26.07.2016 08:18
AndreyBadin 33 6700 Источник
В рамках продолжения описания проекта Tottoli GSM «Все под контролем: защищаем корпоративные разговоры», мы решили описать клиентскую часть, так как она вызвала наибольший интерес. По условиям проекта необходимо было обеспечить максимальную безопасность коммуникаций сотрудников даже при их нахождении вне локальной сети.


Мы отказались рассматривать использование криптофонов по следующим причинам:
  • Использовать криптофон можно только с абонентом, который пользуется таким же аппаратом. Абонент не сможет использовать безопасный режим для переговоров с любым контактом.
  • Для комфортного общения необходим стабильный канал передачи данных WI-FI, в крайнем случае, 3G.
  • Учитывая тот факт, что идентификаторы абонента в сети остаются неизменными (IMEI/IMSI), это даёт возможность третьим лицам определить круг общения, локацию и производить MITM атаки.
  • Маскираторы речи (подмена или искажение голоса) мы также не рассматривали, ибо они создают только видимость защиты, если используются без технических дополнений.

Самым эффективным, по нашему мнению, решением стало использование телефонного аппарата с модифицированной прошивкой. А в связке с нашей SIM-картой мы получили самодостаточное решение.

Достоинства данного выбора:
  • Нельзя целенаправленно прослушать мобильный телефон, поскольку идентификаторы абонента в сети меняются.
  • Невозможно установить круг общения.
  • Для звонков не требуется интернет.

Наиболее эффективно поставленные задачи смог решить мобильный телефон Samsung C6112.

Мобильный телефон Samsung C6112 разработан, чтобы защищать переговоры от контроля со стороны операторов GSM-связи, также он позволяет защитить развговоры от перехвата как активными, так и полуактивными комплексами перехвата (catcher). Аппарат поддерживает 2 SIM-карты. Все функции работают на обеих SIM-картах и имеют независимые настройки.
Поддержка телефоном двух SIM-карт позволяет абоненту выявить активность комплекса перехвата сразу в двух операторах связи.

Телефонный аппарат Samsung C6112 обладает таким функционалом:



IMEI – изменение IMEI происходит автоматически, что дает возможность быть защищенным от контроля переговоров через оператора GSM-связи;
LAC Tracking — создание профиля в конкретном месте, чтобы комплекс перехвата не мог захватить аппарат абонента;
Weak A5 — предупреждение о понижении криптозащиты относительно А5.1;
Call Ping – выявляет беззвучные звонки;
SMS Ping – выявляет все типы скрытых SMS, а также запрещает все типы SMS-сообщений, которые могут нанести вред мобильному телефону;
Channels Lock – работа телефонного аппарата происходит через удаленные базовые станции
Alerts — выбор типа уведомления о разных событиях;
Show TIMSI — демонстрация TIMSI на дисплее аппарата;
Clear Call Log – удаляет все записи об осуществленных звонках из памяти устройства;
One Channel — определяет наличие одного канала в мобильной сети и выводит на дисплей номер этого канала;
Fake SMS — выявление SMS, отправленных с подменой номера
Check C2 — выявление активных комплексов перехвата и кетчеров по С2 путем сканирования
базовых станций
Recording – автоматически производит запись переговоров;
Reset Settings – осуществляет сбрасывание настроек до рекомендованных;
Information — выводит на дисплей версию ПО (программного обеспечения).

Когда телефонный аппарат обнаруживает какое-либо из указанных событий, раздается звуковой и/или вибросигнал (в соответствии с заданными настройками устройства), а на дисплее отображается информация о том, что именно было выявлено, а также для какой из двух SIM-карт произошло событие. Кроме того, выявленное событие записывается в файл log.txt.
В телефоне нет демаскирующих признаков, которые могли бы выдать наличие в нем специальных функций. Если набрать стандартную комбинацию цифр *#06# то на экране отобразится родной IMEI, тот же что и на наклейке под батарейкой. А IMEI, который был реально послан оператору связи, можно посмотреть совсем по другой комбинации цифр. В специальное меню с настройками дополнительных функций можно войти, только набрав особую комбинацию цифр и пароль.
Это сделано целенаправленно для того, чтобы было невозможно понять, что это не обычное устройство. Для тех, кто хочет организовать контроль за абонентом с таким телефоном, подобное знание это уже серьёзная помощь. Единственное, что внешне выдаёт такой телефон это пиктограмма на экране, предназначенная для визуального отслеживания уровня кодирования сигнала.
Более подробно с функционалом аппарата можно ознакомиться здесь: pro3gsm.com/vse-pod-kontrolem
Поделиться с друзьями
-->

Комментарии (33)


  1. Andrusha
    26.07.2016 12:41
    #9715954
    +1

    Прошивку сами модифицировали, или где-то готовая есть?


