книги хакеры / darkbook

На базе М-ки имеется полноценная базовая станция, к которой привязывается телефон жулика, вместо основоной станции оператора. Экипаж М-ки начинает в реальном времени получать самое интересное: азимут и удаленность абонента(силу сигнала). Экипаж двигается в сторону "лица". К о гд а о п р ед ел е н Д о м , в к ото р о м з а с ел о " л и цо " , в д ел о в к л юч а етс я п оход н а я составляющая(маленький такой чемоданчик, который ведет оператора вплоть до телефона жулика).

Процесс поиска основанна пеленгации, то есть устройство посылает вызов на телефон жулика и обрывает его до установки соединения, делается это для того, чтобы прошла транзакция через "мусорскую" БС и отсветилась телеметрия(азимут, сигнал), конечно устройства настроены и сделаны так, чтобы максимально упростить жизнь ментам, поэтому те особо не думают про устройство техники а только в наушнике слушают расстояние в метрах. Таким образом "лицо" вычисляется вплоть до квартиры/офиса.

Бонус: М-ка не работает в сетях 4G, и не может позвонить на 3G модем. Так что таким образом не найти планшет и модем(пытались так найти краденый планшет - не вышло). Если Вы, читатель сидите с айфоном на горшке, и у Вас начал отваливаться интернет, но при этом никакого вызова не последовало, включайте параноика.

На данном этапе обычно проверяются так называемые сопарные телефоны. То есть смотрят, какие еще IMEI сидят в квартире жулика, потом по ним берут деталки и смотрят как часто они путешествуют вместе с целевым.

Замечание: Сведения полученные путем ОРМ не являются доказательствами в суде, служат только для установления чего то там, не силен в юриспруденции. В большинстве своем ОРМ незаконны до усрачки, поэтому засекречены.

Этап пять. ОРМ Месть ситхов.

Вы, дорогие читатели, наверняка догадались, что сейчас за жуликом пустят "ноги". Так точно. На четвертом пункте мусора нашли где сидит "лицо", после чего его срисовали(возможно даже установили). Далее за лицом выставляются ноги. Ноги можно выставить на 20 дней максимум(в случае части 3 ст. 159) либо на 7-14 в случае части 2. что же такое ноги: ноги - это специально

обученные мусора, которые в институте МВД пять лет учатся пасти жуликов, если кто-то Вам, товарищи, скажет, что спалил слежку, с большой долей вероятности - он п*здобол. Эти люди - профи, они выхаживают особо опасных в федеральном розыске, чтобы навести карающую руку собра =). В случае выставления ног на 20 дней, за лицом выставлется 2 экипажа(8 человек - 2 машины) в остальных случаях 1 экипаж(4человека - 1 машина), которые всюду следуют за жуликом и выявляют все его передвижения/связи.

Итак наше "лицо" отходили. Теперь у мусоров есть помимо инфы по "левой трубке" данные о том куда "лицо" на самом деле ходит и где живет.

Этап шесть. ОРМ Новая надежда.

431"

дальше спросит любопытный читатель? А дальше начинается треш и угар. Все что изложено далее не найдет подтверждения ни в одном официальном публичном документе и является личным опытом автора топика или его вымыслом, и вообще я гражданин Марса и не имею понятия что это за ресурс. Что же могут мусора узнать еще. А много чего:

Например, авторитетно уведомляю Вас, уважаемые коллеги, что компания Вконтакте отвечает на любые письма составленые на фирменном бланке с указанием пафосной шапки типа ОРЧ №10 ГУВД по г. МОСКВЕ и тп (бланк уточните по месту пребывания, так же как и текст запроса) отправленные с любого адреса электронной почты. Лично отправлял письмо с запросом предоставить историю переписки по пользователю с почты типа ivan76mamkutvoyu***fsb@fsb.ru и получил на такое официальный ответ с интересующими данными.

