All posts by Kasia

imsi-catcher-mediaid-mediarecovery-forensictools

IMSI catcher, czyli podsłuch ery telefonii cyfrowej

IMSI (International Mobile Subscriber Identity) catchery to urządzenia podszywające się pod stacje przekaźnikowe telefonii komórkowej (BTS), które przechwytują transmitowane tą drogą dane –  rozmowy głosowe i wiadomości sms.

Coraz częściej słyszy się również o pracach nad takimi IMSI catcherami, które mogą działać w trybie MITM z danymi internetowymi, dzięki czemu pozwalają na „wstrzykiwanie złośliwego kodu” w komunikację. Te najtańsze pracują w sieciach 2G i mogą, oprócz numerów IMSI identyfikujących abonentów, przechwytywać również numery IMEI, czyli identyfikować aparaty telefoniczne czy modemy. Te droższe stosowane są w sieciach 3G i 4G.


Opracowane już zostały prototypy urządzeń mogące przechwytywać numery IMSI w sieciach 5G – to ważna informacja w szczególności w nadchodzącej erze IoT. Co więcej, stosując odpowiednie nakładki, pozwalają również na geolokalizację poszczególnych urządzeń telefonicznych w każdej technologii sieciowej, paśmie i kanale.


Żeby lepiej zrozumieć zasadę ich działania na początek warto przypomnieć sobie zasadę działania telefonii komórkowej. Każda karta SIM posiada swój unikalny kod IMSI pozwalający na jej jednoznaczną identyfikację. Zatem bez względu na model telefonu, jakiego będziemy używać ten unikalny numer karty będzie nas identyfikował.


Telefon „łapie” sieć jeśli jest w zasięgu masztu/przekaźnika telefonii komórkowej, potocznie zwanego BTS.  Im większa ilość BTS w okolicy, tym silniejszy będzie sygnał odbierany przez telefon. Dane, bez względu na ich rodzaj, wysyłane są z telefonu do BTS i za ich pośrednictwem do odbiorcy. W drugą stronę czyli, jeśli to my jesteśmy odbiorcą działa to tak samo. Wszystkie rozmowy i dane docierają do nas za pomocą BTS.

IMSI catcher – jak działa?

Jest to urządzenie niewielkich gabarytów, które po uruchomieniu podszywa się pod stację przekaźnikową telefonii komórkowej. Z uwagi na to, że IMSI catcher generuje bardzo silny sygnał radiowy o odpowiednich parametrach, automatycznie wszystkie telefony w jego zasięgu łączą się do niego, a co za tym idzie, umożliwia zebranie danych o wszystkich abonentach będących w zasięgu sygnału. Jeśli operator uzna, że dany abonent wybrany po numerze IMSI lub IMEI jest „celem”, może sprawić, że cała komunikacja przesyłana jest za jego pośrednictwem. Żeby całość działała niezauważalnie dla użytkowników telefonów IMSI catcher jednocześnie łączy się z rzeczywistym BTS zatem będąc w jego zasięgu jest możliwa zwyczajna komunikacja za pomocą telefonu. Ale oczywiście umożliwia również manipulacje.


Standardem bezpieczeństwa w komunikacji telefonii komórkowej są metody szyfrowania z rodziny algorytmów A5. IMSI catcher w odróżnieniu od rzeczywistego BTS potrafi wymusić na urządzeniach komunikację nieszyfrowaną tj A5/0. Zatem wszystkie informacje są od razu dostępne dla użytkownika IMSI catchera. Można je przeglądać, czy odsłuchiwać na bieżąco, ale również gromadzić i zapisywać. Użytkownik nie będzie w stanie zorientować się, że jest podsłuchiwany. Wiadomo też, że zaawansowane urządzenia potrafią złamać szyfrowanie A5/1, a także silny algorytm A5/3 przy pomocy tzw. femmtocell’i – niewielkich stacji bazowych, które umożliwiają przedłużenie sygnału radiowego.

