From the '60s and '70s, the hacker community started to design tools and procedures in order to take advantage of telephone networks (such as blue boxes, phreaking, etc.). These oldschool hacking stuff is coming back with the commercialitation of cheap open hardware which establish new threats. In our talk, we are going to contextualize some phreaking practices and introduce new threats. For example, we have analysed how to modify the behaviour of GSM (Global System for Mobile communications) antennas in a mobile phone using AT commands to establish covert channels. We have proofed how it is possible establishing covert channels without a "standard GSM connection". In fact, it is possible to exchanging information without paying. Other procedures have been analysed but with the GSM connection established. In our proofs, we can establish a covert channel sending a tens of bits per minute without a "GSM standard connection" (paid). Some of ours PoC use "anonymous" SIM cards, SBCs configured to interact with each GSM antenna (900Mhz) and a chipset Simcom SIM900.

1. dd
Phreaking is alive! - Abusing GSM: Covert channels using AT commands
Dr. Alfonso Muñoz (@mindcrypt) - Jorge Cuadrado (@Coke727)

2. Phreaking is alive! - Abusing GSM: Covert channels using AT commands
Dr. Alfonso Muñoz @mindcrypt
Head of Cybersecurity Lab
www.linkedin.com/in/alfonsomuñoz
alfonso@criptored.com
Jorge Cuadrado @coke727
Security Researcher
www.linkedin.com/in/jorgecuadradosaez
jorgecuadradosaez@gmail.com

3. Alfonso Muñoz (@mindcrypt) - Jorge Cuadrado (@Coke727)

4. Phreaking
Actividad de aquellos individuos que orientan sus estudios y ocio hacia el
aprendizaje y comprensión del funcionamiento de teléfonos de diversa índole,
tecnologías de telecomunicaciones, funcionamiento de compañías telefónicas,
sistemas que componen una red telefónica y por último; electrónica aplicada a
sistemas telefónicos… https://es.wikipedia.org/wiki/Phreaking

5. https://www.thingiverse.com/thing:2630646/#files
https://www.genbeta.com/a-fondo/phreaking-phreaks-y-blue-boxes-
historia-del-hacking-telefonico & http://explodingthephone.com

6. Todos estos descubrimientos se tradujeron en varios dispositivos como la caja azul o la caja negra, que usando la señalización de control de la red de
telefonía, permiten hacer llamadas gratis, añadir crédito a una cabina pública sin introducir dinero, hacer que suene el teléfono aunque no haya ninguna
llamada, falsificar la identidad de una llamada, etc. Aparte de esto, se atacaron los sistemas de prepago, la seguridad física de las cabinas públicas, modems
conectados a la red telefónica, etc, etc...
https://hackstory.net/Phreaking
De izquierda a derecha, Ender, The Phreaker y Depeche, en 2013

7. El origen

8. https://www.tjoe.org/pub/direct-radio-introspection
Teléfono móvil: La pepita de ORO

9. https://www.theguardian.com/technology/2016/apr/19/ss7
-hack-explained-mobile-phone-vulnerability-snooping-texts-calls
http://www.securitybydefault.com/2015/01/hacking-en-redes-ss7.html
https://boingboing.net/2016/07/20/baseband-vulnerability-could-m.html
“Every mobile phone runs two operating systems; the
one you interact with (like Android or IOS), and the one
that controls the radio hardware. This second OS is
ancient, creaking, and wildly insecure…”
DeepSec 2010: All your baseband are
belong to us by Ralf Philipp Weinmann -
https://www.youtube.com/watch?v=fQqv0v14KKY
http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone
http://www.infosecisland.com/blogview/12656-The-SMS-of-Death-Mobile-Phone-Attack-Explained.html
http://fortune.com/2015/07/27/stagefright-android-vulnerability-text/ https://www.cnet.com/news/researchers-can-attack-mobile-phones-via-spoofed-sms-messages/
https://thehackernews.com/2017/05/ss7-vulnerability-bank-hacking.html

10. http://tronland.org/
Secrafonía…

11. Phreaking casero – Construyendo un móvil
Yes, I am a criminal. My crime is that of curiosity (The Mentor - January 8, 1986)
http://phrack.org/issues/7/3.html

12. Phreaking casero – Construyendo un móvil

13. Objetivo

14. Covert Channel
Un canal encubierto (del inglés covert channel), es un canal que
puede ser usado para transferir información desde un usuario de un
sistema a otro, usando medios no destinados para este propósito
por los desarrolladores del sistema...

15. ¿La operadora SE FíA de lo
que le envía un cliente?
INTERFAZ!!!!
INTERFAZ!!!!

16. Aihasd SIM900 GSM GPRS Module Quad-
Band Development Board Wireless Data
for Arduino Raspberry Pi
21 Euros - http://goo.gl/8RgxxZ
Antena GSM – Client attack
Feature:
Chipset SIM900 - SIMCOM
Quad-Band 850 / 900/ 1800 / 1900 MHz - would work on GSM
networks in all countries across the world.
Control via AT commands - Standard Commands: GSM 07.07 &
07.05 | Enhanced Commands: SIMCOM AT Commands.
The shield allows you to achieve SMS, MMS, GPRS and Audio
via UART by sending AT commands
Embedded TCP/UDP stack
Speaker and Headphone jacks
Low power consumption - 1.5mA(sleep mode)
Industrial Temperature Range - -40°C to +85 °C
http://simcom.ee/modules/gsm-gprs/sim900/

17. SIMs GSM – Client attack
Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones.

18. ¿La operadora SE FíA de lo
que le envía un cliente?
INTERFAZ!!!!
INTERFAZ!!!!

