Прослушивание разговоров при помощи «фальшивых базовых станций»

В предыдущей статье я упоминал о том, что операторы мобильной связи предоставляют спецслужбам возможность прослушивать разговоры определенных абонентов. Это общеизвестный факт, из которого не делают особого секрета.

Существует также расхожее мнение о том, что есть специальные устройства, «притворяющиеся» базовыми станциями, через которые можно скрытно прослушивать любые разговоры, не ставя в известность оператора и даже не зная наверняка номера телефона прослушиваемого человека, достаточно, мол, сделать так, чтобы он достаточно долго находился в зоне покрытия такой «псевдобазовой», и его разговоры, наравне со всеми прочими, будут прослушаны.

На самом деле похожие устройства существуют (например, производимый компанией Rohde & Schwarz комплекс RA 900), но они обладают далеко не столь впечатляющими возможностями:

Скрытно можно только установить, находится ли в зоне покрытия телефон, в который вставлена SIM-карта с указанным IMSI, либо получить список IMSI/IMEI — но не номеров телефонов — в зоне покрытия «псевдобазовой».
Можно прослушивать исходящие разговоры с конкретного телефона, но у абонента при этом будет отключено шифрование сигнала. Кроме того, номер звонящего абонента будет изменен или скрыт. Это достаточно легко заметить и обнаружить, таким образом, факт прослушивания.
Если все-таки выполняется прослушивание, то входящие звонки не могут быть доставлены абоненту и, соответственно, не могут быть прослушаны. Для всего мира прослушиваемый абонент как бы находится «за зоной покрытия», что тоже может выдать факт прослушивания.

Откуда же столько ограничений? Что мешает построить более совершенное устройство, притворяющееся базовой станцией, которое позволит полноценно и скрытно прослушивать все переговоры какого-то абонента, а еще лучше всех абонентов в зоне покрытия?

Для начала необходимо сделать несколько оговорок:

Предполагается, что те, кто проводит прослушивание, имеют своей целью конкретного абонента, а не прослушивание всех подряд без разбору. Хотя бы просто потому, что прослушивание всех подряд без разбору — это достаточно бесполезное и малопродуктивное с точки зрения результата занятие.
Предполагается, что о жертве известен только номер SIM-карты (IMSI) или серийный номер телефона. В частности, не известен секретный ключ (Ki) SIM-карты жертвы. Это достаточно реалистичные предположения — если прослушивающие могут легко узнать Ki произвольной SIM-карты, то им наверняка не составит труда просто использовать СОРМ-интерфейсы оператора для прослушивания звонков и не утруждать себя использованием более сложных и менее надежных способов вроде «псевдобазовой».

Общие принципы работы «псевдобазовой»

Псевдобазовая представляет из себя устройство, которое, с одной стороны, изображает из себя базовую станцию сети GSM, а с другой стороны само содержит в себе SIM-карту или какие-то другие технические средства для соединения с коммуникационными сетями. Используется оно следующим образом:

Псевдобазовая (ПБ) размещается неподалёку от жертвы (и ее мобильного телефона).
Псевдобазовая начинает свою работу, анонсируя себя в эфире как обычная базовая станция, принадлежащая мобильной сети, которой пользуется жертва. В стандарте GSM не требуется, чтобы базовая станция подтверждала свою аутентичность телефону (в отличие от сетей UMTS, например), поэтому сделать это достаточно легко. Частота и мощность сигнала псевдобазовой подбираются так, чтобы реальные базовые станции всех соседних сетей не создавали ей помех в работе.
Телефон жертвы заставляют выбрать псевдобазовую в качестве наилучшей доступной базовой станции из-за ее хорошего и мощного сигнала. На этом этапе подслушивающие получают подтверждение того, что телефон жертвы включен и находится в зоне действия псевдобазовой, и могут определить его серийный номер (IMEI). Если прослушивания разговоров не требуется, то дальше наблюдатели могут, например, периодически проверять, не покинула ли жертва зону покрытия псевдо-базовой.
Если же требуется прослушивать исходящие звонки, то псевдобазовая инструктирует телефон жертвы перейти в режим шифрования A5/0, то есть без шифрования вообще. Телефон по стандарту GSM не может отказаться.
Теперь все исходящие звонки проходят через псевдобазовую в открытом виде и могут быть там записаны/прослушаны. Сама псевдобазовая при этом выступает в роли «прокси»/посредника, самостоятельно соединяясь с набранным номером и прозрачно транслируя сквозь себя голос в обе стороны.