IMSI catcher – kto używa?

Urządzenia tego typu są wykorzystywane najczęściej przez służby dbające o porządek i bezpieczeństwo publiczne, wywiad i kontrwywiad w ramach prowadzonych dochodzeń i innych czynności związanych ze specyfiką ich działalności, w szczególności do identyfikowania tzw. „figurantów”.
Mamy tu na myśli nie tylko służby polskie. Z dużym prawdopodobieństwem pewności można założyć, że urządzenia wykorzystywane są do działań wywiadowczych na terenie Polski przez służby innych państw. Rodzi to poważny problem zabezpieczenia komunikacji najważniejszych osób w Państwie oraz możliwości podsłuchu i przechwycenia informacji o znaczeniu strategicznym z punktu widzenia polityki, ale także obronności, wojskowości czy biznesu.


Oczywiście zdarzają się również konstruktorzy-amatorzy urządzeń tego typu, którzy w ramach swoich pasji związanych z elektroniką i telekomunikacją tworzą prototypy tego typu urządzeń. Często z dobrym skutkiem. Ich działalność, może nie do końca etyczna, stanowi jednak zagrożenie, które w zależności od skali takiego projektu może spowodować ujawnienie numerów identyfikacyjnych, wskazać aktualną lokalizację, czy w najgorszym przypadku doprowadzić do podsłuchu. Z drugiej strony wykorzystanie domowego IMSI catchera nie jest zgodne z prawem, a użytkownikowi grożą konsekwencje karne.

Anty IMIS catcher – czy można się obronić?

Laboratorium Mediarecovery, jako pierwsze na świecie zaprojektowało i wyprodukowało MediaID, czyli urządzenie potrafiące wykrywać IMSI catchery jednocześnie na wszystkich używanych obecnie częstotliwościach: od GSM po LTE. Więcej na temat MediaID pisaliśmy tutaj.

szyfrowanie-informatyka-sledcza-forensictools

Szyfrowanie. Kilka porad i podpowiedzi

Zmora każdego informatyka śledczego: szyfrowanie. Wielu z nas widząc zaszyfrowany nośnik na starcie zakłada, że nie da się z tym niczego zrobić. W wielu przypadkach to prawda ale nie warto się poddawać zbyt szybko. Poniżej kilka podpowiedzi w oparciu o przepastne archiwa naszego laboratorium.   


Hasła się powtarzają

Jak już wspominaliśmy wyżej, bardzo często dostajemy do analizy całą masą sprzętu elektronicznego zabezpieczonego na miejscu. Zdarza się, że użytkownik stosuje to samo hasło do wielu usług. Zatem jeśli nie możesz dostać się do szyfrowanej partycji spróbuj skorzystać z hasła do konta Google, Facebook, maila czy zapisanych w przeglądarce haseł do forów internetowych. Jest duże prawdopodobieństwo, że znajdziesz coś co pozwoli popchnąć dochodzenie dalej.


Narzędzia

W przypadku szyfrowania warto wesprzeć się technologią. EnCase Forensics pomoże nam stworzyć listę słów i wyrażeń, które pojawiają się w wśród analizowanych danych. Listę tą bez problemu wyeksportujemy do Passware, a rozwiązanie przemęczy za nas wszelkie możliwe konfiguracje słów z listy z uwzględnieniem dużych i małych liter czy znaków specjalnych. Z dużą szansą na sukces.


Słowniki

Jeśli nie uda nam się samodzielnie stworzyć listy najczęściej używanych słów, można skorzystać ze słowników dostępnych w sieci. Tego typu działanie ma tą zaletę, że sporo skrócimy czas potrzebny na odkrycie hasła. Odpalanie Passware i czekanie aż sprawdzi wszelkie możliwe konfiguracje liter, liczb i znaków specjalnych może nam zając kilkaset lat! Im dłuższe hasło tym dłużej i trudniej. Zakładamy jednak, że aż tyle czasu nie masz ale 2-3 dni możesz poświęcić na podjęcie takiej próby.


