SIM: что такое IMSI, и чем он отличается от серийного номера SIM-ки – dump -0f – /dev/mind — LiveJournal

Мне понравилось спрашивать у вас, как организовать всякие интересные вещи 🙂 Хочу ещё.

Задача: слушать музыку (дома).

Исходные данные:

1. В одной из комнат стоит компьютер, на котором хранится вагон MP3
2. UPD: на компьютере – Linux
3. Компьютер – networked (ethernet и wifi), и имеет стандартный аудио-выход.
4. Когда я сижу за ноутом и работаю, я запускаю amarok, который берет MP3 over SMB и играет их мне в наушники, но этого мало (см. ниже)

Требования

:

1. Решение должно позволять слушать музыку через какие-то колонки в этой же комнате, в соседней комнате и на кухне (must)
2. При этом возможно, что во всех трех комнатах слушают разное (nice-to-have)
3. Решение должно позволять легко регулировать громкость и, как минимум, переключаться на следующий/предыдущий трэк в плей-листе находясь непосредственно в той комнате, где слушаем музыку. Без компьютеров/клавиатур/мышек. (must)
4. Решение должно позволять легко править плей-лист. Идеально – там же, где слушаем музыку, и через максимально простой интерфейс. Но в принципе руки-ноги не отвалятся сходить в соседнюю комнату и поредактировать плей-лист(ы) через ноут (must)
5. Аудиофильской акустики и золотых кабелей не будет, соответственно все компоненты могут быть бюджетными до ужаса (optional)
6. Хочется не плодить провода без необходимости (must)
7. UPD: быть самоделкиным хочется, но нету времени 🙁 Т.е. решение должно быть более менее коробочное/компонентное. Какое-то самодельничание допустимо разве что в области софта (must)

Что скажете?

Я понимаю, что можно в каждой комнате поставить по промышленному компьютеру с тачскрином и WiFi, подключить к ним колонки, и слушать что угодно, как угодно и в любых позах. Но это не будет бюджетно, и, возможно, не будет удобно (особенно на кухне – тыкать мокрыми пальцами в тачскрин …. бррр….).

Можно поставить в каждой комнате “компьютерные” колонки и переносить с места на место какой-то компактный MP3-плейер. Но это решение не очень удобно в управлении. Плюс, в идеале, требуется три отдельных плейера. Которые я замахаюсь “администрировать”

Можно воткнуть куда-то(?) FM-транслятор(?) и слушать результат через обычные “бумбоксы”. Но трансляция будет только одна на всех. Плюс – неизвестно, что обо мне подумают соседи, и, в худшем случае – Укрчастотнадзор 🙂

Тут у меня закончились рациональные и фантастические идеи. Помогайте!

UPD

Из насоветованного вырисовываются такие “коробочные” решения:

1)AirPort. Как я понимаю, это такие себе WiFi AP, которых надо будет поставить 2 штуки (по кол-ву мест прослушивания) и гнать туда музыку из-под Linux чем-то вроде коммандлайнового “raop-player”. Дальше либо на проигрывание заряжатся все, что есть, и слушаем это, как радио, либо надо отдельно решать вопрос управления музыкой. Открытый вопрос: получится ли как-то использовать USB-порты в этих коробочках, и объединить их в WDS с моим Draytek Vigor. Ни у кого нету опыта, а?
Бюджет: ~2*$125 = $250 (магазинные цены) возня с софтом

2)Logitech Squeezebox Duet Lgitech Squeezebox Receiver. Как я понимаю, оно само умеет по WiFi достучаться до моей шары с музыкой, и всячески ее играть. Кроме того, оно сможет само играть инет-радио и ходить на last.fm. Вопрос управления решается пультом с ЖК экраном. Т.е. решение, фактически, под ключ. Аналогичный вопрос – у кого-то есть практический опыт юзания?
Бюджет: $600 $225 = $825 (магазинные цены)

3)Sonos.com. По сути – решение аналогично Logitech, но цен на него я пока не видел. Судя по пафосному сайту – минимум вдвое дороже 🙂

Колонки – вопрос отдельный, и тут не рассматриваемый.

