____ __ _ _ _______________ ________ ________ __PyroFreak Magazine #4 : | Système GSM pour les Cel '.________ __ __ ___________ ____ ____________ _ __ ____SlasHerZ __ Lo, voici un ptit file sur les GSM, cette norme francaise de telephonie cellulaire apparue en 1982. Ici ne sera relatee que la theorie du fonctionnement de la securite de ces cellphones. ( La plupart des SYSTEM de Sécurité CELLULAIRE fonctionnent sous la meme base ) Intro ----- Apres l'epoque des cells analogiques utilisant les systemes TACS et AMPS, on a vu arriver sur le marche des nouveaux mobiles fonctionnant grace au systeme GSM (Groupe Special Mobile) dont la principale caracteristique est qu'ils utilisent un encryptage et un transfere de donnees numeriques. Avec les cells analogiques, on pouvait facilement intercepter n'importe kelle conversation avec un scanner et meme des infos interessantes comme l'ESN et le MIN ki etaient necessaires pour cloner. La perte de profits a ete estimee a 500 millions de $ aux States en 1993. Le fonctionnement du systeme de securite des GSM fait de lui le moyen de telephonie cellulaire le plus sur de nos jours. C'est notament parcekil utilise plusieurs algo d'encrytage differents pour la voix, l'envoi des data de l'abonnement (etc), et le TDMA (Time Division Multiple Access) ki en gros envoie les data par packets codes. Le phreaking de ces petites choses s'annonce donc difficile. Deux possibilites : 1) Trouver les algos (Une partie d'un a deja ete diffusee sur le net) 2) Cloner les cartes SIM (Micro-controleur) avec le materiel adapte. Sans aucun doute, la seconde est la meilleure des solutions :)) A ma connaissance, des clones ont deja ete realises par des mecs de la scene et par d'autre dans le milieu de l'elec. Donc c possible. Parametres necessaires au fonctionnement du cell ------------------------------------------------ L'utilisateur d'un cellulaire est identifie par un numero appele le IMSI (International Mobile Subscriber Identity) k'on peut assimiler a l'ESN des cells analogiques (voir NoRacell 2.X). Il faut noter kil est couple d'un autre numero cle (key) appele le Identification Subscriber Authentication Key ke l'on abrege en "Ki". Le fonctionnement de ce systeme de securite est tel kil ne communique jamais directement ces infos sur le canal radio. Le systeme utilise a la place, un mecanisme d'interro- -gation-reponse entre le cellulaire et la centrale. Les conversations, elles, sont envoyees dans les airs apres etre passees par une autre key aleatoire cette fois. On l'appelle la Ciphering Key abregee en "Kc". En ce ki concerne l'identification du mobile en lui meme lorskil est allume mais en dehors d'une communication, le systeme utilise un autre number lui aussi temporaire pour plus de securite : le TMSI ou Temporary Mobile Subscriber Identity. Ce systeme de securite est physiquement base sur 3 parametres contenant chacun des elements d'encryptage : -La carte SIM (Subscriber Identity Module) : elle contient le IMSI, la "Ki" ainsi ke sont algo de generation le A3, la "Kc" et son algo le A8, et pour finir le PIN number de l'utilisateur (numero personnel de verouillage du combine). -Le cellulaire en lui-meme : contient l'algo de generation principal le A5 (celui dont une partie a ete diffusee sur le net en juin 1994). -Le reseau GSM ou la centrale : detient evidement les Algo A3, A5, et A8 pour le decryptage des donnees a l'arrivee. La centrale detient aussi toutes les databases concernant les users : les IMSI de chacun, le TMSI, les LAI (Location Area Identity), et egalement la "Ki" de chacun. Ces 3 parametres sont donc indispensables pour placer un appel et la multiplication des algo assure un bon rampart contre le phreaking. Mais kome vous avez pu le constater, presque tout est contenu dans la carte SIM, c'est donc a ca k'il fo s'interesser :). En effet, si tous ces numeros peuvent etre clones, on a de fortes chances ke ca marche. __|| TMSI | _ | / ||_|| ___ / | | ----> A5 | @ | ----> IMSI | | | | ----> Ki (A3) |___| |___| ----> Kc (A8) \ GSM SIM \ LAI Traitement de l'information par la centrale pour ouvrir la ligne ---------------------------------------------------------------- Comme dit plus haut, l'appel sera possible si la SIM, le cell, et la centrale sont d'accords. Dans le reseau de la centrale, l'information relative a la securite est traitee par le centre d'autentification (AUC). Le AUC est charge de generer une sequence necessaire au traitement de ces data. Il genere donc le RAND puis recoit le SRES. Le RAND est un nombre de 128 bits genere de facon aleatoire et envoye au cellulaire. Le cellulaire (ou plutot la SIM) calcule une reponse de 32 bits appelee SRES en fonction de sa "Ki" propre, generee, elle, par l'algo A3. En recevant cette reponse (SRES) la centrale verifie en refaisant le calcul et identifie ou non le cellulaire comme etant valide. Notez ke la "Ki" n'est jamais transmise dans les airs, elle reste sur la SIM tout comme le IMSI. | __ | /_\ | @| /_\ /___\ -->RAND--> | | -->Ki(A3)-->SRES--> /___\ --> Ouverture de la ligne / \ |__| / \ Centrale SIM Centrale Encryptage des communications vocales et confidentialite -------------------------------------------------------- La SIM contient, comme dit plus haut, la "Kc" (ou key d'encryptage des communications vocales de 64 bits) ainsi ke sont algo le A8. La "Kc" use le meme numero aleatoire envoye par la centrale : le RAND. Le A8 genere donc avec la "Ki" de l'utilisateur la "Kc". Cette cle d'encryptage "Kc" est regulierement changee par la centrale :(. De la meme maniere ke pour la "Ki", la "Kc" n'est jamais revelee et reste toujours dans la SIM. Elle est d'ailleurs calculee a l'interieur. Une fois cette cle d'encryptage generee (Kc), la centrale fait une demande de communication avec le cellulaire et c'est la qu'intervient l'algo de generation A5 contenu dans le combine. Le decryptage et l'encryptage se fait grace au A5 et a la "Kc". Enfin, pour confirmer l'identification du cellulaire apres les procedures citees plus haut, la centrale envoie un nombre temporaire appele le TMSI et attend un reponse du mobile. Le TMSI est provisoire car il depend de la position du cellulaire, il change donc a chaque fois ke le cellulaire change d'endroit (poa pratique pour le clonage). Le LAI (Location Area Identification) est necessaire pour traiter le TMSI. Conclusion ---------- Le systeme GSM est le plus sure du monde a l'heure actuelle. L'utilisation de l'identification codee, de l'encryptage et de l'identification tempo- -raire assure normalement une bonne securite. Il est de toute maniere plus secure ke l'ancien systeme analogique. Le seul moyen evident pour le phreaker est le clonage de la carte SIM. Reste seulement a trouver un abo bien garni, et le matos pour reprogrammer tout ca. A vous de jouer :) Definitions ----------- A3 : Algo d'identification A5 : Algo d'encryptage A8 : Algo de generation de cle d'encryptage "Kc" AMPS : Advanced Mobile Phone System (systeme analogique) AUC : Authentication Center GSM : Group Special Mobile IMSI : International Mobile Subscriber Identity Kc : Ciphering Key (encryptage) Ki : Individual Subscriber Authentication Key (identification) LAI : Locatoin Area Identity RAND : Random Number SRES : Signed Response TACS : Total Access Communications System (systeme analogique) TMSI : Temporary Mobile Subscriber Identity Fait pas SlasHerZ pour Pyro Phreak.fr Je me demande !! Si je peux faire mieux !! quand dites-vous ? :) ____ __ _ _ _______________ ________ ________ __PyroFreak Magazine #4 : | La Theorie Du Phreaking de Cellulaire Analogique '.