Плюс имеются ОРМ предоствляющие мусорам всю историю переписки viber, icq с мобильного устройства жулика при задержании. И даже если все зашифрованно достанут. У жулика изъяли трубу, на этой трубе привязана аська. узнают UIN и запросят переписку в mail.ru, кто будет утверждать, что это не так - попадись мусорам - узнаете. Так же с вайбером. Насчет вотсапа не уверен, не популярен он у жуликов в моем регионе. В крайних случаях выставляют ****** какие жесткие мероприятия, лично видел, как жулика одного поставили на контроль, его сообщения в вайбере и вконтакте сначала читал обученный человек, утверждал и только потом они отправлялись адресату.

Этап семь. ОРМ Империя наносит ответный удар.

Поговорим о прослушке.

Многие не понимают как это работает. Итак, %username%, настало время откровений. На прослушку труба ставится только с позволения федерального судьи, при условии что оперативники доказали ему такую необходимость результатами предыдущих ОРМ, но тут опера могут пользоваться своим авторитетом или введением в заблуждение для получения ордера(вот так поворот, сами они точно такие же жулики). Как же выглядит прослушка? Можно определить, что трубу пеленгуют, но, что слушают почти никогда. Мусора обычно слушают конкретный IMEI, выглядит это так: при поступлении сигнала на соединение с прослушиваемым абонентом включается запись с микрофона и динамика телефона.

При прослушивании таких записей отчетливо понятно, что запись начинается за несколько секунд до гудков и идет именно с микрофона так как слышно все посторонние шумы. Делается это на уровне базовой станции оператора. Самый простой способ борьбы с прослушкой - блюпуп гарнитура. с нее ничего записать не смогут. Главное трубу держать подальше, чтобы микрофон не мог выдать суть разговоров. Фейсы в таких случаях могут просто поставить на прослушку абонентский номер у оператора, мусорам такое сделать ооочень тяжело.

Прослушка будет являться доказательством в суде при условии проведения фоноскопической экспертизы(когда голос сверяют). Тут можно долго жевать юридические детали, если на форуме есть толковый юрист по уголовке пусть разжует, я не хочу, нагорожу ошибок, а потом скажут, что обманул. Второй метод прослушки, который некоторые из Вас могли спалить на своих трубках - труба греется, моргает, быстро садится и тп. идут искуственно соединения с трубой, чтобы слушать микрофон,

432"

Однако, если заметили такое - от трубы нужно избавляться без сожалений, так как симку потом пробьют и вычислят новую трубу, то симку тоже в топку.

Этап восемь. ОРМ Возвращение джедая.

Теперь, мои дорогие читатели, не решившие, что я конченный параноик я расскажу Вам подробнее о том, как вычисляются "сопарные" телефоны и прочие тонкие моменты.

Для Вас не секрет, что существует такой вид отчета оператора как деталка. По деталке мусора могут установить кто, когда с кем и как долго общался. У них есть ПО позволяющее удобно визуализировать данные такого анализа для того, чтобы показать их судье и запросить данные на подельников жулика.

Но это все цветочки. Ягодки начинаются, когда мусора обращаются за помощью к специалистам по анализу данных.

Итак, спецы такого рода обычно работают с двумя типами отчетов от операторов сотовй связи: биллинг и х*илинг Не знаю как эта херь называется

Биллинг - документ где содержится следующая информация - время совершения операции, абонентский номер, тип оперции, IMEI, целевой номер и куча другого хлама. Такой биллинг экспортируется с каждой базовой станции за определенный промежуток времени. х*илинг - это просто список IMEI которые появлялись в зоне действия базовой станции и не важно были ли с них действия типа звонков смс и тп.

Приведу пример недавнего расследования:

Мужчины нетрадиционной сексуальной ориентации разводили на бабки пенсионеров.

Группа из нариков. Один сидел на хате, по телефонной книге долбил пенсионеров и внушал им в голову что он из социальной службы, детали развода публиковать не буду, чтобы садомиты иного рода не почерпнули ничего для себя. Подельники говномеса отправлялись по адресам выносить бабосы с хат пенсионеров.