Все знают, что воины и офицеры запаса ходят в цирк исключительно для того, чтобы сидеть в первом ряду и нервировать клоунов каменным выражением своего лица.

Можно ли раскачать такой полезный skill, не посвящая два года своей жизни строевой и боевой подготовке? Отказывается можно – достаточно пойти поработать в отдел “По работе с обращениям абонентов” в любую более-менее крупную телекоммуникационную компанию. Например, в компанию Z.

В нежные руки сотрудниц (сотрудников там не бывает – грубая мужская психика не выдерживает) этого отдела ежедневно попадает до десятка шедевров эпистолярного жанра, каждый из которых с гордостью возглавил бы top на bash.org.ru. Но работницам не до увеселения масс, и недрогнувшей рукой сокровища письменной культуры отправляются в шредер.

Такая же судьба чуть была не постигла письмо гражданина Н. Сотрудница, в чьи руки оно попало – назовем ее Маша – прочла его, мысленно отнесла его к категории “спам” и привычной рукой отправила его в папку “В шредер”, но тут из конверта выпала ксерокопия документа на официальном бланке Компании.

В голове Маши начала мерцать тревожная красная лампочка – ксерокопии документов обозначают, что автор письма знает, как общаться с Бюрократическими Организмами, и представляет собой потенциальную опасность. Письмо следовало перечитать внимательнее:

“Уважаемая Компания!

Я признаю, что за прошедший месяц на моем счету действительно образовалась задолженность в 500 грн, однако я отказываюсь признавать, что эта задолженность (пусть даже с учетом пени) составила спустя месяц сумму, значительно превышающую валовый национальный продукт Украины за прошлый год. Если вы, как указано в письменной претензии (см. копию) действительно собираетесь передавать дело в суд, я, со своей стороны <дальше уже не важно>…

С уважением, Н.”

Маша развернула ксерокопию. На стандартном бланке претензии, высылаемой неплательщикам, было написано: “Просим вас в течении 15 дней погасить задолженность, которая, с учетом пени, составляет: триста восемьдесят миллиардов …. миллионов двести тридцать четыре тысячи пятьсот шестьдесят семь гривен“

Маша пошла к своей начальнице, начальница пошла в отдел, рассылающий претензии. А там уже сидели представители бухгалтерии, которых заинтересовало, почему сумма невзысканной дебиторской задолженности за прошлый месяц составляет астрономическую сумму в несколько сот миллиардов гривен.

Довольно быстро выяснилось, что процесс выставления претензий включает в себя этап, на котором сумма задолженности может быть вручную скорректирована отвественным сотрудником Компании на основании сложной экспертной оценки. А поле для ввода окончательной суммы задолженности было расположено рядом с полем поиска данных абонента по номеру телефона. И при обработке долгов абонента Н вместо окончательной суммы ему по ошибке вбили номер следующего должника. В международном формате (12 цифр).

После этого ручную коррекцию долга отменили, и письма-претензии стали рассылать всем, чей долг составляет более X гривен, где X задавалось вручную. Естественно, и это “ружье на стене” тоже в свое время выстрелило, но это уже совсем другая баечка.

Сегодня я напишу о таинственных устройствах, “притворяющихся базовыми станциями, через которые можно прослушивать любые разговоры” (конец цитаты). Судя по комментариям в моем ЖЖ и сообщениям в желтой прессе, таки устройства стоят на вооружении спецслужб, и используются для широкомасштабной неконтролируемой “прослушки” всех и вся. Попробуем разобраться, реально ли это.

