Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

Описание и назначение значков на экране Samsung C6112.

На дисплее мобильного телефона есть пиктограмма, отображающая активность режима кодировки и алгоритм кодировки, используемый оператором связи.

 — A5.0

Иконка показывает, что отключено кодирование. Это может быть в случае, когда оператор в принципе не использует кодирование сигнала, либо в данный момент нет активности телефона.

 — A5.1

Иконка показывает, что оператор включил кодирование А5.1. Кодирование включается, только когда аппарат общается с базовой станцией, например, разговор, отправка SMS, выход в интернет и т.д.

 — A5.2

Иконка окрашивается в жёлтый цвет, а справа от иконки замка появляется цифра 2, это означает, что оператор включил кодирование А5.2

IMEI

Функция смены IMEI предназначена в основном для защиты разговоров от контроля через оператора связи, но она на время поможет защитить и от комплексов перехвата. ФУНКЦИЯ ЭФФЕКТИВНА ТОЛЬКО ВМЕСТЕ С ОДНОВРЕМЕННОЙ СМЕНОЙ IMSI SIM-КАРТЫ!

Когда телефон абонента ставят на контроль, используются идентификаторы:

  1. Номер телефона (в эфире не передается, но оператор его знает)
  2. IMSI — уникальное имя SIM карты
  3. IMEI — уникальное имя телефона

Если абонент изменит IMEI и SIM-карту, то меняются все идентификаторы, по которым его могут контролировать. Поэтому оператор связи не может узнать, кого надо поставить на контроль. И ему придется приложить немало усилий, чтобы вычислить новую SIM-карту. Если абонент поменял только SIM-карту или только IMEI – это ничего не даст, и его будут продолжать контролировать, как будто он ничего не менял!

Если абонента контролируют комплексами перехвата, то одновременная смена IMEI и SIM-карты позволит уйти от контроля на время. Поскольку поменялись все идентификаторы абонента, занесенные в список отбора комплекса, оператору комплекса придётся приложить дополнительные усилия, чтобы получить новые идентификаторы, например, путём пингования, а это телефон обнаружит. К тому же, оператор комплекса далеко не сразу сможет понять, что потерял контроль над телефоном абонента.

Активные комплексы перехвата могут работать некорректно с различными моделями телефонов, что внесет дополнительные признаки его обнаружения.

Например, тестирование аппарата Samsung G600 с программным обеспечением октября 2014 года, только с функцией смены IMEI, на одном из активных комплексов показало, что когда телефон попадает в зону действия комплекса, внешне он ведёт себя обычно, в частности виден уровень сигнала. Но позвонить с телефона невозможно, а так же на него не проходят входящие звонки.

Примечание: Для проверки заводского IMEI телефона, набираем стандартную комбинацию: *#06#

Для проверки IMEI который был реально отправлен оператору при последнем запросе, набираем комбинацию: #*1300#

Секретная комбинация для вызова меню EXTRA: *#хххххххх#, выдаётся продавцом.

Меню функции смены IMEI имеет пять режимов:

Телефон поддерживает работу двух SIM-карт. Режимы смены IMEI работают на обеих половинках независимо. Если в телефоне только одна SIM-карта, то в меню IMEI сразу будут отображены настройки режимов работы. Если в телефоне две SIM-карты, то в меню IMEI сначала появится окно MASTER и SLAVE. При случайной генерации IMEI постоянными остаются первая и вторая цифры, а также седьмая и восьмая, это сделано что бы IMEI был похож на реальный.

Random always:

В этом режиме IMEI телефона меняется при каждом запросе оператором. Запрос IMEI оператором может быть во время включения телефона, отправки SMS, звонка или работы в GPRS. IMEI телефона будет меняться всегда, когда его запрашивает оператор. Этот режим не рекомендован для постоянного использования. Если абонент не меняет IMSI SIM-карты, а IMEI меняется постоянно, на это обратят внимание те, кто контролирует его телефон, в случае если SIM-карта стала объектом внимания. Будет видно, что абонент для каждого нового звонка использует новый телефон, а это выглядит подозрительно.

New SIM:

В этом режиме IMEI телефона меняется только при смене IMSI SIM-карты. IMEI телефона будет сгенерирован один раз, телефон будет отправлять его при каждом запросе оператором. Этот режим рекомендован для постоянного использования.

Random on first request:

В этом режиме IMEI телефона меняется только один раз после включения аппарата. В дальнейшем на все запросы IMEI оператором, телефон будет выдавать в сеть именно этот IMEI. При новом включении аппарата IMEI снова изменится, и будет оставаться постоянным до нового включения аппарата. Этот режим рекомендован для постоянного использования.