Нарики были "настоящие профи" использовали только левые "одноразовые телефоны"

Как же этих глиномесов поймали?

Пункт раз: Берется биллинг и хуилинг со всех базовых станций в районе мест совершения преступлений.

Пункт два: Проводится анализ с целью отсеять постоянников вроде сидящих дома и работающих(берется история за неделю для сравнения) - остаются только залетные телефоны. Вычисляются IMEI которые звонили, либо которым звонили. Таким образом имеются IMEI садомитов, которые ходили по хатам.

433"

В этом расследовании садомиты каждый раз пользовались новыми чистыми телефонами, что не помешало вычислить какими именно. Далее вычислялись все телефоны звонящего садомита.

Пункт три: Запросы деталок биллингов и всего остального по вычисленным телефонам в поисках закономерностей: два телефона покупались в одном ломбарде.

Выносится ломбард силами ОМОНа, сотрудники ломбарда сдают покупашку, покупашка сдает подельников - ОПГ отправляется под нары на ближайшие 10 лет.

Что мы должны вынести из сказанного? Всегда могут быть слабые места в любой схеме. У петухов даже не было сопарных телефонов(личных) при себе, только мутные трубки и то нашлась зацепка. Сопарники вычисляются на раз два по таким данным, если кто не понял как - велком в комменты, объясню подробнее.

Этап девять. ОРМ Пробуждение силы.

В этом разделе Я не стану рассказывать как пробиваются айпишиники и прочие вещи. По безопасности в сети читатйте тематические ресурсы. В этой главе я расскажу о том, что еще есть в кармане у мусоров и как себя обезопасить.

Все зависит от ленивости мусора. Даю гарантию, если Вы разводите пенсионеров серийно или, не дай бог, кинули женщину с ребенком-инвалидом, за Вас возьмутся всеми силами. Просто из принципа. Оставайтесь людьми. Стегайте мажоров лучше.

У мусоров есть очень смешные штуки, как и в армии они дают тупорылые названия технике, например у них есть две смежные системы "зала" и "лупа" ну не цирк ли? Так вот система "лупа" предназначена для поиска абонента в толпе. Противостоять этой штуке Вы не сможете никак. Только параноить. Я видел как с ее помощью вычисляли жулика, который был неуловим как сраный Джо при остальных методах. Его ловили на живца и пускали ноги.

Ваша безопасность - это отсутствие улик на момент задержания, так как ПРИ ЖЕЛАНИИ рано или поздно Вас все равно установят. Прибегнут к помощи аналитиков как в случае с торчками и все равно вычислят. Ваш козырь - меньше улик. Чернуха? Меняйте трубки и симки так часто как это возможно. Карты меняйте так же. Чем меньше эпизодов возможно будет доказать - тем лучше для Вас.

Будьте уверены, что Вас разведут.

Мусора только кажутся дебилами, они тонкие психологи и раскрутят Вас так, что вроде Вы не виноваты и взяли Вас по ошибке и ловили чурку со второго этажа - это все развод. После первой же встречи с мусорами, если вышли на волю - концы в воду. Я понимаю, что Вы не идиоты, но КОНЦЫ В ВОДУ. Никаких исключений. Завязали со всеми делами. никаких терок с подельниками ничего. Просто загасились. придумайти кодовое слово там, я не знаю.

Если Вы прилипли, не сознавайтесь. По крайней мере в моем регионе есть директива от

434"

воспользуйтесь своим законным правом молчать. Статья 51 конституции РФ.

Они Вам будут говорить раз молчишь значит виноват - молчите. Вас будут бить - молчите, будут пытать - молчите. А если они уверены в Вашей вине пытать Вас будут уж поверьте. Мне лично угандошили коленный сустав(чтобы не думали, что я тут стращаю) в процессе пыток(растягивали как в средние века в инквизиции), пока я не отрубился от боли, а потом чутка перестарались. А когда я пошел писать заяву в прокуратуру оказалось, что камеры не работали и таким поступил и отправился я лечиться за свой счет. Имейте ввиду, пытать будут только при уверенности, что Вы - преступник. Вас попытаются сломать, не ведитесь. Стойте на своем - молчите.