  1. AndreyBadin
    26.07.2016 12:50
    #9715970

    Аппаратная часть была предоставлена нашими партнёрами, которые работают в этом направлении более 10 лет. Подобных специалистов очень мало в мире и мы все друг друга знаем.


  1. kisttan
    26.07.2016 12:50
    #9715976

    И перехватят звонок не как исходящий от кого-то, а как входящий к кому-то.

    Фраза «Использовать криптофон можно только с абонентом, который пользуется таким же аппаратом. Абонент не сможет использовать безопасный режим для переговоров с любым контактом.» не совсем корректна — одинаковое ПО или железо необходимо с обеих сторон в случае применения криптографии, а одинаковые телефоны большой роли не играют. Даже наоборот, пользоваться можно широким спектром смартфонов.
    Выводить на экран пользователю служебную информацию о состоянии телефона хорошо, вот только что он с ней должен будет делать в статье не указано.
    Невозможно установить круг общения — что и от вирусов защищаете?
    Такой подход попытка скрыть звонок и информацию о нем, но не защищает информацию как таковую. ОПСОС ее все равно сможет собрать в кучу по получателю.


    1. AndreyBadin
      26.07.2016 13:51
      #9716084
      +1

      да, конечное имеется ввиду ПО, а не конкретное железо.
      Информация выводимая на экран даёт абоненту понять статус А5. Если при конкретном событии алгоритм А5,1 отключен или понижен, то абонент может отказаться от каких либо действий, чтобы не дискредитировать себя.
      «Невозможно установить круг общения — что и от вирусов защищаете? » — Одним из условий проекта, является полный контроль любого трафика использующего нашим абонентом. В том числе и DATA, который проходит через APN клиента и его СБ полностью контролируют все события по средствам DPI.
      «ОПСОС ее все равно сможет собрать в кучу по получателю.» — оператор может многое, только для того, чтобы воспользоваться своими возможностями необходимы исходные и уникальные данные. На вскиду Вам для размышления — откуда вы знаете на каком операторе абонент сейчас находится и на каком операторе он был час назад, с какими идентификаторами он был в той или иной сети и таких вопросов много, чтобы эффективно отработать абонента.


      1. kisttan
        26.07.2016 13:58
        #9716102
        +1

        Ну A5 вообще не очень стойкий алгоритм, даже в самом надежном варианте. Вскрывается на практике минуты за 3.
        Так контроль такой не помешает выдернуть информацию с устройства, тот же список абонентов.
        Досрочный ответ — наверняка ведь на корпоративном тарифном плане сидит — эту информацию ОПСОС органам отдаст без проблем. Вы же его не один раз отрабатывать будете. СОРМ — это же система, а система подразумевает системный подход, а не попытку прослушать в лоб.


        1. AndreyBadin
          26.07.2016 14:17
          #9716132
          +1

          «Ну A5 вообще не очень стойкий алгоритм» — речь не идёт об уязвимости А5, речь идёт о визуализации признаков атак. Понижение данного параметра есть один из признаков.
          «наверняка ведь на корпоративном тарифном плане» — нет ни какого тарифного плана, точнее IMSI, принадлежат нам и любые оперативные ОРМ мероприятия могут производиться только на стороне операторов партнёров. Но как я уже писал, IMSI в нашем случае параметр динамичный, данный пулл выделен общей массой в несколько миллионов, вот и попробуйте выделить нужного или нужных вам абонентов, да ещё и привязать всю ротацию IMSI к одному конкретному абоненту.
          «СОРМ — это же система, а система подразумевает системный подход,» — совершенно согласны и не открою тайны, если скажу, что и там есть свои процедуры и алгоритмы работы и для этих алгоритмов необходимы уникальные параметры. Там нет поля для ввода «найти васю пупкина», а всё остальное уже является аналитическая работа специалистов. Теперь представьте, как нужно заинтересовать силовиков, чтобы они подключили такие дорогие ресурсы. Речь идёт о безопасности бизнеса и мы не обещаем 100% безопасности.


          1. kisttan
            26.07.2016 14:30
            #9716144

            а если IMEI совпадет с другим легальным пользователем?
            Про тарифный план вообще ничего из написанного не понял, кому что принадлежит? Вы собираетесь организации отдавать симки купленные у вокзала?
            Вы уверены что такой маскарад IMEI не будет замечен со стороны ОПСОСа и он не начнет их блочить или просто искать кто и зачем пытается его наколоть?


