"האח הגדול" ? מה עם האחים הקטנים ?!
מאת spdr בתאריך 10/01/09, תחת כללי
עקב התעסקותי הרבה בתחום האבטחת מידע אני נתקל לפעמים ברשת לשיחות עם אנשים מאוד מעניינים, הבאתי לכאן דוגמא לשיחה כזאת.
מסתבר שקיימת פרצה בתחום הסלולארי המאפשרת להאקרים לעקוב אחרי פלאפונים באמצעות טריאנגולציה, תהליך חישוב קואורדינטות המבוסס על משולש (או מספר משולשים) שנוצר (או נוצרים) בין מספר אנטנות סלולאריות, וחישוב המרחק של המכשיר מכל אנטנה. כל זאת בצורה פאסיבית ללא ידיעת המשתמש – ובאמצעות שרתים שונים ברשת!.
איך זה פועל?
ובכן, החישוב עצמו מאוד פשוט וניתן לקרא על כך בוויקיפדיה במידה שזה באמת מעניין מישהו, בעקרון מה שקורה בפועל הוא דבר כזה:
1. האנטנה הראשונה (זו שהמכשיר הסלולארי הכי קרוב אליה) מבצעת מדידה של המרחק בינה לבין המכשיר הסלולארי, זוהי בדיקה פשוטה מכיוון שמהירות שידור הנתונים ומיקום האנטנה ידועים, הבדיקה מתבצעת אל מול פרמטר מתוך שידור ה GSM שנקרא TA שמסמל את הזמן שלוקח להעביר שידור מהמכשיר הנייד אל תחנת השידור (האנטנה), השיטה\טכנולוגיה עצמה נקראת TOA ובעברית "זמן הגעה".
מיקום המכשיר יכול להיות בכל נקודה בשטח המעגל סביב האנטה, בקוטר המעגל שהאנטנה חישבה.
2. מתבצעת בדיקה באמצעות אנטנה נוספת בקרבת המכשיר, התוצאה מצמצמת את מס' אפשרויות המיקום ל 2 נקודות (מכיוון שיש חפיפה בין שני המעגלים).
3. מתבצעת בדיקה באמצעות אנטנה שלישית, לאחר מכן ניתן לחשב את המיקום ההכי סביר שבו המכשיר נמצא ביחס לכל הנתונים שהתקבלו.
ישנה סטיה קלה מכיוון שלא מדובר בטכנולוגית GPS אלא GSM, וכמו כן מספר האנטנות סביב המכשיר וצפיפותן משפיעות על החישובים, אך מהתוצאות שהראו לי ראיתי שמדובר בסטיה של כמה מאות מטרים לכל היותר.
הוספת בדיקה מול אנטנות נוספות צמצמו עוד יותר את מיקום המכשיר, כל המרבה הרי זה משובח 🙂
בדיוק ככה שירותי החירום מבצעים איתור לטלפון נייד, דבר אלמנטרי ופשוט כשמדובר בגורמי אכיפה,
אבל האם כבר הגענו למצב שבו יש יותר מדי מידע על גבי שרתים למינהם שחוברו לאינטרנט ומעט מדי אבטחת מידע ?
10/01/09 בשעה 12:42
אהבתי מאוד את הכתבה..
רק אם אפשר לתקן אותך לגבי משהו..
הנתון "מרחק" הוא לא באמת נתון מרחק. ב GSM, לא באמת קיים נתון כזה. הנתון המדובר הוא סה"כ נתון סגנון PING (ליתר דיוק בודק Delay בוא צריכה האנטנה לשלוח הודעות למכשיר), שבעזרתו אפשר לחשב שטח ענק, בו יכול להיות המכשיר.
רמת הדיוק של השיטה הזאת מגוחכת למדי, ואי אפשר באמת למצוא בן אדם בעזרתה אלא אם כן אתה משתמש בהרבה אנטנות בו"ז (במצב אופטימלי בה הזווית בין התאים היא 90 והמשתמש קרוב מאוד ל2 האנטנות הראשונות) וכך אולי תוכל למצוא מיקום ע"פ רדיוס של 100 מטר, תלוי בעלרוד ובמפתח האנטנות כמובן.
ואכן אני מסכים איתך שכמות הדברים שמחוברים בימנו לאינטרנט ולא נמצאים ברשת סגורה הוא אבסורד, אומנם זה פותח אופציות לשירותים חדשים, אבל גם פותח אופציות לאנשים שכוונתם לא טובה לעשות דברים לא טובים :>..
מצטער על החפירה,
בן.
10/01/09 בשעה 13:18
כמו ב Enemy of State, וב- 4th of July.
ואלה סרטים מתחילת העשור הקודם, אז זה לא כזה 0day…
10/01/09 בשעה 19:01
Ben – Why a large area ? from my test it had only a slight miss of 50 meters (!), that is not too much and while testing with 5 antennas it was possible to pinpoint the location and even find a picture of the mobile holder's (a friend from abroad) car and house on Google maps.
Besides that, for all i know, when you transmit something at a known speed from a known point to another unknown point and wait for a reply – yes its a "ping", but its also useful to determine the distance from the tower. so i disagree on the whole:
הנתון "מרחק" הוא לא באמת נתון מרחק.
as i stated in the post its a large radius … but when compared with more base stations the results are shocking.