А как пойдет следствие и разберетесь, что происходит - подтяните адвоката и выстроите защиту.

Все описанные методы могут покааться сказкой некоторым участникам форума. Однако, все пункты были пройдены при поимке жуликов, отжавших в общей сложности менее 500к. Пацаны просто ступили спалились и никак не хотели телефон менять. Мусора просто стали брать деталки раз в неделю, обзванивать терпил и собрали за два месяца 70 эпизодов. Плюс доказали ОПГ из-за нежелания менять телефоны. Про петухов, разводивших пенсионеров я молчу, там дело принципа было их заколбасить, но жулик, которого вычисляли в толпе украл чуть больше 200 тыс. И применили к нему ОРМ, которые обычно применяют только при задержании особо опасных.

Бонус пак.

Про камеры. В торговых центрах камеры обычно хранят запись сутки(уточняйте для каждого конкретного ТЦ). Уличные камеры до месяца, но качество такое, что все на них выглядят как Джигурда. Всегда будьте осторожны на подходах. Знаю что народ палился попадая на записи регистраторов бдительных граждан(сотрудников СБ). То есть менты приехали посмотрели запись, нифига не фидно ну и ладно, а вечером сотрудник собрался домой ехать, а жулик у него на регистраторе отсветился. Редко, но и такое бывает.

При пробиве карты в 100% случаев запросят видео с банкомата. Сбер хранит 2 месяца. Банки первой 10-ки месяц остальные по разному. Мои рекомендации - купите марлевую повязку в аптеке. ВЫ - сабзиро и никто никогда не докажет, что сабзиро - это Вы, так как .... почитайте как определяют соответствие "лица" фотографии. прикрыв лицо маской "от гриппа" Вы избавите себя от лишних вопросов прохожих, мусоров, мамы и кого угодно. Никогда не носите с собой телефон при обнале(думаю это очевилдо) тоже легко высекается. На раз два прям. Запомните золотое правило: Телефон живет ровно столько сколько живет симка. Сика живет две недели на чернухе МАКСИМУМ. В остальных случаях зависит от особенностей темы.

Помните, господа, хуже нет врага, чем союзник идиот, прилипая - Вы свой союзник-идиот. Не навредите себе. меняйте симки часто, не храните улики дома, не светите фейс и да пребудет с Вами сила.

435"

неизведанной, спросите вы? Ведь все носят в кармане сотовый телефон, чуть ли не дошкольники ходят с ними, а базовые станции висят на каждом столбе? Увы, обыватель считает, что всё просто и прозрачно: совершает звонки, посылает СМС.

И редко задумывается над процессами, которые обеспечивают все эти действия. В этом статье я попробую показать, что GSM-связь с одной стороны весьма непрозрачная тема, а с другой прорва уязвимостей. Если конкретнее то поговорим о так называемых IMSI-ловушках (или IMSI-catchers).

Введение

Начнём издалека, а именно с того, что GSM-связь очень плохо поддаётся изучению. Нельзя просто так взять и поэкспериментировать с мобильной связью. Хотите соорудить девайс и подключиться к сети, анализировать протокол? Облом коммуникационные процессоры не имеют нужного API и тем более открытого кода. По сути это чёрные ящики за семью замками. Максимум, что они выставляют наружу примитивный интерфейс на основе AT-команд. Хотя, если быть точным, то иногда немного больше но об этом позже.

Поднять свой сервер свою базовую станцию? Это долго, дорого и за вами могут приехать. Существуют замечательные проекты, такие как OpenBTS и SDR (software defined radio), но не обольщайтесь. Во-первых, полноценная сотовая сеть состоит из множества компонентов, а вовторых необходимое железо неприлично дорогое. Вот такая несправедливость.

Не хотите ли прикупить OpenBTS development kit (сетей 2.5G) фирмы Range Networks за $3300?

Ettus выпускает такие гик-девайсы для экспериментов в сотовых сетях вплоть до 6 ГГц. Цена около $4000.

