.html
Más sobre seguridad GSM
http://www.ausmobile.com/downloads/technical/Security%20in%20the%20GSM%20system%2001052004.pdf
http://www.theukwebdesigncompany.com/articles/article.php?article=1191
http://www.tml.tkk.fi/Opinnot/Tik-110.501/2000/papers/peng.pdf
Mas:
http://www.dia.unisa.it/professori/ads/corso-security/www/CORSO-9900/a5/Netsec/netsec.html
http://www.hackcanada.com/blackcrawl/cell/gsm/gsm-secur/gsm-secur.html
http://www.hackcanada.com/blackcrawl/cell/gsm/gsm_security.html
http://jya.com/a5-hack.htm
El sistema como tal, debe poder trabajar en todas las redes GSM dentro de las bandas seleccionadas (850/900/1800/1900 MHz) interceptando a todos los objetivos dentro de un radio especifico pudiendo grabar llamadas y recibir mensajes SMS salientes y entrantes en ambos casos. El sistema opera interceptando los datos en el aire (IMSI/TMSI), como dato extra conocemos que el algoritmo COMP128 puede servir para estas funciones pero hemos podido dar con el, habria que crear uno similar para el encriptamiento A5.0, A5.1, y A5.2 que desencripta en tiempo real. Todos los archivos generados deben convertirse en mp3 para poder trabajar con ellos.
El sistema base debe poder poseer 2 celdas con 4 canels de audio que logren captar hasta dos objetivos de manera simultanea, podria extenderse hasta 12 celdas de 24 canales de audio con 12 objetivos simultaneos en un mismo radio y sin ningun retraso.
El aparato no dependera de la tarjeta SIM del objetivo sino de una aplicacion API que este pasiva en el aire obteniendo los datos de interceptacion IMSI y KI del objetivo. Todo el proceso se controla desde una laptop modificada para este trabajo donde estaran los demas componentes del aparato asi como las aplicaciones necesarias para hacer el trabajo en tiempo real y rapido, con la posibilidad de mover el sistema de acuerdo a las necesidades. Segun el trabajo realizado con este metodo se puede localizar al objetivo con un rango maximo de error de 250mts pero pudiendo reducirlo de acuerdo con el tiempo de seguimiento. Para explicar mejor el funcionamiento cito lo siguiente:
"Toda red de GSM, tiene un máximo de capacidad de hasta 992 usuarios (canales) por celda, esto significa que nunca podrá brindar mas de 992 interconexiones inalámbricas con los celulares (usuarios), y si tomamos por ejemplo una zona de un “centro comercial”,a la fecha con la gran incorporación de “nuevos usuarios” al sistema de telefonía celular, podemos llegar a tener en una zona de +/- 40.000 mt2 (cuatro hectáreas) unos 600/700 usuarios activos.-
Todo sistema de interconexión (API) en una red GSM, contempla que cada BTS (celda), no admita mas de un 60% de su capacidad, lo que da unos 595 usuarios como máximo por celda, esto significa que un área de 40.000 mt2, donde superamos la cantidad de usuarios presentes, la red, en forma “automática”, comparte a esos usuarios con las 2 celdas mas próximas, o sea que esos usuarios espontáneamente y en forma “aleatoria”, ya que la asignación lo da la BCCH (la que designa cada canal a cada usuario), que designa la MSC, a cada celda, o sea que se “reparten” en una forma “aleatoria”, a los “usuarios” en un rango que no supera los 40.000 mt2, unos 600/700 usuarios.-
Si tratamos de interpretar esta situación, un sistema “apropiado” para trabajar en un radio de “acción” apreciable donde consideraremos que como límite siempre tendremos el “uplink”, ó el “outgoing”, o sea la señal generada por el “celular” ó “estación móvil” (se considera a la voz del locutor propietario del celular), que siempre estará limitada a un radio no mayor a los 500/800 mts, en las mejores condiciones, ese sistema debería de tener no menos de posibilidad de “interceptar” con una capacidad de mínimo 3 celdas para un radio de +/- 200/300 mt ó de 6 celdas para el límite de radio +/- 500/800 mt de nuestro objetivo.-
En estas condiciones planteadas, estamos considerando, un límite de capacidad de la Red GSM, esto significa, que nos aproximamos al límite de su capacidad de “interconexión”, cosa que no sucede en zonas donde la cantidad de usuarios “disminuye”, y una celda no llega a “atender” a no mas de 150 o 200 usuarios “permanentes” y a no mas de unos 200 usuarios, que “transitan” por la zona o sea que “hacen “roaming”, y solo ocupan transitoriamente la celda que les da servicio.-
En las condiciones más favorables (muy pocos usuarios registrados), y con una densidad muy baja, podremos obtener de un objetivo el máximo de “capacidad de interceptación” que estará rondando los 2 km en zonas urbanas y de más de 5 km en zonas sub-urbanas."
