Прослуховування розмов за допомогою «фальшивих базових станцій»

У попередній статті я згадував про те, що оператори мобільного зв'язку надають спецслужбам можливість прослуховувати розмови певних абонентів. Це загальновідомий факт, з якого не роблять особливого секрету.

Існує також поширена думка про те, що є спеціальні пристрої, «прикидатися» базовими станціями, через які можна таємно прослуховувати будь-які розмови, не ставлячи до відома оператора і навіть не знаючи напевно номера телефону прослуховується людини, достатньо, мовляв, зробити так, щоб він досить довго перебував у зоні покриття такої «псевдобазовой», і його розмови, нарівні з усіма іншими, будуть прослухані.

Насправді схожі пристрої існують (наприклад, вироблений компанією Rohde & Schwarz комплекс RA 900), але вони мають далеко не настільки вражаючими можливостями:

Потай можна тільки встановити, чи перебуває в зоні покриття телефон, в який вставлена SIM-карта із зазначеним IMSI, або отримати список IMSI / IMEI - але не номерів телефонів - в зоні покриття «псевдобазовой».
Можна прослуховувати вихідні розмови з конкретного телефону, але у абонента при цьому буде відключено шифрування сигналу. Крім того, номер абонента, що дзвонить буде змінений або прихований. Це досить легко помітити і виявити, таким чином, факт прослуховування.
Якщо все-таки виконується прослуховування, то вхідні дзвінки не можуть бути доставлені абоненту і, відповідно, не можуть бути прослухані. Для всього світу прослуховується абонент як би знаходиться «за зоною покриття», що теж може видати факт прослуховування.

Звідки ж стільки обмежень? Що заважає побудувати більш досконалий пристрій, що прикидається базовою станцією, яке дозволить повноцінно і таємно прослуховувати всі переговори якогось абонента, а ще краще за всіх абонентів у зоні покриття?

Для початку необхідно зробити кілька застережень:

Передбачається, що ті, хто проводить прослуховування, мають на меті конкретного абонента, а не прослуховування всіх підряд без розбору. Хоча б уже тому, що прослуховування всіх підряд без розбору - це досить непотрібна й малопродуктивні з точки зору результату заняття.
Передбачається, що про жертву відомий тільки номер SIM-карти (IMSI) або серійний номер телефону. Зокрема, не відомий секретний ключ (Ki) SIM-картки жертви. Це досить реалістичні припущення - якщо прослуховуючі можуть легко дізнатися Ki довільній SIM-карти, то їм напевно не важко просто використовувати СОРМ-інтерфейси оператора для прослуховування дзвінків і не обтяжувати себе використанням більш складних і менш надійних способів кшталт «псевдобазовой».

Загальні принципи роботи «псевдобазовой»

Псевдобазовая представляє із себе пристрій, який, з одного боку, вдає з себе базову станцію мережі GSM, а з іншого боку саме містить у собі SIM-карту або якісь інші технічні засоби для з'єднання з комунікаційними мережами. Використовується воно наступним чином:

Псевдобазовая (ПБ) розміщується неподалік від жертви (і її мобільного телефону).
Псевдобазовая починає свою роботу, анонсуючи себе в ефірі як звичайна базова станція, що належить мобільної мережі, якою користується жертва. У стандарті GSM не потрібно, щоб базова станція підтверджувала свою автентичність телефону (на відміну від мереж UMTS, наприклад), тому зробити це досить легко. Частота і потужність сигналу псевдобазовой підбираються так, щоб реальні базові станції всіх сусідніх мереж не створювали їй перешкод у роботі.
Телефон жертви змушують обрати псевдобазовую в якості найкращої доступної базової станції через її хорошого і потужного сигналу. На цьому етапі підслуховуючі отримують підтвердження того, що телефон жертви включений і знаходиться в зоні дії псевдобазовой, і можуть визначити його серійний номер (IMEI). Якщо прослуховування розмов не потрібно, то далі спостерігачі можуть, наприклад, періодично перевіряти, не покинула чи жертва зону покриття псевдо-базовою.
Якщо ж потрібно прослуховувати вихідні дзвінки, то псевдобазовая інструктує телефон жертви перейти в режим шифрування A5 / 0, тобто без шифрування взагалі. Телефон за стандартом GSM не може відмовитися.
Тепер всі вихідні дзвінки проходять через псевдобазовую у відкритому вигляді і можуть бути там записані / прослухані. Сама псевдобазовая при цьому виступає в ролі «проксі» / посередника, самостійно з'єднуючись з набраним номером і прозоро транслюючи крізь себе голос в обидві сторони.