User define:

В этом режиме IMEI телефона задает сам пользователь. Для этого надо в окне Custom IMEI внести любой IMEI вручную.

Stay original:

В этом режиме IMEI телефона всегда остается оригинальным. Если в любом из окон меню IMEI ввести название оператора, которое будет отображаться на экране телефона.

LAC tracking

В этом режиме пользователь может создать профиль для конкретного места. По команде из меню, телефон сам запоминает важные параметры для конкретного места и заносит их в профиль. Пользователь может выбрать нужный по силе канал. После того как пользователь попадает снова в это место, он по горячей клавише, оперативно выбирает нужный профиль, например профиль «РАБОТА». После выбора нужного профиля, при попытке захвата активным комплексом, он не сможет это сделать. В меню Tracking mode можно выбрать режим, в котором будет работать телефон. Либо только в заданном LAC, либо в заданном LAC и заданном канале. В меню Monitor можно посмотреть доступные каналы, а также LAC, к которому они принадлежат.

Weak A5

Функция предназначена для защиты пользователя телефона от контроля его разговоров через активные комплексы перехвата GSM. Активный комплекс перехвата это оборудование, которое эмулирует базовую станцию и заставляет телефоны работать не через настоящую базовую станцию, а через это оборудование – ложную базовую станцию. Настоящая базовая станция считает ложную станцию обычным телефоном.

Современный комплекс перехвата может полностью управлять захваченным телефоном, в частности:

  1. выключать кодирование;
  2. понижать уровень кодирования;
  3. не изменять уровень кодирования, имея в своём составе обработчик А5.1.

Комплекс, который совсем выключает кодирование, может быть обнаружен, как правило, только тем, что на экране телефона появляется значок — открытый замочек. Но этот значок есть не во всех телефонах. В новых аппаратах Nokia или Samsung его нет.

Самые распространённые сейчас комплексы перехвата – те, которые понижают уровень кодирования, либо постоянно, либо на время вычисления сеансового ключа, после чего кодирование становится таким, какое оно было у оператора.

Существуют активный комплексы, которые не понижают уровень кодирования, они имеют встроенный обработчик А5.1.

Функция Weak A5 не предназначена для обнаружения таких комплексов. Для этого в аппарате существуют функции Channel lock, One channel, Check C2, а также другие средства, которые не дают возможность оператору комплекса захватить телефон.

Раньше были распространены полуактивные комплексы, которые отключали кодирование только для конкретного контролируемого телефона. Телефонный аппарат Samsung C6112 со 100% вероятностью обнаружит любой активный или полуактивный комплекс, а также кетчер, независимо от его стоимости, и фирмы производителя.

Как работает активный комплекс:

К зданию, где находится человек, которого хотят слушать, может подъехать машина, либо оборудование стационарно устанавливается в самом здании. Телефон работает так, что автоматически выбирает базовую станцию, у которой самый сильный сигнал. Для контролируемого телефона такой самой сильной базовой станцией оказывается ложная базовая станция. Телефон принимает её за настоящую и начинает работать с ней. Оператор комплекса получает полный контроль над телефоном абонента. Он может не только слушать его разговоры и читать SMS, но и управлять телефоном. Возможности комплекса по управлению телефоном зависят от того, насколько он совершенен.

Есть комплексы, которые могут дистанционно включать микрофон телефона. Алгоритм А5.1 является самым устойчивым к взлому. А5.2 более слабый алгоритм и взламывается в режиме реального времени.

Как работает функция Weak A5:

Если абонент попал в зону действия ложной базовой станции, и телефон получил команду на понижение уровня кодирования относительно А5.1, включится выбранный способ сигнализации, предупредив абонента о том, что его телефон находится в зоне работы ложной базовой станции, и его контролируют.

Call ping

Функция предназначена для предупреждения пользователя об атаке скрытыми звонками.

Поскольку активный комплекс имеет ограниченное число каналов, в обычном режиме он контролирует только тех абонентов, которые занесены в список отбора. Для этого оператору комплекса необходимо знать постоянные идентификаторы телефона абонента, IMSI, IMEI, которые передаются в сети, и которые он может поставить в список отбора в комплексе перехвата GSM.

Для того чтобы получить эти параметры, на телефон абонента делаются скрытые звонки. Такие звонки прерываются раньше, чем телефон успеет позвонить, но при этом аппарат успевает передать в эфир свои идентификаторы. В реальной обстановке делается от 5 до 15 таких звонков, чтобы понять, что это ответил именно контролируемый телефон. После получения IMSI и IMEI, они заносятся в список отбора в комплексе перехвата GSM, и только после этого комплекс имеет возможность контролировать абонентов выборочно.