________ __ __ ___________ ____ ____________ _ __ ____SlasHerZ __ La Theorie Du Phreaking de Cellulaire Analogique. Ce Filez est destine a vous apprendre les bases du Cellular phreaking mais en francais pour pas vous fatiguer :) Eh bin ouais g'lai fait pour vous mes ptits loups... :). Ceci n'est que la theorie du phreaking, toutes les sections de reprogrammage sont disponibles sur le web... PS : Ceci n'est pas exclusivement une traduction, g remanie le filez a ma maniere et ajouter kelkes explikations made in me. :)) Note : Ce filez est uniquement valable pour les cellulaires analogiques. Les Cellulaires dit "digitaux" ou "numeriques" ne sont poa phreakables pour l'instant. PART I Cellular Phreaking : Bases Kan on fait un appel avec un cellulaire, ca transmet 3 numeros importants a l'identification du cellulaire : le ESN (numero de securite electronique), le MIN (numero d'identification du mobile) et le SCM (numero de Sation Class Mark c-a-d la marque du cellulaire). Ces 3 N° sont envoyes a la centrale avant le numero de phone et vous pouvez l'entendre apres avoir presser le bouton SND 'SEND' sur votre phonetel par un petit buzz tres court. Ces 4 elements sont les conditions necessaires pour ke la centrale vous donne une communication facturee (enfin jve dire poa a vous mais kelle ait l'impression) en verifiant ke le cellulairen appartient bien a l'utilisateur en kestion. Il y a normalement 2 compagnies de phonetel cellulaire dans une zone. L'Une est la compagnie avec un reseau a lignes (Band B) l'autre est la compagnie a reseau hertzien (Band A). Chaque Band possede 416 canaux ce qui fait en tout 832 canaux :). Dans ces band de canaux il ya des des sous-canaux qui eux transmettent les infos de la centrale juskau cellulaire. Le ESN (numero de securite electronique) et le MIN (numero d'identification du mobile) sont les 2 premiers identificateurs pour n'importe kel cellulaire. En changeant les 2, la centrale va accepter l'appel et le facturer vers un mauvais compte ou un compte fictif qui pour elle sera kome un compte non deconnecte. La centrale va checker les 2 autres elements a savoir le SCM (la marque du cellulaire) et le numero de telephone du cellulaire pour s'assurer que c'est un telephone cellulaire du marche. Le fait de changer le SCM (numero de marque du cellulaire) vous empechez la centrale de con- naitre le type de phonetel ki fait l'appel. En faisant ainsi, vous vous protegez du tracage puisque ces connards chercherons une marque en particulier alors que votre cellulaire phreake est fictif. KEwl. Par exemple : vous pouvez dire ke vous utilisez un phonetel Ericsson alors ke vous uilisez un Motorola... :) Il reste un numero hyper important le NAM (numero d'assignement du module) qui contient tout ce qui peut etre reprogrammer seulement grace au handset (la programmation direct par les touches du cellulaires, donc par le consommateur neophite :) ). En gros le NAM correspond au chiffres qu'il faut taper pour mettre la ligne du cellulaire en service. Dans ce NAM il ya plein de sous numeros qui definissent des parametres comme de SIDH (Systeme d'identifictation du mobile). Vous l'aurez compris le SIDH determine la localisation du cellulaire et des frequences (villes). Reprogrammer un SIDH ne prend que kelkes minutes mais faites attention de verifier que le ESN (numero de securite electronique) est toujours envoye a la centrale car s'ils voient k'il ne correspond poa a un phonetel en service ou a un phonetel possedant un faux ESN alors ils bloqueront le service. La seule solution apres ca c de reprogrammer le ESN. ****************************************************************************************** PART II Definitions La liste qui suit definit les termes communs utilises pour le phreaking de cellulaire. Rem : Je vais les citer en anglais pour vous retrouver avec les autres txt en english ;). Tous les numbas ki suivent sont contenus dans le NAM (Numero d'assignement du module). SIDH (System Identification for the Home System) dans le NAM Un champ de 15 bits situe dans le NAM. Habituellement, c un numero a 5 digits : Digit 1: Haut parleur interne, 0 enable Digit 2: Local Use Mark, 0 ou 1. (voir plus loin) Digit 3: MIN Mark, 0 ou 1. (voir plus loin) Digit 4: Rappel Auto, Toujours sur 1 (enabled). Digit 5: Second numero de telephone ??? (pas sur tous les phonetel), 1 pour enable. Digit 6: Divers (Deux antennes, poa tous les phonetel), 1 pour enable. LU (Local Use Flag) Dit au cellulaire de se prepresenter au system c'est a dire de transmettre les paramettre de connection a la ligne des la pression sur la touche 'deccrocher' du cellulaire. 