Jak zařídit odposlech GSM?

V praxi obvykle útočník ví, který mobilní telefon chce odposlouchávat. Ale právě s identifikací příslušného přístroje bude mít v případě, že provádí odposlech na rozhraní U, značnou potíž. Jednotlivé stanice jsou totiž v síti identifikovány čísly IMSI a TMSI. IMSI je zkratkou pro International Mobile Subscriber Identification, mezinárodní identifikační číslo mobilního účastníka. Toto číslo se skládá z hlavičky, tříčíslicového MCC (Mobile Country Code), tedy dentifikačního kódu země (u nás 230 ), tříčíslicového MNC, což je Mobile Network Code (u nás má 01 Paegas, 02 Eurotel a 03 Český Mobil) a dále MSIN (Mobile Station Identification Number), což je identifikace účastníka v síti. Je to v praxi identifikátor, pod kterým telefon mobilní síť zná a IMSI se liší od telefonního čísla, které se označuje MSISDN. Aby však situace byla ještě obtížnější, vytváří si GSM síť k IMSI ještě jakýsi dočasný alias TMSI, Temporary Mobile Station Identification. Aby útočník neztratil přehled o tom, které TMSI přísluší kterému IMSI, musí sledovat veškeré aktivity mobilního telefonu v síti, aby zachytil na signalizačním kanále IMSI i příslušné TMSI, které mobilní síť přidělila. Ale to není zdaleka vše, co musí útočník zabezpečit. V průběhu hovoru jsou na rychlém signalizačním kanále FACCH, který je asociován k TCH/TACH, vysílány další řídící údaje pro mobilní telefon, jako je požadavek pro předání hovoru (handover). Všechna tato data by měl útočník přijmout a vyhodnotit, aby byl odposlech dokonalý. Pro útočníka je nutné znát IMSI karty oběti, kterou chce odposlouchávat. Je pravda, že jej můžeme ze SIM karty velmi rychle přečíst, ale znamená to fyzický přístup ke kartě a znalost PINu, což může činit problém; IMSI je ovšem vysíláno i rádiovou cestou.

Ke sledování všech souvislostí důležitých k udržení útočníkova přehledu o telefonu oběti musí dále monitorovat stavy sítě v součinnosti s mobilním telefonem odposlochávaného. Sledování sestavení hovoru (Call Setup) umožní totiž útočníkovi naladit přijímač na správný kmitočtový kanál, vybrat na něm příslušné časové okno (time slot), které síť pro hovor přidělila a poskytne další informace nutné k úspěšnému odposlechu.

Jak zařídit odposlech GSM? K úspěšnému provedení odposlechu GSM telefonu mezi mobilní stanicí a BTS je tedy zapotřebí vyluštit klíč Kc. To je ale podmínka nutná, nikoli dostačující. Podívejme se, co je nutné provést dále a s jakými dalšími problémy se bude útočník při odposlechu z rozhraní U a Abis potýkat.

Dalším požadavkem je určení klíče Kc. Tato operace rovněž není jednoduchá a předpokládá znalost jistého časového úseku dat šifrovaných algoritmem A5 a k nim příslušejících dat nešifrovaných. Na základě toho lze pak určit klíč Kc. Ale právě přístup k nešifrovaným datům může činit při odposlechu problémy, poněvadž všechna hovorová data v GSM se šifrují. Navíc je k výpočtu klíče nutné nějaké minimálnimální množství těchto šifrovaných a otevřených dat. Avšak šifra A5 není považována za kryptograficky bezpečnou. Bylo publikováno hned několik útoků na ni. Čas nutný pro určení klíče není nijak dlouhý. Pohybuje se v řádu stovek milisekund až do několika sekund, v závislosti na verzi algoritmu A5.

Klíč Kc je získán v průběhu autentizace mobilní stanice algoritmem A8. Ten je uložen v SIM kartě účastníka společně s unikátním identifikačním klíčem Ki a je platný jen v období mezi dvěma autentizacemi.

Leccos nasvědčuje tomu, že přístroje pro snadný odposlech GSM by mohly již v současnosti existovat. Pracovníci servisu mobilních telefonů důvěrně znají různá testovací pracoviště pro diagnostiku GSM telefonů. Všechna tato zařízení mají v sobě naprogramované postupy navazování spojení na rozhraní U. Jediné, co v nich chybí, je program pro určení Kc.

Avšak jestliže se útočník dostane ke GSM technologii u operátora, ať už na Abis rozhraní mezi BTS a BSC, nebo někam do vyšší úrovně sítě GSM, bude se mu nabízet řada analyzátorů, které používají technici při výstavbě a diagnostice sítě. Zde je hovor přenášen nekódovaný a skutečně jde jen o to, připojit k takovému měřícímu přístroji sluchátka, vybrat příslušnou hovorovou cestu a poslouchat. Odpadnou i problémy s určením telefonního čísla odposlouchávané stanice, poněvadž zde mohou být k dispozici signalizační data, která obsahují úplné informace o hovoru. Různé firmy nabízejí k účelům diagnostiky sítě různé přístroje. Zde postačí investice v řádu statisíce a sluchátka. Ta nebývají v ceně.