            1. AndreyBadin
              26.07.2016 14:35
              #9716154

              Про тарифный план и сим карты, лучше почитать наши предыдущие статьи — это наши сим карты, мы приобретаем чистый пластик, прошиваем их сами.
              по поводу совпадений IMEI и реакции операторов на подобные ситуации — операторам глубоко плевать, в его сетях тысячи аппаратов с одинаковыми IMEI ( одни только китайские ТА). Лично мы не сталкивались с подобными санкциями относительно IMEI.


              1. kisttan
                26.07.2016 17:37
                #9716584

                На мой взгляд не используя нормальное шифрование вы толком безопасности не обеспечиваете. Да, вы создаете противнику проблемы и идентификацией звонков. Нормальное VPN приложение задачу конфиденциальности решит гораздо лучше. Вы хорошо решаете задачу анонимности, но не более того.


                1. AndreyBadin
                  26.07.2016 22:54
                  #9717098

                  Мы рассматривали подобные решения, но реалии таковы, что пользоваться ими повседневно практически не возможно, так как требуется устойчивый канал передачи данных, комфортное общение возможно только на WIFI. Так или иначе использование приложение не решает вопрос, так как остаются уязвимыми, как сам аппарат, так и канал. Вопрос безопасности необходимо решать комплексно и мы исходим из того, что универсальных средств не бывает, поэтому делаем акценты на борьбу с реальными угрозами, а не теоретическими.


  1. mrAntonD
    26.07.2016 13:51
    #9716086

    Сомнительное решение с точки зрения законности смены IMEI.
    Шифрование переговоров, сообщений используется? Какое? Или эти устройства используются лишь для однократного сеанса связи, а потом — в помойку?


    1. AndreyBadin
      26.07.2016 13:55
      #9716094
      +1

      Мы не обсуждаем юридический аспект, он на стороне заказчика.
      Какого либо шифрования кроме А5, в GSM, быть не может. Суть как раз в том, чтобы не в помойку, а чтобы для операторов каждый сеанс связи был от нового абонента и чтобы не было истории по данному абоненту.


      1. mrAntonD
        26.07.2016 14:19
        #9716134

        Тогда вопрос — от каких угроз применяется это устройство?

        Скрыться от контроля оператора, спецслужб, обойти СОРМ? Абонент идентифицируется по номеру IMSI в сим-карте. По этому номеру и собирается информация о разговорах/сообщениях/траффике абонента. В этом случае смысл менять лишь IMEI?

        Кроме того, юридический аспект нельзя сбрасывать со счета. На данный момент «спрятать трафик» (и то смотря от кого) можно пока лишь используя прикладные звонилки/писалки с шифрованием (а ля скайп, whataspp и др).


        1. AndreyBadin
          26.07.2016 14:44
          #9716170
          +1

          Модели угроз в GSM описаны не однократно, описывать их ещё раз не буду.
          Мы как раз и говорим о том, что в данном проекте происходит одновременная смена всех параметров, как IMEI, так и IMSI. прочитайте предыдущую стать.
          Месенджеры не прячут трафик, они шифруют его. Но заказчик отказался от данного подхода, в связи с тем, что перечисленные месенджеры уязвимы. Методы атак на них описаны подробно на хабре в том числе. А если говорить о силовиках, то у них есть необходимый инструментарий по работе с месенджерами.
          Наша модель заключается в том, что абонент для каждой сессии является уникальным для оператора, как будто каждый звонок производится и таксовфонной будки.


          1. f1inx
            26.07.2016 18:16
            #9716690

            Не получится ли, что все симки генерирующие IMSI из вашего пула автоматом попадают в список целевых абонентов?
            Также в теории по закону должна быть привязка IMSI к конкретному резиденту. Т.е. с вас могут затребовать ее законным путем.


            1. AndreyBadin
              26.07.2016 23:05
              #9717110

              не буду описывать всю нашу архитектуру, могу лишь сказать, что запросы к не резидентам не обязательны к исполнению, но самое главное, чтобы инициировать запрос, необходим, как минимум состав преступления. Все действия наших профилей в сетях операторов полностью легальны и не противоречат законодательствам стран, где они они используются. А процедура снятия голоса может производиться только соответствующими структурами по средствам специального оборудования, которое развёрнуто на сетях оператора. Оператор не имеет право производить запись ни по собственной инициативе ни по требованию, каких либо структур. Мне сложно представить, кто и каким образомсможет заставить нас производить запись и тем более передавать её кому либо.