1 enable. Mettez theoriquement sur 1. Sinon le cellulaire entamera une postpresentation c'est a dire apres avoir entre le numero de telephone. MIN1 (Mobile Identification Number 1) Un champ de 24 bits representant le numero de telephone du mobile (tres important) MIN2 (Mobile Identification Number 2) Un champ de 10 bits representant le code zone (area code) du MIN. MIN1+MIN2 Representent a eux deux le numero de telephone a 10 chiffres du cellulaire. MIN MARK (Mobile Identification Number Mark) Repere de 1 bit ordonnant ou non l'envoie du MIN2 lors d'un appel, donc le code zone (area code) du cellulaire. 1 enable. Mettez sur 1. SCM (Station Class Mark ou marque du cellulaire) Un champ de 4 bits designant la marque du cellulaire. IPCH (Initial Paging Channel for Home system) Un champ de 11 bits designant le canal initial a choisir pour le system du domicile. Normalement c'est 334 pour les systemes de centrales avec reseau a lignes et 333 pour les systemes de centrales avec reseau hertzien. Mais la plupart des cellulaires ont leur propre canal ou un canal different. ACCOLC (Access Overload Class) Un champ de 4 bits designant le status du cellulaire dans le systeme. Kewl ce truc :). Le but de cette option est de donner un priorite a certain cellulaires kome ceux des ambulances :). Le choix normal est 0 + la derniere digit du N° telephone du cellulaire. Les telephones de test sont a 10, les vehicules d'urgence a 11, 12, et 15 est reserve (probablement la police, les pompiers ou les militaires : a ne poa untiliser biensur). PS (Preferred system) Un Champ de 11 bits designant le systeme preferrentiel. il est en rapport avec le IPCH (Initial Paging Channel for Home system). Si il est regle sur 0, les canaux allant de 334 à 666 (Satan!) seront utilises. Si le PS est sur 1 les canaux allant de 1 a 333 seront utilises. Les numeros de systeme 'even' necessitent un PS en 0, les numeros de systeme 'odd' necessitent un PS en 1. GIM (Group Identification Mark) Un champ de 4 bits dictant a la centrale du cellulaire la limite de verification dans le SIDH pour determiner si c'est un cellulaire environnant qui devrait avoir un agrement de zone avec la centrale. Habituellement regle sur 10. (jsais c poa tres tres clair mais jessaye d'interpreter le mieux possible :)...) LOCK DIGITS Un champ de 4 bits designant le code d'acces au cellulaire (code perso). La digit 0 dans le LOCK CODE est representee par un A dans le NAM en hexadecimal. Le code par defaut est 000. EE (End-to-End) Un repere de 1 bit ordonnant au cellulaire de traiter les tones en DTMF du cellulaire de maniere plus longue c a dire en mode standard car celle du cell sont trop courtes. Cette option est necessaire pour les services a touches. ...VMB :-)... PABX :-)... REP (Repertory) Un repere de 1 bit annoncant ke les numeros mis en memoires sont enable. 1 enable. HA (Horn Alert) Un repere de 1 bit annoncant ke la sonnerie du cellulaire est enable. 1 enable. HF (Hanf Free) Un repere de 1 bit annoncant ke la fonction mains libres est activee. 1 enable. PART III Formats de NAM standards Les NAM sont generalement programmer de facon analogue dans tous les cellulaires. Ce chapitre explique les digits et les reglages communs pour la plupart des NAM. ETAPE DESCRIPTION NOMBRE DE DIGITS REGLAGE PAR DEFAUT -------------------------------------------------------------------------- 1 3 1ere digits 3 XXX du N° de PHONE 2 4 dernieres digits 4 XXXX du N° de PHONE 3 Lock Code(LOCK) 3 ou 4 XXXA ou XXXX 4 Code zone (MIN2) 3 XXX =(area code) 5 Systeme d'ID mobile ID No. (SIDH) 4* XXXX 6 Horn Alert (HA) 1 0 or 1 7 Hands Free (HF) 1 0 or 1 8 End-to-End Signalement 1 1 (EE) 9 Repertory Mark (REP) 1 1 10 Group Identification 2 10 Mark (GIM) 11 Access Overload Class 2 XX* (ACCOLC) 12 Station Class Mark (SCM) 4* XXXX 13 Local Use Mark (LU) 1 1 14 Min Mark (MIN) 1 1 15 Initial Paging Channel 3 333 ou 334* (IPCH) 16 Preferred System Mark 1 0 or 1* (PS) Notes : 1. Le SIDH (Systeme D'identification de la zone) est compose normalement de cinq digits et quatre suffisent pour les USA. 2.Le numero d'Access Overload Class (2 didgits) est normalement compose d'un 0 plus le dernier chiffre du numero de phone du cellulaire. Certains systemes sont regles a 15 ou 00. 