Начнем с поиска материалов о чудо-устройствах. Искать будем по словам “fake base station”, “GSM man-in-the-middle”, отсеивая все публикации в желтой прессе, не содержащие фактического материала. Из того, что осталось, я выбрал два характерных примера:

По обоим ссылкам речь идет о устройстве, которое, с одной строны, изображает из себя базовую станцию, а с другой стороны – само содержит в себе SIM-карту. Используется оно следующим образом:

1. Поддельная базовая (ПБ) размещается неподалёку от жертвы (и ее мобильного телефона);
2. Поддельная базовая начинает свою работу, анонсируя себя в эфире как базовая станция, принадлежащая мобильной сети, которой пользуется жертва. Благодаря искусному размещению (см. п.1) у ПБ должен быть замечательный уровень сигнала; Впрочем, тут есть ньюансы (см. ниже)
3. Телефон жертвы видит такую роскошную базовую и, возможно, решает, что эта базовая – это идеальный camped cell. То есть, базовая, на частоте которой телефон будет просить об организации выходных звонков и ждать уведомлений о входящих звонках.

   Тут надо остановится подробнее на механизме смены camped cell. Каждая базовая сети GSM транслирует в эфир так называемый neighbor list – перечень частот географически соседних с ней базовых. Список этот – часть “конфига” базовой, и управляет им оператор. “Сидя” в какой-то соте, телефон получает от нее список соседей, и периодчески проверяет мощность сигнала от текущей соты и от ее соседей, и, возможно, принимает решение переключится на другую соту.

   Но для переключения новая базовая должна быть не просто “чуть лучше” старой, она должна быть существенно лучше. Казалось бы, если телефон жертвы не спешит менять camped cell – ему можно помочь, ставя радиопомехи на частотах всех остальных ближайших базовых. Но тут есть две проблемы (см. ниже)

4. Телефон жертвы переходит кэмпится в ПБ. А онаему и говорит: “Я, милый друг, принадлежу другой location area, так что сделай-ка ты перерегистрацию в сети (location update)”. Подробнее про location area и location update читайте тут;

   Кстати, алгоритм выбора camped cell включает в себя пенальти за переход в другую location area, что нужно учесть в п.3.

5. Телефон жертвы делает location update, а ПБ ему и говорит: “О, кстати, совсем забыла сказать – отключай-ка, милый друг, шифрование“. Телефон, понятное дело, отключает.

На этом подготовительные операции завершаются. Дальше, допустим, жертва решает позвонить кому-то. Вызов обслуживается поддельной базовой, совершается без шифрования – соотв. на ПБ разговор можно взять и без проблем

записать/прослушать

. А как же вызов доходит до адресата? Очень просто – в поддельной базовой есть своя SIM-карта, и с её помощью ПБ, как нормальный мобильный телефон, совершает звонок “от своего имени”. Понятно дело, что при этом надо использовать CLIR (сокрытие номера вызывающего абонента).

А если кто-то звонит жертве? Тут, увы, вариантов нет  – в “нормальной” сети телефон жертвы не регистрировался, а ПБ со своей SIM-картой не может принять звонок, адресованный не ей. То есть, входящие звонки жертве обламываются с диагностикой “абонент за зоной покрытия”.

Получается, доля правды в сообщениях о подобных устройствах есть – действительно, технически возможно сделать устройство, которое будет изображать из себя базовую станцию, и использовать это устройство для прослушивания исходщих разговоров жертвы. Однако, атака получается довольно “грязной”, жертва может легко сорваться с крючка или заподозрить неладное. Перечислим недостатки метода:

• В ПБ может кэмпится много абонентов, если мы не знаем IMSI жертвы – то нам надо играть в угадайку
• Если в ПБ только одна своя SIM-карта, то она может обслуживать только один исходящий звонок в произвольный момент времени. Если мы хотим создать видимость нормальной работы для более чем одного человека, надо усложнять радиочасть ПБ и втыкать в нее больше SIM-карт. Либо же организовывать uplink с ПБ каким-либо иным образом.
• ПБ должна начать вещание на частоте, входящей в neighbor list текущей camped cell жертвы. Но ее знает только телефон жертвы, и запросить эту информацию с него нельзя. Надо, опять же, играть в угадайку. Или выключать все легитимные базовые в этом районе вообще.
• Глушить соседние базовые для форсирования перехода телефона в зону ПБ бессмысленно. Во время выбора соты уровень интерференции не измеряется никогда, а оценивается только уровень мощности на данной частоте. Поэтому любая “забивалка” только повысит мощность сигнала, измеряемую телефоном. И телефон автоматом будет выбирать именно такую частоту и, соответственно, базовую. Получается, надо рассчитывать только на умелое размещение ПБ и направленные антены 🙂
• Если жертва не находится на месте (ходит, ездит, как-то еще перемещается в пространстве), то она может выйти из зоны покрытия ПБ и переключиться на другую базовую. Да, ПБ может сама транслировать пустой neighbor list, и это приведет к тому, что телефон будет держаться за нее до последнего. Но если сигнал от ПБ вдруг все-таки хоть на мгновение пропадет, то телефон пересканирует эфир и подключится к любой легитимной базовой, и ПБ не в силах это запретить;
• Жертву может насторожить символ “шифрование отключено” на экране телефона
• Жертву может насторожить невозможность получать входящие звонки
• Жертву может насторожить сообщение о том, что ее номер не определяется у вызываемых абонентов
• У тех, кому звонит жертва, может быть включена услуга анти-CLIR (как там оно правильно называет?) – “отмена запрета показа номера вызывающего абонента”. В таком случае получатели звонка сразу увидят номер, связанный с SIM-картов в ПБ, и могут уведомить жертву
• SIM-карта в ПБ должна быть того же самого оператора, что и у жертвы, иначе жертва может случайно услышать незнакомый анонс типа “абонент не может вам ответить” и что-то заподозрить
• SIM-карта в ПБ должна иметь активированным тот же набор услуг, что и у жертвы

Получается

слишком много минусов

, самые главные из которых – это невозможность прослушивать подвижную жертву, отключение шифрования, и невозможность организации входящих звонков. Согласитесь, что это приемлемо для краткосрочной целевой акции, но недопустимо для долговременного широкомасштабного прослушивания. Как с Винни-Пухом – можно взять в руки синий шарик и прикинуться тучкой, но пчелы почти наверняка что-то такое начнут подозревать.

Ок, но что, если инженерная мысль не стоит на месте, и кому-то удалось создать прибор, лишенный этих недостатоков? Вероятность этого видится мне ничтожной. Попробуем поиграть в “а что, если?”

Q: А что, если кто-то научился делать ПБ, не требующие отключения шифрования?
A: Это означает, что такая ПБ может авторизовать жертву в сети. Для этого ПБ должна: а)знать секретный ключ (Ki) SIM-карты жертвы, б)поддерживать тот же алгоритм A38, что и центр аутентификации (AuC) компании-оператора. И то, и другое – не слишком легкие и наказуемые законом вещи.

Чтобы узнать секретный ключ, нужно либо иметь доступ к данным о SIM-карте на этапе ее производства, либо иметь доступ к AuC или биллинговой системе оператора, обслуживающего жертву. Ладно, допустим, что взятки решают все, и ключ получен.

Чтобы реализовать у себя тот же алгоритм А38, что и компания-оператор, обслуживающая жертву – придется попотеть. Если этот алгоритм нестандартный, то кол-во людей, имеющих его полное описание, может исчисляться единица, а само описание будет хранится “за семью замками”.

Если надо работать с разными операторами, то может оказаться, что все они используют разные реализации А38.

Q: А если ПБ просто служит “прокси” в процессе аутентификации, передавая туда-сюда траффик, разве при этом нельзя обеспечить включение шифрования у жертвы меньшими усилиями?
A: Для этого сеть оператора должна быть аутентифицировать SIM-карту с тем же IMSI, что и у жертвы. То есть, SIM-карта в ПБ должна иметь тот же IMSI, что и у жертвы. Правда, есть одна закавыка – если SIM-карта в ПБ имеет совпадающий с жертвой IMSI, но вы не знаете Ki, то поработать прокси для аутентификации получится, а вот дешифровать проходящий через ПБ траффик – нет (так как у вас не будет ключа для дешифровки трафика, Kc). Чтобы получить Kc, нужно иметь в ПБ полный клон SIM-карты жертвы.