              1. f1inx
                27.07.2016 15:24
                #9718284

                Это был вопрос по поводу якобы сложной задачи: «Но как я уже писал, IMSI в нашем случае параметр динамичный, данный пулл выделен общей массой в несколько миллионов, вот и попробуйте выделить нужного или нужных вам абонентов, да ещё и привязать всю ротацию IMSI к одному конкретному абоненту.»
                Нужный абонент выделяется посредством анализа локального перехваченного из эфира трафика на использование IMSI из вашего пула.
                В случае если эфир недоступен локализуем на основе приближенной геолокации по данным VLR и особенностей поведения при выборе канала для исходящего соединения.
                BTW уже давно технически осуществима идентификация абонента по голосу. И судя по тому, что у нас эти решения покупались еще 5-7лет назад это активно используется.


                1. AndreyBadin
                  28.07.2016 01:55
                  #9719358

                  1. IMSI не передаётся во время звонка, а используется TIMSI.
                  2. В какой/чей именно VLR собираетесь обращаться за данной инфой?
                  3. Рассуждая об особенностях поведения нашего абонента с целью определения характерных признаков теоретически возможна только со стороны самого оператора, но у него нет оснований заниматься подобными вещами, да и ради чего, ради того, чтобы зафиксировать сессию( обращаю внимание — только зафиксировать, не снять звук)ибо оператор не знает с каким идентификатором будет следующая сессия. А СОРМ не имеет необходимого инструментария ( документация в свободном доступе) у него другие задачи.
                  4. На сегодняшний день мировым лидером в сфере речевых технологий является ЦРТ, на данный момент существуют технические ограничения и не позволяют использовать масштабно, а лишь локально и если не ошибаюсь 60 одновременных сессий, в основном используется для работы в офлайн. Неоднократно встречались с их специалистами и обсуждали их наработки с целью приобретения.


  1. dobergroup
    27.07.2016 09:43
    #9717422

    Эх, а я думал, вы все-таки Replicant допилили.

    Ладно, решение позиционируется, как защита «от контроля со стороны операторов GSM-связи». Не кажется ли Вам, что использование экзотического оператора в роуминге будет наиболее демаскирующим признаком?

    Да, откройте секрет, зачем абоненту демонстрация TIMSI на дисплее аппарата?

    Ну и я прошлый раз Вас спрашивал, какой порядок накладных расходов на роуминг?


    1. f1inx
      27.07.2016 15:26
      #9718294

      Скорее противодействия MITM атак. И прослушки эфира устаревшим оборудованием.


      1. AndreyBadin
        27.07.2016 15:43
        #9718346

        проблем в прослушке нет, есть проблема выделения нужного абонента и получение по нему истории


        1. f1inx
          27.07.2016 16:11
          #9718418

          При прослушке эфира, как раз ваши абоненты выделяются как белые вороны по вашему IMSI пулу.

          В системе по голосовым и информационным сигнатурам на софтсвичах через, которые проходит весь трафик операторов. Есть проблема только в идентификации A или B, если они вне зоны локального контроля и еще не имеют сигнатур.

          Но не в том чтобы поставить на контроль локальный трафик A и B. Несмотря на то что вы искажаете голос проходящий через ваши PSTN и возможно даже смещаете фазу для сбора сессий все равно можно сопоставить декодированные из аудио символьные сигнатуры и не только их.


          1. AndreyBadin
            27.07.2016 16:47
            #9718554

            Как я уже сказал выше, наши IMSI из пула опорных операторов, достаточно крупных операторов и наши IMSI ни чем не отличаются от тех же IMSI того же пула только использующихся в туристических симках. Сегодня данный IMSI используется туристом, а через час мы провели ротацию и данный IMSI перешёл в сим карту абонента из данного проекта.
            Обсуждать фонетические признаки не вижу смысла, ибо очень тесно связаны со специалистами из ЦРТ и реально осознаём эффективность практического применения.
            Ещё раз повторюсь, что данный проект предназначен для безопасности бизнеса, а те угрозы, которые приводите Вы в большей степени относятся к аналитической работе целого штата разноплановых специалистов. Перехват сессий не панацея для ОРМ и тратить такие средства не станут, проще использовать другие механизмы.


            1. f1inx
              27.07.2016 18:08
              #9718742

              С ротацией IMSI все понятно непонятно, как вы собираетесь обеспечить в конкректной локальной зоне большое количество активных IMSI из своего пула? И даже если предположить гипотетическую возможность этого, как разделить по времени фазу ротации чтобы нельзя было понять что произошло?


              1. AndreyBadin
                27.07.2016 20:57
                #9719016

                Если речь идёт о РФ, чисто «гипотетически», если наши абоненты будут иметь профиля одного из операторов большой тройки. Более сказать по этому поводу не могу.