IMSI-ловушки. Что это?

Но вернёмся к теме статьи. IMSI-ловушки это мобильные ложные базовые станции, которые спецслужбы включают при различных обстоятельствах в разных местах. Мобильные телефоны цепляются к этим станциям, которые фактически выступают в роле Man-in-the-middle. В результате мы имеем перехват разговоров, СМС и интернет-трафика. Факты использования таких устройств засекречены. В Германии, например, в 2002 году был принят закон, разрешающий спецслужбам применять такие устройства, однако не обошлось без бурных общественных дебатов. А где-то и до дебатов не доходит. Однакокосвенные доказательства есть. Как правило, ловушки включаются в местах народных волнений, либо вокруг объектов, представляющих высокую государственную важность. Часто IMSI-идентификаторы особо интересных личностей заносятся в список фильтрации,

идалее работают только с телефонами конкретных людей.

Атеперь познакомимся с IMSI-ловушками поподробнее. Для начала классифицируем их поведение. Оно может поддерживать 2 режима активный и пассивный. В активном ловушка выступает в роли базовой станции. В пассивном мониторит канал и другие базовые станции. Наиболее интересен, конечно же, активный режим. Опишем его функции.

436"

образом ловушка забирает телефоны на себя. Далее она запрашивает с телефона его

IMSI: Interntaion Mobile Subscriber Identifier фактически это уникальный номер SIM-карты; IMEI: Interntaion Mobile Equipment Identifier уникальный номер аппарата.

Это происходит в рамках стандартных протоколов GSM-стека. Итак, мы вышли на конкретного человека.

IMSI-ловушка StingRay известной фирмы Harris

Нарушение связи Возможно оставить абонента без связи: сначала захватить на себя, а потом оборвать, и так до

бесконечности. А можно выдавать мусор или заведомо некорректные пакеты.

Перехват разговоров Самое вкусное. Здесь все не так просто, однако проще чем могло бы быть.

Как известно, в GSM предусмотрели защиту от несанкционированного съёма информации. Существует несколько режимов:

А5/0 фактически это plain text, шифрования нет;

А5/1 первый вариант с потоковым шифром, который сейчас уже не считается достаточно стойким;

А5/2 экспортный вариант А5/1 с намеренно заниженной стойкостью. Куда уж ниже?! А5/3 достаточно стойкий вариант, возникший с приходом 3G.

Как показал известный хакер Harald Welte, вся схема защиты в GSM местами зиждется на популярном принципе Security through obscurity и содержит фундаментальные уязвимости. При этом столпы GSM-индустрии годами игнорируют эти факты всех всё устраивает.

Как это происходит Опишем алгоритм, как ловушка вклинивается в эту систему.

Сразу отметим, что если оператор изначально везде применяет А5/2, то задача становится тривиальной этот шифр вскрывается в реальном времени. Но операторы не совсем идиоты, поэтому они используют А5/1. Базовая станция анонсирует этот протокол и телефон на него соглашается, все довольны.

Все шифры А5 работают на ключе, который хранится как у оператора, так и на SIM-карте. Он уникален для каждого абонента и за его сохранность отвечает крипточип SIM-карты. Из этого следует, что ловушка по отношению к оригинальной базовой станции прикидывается абонентским устройством на алгоритме А5/1, а для реального телефона прикидывается базовой станцией на алгоритме А5/2, который вскрывается на лету.

Таким образом, ловушка извлекает секретный ключ абонента и реконструирует сессию с базовой станцией. Дело сделано. Как узнать, что ваш телефон переключился на слабый шифр? Обычно никак: индустрия сотовой связи заботится о людях меньше знаешь, крепче спишь. Однако в природе все же встречаются отдельные модели телефонов, которые как-то сигнализируют, и это не смартфоны. Где-то появляется иконка, а где-то незаметная строка утекает в лог, однако это обычно связано с переходом на А5/0. В любом случае, все это скорее исключения из правил.