Проблемы и ограничения

Итак, что же затрудняет жизнь тех, кто использует псевдобазовую для слежки за жертвой и прослушивания ее разговоров?

Во-первых, как только потенциальная жертва оказывается в зоне покрытия псевдобазовой, она фактически выпадает из покрытия нормальной сети оператора и становится недоступной для входящих звонков. Чтобы обеспечить доставку входящих звонков, псевдобазовая должна обслуживаться сетью оператора наравне со всеми остальными базовыми станциями этой сети. То есть псевдобазовая должна быть подключена к какому-то контроллеру базовых станций (BSC) и описана в его таблицах маршрутизации. Но если у прослушивающих есть доступ к сети оператора на уровне, позволяющем подключать и конфигурировать новые базовые станции, то им проще использовать СОРМ и нет нужды возится с псевдобазовыми.

Кроме жертвы в зону покрытия псевдобазовой попадут и другие мобильные телефоны, расположенные неподалеку. Для них ситуация будет еще хуже — аппарат будет показывать наличие покрытия, но ни входящие, ни исходящие звонки обслуживаться не будут.

Во-вторых, для прослушивания исходящих разговоров требуется отключение шифрования на телефоне жертвы. Большинство современных телефонов расскажут об этом жертве, и она может насторожиться.

В-третьих, для того чтобы транслировать сквозь себя исходящие звонки, псевдобазовой требуется какой-то выход в телефонную сеть. Если это GSM-модуль с SIM-картой, то исходящие звонки, совершаемые псевдобазовой, будут совершаться с номером, отличным от номера жертвы. Это придется скрывать при помощи услуги «сокрытие номера звонящего» (calling line identification restriction, CLIR), что может насторожить получателей звонка. Иногда номер можно подменить на правильный при использовании альтернативных средств - WiFi+VoIP, например, но это усложняет конструкцию псевдобазовой и накладывает определенные ограничения на то, где она может быть использована.

В принципе, для трансляции прослушиваемых звонков разумнее всего использовать SIM-карту того же оператора, которым пользуется жертва, чтобы иметь возможность обслуживать звонки на служебные и короткие номера.

В-четвертых, телефон жертвы может быть вынесен из зоны покрытия псевдобазовой, после чего придется ее передвигать и начинать процесс прослушивания сначала.

Получается слишком много минусов. Это может быть приемлемо для краткосрочной целевой акции, но недопустимо для долговременного широкомасштабного прослушивания.

Таким образом, основная польза от подобного устройства может быть в том, чтобы идентифицировать IMSI/IMEI жертвы, про которую точно известно только ее местоположение («человек в темном плаще из квартиры напротив»), а потом уже использовать сведения о IMSI для проведения обычного прослушивания средствами СОРМ. Не зря в сети подобные устройства называют «ловцами IMSI» (IMSI catchers).

Литература

Статья IMSI-catcher на Wikipedia, английский.
Раздел 10.5.4.4 (стр. 248) книги "Information Security" by Mark Stamp (Wiley, 2006) (раздел доступен для чтения через Google Books по указанной ссылке, англ.)
Описание принципов работы Rohde & Schwarz RA 900 (англ.)
Материалы судебного разбирательства по патентным правам, обсуждающие детали реализации подобных устройств (англ.)

Дмитрий Астапов (www.pro-gsm.info)
Опубликовано - 11 сентября 2009 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

Новости:

01:56, 25 мая:Explay Сrystal: мобильный телефон с прозрачным дисплеем

01:29, 25 мая:Белый LG Optimus LTE 2 на фото

23:00, 24 мая:Компания Nexus представила Android смартфон - Bliss A70 Phone

21:20, 24 мая:Samsung выпустил глобальную версию GALAXY Ace DUOS

19:33, 24 мая:Новый iPod Touch получит 4,1-дюймовый экран?

18:56, 24 мая:LG LS860 Cayennе — QWERTY-слайдер для Sprint

18:15, 24 мая:Nokia отказалась от Symbian Carla

17:51, 24 мая:Nokia будет выпускать разнообразные телефоны PureView

17:09, 24 мая:Gigaset обновил прошивку сенсорного DECT-телефона SL910