3.Le numero de Station Class Mark (SCM, la marque du cellulaire) est compose de 4 digits. 4.Le Initial Paging Channel est 334 pour les ligne a reseau par fil, 333 pour les systemes a reseau hertzien. 5.Le numero de systeme preferrentiel (Preferred Mark System, PS) doit etre regler sur 0 pour les reseaux a fil, sur 1 pour les reseaux hertziens. PART IV Le numero de securite electronique, ou numero de serie, ou ESN Quand un cellulaire est achete avec sa boite, l'ESN est normalement livre avec la doc ou sur un autocollant situe sur le phonetel. Ce ESN est le bon et la mise en service se fait alors vite. Si le cellulaire a ete bloque par la centrale pour non payement de la facture telephone, la personne qui veut remettre en service le cellulaire doit posseder cet ESN de facon a reprogram -mer le systeme avec un nouveau ESN et un nouveau MIN (il sont en rapport car le MIN contient le numba de telephone qui est en fonction de l'ESN). Chaque fabriquant determine son propre ESN, mais il est possible qu'ils en possedent en commun. Par exemple, il peut y avoir un Motorola avec un ESN a 123456, et un Audiovox avec un ESN a 123456 (OK ?...). Partant de ce principe, il est possible de phreaker un ligne sans changer l'ESN, mais plutot le SCM (Station Class Mark) (pour faire croire ke c'est un autre phonetel). L'ESN est un nombre de 32 bits, ki defini chaque unite portable. Cet ESN est porgramme en usine et ne peut etre modifie. Il faut alors commander une puce vierge du meme modele et la reprogram- -mer avec nos propres parametres. L'ESN de la puce peut ou non etre en relation avec celui inscrit sur le chassis du cellulaire. L'ESN est encode dans des messages qui sont transmis a la centrale du cellulaire. Il doit vous etre demande lors de la mise en service. L'ESN est un nombre a 11 digits. LES 3 PREMIERS NOMBRES DESIGNENT LE CODE DU FABRICANT...LES 2 SUIVANTS SONT RESERVES (MAIS DOIVENT CONTENIR DES 00 OU DES CHIFFRES) ET 6 RESTANTS REPRESENTENT LE NUMERO DE SERIE... PART V Identifier l'ESN de votre cellulaire. Dependant du modele de votre phonetel, votre ESN sera situe sur la PROM. La PROM, petite puce, est porgrammee en usine et habituellement installee avec ,un fusible de securite contre le pira- tage. Le code sur la PROM devrait etre obtenu en detachant la puce du cellulaire, en la mettant dans un lecteur de PROM, et en obtenant ainsi une image de sa memoire. La PROM d'un cellulaire possede de 16 a 28 broches. C'est une PROM bipolaire.(Voir ESN.GIF). La majorite des cellulaires acceptent la puce de type semiconducteur 32x8 PROM, qui detient l'ESN et ne peut poa etre reprogramme. Si l'ESN est konu, il est possible de detecter le plan de la memoire en installant la PROM dans un lecteur de PROM, et en obtenant le schema du fusible de protection en nickant le "READ MASTER" switche (un ptit jumper koi) grace au reprogrammeur. De plus, la plupart des prog de reprogrammation de PROM ont la possibilite de verifier et com- parer la programmation d'une PROM avec une autre. La puce contenant l'ESN est de couleur noire uniforme (normale, hehe), avec de 16 a 28 broches, rectangulaire (enveloppe ceramique) ou carree (enveloppe plastique, plus petit). Fonctionnellem- -ent ce sont les memes chips mais celui en plastique est utilise dans les plus petits cellulaires. Il ya des inscriptions dessus grace auxkelles vous pourrez les reconnaitre : MMI, TI, NS, HARRIS, NSC, MB, DM, HM, AMD(hehe), TBP, MOTOROLA(hehe good), AMPS. Lorsque vous avez