437"

Противодействие Естественно, борцы против Большого Брата не оставляют это дело без внимания.

Так появился проект SnoopSnitch это программа для Android, помогающая в обнаружении IMSIловушек в повседневной жизни. Принцип её работы заключается в регулярном сборе статистики об окружающих базовых станциях: их характеристиках и местоположении. В случае обнаружения отклонения от привычной картины программа выдаёт предупреждение. Тут же можно загрузить свои данные на сервер там формируется глобальная база знаний обо всех базовых станциях мира.

К сожалению, программа недоступна для большинства телефонов. Это связано с особенностью её работы. Как уже было отмечено, в GSM-отрасли любые технические детали старательно вымарываются, но кое-что просачивается. Baseband-процессоры Qualcomm имеют специальный диагностический интерфейс (программный), через который возможно информирование о разных событиях из жизни сотовой связи. В лучших традициях жанра, этот интерфейс недоступен обычным Android-приложениям, однако он все же доступен при наличии root. Если у вас телефон на чипсете Qualcomm, то, возможно, вам повезло. Познакомимся с интерфейсом поподробнее.

Для начала выкачаем ядро для Qualcomm. Оно называется msm по одноимённой серии Qualcomm SoC.

igor@igoryan:~$ git clone https://android.googlesource.com/kernel/msm Клонирование в msm remote: Sending approximately 1.01 GiB ... remote: Counting objects: 71639, done remote: Finding sources: 100% (8333/8333) remote: Total 3952476 (delta 3262538), reused 3952419 (delta 3262538) Получение объектов: 100% (3952476/3952476), 1.01 GiB | 4.24 MiB/s, готово. Определение изменений: 100% (3262538/3262538), готово. Проверка соединения готово.

1

2

3

4

5

6

7

8

9

igor@igoryan:~$ git clone https://android.googlesource.com/kernel/msm

Клонирование в msm

remote: Sending approximately 1.01 GiB ...

remote: Counting objects: 71639, done remote: Finding sources: 100% (8333/8333)

remote: Total 3952476 (delta 3262538), reused 3952419 (delta 3262538) Получение объектов: 100% (3952476/3952476), 1.01 GiB | 4.24 MiB/s, готово.

Определение изменений: 100% (3262538/3262538), готово. Проверка соединения готово.

Выберем какую-нибудь ветку:

igor@igoryan:~/msm$ git checkout android-msm-shamu-3.10-lollipop-release Распаковка файлов: 100% (45604/45604), готово. Ветка android-msm-shamu-3.10-lollipop-release отслеживает внешнюю ветку android-msm-shamu-3.10-lollipop-release из origin. Переключено на новую ветку android-msm- shamu-3.10-lollipop-release

1

2

3

4

igor@igoryan:~/msm$ git checkout android-msm-shamu-3.10-lollipop-release

Распаковка файлов: 100% (45604/45604), готово.

438"

igor@igoryan:~/msm$ cd drivers/char/diag/ 1

igor@igoryan:~/msm$ cd drivers/char/diag/

Читаем настроечный файл ядра Kconfig:

config DIAG_CHAR tristate "char driver interface and diag forwarding to/from modem" default m depends on USB_G_ANDROID || USB_FUNCTION_DIAG || USB_QCOM_MAEMO depends on ARCH_MSM help Char driver interface for diag user space and diag-forwarding to modem ARM and back. This enables diagchar for maemo usb gadget or android usb gadget based on config selected. endmenu

1

2

3

4

5

6

7

8

9

config DIAG_CHAR

tristate "char driver interface and diag forwarding to/from modem" default m

depends on USB_G_ANDROID || USB_FUNCTION_DIAG || USB_QCOM_MAEMO depends on ARCH_MSM

help

Char driver interface for diag user space and diag-forwarding to modem ARM and back.

