Dennis Wehrle

GSM für die Lehre – Basisstation,

IMSI-Catcher und Monitordevices aus

Standardkomponenten selbst gebaut

3. DFN-Forum Kommunikationstechnologien

Konstanz

Lehrstuhl für Kommunikationssysteme

Programm

GSM in der Lehre

GSM-Infrastruktur

Hardware / Software

Analyse

IMSI-Catcher

GSM in der Lehre: Ausblick

Live-Demonstration

27.05.2010 GSM in der Lehre 2

GSM in der Lehre

Aufbau eines prototypischen GSM-Netzes

Demonstration in der Vorlesung

- Ähnlich wie bei Lehrveranstaltungen zu Netzwerken

- Zur Veranschaulichung verschiedener Abläufe

- Förderung des Verständnis

Sicherheitsanalyse

27.05.2010 GSM in der Lehre 3

GSM-Infrastruktur

27.05.2010 GSM in der Lehre 4

GSM – Wichtige Kennungen

Geräteseitig:

- IMEI: Seriennummer des Mobilfunktelefons

(International Mobile Station Equipment ID);

Abfrage über *#06#

- IMSI: Seriennummer der SIM-Karte

(International Mobile Subscriber)

Netzseitig:

- MSISDN: Eigene Telefonnummer

- IMSI: Im HLR mit der MSISDN verknüpft

- TMSI: Temporäre IMSI

26.05.2010 GSM 5

Hardware

27.05.2010 GSM in der Lehre 6

USRP1 + externer Taktgeber

Preis: ca. 1300$

USRP2 + GPS Taktgeber

Preis: ca. 1500$

Hardware

27.05.2010 GSM in der Lehre 7

USRP1 mit 2x RFX900 Transceivers USRP2 mit DBSRX Receiver

Software

GNU Radio- Steuerung des Softwareradios

OpenBTS- Simuliert eine GSM-Basisstation

Asterisk- Registrierung der Geräte anhand der IMSI

- Abbildung auf SIP-Accounts

- Verbindung in die Außenwelt (VoIP, ISDN)

27.05.2010 GSM in der Lehre 8

Analyse: Eigenes OpenBTS Netz

OpenBTS Konsole

27.05.2010 GSM in der Lehre 9

OpenBTS Debug

Analyse: Bestehende Netze

USRP / USRP2 Spektrumsanalyse

- Finden von Basisstationen (Kanalnummer)

Unverschlüsselte Informationen mitschneiden

- Abhören des Kanals + decodieren mittels Airprobe

- Visualisierung der Netzstruktur

27.05.2010 GSM in der Lehre 10

Spektrumsanalyse

27.05.2010 GSM in der Lehre 11

Spektrumsanalyse im Bereich 924-932 MHz mittels GNU Radio-Skript: usrp_fft.py

Airprobe

Analyse auf der

Frequenz 927.0 MHz

Nachbarschafts-

informationen

27.05.2010 GSM in der Lehre 12

Nokia 3310

Nokia 3310 + Gammu:

- Günstige Alternative zum USRP

- Debug-Ausgabe lässt sich aktivieren

- Zeigt versendete und empfangene Pakete via

Datenschnittstelle an

- Protokolliert:

• Die frei zugänglichen

Broadcast-Informationen

(Paging, Location Update,…)

• Verbindungsaufbau

(SMS, Gespräche)

27.05.2010 GSM in der Lehre 13

Nokia 3310 – Gammu + Wireshark

27.05.2010 GSM in der Lehre 14

Nokia 3310 – Gesprächsmitschnitt

27.05.2010 GSM in der Lehre 15

Sicherheitsanalyse: IMSI-Catcher

IMSI: - Weltweit eindeutige Kennung

- Auf der SIM gespeichert

IMSI-Catcher: - Darf nur von Behörden verwendet werden.

- Entsprechende Geräte sind teuer (>100.000€)

- Günstiger Eigenbau mittels USRP möglich

Probleme:- Identität des Teilnehmers kann bestimmt werden

- Aufzeichnung von Gesprächen

- Erstellung von Bewegungsprofilen

27.05.2010 GSM in der Lehre 16

Sicherheitsanalyse: IMSI-Catcher

Allgemeine Funktionsweise:

- Vortäuschen einer Basisstation als reguläre

Funkzelle eines Mobilfunknetzes

(D1, D2, E-Plus, O2)

- Einbuchen der Mobilfunkgeräte

- IMSI / IMEI Übermittlung während des

Registrierungsprozesses

Funktioniert, weil sich ausschließlich das

Mobilfunkgerät authentifizieren muss

(NICHT das Mobilfunknetz)

27.05.2010 GSM in der Lehre 17

Funktionsweise

27.05.2010 GSM in der Lehre 18

„Standard“ IMSI-Catcher

Open Source IMSI-Catcher

Problematik – Registrierung

Mobilfunkgeräte:

- Speichern ihre letzte Frequenz (SIM-Karte)

- Scannen anhand einer Nachbarschaftsliste die

Frequenzen

- Verbleiben im ursprünglichen Netz

- Problem:

• Falls IMSI-Catcher nicht innerhalb der

Nachbarschaftsliste

Lösung:

- Erzwungener Zellwechsel

- Störsender (GSM-Jammer)

27.05.2010 GSM in der Lehre 19

Erzwungener Zellwechsel

27.05.2010 GSM in der Lehre 20

Open Source IMSI-Catcher

27.05.2010 GSM in der Lehre 21

Schutz

„Fangen“ der IMSI:- Kein Schutz vorhanden, da das Mobilfunkgerät den

IMSI-Catcher nicht von einer originalen Funkzelle unterscheiden kann

Gespräche abhören:- Anzeige der unverschlüsselten Verbindung im Display

des Mobilfunkgerätes.

• Neuere Geräte zeigen dies meist nicht mehr an.

• Anzeige lässt sich auf der SIM-Karte deaktivieren

- UMTS

• Die Entwicklung eines UMTS IMSI-Catchers ist ebenfalls möglich

- Kryptografische Mobilfunkgeräte

27.05.2010 GSM in der Lehre 22

GSM in der Lehre: Ausblick

Masterprojekt (aktuell)- Aufbau eines GSM-Netzes

auf dem Campus

- Hardware:

• NanoBTS (org. GSM-Hardware)

- Software:

• OpenBSC

• Asterisk

Communication Systems WS2010/11:- GSM-Vorlesung

- Praktische Übungen

Weitere Projekte: Lokalisierung, Sammeln von Infrastrukturinformationen, etc…

27.05.2010 GSM in der Lehre 23

Siemens BS11 (oben), NanoBTS (unten)