手机信号劫持
来源:ZwelL's Blog
有意思的文章,这个概念很早就被提出,不过很少有人描述这么细的。而且对能够实施的“攻击者”要求也挻高。GSM中的单向认证问题在3G(WCDMA)网络中将被覆盖掉,因为认证不再是3元组,而是5元组。
Origin: http://www.zxboy.com/article.asp?id=158
写点很多人都感兴趣的东西.关于GSM通信网络监听的问题,在那一年广州黑市上出现相关设备就闹得沸沸扬扬.一时大众惶恐自危.有些所谓的资深专家就跳出来说"是不可能的,GSM网络是安全的".这可能是移动通信公司最大的危机.虽然那些专家说的话,我们可一笑置之.但也确实不见很简单的事,不是随便就可以实现的.
记得几年前某次我正在说一个CASE的执行方案,说到关于监听SSL通信的相关数据.有个新来的程序员很白目,大声的提醒我 SSL是加密的,这不可能实现……我很怕跟这些照本念书型的技术人员打交道,因为老师告诉他们1就是1,书本上告诉他们2就是2.他们自己怎么也不会去想"为什么不可能是3?"
对于一个信息安全工作者,看待任何事物,都应该是"有罪论".这不是先入为主的思想.而是事物的本质.同样,GSM通信网络体系也是这样.暂且把那些资深专家的话和常规理论丢一边去.为了详细分析如何实现,我们先来学习些基本的知识.
这是一个简单的GSM通信网络系统结构方框图.我们暂且把他分为五个部分:MS、BSC、NSS、OSS、PSTN.下面来介绍和本文有关的几个部分.
MS:移动台(手机)
BSS:基站子系统模块
BTS:基站收发台
BSC:基站控制器
NSS:网络子系统模块
OMC:操作维护中心
MSC:移动交换中心
VLR:漫游用户位置储存器(后面会做详细介绍)
HLR:本地用户位置储存器(后面会做详细介绍)
AUC:鉴权中心(后面会做详细介绍)
EIR:设备标志储存器(后面会做详细介绍)
OSS:操作支持系统(也叫运营支撑系统)
和本文关系不大,就不做详细介绍了.主要为网络管理维护,计费和用户卡资料管理.当然如果你要做实地渗透,关系就大了.
PSTN:公共交换电话网,我们所用的坐机就属于这个网络.这基本是现今最大的网络,也是其他一些网络的基础.
我们基本已对GSM网络有了个基本的了解.对于要进行空中线路侧劫持,我们还得对另外一个重要部分进行了解.那就是移动用户识别卡,也就是我们所说的SIM 卡、手机卡.SIM卡里储存有四类数据,第一类是固定数据:国际移动用户识别号(IMSI)、鉴权密钥(KI)、鉴权和加密算法.第二类是暂存的网络数据:位置区域识别码(LAI)、移动用户暂时识别码(TMSI)、禁止接入的公共电话网代码.第三类是业务代码:个人识别码(PIN)、解锁码(PUK)、计费费率.和我们要进行的分析有关的重点是第一类和第二类数据.
做完前面的介绍,我们现在开始进行GSM空中线路侧劫持实现分析.首先我们来看一下GSM的通信流程和详细的呼叫流程、信令流程.