PHANTOm – roflmao 🙂
11/01/09 בשעה 10:29
האם אין כאן נעלם של latency?
כלומר כיצד אני יכול לדעת את הזמן המדויק בו המכשיר הנייד מקבל את השדר, מה מהירות הפריצה שלו, כמה זמן עובר מרגע קבלת השדר ולשידור חוזר?
האם אין מימד של עומסים? כלומר אם ה"תאים" מפורזים יחסית לכמות המכשירים המשדרים בו זמנית?
11/01/09 בשעה 15:21
גדי – ישנו פרמטר שנקרא TA – פירושו Timing Advance, הוא מסמל את משך הזמן שלוקח לשידור להגיע מהטלפון הנייד אל התחנת שידור וישנה אפשרות לתחנת השידור לשמור את הפרמטר הזה על מנת לספק למשתמש שירות\איכות טובה יותר.
ניתן לקרא על זה כאן – http://en.wikipedia.org/wiki/Timing_advance
אין צורך ב"שידור חוזר" מכיוון ששידור בין הפלאפון לתחנת השידור מתבצעת כל הזמן
אך מלבד זאת מהירות השידור היא במהירות באור (או כמו שתמצא בלינק, כ 300,000,000 מטר בשניה, ולכן latency לא משפיע בדיוק כמו שהוא לא משפיע על המשתמש לנהל שיחה..
עוד מידע בנושא תוכל למצוא כאן.
כמו כן מחקר מעניין בנושא רשת ה GSM כאן.
תהנה
12/01/09 בשעה 14:10
nice article spy!
i love what you or fate have done with BV
looks great!
keep up the good stuff 😉
13/01/09 בשעה 14:06
זוהי רק דוגמה קטנה. היום כל ילד שקורא מה זה Ip נכנס לכל החברים שלו באייסיקיו או במסנ למחשב. הרי סיסמאות של ווינדוס "היציבה" זה לא סיסמא בכלל אלא סתם נתון שכל טפש יכול להגיע אליו מהדוס. או אתרים שלמים וגדולים שמשתמשים ב"ממשק ניהול" שאם תוכנת ברוטאל פורס הכי פשוטה אפשר להכנס אליו בלי שאף אחד ידע ולעשות מה שרוצים. הגענו למצב שמרוב מידע הוא נהיה חשוף לכל
18/01/09 בשעה 11:07
גבי – אני נאלץ לחלוק על הקטע של הממשק ניהול, ברוט פורס לממשק ניהול שכזה עלול לקחת מיליארדים או מאות מיליארדים של בקשות שישלחו לשרת במידה והסיסמא באורך 8 תווים למשל, דבר שיהיה מורגש אצל כל אחד (גודל הלוג יהיה בולט למשל), כמו כן הדבר עלול לקחת שנים…
Exodus – where did you disappear? come visit some time 🙂
09/02/09 בשעה 11:02
מישהו יכול להגיד לי איך אני מאתר טלפון שאבד ועדיין דולק עם הSIM בתוכו?
תודה
20/02/09 בשעה 12:41
שלום אני סתם הגעתי במקרה לכתבה הזאת…
מכיר את השיטה הזאת אבל לא ידוע לי שמישהו הצליח לפרוץ למערכות של חברות הסלולר בישראל (בינתיים…)
מישהו יודע משהו אחר?
אגב, בישראל לשירותי החירום אין סמכות לבקש נתונים כאלה גם אם ניתן להציל בצורה כזאת חיים… אבסורד….
20/03/09 בשעה 12:25
בטח שהצליחו, קבל משהו מחתרתי ולא לפירסום
ושלח לי אחר כך מייל תגובה
[email protected]
http://thehindimusic.com/fun/track-any-gsm-mobile-online/
26/10/09 בשעה 21:50
מישהוא פה רציני בנושא?….
יכול לעזור בתמורה ל…?
[email protected]
11/12/09 בשעה 11:37
נגנב לי התיק עם הנייד ודיסק און קי עם מידע אשר חשוב לי אך לא יעזור לאף אחד אחר. המשטרה לא מוכנה לאתר את הנייד כדי לאתר את התיק. האם אפשר לאתר את הנייד באמצעות שיטה זו?
13/12/09 בשעה 22:33
בשביל להשתמש בשיטה זו, את צריכה גישה לשרתים של חברות הסלולר, דבר שאמנם הוצג פה על חברות מסויימות (שלהם היה או לא היה גישה באותה עת) אבל גישה לשרתים בארץ זה יותר בעייתי.
או בנימה יותר רלוונטית: התיק כבר מזמן בפח\שוק הפשפשים, הדיסק און קי כבר עבר פירמוט והנייד כבר עבר כמה ידיים, too little too late. לגבי המשטרה, באסה שהם לא מוכנים לעזור, כי הם יכולים, ובקלות.
30/08/12 בשעה 12:15
spdr שלום רב
כתבה מעניינת אך מעוררת את שאלה
כיצד ניתן להימנע ממעקב בשיטה זו אחר הנייד (גלקסי-2)?
תודה
המוטרד
20/03/13 בשעה 13:03
איך אני מאתר את מקור השידור ממשדר שנובע ממנו תדר rf? מאוד חשוב. פרס כספי מובטח למי שידע(ככל הנראה השידור מוצפן מי ששיודע ומבין יפנה אלי)