Проблеми та обмеження

Отже, що ж ускладнює життя тих, хто використовує псевдобазовую для стеження за жертвою і прослуховування її розмов?

По-перше, як тільки потенційна жертва опиняється в зоні покриття псевдобазовой, вона фактично випадає з покриття нормальної мережі оператора і стає недоступною для вхідних дзвінків. Щоб забезпечити доставку вхідних дзвінків, псевдобазовая повинна обслуговуватися мережею оператора нарівні з усіма іншими базовими станціями цієї мережі. Тобто псевдобазовая повинна бути підключена до якогось контролера базових станцій (BSC) і описана в його таблицях маршрутизації. Але якщо у прослуховуючих є доступ до мережі оператора на рівні, що дозволяє підключати і конфігурувати нові базові станції, то їм простіше використовувати СОРМ і немає потреби возиться з псевдобазовимі.

Крім жертви в зону покриття псевдобазовой потраплять і інші мобільні телефони, розташовані неподалік. Для них ситуація буде ще гірше - апарат буде показувати наявність покриття, але ні вхідні, ні вихідні дзвінки обслуговуватися не будуть.

По-друге, для прослуховування вихідних розмов потрібно відключення шифрування на телефоні жертви. Більшість сучасних телефонів розкажуть про це жертві, і вона може насторожитися.

По-третє, для того щоб транслювати крізь себе вихідні дзвінки, псевдобазовой потрібно якийсь вихід у телефонну мережу. Якщо це GSM-модуль з SIM-картою, то вихідні дзвінки, що здійснюються псевдобазовой, будуть відбуватися з номером, відмінним від номера жертви. Це доведеться приховувати за допомогою послуги «приховування номера абонента» (calling line identification restriction, CLIR), що може насторожити одержувачів дзвінка. Іноді номер можна підмінити на правильний при використанні альтернативних засобів - WiFi + VoIP, наприклад, але це ускладнює конструкцію псевдобазовой і накладає певні обмеження на те, де вона може бути використана.

В принципі, для трансляції прослуховує дзвінків найрозумніше використовувати SIM-карту того ж оператора, яким користується жертва, щоб мати можливість обслуговувати дзвінки на службові та короткі номери.

По-четверте, телефон жертви може бути винесений із зони покриття псевдобазовой, після чого доведеться її пересувати і починати процес прослуховування спочатку.

Виходить занадто багато мінусів. Це може бути прийнятно для короткострокової цільової акції, але неприпустимо для довготривалого широкомасштабного прослуховування.

Таким чином, основна користь від подібного пристрою може бути в тому, щоб ідентифікувати IMSI / IMEI жертви, про яку точно відомо тільки її розташування («людина в темному плащі з квартири навпроти»), а потім вже використовувати відомості про IMSI для проведення звичайного прослуховування засобами СОРМ. Не даремно в мережі подібні пристрої називають «ловцями IMSI» (IMSI catchers).

Література

Стаття IMSI-catcher на Wikipedia, англійська.
Розділ 10.5.4.4 (стор. 248) книги "Information Security" by Mark Stamp (Wiley, 2006) (розділ доступний для читання через Google Books за вказаним URL, англ.)
Опис принципів роботи Rohde & Schwarz RA 900 (англ.)
Матеріали судового розгляду по патентних прав , які обговорюють деталі реалізації подібних пристроїв (англ.)

Дмитро Астапов ( www.pro-gsm.info )
Опубліковано - 11 вересня 2009

Є, що додати?! Пишіть ... eldar@ua-mobile.com

Новини:

1:07, 06 грудня: au by KDDI ARROW ES IS12F - водонепроникний Android смартфон для японських абонентів