Algunas especificaciones tecnicas son las siguientes:
Bandas de operación: 850 / 900 / 1800 / 1900 MHz
Modos de GSM: EGSM, 2GSM, GSMX1, 3GSM(*)
Modulación: GMSK (TDMA/FDMA)
Nivel de encriptamiento: A5.0, A5.1, A5.2, y A5.3 (COMP 128)
Retardo de desencriptamiento: A5.0 = instantáneo, A5.2 = 20 a 40 segundos; A5.1 y A5.3 de 10 a 20 minutos
Normas internacionales: GSM 06.1.0 (Ericsson, Nokia, Motorota, Siemens)
Capacidad de exploración: 992 canales en 0,2 Usec. Por BTS (celda)
Cantidad de celdas de exploración simultánea: 6 celdas (canales altos y bajos)
Exploración de Redes: manual/automática
Exploración de canales: activos, actividad y “flooating” (muestreo de actividad)
Interceptación de llamadas: máximo 3 llamadas simultáneas al 50%, 2 llamadas al 100%
Interceptación de SMS: hasta 10 objetivos simultáneos al 100%
Muestreo de datos: ANI, IDE, DTMF, GPRS, en decimal
Muestreo de actividad: usuarios, por IMSI y TMSI, con posibilidad de captura manual
Muestreo de canales con actividad: la totalidad de la celda explorada
Registro de actividad: número y registro de celda, LAC, BCCH, canales, usuarios, objetivos
Registros de interceptación: archivos de datos, archivos “wav” (audio),, archivos “txt” (SMS)
Operatividad: Laptop PC Pentium 4 40GB, 256 Mb, base LINUX / WINDOWS
Alimentación: Triple alimentación: interna (12 VCC LITIUM 5 AMP), externa 12 VCC, externa 110/220 VCA
Accesorios: Antena exterior de 6 dBm ovni-direccional multi-banda
Accesorios: CellTrack portátil de mano mod. Nokia 6670/CTR (IC-GSM-01)
Accesorios: Antena direccional 12 dBm multi-banda con soporte y coaxil
Accesorios: Software adicional de “geo-localización GSM”
Construccion:
Primero se necesita un celular Nokia 6670 que por ser cuatribanda y tener Symbian OS nos sirve bastante para el aparato, solo nos hara falta el CellTrack que se pueden descargar desde aqui http://www.afischer-online.de/sos/celltrack/p.html
El siguiente texto fue traducido por alguien del foro y da una idea de otro sistema de encriptacion que se vendia por ebay y que podia ayudar:
La Criptografía pública
• RSA con llave de 2048 bits
• DSA con llave de 2048 bits
• DH con la clave de 2048 bits
Descripción: RSA y DSA son utilizados al mismo tiempo para autenticación. Las llaves son engendradas durante la instalación y son diferente en cada teléfono. La llave privada nunca es compartida. El Diffie- Hellman (DH) y el algoritmo de RSA es utilizado para el cambio clave. La llave de la sesión es sólo válida para 1 llamada telefónica y seguramente destruido después del uso. El software utiliza el (el público) la biblioteca rsaref2.
La Criptografía simétrica
• AES con de 256 bits
• RC4 con la de 256 bits
Descripción : Ambos algoritmos de la codificación son utilizados al mismo tiempo. El paquete de datos es cifrado primero con AES y con los crypto-datos entonces son cifrados otra vez con RC4. Ambos algoritmos son inicializados con la llave cambiada de la sesión. Los primeros 4096 byte son desechados de ambos
algoritmos para prevenir los ataques de la inicialización del estado. Ambos algoritmos son utilizados en Contra Modo (CTR).
Picar en trocitos el Algoritmo
• SHA512
• MD5
Descripción : Ambos picars en trocitos los algoritmos son utilizados al mismo tiempo para seguridad doble.
El Número al azar
• la piscina de 2048 bits de la semilla
• el pedacito Bajo del ruido de micrófono
• Llama el generador interno del número al azar
• Timestamp
Descripción : de una piscina de 2048 bits de la semilla es engendrada durante la instalación. La piscina de la semilla es actualizada periódicamente. La semilla inicial mide la fluctuación del pedacito menos significativo del ruido de micrófono, la piscina interna del número al azar de teléfono y el timestamp. El PRF es aplicado según la especificación de IPSec definida en RFC-4306.
De la antena pues ya la he visto, todas las especificaciones tecnicas estan aqui www.data-linc.com/plantlinc/plr580.htm con esta antena podremos alcanzar un radio de 6.5km.
Nos hace falta mas sobre los algoritmos A3, A5 y A8.
La antena se conecta a la pc desde un cable USB y el celular por Blue.
Aqui unas imagenes del programa que podria ayudar pero hace falta encontrar
Textos de ayuda:
Algo de información sobre la red telefonica conmutada:
http://trajano.us.es/~isabel/publicaciones/tema7.pdf#search=%22red%20telefonica%20conmutada%22
Síntesis sobre GSM:
http://es.wikipedia.org/wiki/GSM
Hack telefonia celular
http://www.hackcanada.com/blackcrawl/cell/
Como trabajan las redes de celulares
http://www.acm.org/crossroads/espanol/xrds7-2/cellular.html
http://ntrg.cs.tcd.ie/undergrad/4ba2.05/group7/index.html
Más sobre seguridad GSM
http://www.ausmobile.com/downloads/technical/Security%20in%20the%20GSM%20system%2001052004.pdf
http://www.theukwebdesigncompany.com/articles/article.php?article=1191
http://www.tml.tkk.fi/Opinnot/Tik-110.501/2000/papers/peng.pdf
Mas:
http://www.dia.unisa.it/professori/ads/corso-security/www/CORSO-9900/a5/Netsec/netsec.html
http://www.hackcanada.com/blackcrawl/cell/gsm/gsm-secur/gsm-secur.html
http://www.hackcanada.com/blackcrawl/cell/gsm/gsm_security.html
http://jya.com/a5-hack.htm
… Y todos aqui parece que creen que si pero aún no … 
Dejar un Post it