Но для этого вам надо знать Ki жертвы и описание алгоритма А38, используемого оператором 🙂 То есть, легче не получится.

Q: Но ведь в инете полно статей про клонирование SIM-карт простыми кард-ридерами и программами!
A: Они – про клонирование SIM-карт тех операторов, которые используют старый стандартный алгоритм A38 под названием COMP128 v1 (не знаю, может, уже клонируют и v2, и v3). Такие операторы есть, но они – в меньшинстве. К тому же, для клонирования надо иметь доступ к оригинальной SIM-карте и быть готовым к тому, что вы ее можете “запороть”.

Q: А что, если кто-то научился делать ПБ, позволяющие доставлять жертве входящие звонки?
А: Для этого ПБ должна обслуживаться сетью оператора наравне со всеми остальными базовыми станциями этой сети. То есть, ПБ должна быть подключена к какому-то контроллеру базовых станций (BSC) и описана в его “таблицах марштуризации”. Начнем с того, что интерфейс с BSC обычно “проводной”. Допустим, для нас это не преграда, и “проводов” у нас много.

Но. Если у вас есть доступ к BSC на уровне, позволяющем подключать и конфигурировать новые базовые станции, то вам незачем возится с ПБ. Вы можете прослушивать разговоры при помощи обычных базовых станций оператора.

Q: А если в этой ПБ реализована базовая BSC в одном флаконе?
A: Ее все равно надо подключить к сети оператора, только уже “уровнем выше”. Если вы это можете – то проще вообще пойти на шаг дальше и поиметь доступ к средствам СОРМ (lawful interception) оператора и прослушивать жертву на уровне коммутаторов 🙂

Q: А что, если кто-то научился делать ПБ, позволяющие прослушивать мобильную (движущуюся) жертву?
A: На практике это означает, что такая ПБ в любой момент времени является для телефона жертвы идельно подходящей для кэмпинга базовой и одновременно идеально вписывается в окружающий радиоландшафт. Допустим, первая половина задачи решается тем, что с помощью Патентованных Нанотехнологий(тм) размер ПБ уменьшается до пачки сигарет, и мы плотно садимся жертве на хвост.

Остается проблема взаимодействия с окружающим эфиром. Наша ПБ должна работать на частоте, отличающейся от частот всех окружающих легитимных базовых станций всех существующих в данной точке операторов. Интерференции пофиг, какая базовая настоящая, а какая – поддельная. Если две базовых с перекрывающимися областями покрытия начнуть вещать на одной частоте, то работать не сможет ни одна из них. Соответственно, наша ПБ должна постоянно сканировать эфир и адаптироваться к изменяющимся условиям. Фактически, нам надо построить автоматическое средство решения задачи радиопланирования сети. Если у нас это получится – то лучше бросать нафиг потенциально подсудную прослушку, и продавать свое решение операторам. За такой чудо-радиопланировщик они с радостью дадут Много Бабла.

Да, чуть не забыл – если мы хотим не только прослушивать исходящие звонки мобильной жерты, то нам надо в процессе движения как-то поддерживать контакт с контроллером базовых станций. Но там, как я говорил, обычно используются “провода”, т.е. ваша ПБ не сможет ездить за жертвой по всему городу. Конечно, умные люди давно придумали радиорелейную связь, беспроводный интернет и прочие технические средства, которые потенциально можно использовать для связи с контроллером базовых. При условии, конечно, что оператор позаботился оборудовать контроллер соответствующими техническими средствами и разрешает подключаться всем, кому не лень 🙂

Итого, получается, что сделать такую ПБ, которая “прозрачна” для прослушиваемой жертвы и позволяет прослушивать ее в режиме нон-стоп – нельзя.

PS
Какие еще возможные возражения я пропустил? 🙂