This enables diagchar for maemo usb gadget or android usb gadget based on config selected. endmenu

Как видим, драйвер позволяет общаться с модемом в двунаправленном режиме: слать некие команды и получать некую инфу. В мире user space драйвер себя обнаруживает как устройство /dev/ diag_char. Беглое изучение исходного кода показывает, что драйвер предоставляет только транспорт произвольных данных, и не содержит никаких зацепок на само содержание данных. Всё что он делает, это определяет некий примитивный формат пакета: старт-байт, данные, стоп-байт, CRC. Как всё предсказуемо!

Анализ данных от диагностического интерфейса

Ребята из SnoopSnitch умудрились отреверсить сами полезные данные и на основе их строится анализ. Вот какие параметры они принимают к сведению.

MCC/MNC Mobile Country Code код страны. Для России это 250. К нему добавляются 2 цифры, идентифицирующие оператора, и получается полноценный код MNC (Mobile Network Code). Список всех MNC можно посмотреть здесь: http://mcclist.com/mobile-network-codes-country-codes.asp

LAC Location Area Code некий код географической зоны, которая обслуживается одним контроллером базовых станцией (BSC). Когда происходит входящий вызов, то оповещение одновременно получают все базовые станции данной зоны.

Cell ID Идентификатор соты, т.е. базовой станции. Longitude, Latitude Долгота и широта базовой станции.

ARFCN Absolute radio-frequency channel number идентификатор, однозначно определяющий пару частот, используемых для приёма и передачи. Например, за диапазоном GSM 1800 закреплены номера 512 885. При этом частота передачи вычисляется по формуле 1710.2 + 0.2(n512), а частота приёма = частота передачи + 95.

439"

Собственно, события, связанные с сетью:

Location Update Когда телефон переходит из одной Location Area на другую, он посылает станциям это сообщение. Также он его посылает и периодически.

Сообщения PAGING это процесс нахождения конкретного абонента для передачи ему SMSсообщения или звонка. Если приходит SMS, то программа регистрирует адрес центра SMS (SMSC) и тип сообщения: обычное, Silent или Binary.

Атеперь опишем непосредственно критерии, на основе которых программа находит ловушки.

1.Сменился LAC или Cell ID, при том что частота осталась неизменной. Действительно, часто ловушка занимает существующую частоту, при этом предоставляя более сильный сигнал, чем оригинальная станция. Но эта метрика весьма ненадёжна. Во-первых, телефон может находиться в зоне действия двух станции из разных LAC, и просто перескочить с одной на другую, оставаясь на одинаковом канале. Во-вторых, сам оператор может дать команду какой-то станции на переход к другому LAC.

2.LAC текущей станции отличается от LAC окружающих станций. Задача ловушки добиться Location Update от телефона, так как только в этом случае она может стянуть с него нужную информацию. Поэтому она анонсирует другой LAC, предоставляя более сильный сигнал. Но есть подводный камень легальные фемто-соты могут также иметь другой LAC: зависит от настроек соты, оператора и погоды на Марсе.

3.При неизменной паре Cell ID LAC изменился номер канала. Ловушка часто маскируется под неиспользованную частоту уже существующей базовой станции.

4.LAC содержит единственную станцию. Как уже сказано в п. 2, обычно стремятся инициировать Location Update. Проще всего этого добиться, подняв псевдо-вышку с отличным от всех LAC и самым сильным сигналом. Подводный камень: в местах с плохим покрытием (обычно за городом) часто бывает, что телефон видит только одну станцию, и здесь уже бессмысленно гадать.

5.Станция не сообщает информации о своих соседских станциях, хотя это должно происходить в условиях плотного покрытия. Ловушка не анонсирует другие станции, чтобы у телефона не было соблазна на них переключиться. А иногда хитрят: анонсируют несуществующие частоты либо существующих, либо несуществующих соседних станций.

6.Анонсирование заведомо завышенного CRO (Channel Reselection Offset). Это один из параметров, который влияет на алгоритм выбора телефоном наилучшей базовой станции.

7.Отключение шифрования, при том что оно ранее было на той же паре LAC/Cell. Ловушка может переключить телефон с А5/3 на А5/0, тем самым выключив шифрование вообще, либо на слабый алгоритм А5/2.

440"