这是一个(MS)手机呼叫(MS)手机请求建立通信的信令基本流程.整个过程从MS向BTS请求信道开始.首先MS将在随机接入信道(RACH)向BSS发送信道请求消息,以便申请一个专用信道(SDCCH),BSC为其分配相应的信道成功后,在接入允许信道(AGCH)中通过立即分配消息通知MS为其分配的专用信道,随后MS将在为其分配的SDCCH上发送一个层三消息—CM业务请求消息,在该消息中CM业务类型为移动发起呼叫,该消息被BSS透明的传送至MSC,MSC收到CM业务请求消息后,通过处理接入请求消息通知VLR处理此次MS的接入业务请求,(同时,由于在BSC和MSC之间用到了 SCCP有连接服务,为建立SCCP连接,MSC还将向BSC回连接确认消息),收到业务接入请求后,VLR将首先查看在数据库中该MS是否有鉴权三参组,如果有,将直接向MSC下发鉴权命令,否则,向相应的HLR/AUC请求鉴权参数,从HLR/AUC得到三参组,然后再向MSC下发鉴权命令。MSC 收到VLR发送的鉴权命令后,通过BSS向MS下发鉴权请求,在该命令中含有鉴权参数,MS收到鉴权请求后,利用SIM卡中的IMSI和鉴权算法,得出鉴权结果,通过鉴权响应消息送达MSC,MSC将鉴权结果回送VLR,由VLR 核对MS上报的鉴权结果和从HLR取得的鉴权参数中的结果,如果二者不一致,拒绝此次接入请求,此次呼叫失败;如果二者一致则鉴权通过,鉴权通过后,VLR将首先向MSC下发加密命令,然后通知MSC该MS此次接入请求已获通过,MSC通过BSS通知MS业务请求获得通过,然后MSC向MS下发加密命令,该命令内含加密模式,MS收到此命令并完成加密后,回送加密完成消息,到此MS完成了 整个接入阶段的工作。
可以看出,如果我们要进行空中线路侧劫持,劫持者是处于MS和BTS之间的位置.聪明的朋友肯定可以想到我前面提过的SSL监听.是的,在SSL监听中我们是用(MIM)中间人攻击方式实现.同样,在这里也可以.GSM协议中最大的问题是单向鉴定.也就是基站要求鉴定手机,而手机根本不鉴定基站.通俗点说,手机是个有奶便是娘的孩子,只要一喂奶它就伸嘴咪奶喊娘.对于手机,劫持者冒充基站.对于基站,劫持者冒充手机.在转换中间,我们可以干任何我们想干的事.看到这里,有的朋友要说我明白了.其实不然,没那么简单.还有些问题我们没有考虑进去.
我们再回过头来看完成接入阶段工作完成后的语音通信工作.当主叫手机拨打需要呼叫
MSISDN
号码,也就是被叫手机号码,或者是被叫手机呼入.在手机与基站的通信过程中,除了主叫过程中出现的被叫MSISDN号码以外.主叫手机是不发送本机的 MSISDN号码的.被叫过程中,基站也不会向被叫手机发送被叫手机的MSISDN号码的.这一切都会被我们前面介绍到的SIM卡中的IMSI(国际移动用户识别码)所替代.也就是说,如果劫持者需要劫持某部指定号码的手机,是不可能的.你根本不知道所需要监听的手机是哪部?谁都不认识谁.MSISDN和 IMSI的对应关系储存在HLR,只有它知道.劫持者要搞定这个问题,只有两个办法,一个是入侵MSC,向HLR查询其号码对应关系.另一个是事先去拿到被监听者的SIM卡,提取其中的IMSI,但这个提取过程,因为SIM卡芯片的安全算法保护,一般破解时间平均需要2到7个小时.当然,如果你有超级计算资源,这个时间可以再快点.
下面是详细的鉴权过程图,可以清楚的看到我上面所说
头疼了吧.实际应用中肯定有困难的地方.但实际应用中也有对劫持者来说,好的一面.我们知道GSM协议通信中制定了加密体系的.但可笑的是,移动公司在绝大部分地区,根本没开加密模块.如果不是GSM采用了跳频技术,通信不是一直保持在一个频率上,我们用台频谱分析分析仪就可以监听了.虽然不是这种最理想的情况,也使劫持者在做中间人方式的空中线路侧劫持时,省了很多麻烦.
最后还要说个坏情况.在有些情况下,手机与基站之间的通信,如呼叫,被叫,位置更新时.甚至IMSI都不会发送.只是用一个称做TMSI(临时识别码)代替.这个TMSI是由VRL分配,TMSI与IMSI的对应关系只有它知道.
最终结论:GSM空中线路侧劫持是完全可以实现的.有一定的无线电基础,GSM协议知识,加上些并不昂贵的设备就可以实现.但要实际情况应用起来,还是有诸多困难.GSM空中线路侧劫持除了可以用来监听外,还可以用来大规模的IMSI盗取,甚至盗打电话或对被劫持者的跟踪