19. AT commands & Standards
http://simcom.ee/documents/?dir=SIM900

23. ATD/ATH – Llamar y colgar
AT+CLIP - Calling Line Identification Presentation
(muestra los datos del llamante)
AT+CLIR - Calling Line Identification Restriction
AT+MORING - Show State of Mobile Originated Call
(muestra cuando el tono de una llamada a llegado a destino)
AT+CEER - Extended Error Report
AT+VTS - DTMF tone generation
AT+EXUNSOL - Enable or Disable Proprietary Unsolicited Indications
AT+CLCC - List Current Calls of ME
AT+CRC - Set Cellular Result Codes for Incoming Call Indication
AT+COLP - Connected Line Identification Presentation

26. DEMO – Abusing GSM using covert channels with AT commands
Antena
Mobile Phone
Antena
Mobile Phone
GSM Network
Detail of protocol
Aihasd SIM900 GSM Arduino
Setup Tx Setup Rx
ATD#31 #636666284
Sending: bit 1 Sending: bit 1
Received Call
AT+CHUP
(BUSY)
ACK
ATD 636666284
Received Call
Sending: bit 0
Llamada pérdida
Número oculto
Llamada pérdida

27. DEMO – Abusing GSM using covert channels with AT commands

29. Covert channel => Capacidad de Ocultación (Worst case)
Técnicas de ocultación considerando SOLO UNA SIM+ANTENA CLIENTE
Llamadas Perdidas - Número Oculto (8-10 bits/min)
Tiempo de llamada (aprox 10 bits/min)
Código de retorno & Desconexión operador
Combinación de técnicas (12 bits/min)
¿Qué significa?
Capacidad/min = aprox 12 bits/min
 3 min = 1 dirección IPv4 | 3 min = addr TOR (acortador) | 3 min = coord GPS …
Capacidad/hora = aprox 720 bits/hora
 IPv4+ addr TOR + addr Bitcoin + Coord GPS + fecha/hora + clave cripto + …
Capacidad/día = aprox 17.280 bits/día

30. Covert channel => Capacidad + Retardo + Estabilidad
Estabilidad
• Ninguna SIM (prepago “registrada” y “sin registrar”) ha sido bloqueada en los
últimos 5 meses – Uso habitual con pruebas de 1 hora de envío de información
(aprox 720 bits/hora)
• Tiempo máximo de prueba ininterrumpido 2 días – Ej./ 34.560 llamadas
perdidas – 34.560 bits
Retardo Vs Capacidad Vs Invisibilidad  Técnicas de amplificación
• Números virtuales (configuración vía Internet  funcionamiento escenario 2G)
• Caller ID Spoofing & Internet Resources & Tricks  funcionamiento Internet+2G

31. Números virtuales => Mayor capacidad, = SIMs+Antena
• Para mayor capacidad de ocultación  Más antenas, más tarjetas SIMs (*)
• Complemento o Alternativa: Números virtuales (los hay gratuitos “= anónimos” y de
pago)

32. Ejemplo – Abusing GSM using covert channels with AT commands + Virtual Numbers
Emisor A Receptor B
Virtual Number 0 (0000b)
Virtual Number 1 (0001b)
…
Virtual Number 14 (1110b)
Virtual Number 15 (1111b)Send 0001b, Call Number 1
Received call from Number1, decode 0001b
Ej/ 7*log2(Virtual Numbers) bits/min  Ej/ 28 bits/min, 7 llamadas/min

33. DEMO – Abusing GSM using covert channels with AT commands + Virtual Numbers
Do The Impossible
See The Invisible
Row! Row!
Fight The Power!
Touch The Untouchable
Break The Unbreakable
Row! Row!
Fight The Power!
What You Gonna Do Is What You Wanna Do
Just Break The Rule, And You See The
Truth…
Gurren Laggann - Row Row Fight The
Power

34. DEMO – Abusing GSM using covert channels with AT commands + Virtual Numbers

35. “Phreaking” by Internet & Caller ID Spoofing…
• Dispositivos/Servicios “con capacidad para llamar”
• Llamadas perdidas / SMS “free” / IoT / Shodan …
• Caller ID Spoofing (Spoofcard, CallerIdFaker, Spooftel...)
• …
• Combinar & Amplificar
Caller ID Spoofing (Phone Number): <País><Ciudad><Numero> 2+2+9 dígitos
Capacidad de ocultación: VR10,13 = 10^13  13/log2 =43 bits
VR10,9 = 10^9  9 / log 2 = 29 bits

36. Demo: Covert channel – Caller ID Spoofing
Alfabeto: Mayúsculas, Minúsculas, Números (64 car 2^6  6 bits)
URL acortada de 3 a 5 car  18 a 30 bits (una url acortada puede tener mucha info)
Ej/ tiny.cc/A2bE –> 24 bits
Convertimos ese código binario  A un número de teléfono (origen)  Llamamos (aplicar proceso inverso)

37. Demo: Covert channel – Caller ID Spoofing

38. Demo: Covert channel – Caller ID Spoofing

39. AT + CONCLUSION CR LF [APLAUSOS]
RootedCon’s Blue Box System V1.0
Blue Box coded
by @mindcrypt/@coke727
Dial tollfreenumber
Set a trunk and dial
your number

40. dd
Phreaking is alive! - Abusing GSM: Covert channels using AT commands
Dr. Alfonso Muñoz (@mindcrypt) - Jorge Cuadrado (@Coke727)
alfonso@criptored.com – jorgecuadradosaez@gmail.com