Szyfrowanie nie zawsze jest przeszkodą

Nieco z przymrużeniem oka, ale w oparciu o prawdziwe doświadczenia możemy również podpowiedzieć, że czasem na badanym komputerze wszystkie hasła zapisane są w pliku txt o nazwie… hasła. Warto przyjrzeć się korespondencji SMS czy komunikatorów. Użytkownik czasem wysyła hasło komuś, kto musi uzyskać dostęp albo nawet sam sobie w formie swoistej kopii bezpieczeństwa. Jeśli jesteś na zabezpieczeniu rozejrzyj się po pomieszczeniu i najbliższym otoczeniu komputera. Zwróć uwagę czy na obudowie nie ma po prostu karteczki z loginem i hasłem. Zdarza się to częściej niż moglibyśmy się spodziewać. Nawet premierom.

Podsumowując, jeśli dostajesz zaszyfrowany nośnik nie poddawaj się. Spryt i wyobraźnia oraz odrobina zastanowienia często pozwalają domyśleć się hasła, a wsparcie narzędziami zawęzić listę potencjalnych słów mogących się przydać. Szyfrowanie nie zawsze jest przeszkodą nie do przejścia choć nie ma co ukrywać, że jest zmorą współczesnej informatyki śledczej.

A jakie są Wasze doświadczenia z tematem? Mieliście jakieś zabawne zdarzenia z tym związane? Piszcie w komentarzach.

article-mediaID-forensictools-BTS

System MediaID Interception Detector


Coraz częściej dochodzi do ataków i nieuprawnionych manipulacji infrastruktury sieci telefonii komórkowej m.in. połączeń telefonicznych, SMS, treści czatów czy też wiadomości poczty elektronicznej oraz całego ruchu internetowego, który przechodzi przez urządzenia końcowe (telefon, laptop, modem) użytkownika. Dzieje się tak, gdyż narzędzia typu IMSI Catcher nie są już zarezerwowane tylko i wyłącznie dla Podmiotów Uprawnionych (LI).

Aby zabezpieczyć się przed atakiem skierowanym na dane telekomunikacyjne stosuje się szyfrowanie GSM (80% połączeń na świecie). Niestety podatności tych zabezpieczeń i metody dekodowania są znane i publikowane od wielu lat. Wykorzystuje się je m.in. w komercyjnych systemach specjalnych projektowanych głównie dla Podmiotów Uprawnionych (LI). Takie systemy mogą być też budowane przez hackerów, którzy w prosty sposób przeprowadzają atak na wybrany terminal i przechwytują prywatne dane swojego celu.

MediaID – jedyne na rynku rozwiązanie zapewniające bezpieczeństwo komunikacji elektronicznej

System Identyfikacji Fałszywych Stacji Bazowych (MediaID) jest platformą monitorującą wszystkie dostępne na świecie częstotliwości technologii 2G, 3G oraz 4G. Zabezpiecza sieci telefonii komórkowej przed wszelkimi manipulacjami i anomaliami spowodowanymi działaniami urządzeń typu IMSI Catcher oraz innym bezprzewodowym sprzętem do zaburzania ruchu radiowego.

System monitoruje następujące sieci:

  •  GSM 850/900MHz
  •  DCS 1800/1900MHz
  •  UMTS 850/900MHz
  •  UMTS 2100MHz
  •  LTE 800MHz
  •  LTE 1800MHz
  •  LTE 2100MHz
  •  LTE 2600MHz

Made by Mediarecovery

Rozwiązanie MediaID jest oparte na unikalnych i skomplikowanych algorytmach oraz wysokiej jakości, specjalnie zaprojektowanej elektronice. Całość jest produkowana i programowana w Polsce przez Mediarecovery. Podstawową funkcją MediaID jest skanowanie i monitorowanie wszystkich dostępnych sieci będących w zasięgu urządzenia. System automatycznie zapisuje wszystkie dane z wykonanych pomiarów, a następnie dokonuje ich analizy.