localiser le chip, essayez d'en acheter un nouveau en prenant soin de relever ses referrences. Ou ca ? bah chez n'importe kel fournisseur electronique, sur commande. (achetez en plusieurs c mieux, au moins 3). :) PART VI Scanner et trouver la paire ESN/MIN correcte Bon si vous n'avez toujours poa compris, l'ESN et le MIN du cellulaire doivent etre changes ou sinon ca marchera poa. C'est obligatoire pour eviter la facture de phone :). Si vous avez un ESN et le n° de telephone (MIN), vous pourrez appeler partout kan vous voulez sans peur d'etre trace, sans meme un facture :)). La demarche ideale serait de scanner le canal d'emission de frequence (voir plus loin), enregistrer et afficher les ESN. Tous les codes sont envoyes en Hexadecimal, en NRZ code quand un abonne fait un appel. Et tous les cellulaires ont un emetteur/recepteur NRZ ! :). Tout ce kon a faire c'est d'avoir un recepteur sur le canal d'emission de frequence (voir plus loin), capter les infos des autres abonnes. Les cellulaires communiquent en full duplex c'est a dire k'ils recoivent en meme tant k'ils emettent. Un canal est utilise pour la transmission de la centrale au phonetel, une autre de du phonetel a la centrale. Les frequences qu'envoie la centrale au cellulaire sont exactement plus hautes de 45Mhz que celles qu'envoie le cellulaire a la centrale. et ces deux canaux sont incrementees de 30Khz entre chaque frequence #1 a #1023. (rem : il n'y a poa de canal entre #800 et #990). Avec certains systemes (poa tous) la transmission du cellulaire est envoyee d'abord a la centrale puis renvoyee sur la meme frenquence de la centrale. Kan cela est fait, un scanner de frequences peut ecouter les deux cotes de la conversation en ecoutant simplement la frequence de la centrale :)). Voila pkoi, lorsque vous entendez une voix parfois dans votre sans fil d'appart vous captez les voisins mais eux ne peuvent poa vous capter (parceka ce moment la, votre phone est en full duplex). ***Vous pouvez trouver la liste des frequences d'un cellulaire dans le fichiers Cell-Freq.txt**** *******Ou procurez vous Cellular Manager 2.00 ki donne la liste des toutes ces frequences******** Maintenant, une petite methode pour trouver les frequences utilisees dans systeme de cellulaire, et leskels sont dans kels cellulaires. Si le systeme utilise OMNICELLS, kome la plupart, vous pouvez facilement trouver tous les canaux de votre cellulaire si vous en konaissez juste un grace aux tables de frequences suivantes. Les frequences d'un cellulaire sont assignees par un n° de canal, et pour tous les canaux, c a dire les deux groupes reunis a savoir reseau hertzien, et reseau cable, la formule est : Frequence de reception = (numero du canal x 0.030 Mhz) + 870 Mhz Frequence d' emission = (numero du canal x 0.030 Mhz) + 825 Mhz Ce qui donne ex : pour le canal N°1 de la band A 0.030 + 870 = 870.03 Mhz La BAND A utilise les canaux de 1 a 333. Pour construire un tableau de frequences de cellulaire, mettez la canal 333 dans le coin en haut a gauche du tableau. La prochaine a droite sera le canal 332(hehe, normal), le prochain 331(arf)...juskau canal 313. Mettez le canal 312 en dessous du 333, le 311 en dessous du 332 etc... OK ? :)). Chaque canal en haut du tableau est normalement le 1ere canal de chaque cellulaire du systeme. Chaque canal en bas du tableau dans la meme colonne est la prochaine frequence assignee a ce cellulaire. Habituellement le canal utilise pour les infos est le plus grand numero de canal dans le cellulaire. (Si vous avez rien compris, relisez en regardant les tableaux qui vont suivre, c tres explicite :)). De meme, la BAND B utilise les canaux de 334 a 666. La, le tout premier numero de canal sera 334 en haut a gauche, 335 la prochain sur la droite... Attention ! Ici le canal utilise pour les infos sera le canal qui aura le nombre le plus petit dans chaque cellulaire. J'aurai les fréquence bien vite !! tk je l'espère ! Jespere ke ce ptit filez vous a ete profitable... SlasHerZ