Для настройки функции Ping необходимо войти в пункт меню Call ping settings и выбрать Mode — Включено.

Параметр Pings before alert: нужно выставить число скрытых звонков, после которых телефон решит, что его пингуют и включит звуковой сигнал. Параметр Interval between pings задает время в секундах, в течение которого должны быть зафиксированы пинги скрытыми звонками.

Работает этот режим так: например, абонент установил такие настройки:

Pings before alert – 1

Interval between pings — 15

Это означает, что только после двух скрытых звонков раздастся звуковой сигнал, увеличится на единицу число Ping на экране аппарата и запишется событие в pinglog.txt При этом второй скрытый звонок должен прийти в течение 15 секунд после прихода первого. После прихода первого скрытого звонка аппарат начинает считать секунды, и, если второй звонок придёт, до того, как истекут 15 секунд, то аппарат считает, что идут скрытые звонки. Он включает звуковой сигнал, увеличивает на единицу число Ping на экране аппарата и записывает это событие в pinglog.txt Если этого файла в аппарате не было, то он создастся автоматически.

Если после первого звонка второй звонок не придет в течение 15 секунд, то аппарат считает, что это не Ping, а ложное срабатывание, например, обмен с базой. Поэтому звуковой сигнал не раздается, число Ping на экране аппарата не увеличивается, в pinglog.txt ничего не заносится, а аппарат начинает новый отсчет времени, равный 15 секундам, ожидая второго звонка. Когда на телефон абонента делаются скрытые звонки, интервал между ними, как правило, минимальный. Поэтому если в параметре Interval between pings абонент задаст 15 секунд, этого будет достаточно для определения, что его действительно пингуют, и в то же время на аппарате не будет ложных срабатываний, связанных, например, с обменом данными телефона с базой. Также в телефоне ведётся файл log.txt , в котором записываются все события связанные с PING. В файле log.txt указана дата, время события, номер телефона, с которого совершались атаки на телефон, ID соты, номер канала, а последняя цифра показывает, на какой примерно команде был завершён звонок. Для просмотра файла его необходимо скачать и просматривать на компьютере.

Номер телефона, с которого совершается атака на телефон, может не определиться по двум причинам:

  1. звонили с телефона, номер которого не определяется;
  2. звонок был завершён раньше, чем оператор передал номер телефона, с которого звонят абоненту.

SMS ping

Функция позволяет отследить пингование телефона скрытыми SMS. В стандарте GSM предусмотрены SMS, которые телефон получает бесшумно, они не отображаются в списке принятых, при получении нет никаких звуковых сигналов. Такими SMS удобно пинговать, потому что они будут приняты любым телефоном гарантированно без демаскирующих признаков. При этом телефон отправляет постоянные идентификаторы оператору, такие как IMEI, IMSI. Наш телефон предупреждает владельца о получении ВСЕХ типов скрытых SMS. Также есть разные типы SMS, которые могут потенциально нанести вред безопасности телефона. Например, абонент может получить SMS, которая придёт открыто, с текстом. Но потом на телефон отправляется вторая SMS. С ее помощью первая будет стёрта, и абонент вместо текста первой SMS увидит текст второй SMS . Также может придти SMS, после которой на телефон или на SIM-карту будет установлена вредоносная программа. Наш телефон такие SMS распознаёт и блокирует на стадии получения. И они не могут нанести вред телефону.

Channels lock

Функция предназначена для защиты пользователя от контроля с помощью активных комплексов, в частности, со встроенным обработчиком криптозащиты, а также от пассивных комплексов перехвата GSM со встроенным обработчиком криптозащиты. В этом режиме телефон не предупредит, что его контролируют, но защитит от контроля. Пассивные комплексы перехвата GSM — это только приёмные устройства, которые ничего не излучают. Обнаружить работу пассивного комплекса невозможно!

Активные комплексы с обработчиком – это одни из самых лучших комплексов перехвата. Такой комплекс не изменяет алгоритм кодирования, но может эмулировать все характеристики настоящей базовой станции, в которой находится сам и которую эмулирует. Если настоящая базовая станция работает в режиме скачков частоты (HOPPING), то, находясь в зоне действия такой ложной базы, телефон абонента будет работать в режиме скачков частоты. Обнаружить работу такого комплекса сложно.

Для настройки телефона необходимо в меню EXTRA выбрать пункт Channel lock.