1, 3 i więcej

Zastosowanie jednego MediaID pozwala na ochronę lokalizacji, w której się znajduje w trybie 24/7/365 poprzez stały monitoring sieci.
Trzy urządzenia pozwalają wykryć miejsce, w którym aktualnie jest uruchomiony fałszywy BTS zapewniają ochronę 24/7. 
Zastosowanie więcej niż trzech urządzeń umożliwia aktywną ochronę przed podsłuchem całej lokalizacji wielkości np. dzielnicy rządowej.

Przykładowe ataki

Przykład ataku Man in the Middle:

Przykład wykrycia fałszywej stacji BTS przy użyciu jednego urządzenia MediaID:

Chcesz dowiedzieć się więcej? Przejdź do opisu MediaID w katalogu ForensicTools >>


APFS-forensictools-mediarecovery-blacklight

Analiza APFS. Na co się przygotować?

Choć od premiery High Sierra czyli macOS 10.13 minęło już kilka miesięcy, analizy śledcze nowego systemu plików APFS (Apple File System) mogą przysparzać trochę problemów. W tym krótkim tekście będziemy starali się podpowiedzieć co nieco na ten temat.

Na początek przyjrzyjmy się różnicom pomiędzy szyfrowaniem z wykorzystaniem Filevault 2 i HFS .

czytaj więcej
mobile-forensic-oczami-bieglego-forensictools-mediarecovery

Mobile Forensics – alternatywne metody, odczytywanie danych i ich odpowiednia analiza okiem biegłego

Przestrzeń ‘mobilna’ zajmuje w życiu prawie każdego Polaka coraz ważniejsze miejsce. Bez względu na wiek, wszyscy ludzie począwszy od dzieci, a skończywszy na seniorach używają urządzeń mobilnych na różne sposoby, w zależności od swoich preferencji, hobby czy biznesu. Głównie sytuacja odnosi się do telefonów komórkowych, ale na rodzimym rynku nie możemy zapominać o wszechobecnych tabletach. Aby wyobrazić sobie skalę wystarczy podać informacje za Głównym Urzędem Statystycznym, który zakomunikował, iż na koniec III kwartału 2014 roku w Polsce działało 57.250.300 aktywnych kart SIM.

czytaj więcej

password-recovery--forensictools-mediarecovery

Sposoby na przyspieszenie odzyskiwania haseł – Elcomsoft Distributed Password Recovery

Zabezpieczanie danych przed nieuprawnionym dostępem poprzez hasło stosowane jest od bardzo dawna. Hasła są wykorzystywane zarówno do ochrony smartfonów, kont internetowych czy wejść do budynków. Wykorzystuje się je także do ochrony plików, dokumentów i archiwów w komputerach. Nagromadzona ilość haseł łączy się z rosnącą potrzebą ich odzyskiwania (Password Recovery).

czytaj więcej

Licencje na narzedzia informatyki sledczej-forensictools-mediarecovery

Licencje na narzędzia informatyki śledczej

Zgodnie z aktualnie obowiązującymi regulacjami prawnymi programy komputerowe mogą podlegać ochronie na gruncie prawa autorskiego. Warto wskazać, że ochronie podlega kod źródłowy oraz wynikowy, lecz zbiór funkcjonalności, język programowania, czy też format plików używanych w programie komputerowym, które nie są wyrażeniem programu już nie. Program komputerowy jest przy tym utworem specyficznym, bowiem już samo korzystanie z niego, zgodnie z jego przeznaczeniem, wkracza w monopol prawnoautorski podmiotu uprawnionego i wymaga uzyskania zgody. Zgoda ta przybiera postać licencji, która określa zakres zgodnego z prawem i nienaruszającego praw podmiotu uprawnionego korzystania z programu.

czytaj więcej

Kliknij  a wybrane rozwiązania znajdziesz w