                Вы пытаетесь свести всё к теории, я рекомендую моделировать практическую модель. Даже если мы запустим в РФ профиль иностранного оператора, что это даст? Напоминаю, чтобы кого либо поставить на контроль, вам нужен идентификатор. С Вашей точки зрения достаточно иметь пулл роумингого оператора, но таких в РФ миллионы. Даже если Вы знаете, что интересующий Вас абонент находится в зоне конкретного BSC, и то только в том случае, если происходила процедура LU. Если обратиться топологии GSM, Вы увидите, что данная информация будет бесполезна, а вспомогательные методы для более точного определения местоположения абонента просто не сработают, так как отфильтруются телефоном и на уровне нашего MSC


  1. AndreyBadin
    27.07.2016 15:42
    #9718342

    «использование экзотического оператора в роуминге будет наиболее демаскирующим признаком» — ничего кзотического в VADOFONE, O2, TMOBILE нет.
    «Да, откройте секрет, зачем абоненту демонстрация TIMSI на дисплее аппарата?» — сами не знаем, но сейчас обновляют прошивку и максимально автоматизируют все процессы.
    «Ну и я прошлый раз Вас спрашивал, какой порядок накладных расходов на роуминг?» — у нас нет такого понятия, наша симка везде в роуминге. По цене примерно 4-8 рублей минута в зависимости от направления, есть и дорогие, но их единицы.


  1. heleo
    27.07.2016 20:10
    #9718942

    А что мешает вводить обязательное шифрование по адресной книги допустимых для шифрования номеров? Или адресная книга там отсутствует как класс =)?
    По поводу законности я так понимаю спрашивать не стоит, так как это не ваша проблема а проблема заказчика, но всё же: наличие средств шифрования за счёт использования своего ПО законно?

    Не совсем понял из первой статьи на территории работают базовые станции обычных операторов? Точнее так: как будет происходить работа гостевого телефона на защищаемой территории?


  1. AndreyBadin
    27.07.2016 20:26
    #9718968

    Если имеется ввиду телефонная книга, то заказчик не видит в этом необходимости ввиду того, что внутри компании используются короткие (FMC)номера, а звонки на ружу не несут угрозы, тем более, что они так же контролируются СБ.


    1. AndreyBadin
      27.07.2016 20:39
      #9718988

      по поводу законности — я не юрист, но вроде данный вид деятельности и тем более реализация требуют лицензирования.

      на подконтрольной территории сигнал реальных операторов глушится, а openBTS сконфигурированы таким образом, чтобы в эфир передавать параметры реальных операторов (MCC/MNC). Таким образом, гостевой телефон на подконтрольной территории теряет сеть и при процедуре LU телефон увидит «родную» сеть и сможет ею воспользоваться, если допустит компания.


      1. heleo
        27.07.2016 21:49
        #9719124

        Тут школы штрафуют за использование глушилок на ЕГЭ под соусом: "… местные отделения Роскомнадзора штрафуют за это школы, утверждая, что они создали помехи для связи ...". А тут вообще всё целенаправленно делается. В общем, помимо реализации технической, второй интереснейший вопрос это юридическая сторона)))


        1. AndreyBadin
          27.07.2016 22:15
          #9719176

          Опять вернусь к практике! На момент тестирования мы запустили БТС с выходной мощностью 100мВт. Она находилась в густонаселённом районе напичканом операторскими вышками в течении полу года — ни какой реакции со стороны контролирующих органов. Пригласили инженера действующего сотрудника одного из операторов, задали вопрос- как же так? Его ответ — на пофиг, таких, как вы тысячи только в нашем городе, если ваши действия не являются критическими для нас, то мы даже дёргаться не станем. А Роскомнадзор работает только по заявкам. А если учесть, что используются глушилки не те, которые шумят по всему диаппазону, а только на конкретную сессию, угрозы со стороны контролирующих органов сводятся к минимуму


          1. heleo
            27.07.2016 22:25
            #9719190

            Про роском я согласен и пофигизм тоже… «это норма» пока их не припрёт не почешутся. А с другой стороны, на сколько реально направить «поток» внутрь обслуживаемой территории, что бы грубо говоря за забором на улице ни кто не попал под его действие?


            1. AndreyBadin
              28.07.2016 02:15
              #9719362

              Я не «радист», но предполагаю фонить конечное будет, но абонентское устройство не сможет работать в канале. Не важно с какой стороны изнутри или с наружи. Есть так называемые «интеллектуальные глушилки», которые реагируют только на активный канал. В этом направлении дальше всех продвинулся Олег Евгеньевич Антонов.