В окне Channels selection мы можем выбрать четыре варианта работы аппарата

  1. Number
  2. Position
  3. Position + CellID
  4. Disable

Number — режим работы телефона, когда абонент задает определённый номер канала, с которого будет звонить телефон.

Для того чтобы выбрать номер канала, необходимо перейти на нижнюю строку Channel number и изучить появившийся список каналов, которые видит аппарат с данного места. Первый канал в списке – самый сильный, в нем находится телефон в обычном режиме работы. Последний в списке канал – самый слабый. Нужно выбрать любой канал, но важно, чтобы это был не самый первый в списке. Лучше если абонент выберет самый последний канал, но может получиться так, что он не сможет с него позвонить из-за плохого качества связи. Тогда следует выбрать предпоследний канал, нажав Select, а в другом окне Save. Настройка вступит в силу только после выключения телефона. Когда телефон включится, он сразу будет регистрироваться не в самом сильном канале, как это положено ему при штатной работе, а зарегистрируется в том дальнем канале, который абонент выбрал ранее.

Как этот режим позволяет защитить владельца телефона от контроля.

Если рядом с абонентом находится ложная базовая станция, для телефона она будет самой сильной в данном месте. В этом смысл работы такого комплекса, быть самой сильной сотой в данном месте, чтобы аппарат работал только через неё. Когда абонент задает режим работы аппарата, при котором он работает не с самой сильной базовой станцией, а с базой, которая находится где-то далеко, мы гарантированно уходим от контроля такого комплекса. Даже если комплекс не изменяет уровень кодирования, и содержит обработчик A5.1, оператор комплекса перехвата будет видеть только, что абонент выключил свой телефон. Он не будет знать, что он его потом включил и работает с телефоном, так как тот сразу зарегистрируется в дальней соте. Для того чтобы оператор комплекса не видел даже то, что абонент выключил телефон, необходимо вынуть батарею у работающего телефона. В этом случае оператор через какое-то время поймет, что потерял контроль над телефоном, и будет вынужден пингованием попробовать его обнаружить.

Обнаружить он его не сможет, потому что:

  1. Телефон предупредит абонента о пинговании.
  2. Аппарат на все скрытые звонки будет отвечать в дальней соте, которую комплекс не контролирует. Поскольку в результате пингования оператор комплекса не будет получать информацию от телефонного аппарата абонента, процесс пингования будет длительным.

Это очень надежный способ уйти от контроля, не оставив следов в комплексе перехвата.

Недостаток этого способа в том, что если абонент переместится в другое место, то там телефон может не видеть выбранный канал, и аппарат не будет видеть сеть. Поэтому в новом месте необходимо будет выбрать новый канал. В этом режиме работы оператор связи не сможет точно определить местоположение абонента, поскольку телефон видит только одна базовая станция.

Position — режим работы телефона с заданного по силе канала.

В этом режиме абонент может заставить телефон работать не с самого сильного канала, которым может оказаться ложная базовая станция, а с более слабого канала. Например, абонент хочет, чтобы аппарат работал всегда только с третьего по силе канала. Для этого он делает настройки в пункте Position, выбирает третий по силе канал, и теперь телефон будет постоянно работать в третьем по силе канале. Постоянно производится проверка, какой канал в данном месте является третьим по силе сигнала, и телефон автоматически будет выбирать его для работы. Для того чтобы настроить работу аппарата в режиме Position необходимо войти в Extra: Channels и выбрать Position. В открывшемся окне со списком каналов, которые видит телефон, нужно выбрать канал ближе к концу списка. Нажать Select и в следующем окне Save. Теперь телефон всегда будет работать в выбранном по силе канале.

Position + CellID — режим работы телефона с заданного по силе канала. Режим предназначен только для исходящих звонков.

Этот режим работы аппарата принципиально отличается от режима Position. В режиме Position + CellID аппарат основное время находится в самом сильном канале, и только на время исходящего звонка переходит в заданный по силе канал. После совершения звонка аппарат возвращается в основной канал. Такой режим работы сделан для того, чтобы совершить безопасный звонок с удаленного канала и при этом создать проблемы оператору комплекса перехвата GSM. Входящие звонки будут проходить в сильном канале, т.е. под возможным контролем комплекса. Но все исходящие звонки будут для оператора комплекса потерянными, хотя он будет считать, что у него всё под контролем. В режиме Position + CellID телефон автоматически сравнивает ID самого сильного канала, с ID канала, в котором он делает звонок. Если ID совпадает, разговор будет автоматически прерван. Сделано это для того, чтобы защититься от контроля многоканального комплекса.

