O documento descreve a história da rede GSM e como é possível hackear redes GSM capturando tráfego com placas USRP e quebrando a criptografia A5/1 em 30 segundos usando placas FPGA. Ele também discute como foi criada uma rede celular pirata chamada Ninja Tel na DefCon 2012 usando softwares de código aberto.

1. GSM Hacking
Thiago Morais
Segurança da Informação - Senac
Setembro/2012

2. Histórico
GSM - Global System for Mobile Communications Nokia 1011
Desenvolvido pelo ETSI (Instituto de Padrões de
Telecomunicações Europeu) O primeiro
celular
Criado para substituir a primeira geração (1G) de redes
analógicas de celulares GSM do mundo
a ser fabricado
O padrão foi expandido com o tempo para incluir
comunicações de dados (GPRS, EDGE e outros) em massa
Primeira Ligação GSM - 1 de Julho de 1991
Hari Holkeri Kaarina Suonio
Primeiro Ministro Prefeita da cidade
da Finlândia de Tampere
na época na época

3. Quer hackear GSM?
US$ 2,400.00 -> Placa USRP + uma antena :(
.................................................
Placa USRP - Usada para “sni!ng”, ou seja, para capturar o tráfego das
1 operadoras de celular. Ela também pode !ngir ser uma torre e receber
tráfego de celulares que estão próximos.
2 Wireshark - Software usado para ver o tráfego
Tráfego sendo
capturado na
banda de 900 Mhz,
que é uma das
bandas usadas pela
TIM, Claro e Vivo

4. Não quero gastar US$ 2.400,00!
gammu
+ + gsmdecode
wireshark
Nokia 3310 USB Data Cable Software

5. GSM Sni"ng
IMSI - International
Mobile Subscriber
Identity
Número que identi!ca
um celular especifíco à
rede da operadora
De acordo com as especi!cações técnicas do GSM, esse número identi!cador não
deveria ser enviado à torre em texto puro, sem criptogra!a. Isso signi!ca que muitas
operadoras não estão se preocupando com segurança. O pesquisador alemão Karsten
Nohl concluiu que 50% de todas as operadoras do mundo NÃO estão usando
criptogra!a para proteger seus usuários.

6. GSM Cracking
Uma placa FPGA (Field Programmable Gate Array) quebra a proteção
de 64-bits do GSM em 30 minutos. 32 placas quebram em 30 segundos. O
protocolo A5/1 é implementado em hardware e a decodi!cação ocorre 6000x
mais rápida em uma placa FPGA do que em um processador Intel i7.
Xilinx Virtex-6 LX240T FPGA
Processador 200 MHz
512 MB RAM DDR3
Preço unitário: US$ 1.300,00
Para hackear uma ligação GSM em 30 segundos, é necessário desembolsar
US$ 41.600,00 !!!!

7. Experts no assunto
David Hulton
- Especialista número 1 em FPGA’s;
- Diretor de Segurança da Pico Computing;
- Ministrou uma palestra em junho/2012 na maior
feira hacker dos EUA, a DefCon, sobre
vulnerabilidades em VPN’s.
Karsten Nohl
- Cientista-Chefe do Security Research Labs em Berlim;
- Publica artigos sobre vulnerabilidades desde 2006;
- Ministrou uma palestra em dezembro/2009 na maior
feira hacker da Alemanha, a Chaos Communication
Congress, sobre como crackear GSM.

8. Vivo? TIM? Ninja Tel...
- Operadora GSM criada do zero por hackers;
- Conceito demonstrado na feira DefCon 2012 (EUA);
- Celular utilizado: HTC One V com !rmware customizado;
- Apenas voz e SMS;
- Softwares de código aberto utilizados: OpenBTS e Asterisk;
- Antena de 3 metros instalada no topo da van;
- Aplicativo instalado no telefone permitia comprar refrigerante em
máquinas espalhadas pela feira;
- Projeto patrocinado por: Facebook, Zynga, Lookout e AllJoyn.

9. Ninja Tel - Fotos

10. Vídeo

11. Fontes
http://www.phonearena.com/news/The-first-GSM-call-marks-its-20th-anniversary-today_id20027
http://en.wikipedia.org/wiki/Harri_Holkeri
http://www.eduskunta.fi/triphome/bin/hx5000.sh?%7Bhnro%7D=335&%7Bkieli%7D=su&%7Bhaku
%7D=kaikki
http://en.wikipedia.org/wiki/GSM
http://www.cs.virginia.edu/~kn5f/
http://www.ettus.com/home
http://en.wikipedia.org/wiki/GSM
http://en.wikipedia.org/wiki/Mobile_Network_Code
http://en.wikipedia.org/wiki/OpenBTS
http://picocomputing.com/brochures/EX-600.pdf
http://www.picocomputing.com/
http://en.wikipedia.org/wiki/A5/1
http://picocomputing.com/brochures/M-501.pdf
http://www.theverge.com/2012/7/27/3193887/ninjatel-defcon-pirate-phone-network-photos
http://www.youtube.com/watch?v=i6ze_LMd6l8
http://www.blackhat.com/presentations/bh-dc-08/Steve-DHulton/Presentation/bh-dc-08-steve-
dhulton.pdf
https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/
https://blog.ipredator.se/cgi-bin/mt/mt-search.cgi?IncludeBlogs=5&tag=David
%20Hulton&limit=20
http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html
http://www.theverge.com/2012/7/27/3192727/ninjatel-defcon-pirate-cell-phone-network
http://arstechnica.com/security/2012/07/ninja-tel-hacker-phone-network/
https://svn.berlin.ccc.de/projects/airprobe/wiki/tracelog

12. Fim