Alerts

В этом меню пользователь может задать реакцию телефона на разные события.

Всего их 4:

A5 changed – в этом пункте задаётся реакция телефона на изменение уровня криптозащиты относительно А5.1.

Call&SMS ping — в этом пункте задаётся реакция телефона на пингование скрытыми звонками и скрытыми SMS.

One channel – в этом пункте задаётся реакция телефона на ситуацию, когда телефон получает список из одного канала. Телефон каждые 5 секунд получает список каналов. В городе, как правило, этот список состоит из многих каналов, и если вдруг телефон видит только один канал, а абонент находится в черте города, то это странно. Как правило, комплексы не позволяют телефону видеть другие каналы, чтобы телефон не стал работать через них.

LAC changed – в этом пункте задаём реакцию телефона на изменение LAC.

Все активные комплексы для того, чтобы захватить телефон, подставляют ему другой LAC, отличный от оригинального для данного оператора в данном месте. Режим стал неактуальным после добавления функции LAC tracking.

C2threshold – в этом пункте задаётся реакция телефона на ситуацию, когда тот получает параметр С2 выше заданного значения.

Show TIMSI

Включение этой функции выводит на экран временный идентификационный номер TIMSI.

Clear call log

Если эта функция включена, телефон автоматически стирает из памяти телефона набранные и принятые номера телефонов. Но при этом информация, которая хранится на SIM карте, остаётся нетронутой. Чтобы она не попала в ненужные руки, обязательно нужно использовать ПИН-код, который устанавливается для SIM-карты. Если ПИН-код уже был установлен при продаже SIM-карты, его надо поменять на другой.

One channel

Активные комплексы во время захвата телефона не дают ему видеть соседние каналы и оставляют только один канал, на котором работают сами, чтобы телефон работал только в нём. Функция One channel позволяет это определить. Также на экран выводится номер канала, который был единственным в списке каналов, и под который маскируется активный комплекс перехвата. Функция может ложно сработать, если абонент находится там, где реально есть только одна базовая станция, например, в поле или подвальном помещении.

Fake SMS

Если эта функция включена, телефон обнаружит SMS с подменой номера. Подменой номера в SMS часто пользуются мошенники.

Check C2

Телефон позволяет обнаружить современный активный комплекс перехвата ещё до того, как он может быть захвачен комплексом. Для этого телефон постоянно сканирует базовые станции и набирает статистику параметра С2. Телефон вычисляет этот параметр для того, чтобы принять решение о переходе в другой канал. Оператор комплекса делает этот параметр большим, в 2-2.5 раза больше максимального для обычной соты. И тогда, имея уровень сигнала комплекса даже меньше чем у нормальной базы, комплекс захватывает телефон. Обычно оператор комплекса выкручивает значение С2 до 80-90 при нормальном значении 35-40.

Таким образом, телефон, сканируя базовые станции, может обнаружить комплекс или кетчер который находится где-то рядом, а также узнать, под какой канал он маскируется.

Если телефон будет захвачен комплексом, он покажет высокое значение С2, а также номер канала, которому это значение С2 принадлежит.

Если номера каналов в пунктах Check С2 и One channel совпадут, значит телефон гарантированно захвачен комплексом.

Этот пункт содержит 4 подпункта:

  1. Block C2 – в этом пункте задается режим, когда аппарат будет игнорировать высокое значение С2
  2. Reset statistics – сброс статистики
  3. Statistics – в этом пункте аппарат показывает статистику по С2, в первой строчке показывает максимальное значение С2, которое было обнаружено, а также номер канала, у которого было зафиксировано это значение.

      4.Alert threshold – в этом пункте задается значение С2, выше которого сработает сигнализация в телефоне

Recording

Функция предназначена для автоматической записи разговоров. Запись может быть сделана как на внутреннюю память телефона, так и на внешнюю карту памяти. Для настройки функции Recording в поле Режим записи необходимо выбрать включение или выключение функции автоматической записи разговора. В поле Сохранение по умолчанию выбирается память, куда будут записываться разговоры. Также можно включить предупреждение телефона о том, что осталось мало памяти.

Reset settings

В этом пункте можно выполнить сброс настроек меню в рекомендуемые производителем.

Information

В этом пункте телефон покажет номер версии программного обеспечения и дату его выпуска, чтобы пользователь мог знать, нужно ли ему делать обновление.

Один комментарий от “Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

  1. Защищённый телефон, конечно, помогает в корпоративной среде от разного рода прослушек и прочих вещей. Зачастую пытаются узнать тайны, а телефон с правильными настройками это сделать не позволит

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *