---------------------[ previous ]---[ index ]---[ next ]----------------------

==============================================================================
------------[ BFi numero 7, anno 2 - 25/12/1999 - file 16 di 22 ]-------------
==============================================================================


-[ PHREAKiNG ]----------------------------------------------------------------
---[ GSM MiSCELLANE0US - Eric Draven!


DiscLAiMER :
Il testo ke segue non e' soggetto ad alcun tipo di copyright, quindi
liberamente distribuibile.

Greetings to :
#BlueBox Crew, LoneStar, Asbesto, Black Berry, MarcoTiM.

begin

Questa guida non vuole essere il testo ufficiale GSM, in quanto le
specifike GSM sono trattate sikuramente meglio sui testi ufficiali
facilmente reperibili in rete, ma bensi' vuole essere un documento
guida, preciso, conciso e veritiero sullo standard europeo GSM.

Argomenti trattati :

1 - GSM ,infarinatura.
2 - GSM ,in centrale (authentication)
3 - GSM ,in centrale (segnali principali)
4 - GSM ,comunicare via modem
5 - GSM ,possibile clonare?
6 - GSM ,Phase II, questa sconosciuta.
7 - GSM ,Omnitel warning
8 - LA FINE


1 - INFARINATURA

Iniziano col ricordare ke ki acquista la skeda viene identifikato
in rete da un codice kiamato IMSI (International Mobile Subscriber Identity),
questa informazione viene trasmessa UNITAMENTE al KI (subscriber
authentication key). Questa identifikazione quindi risulta UNIVOKA.
Tutte le comunikazioni verranno cryptate usando un algoritmo in grado
di creare una kiave casuale e TEMPORANEA, quindi la kiave sara'
diversa per qualsiasi comunikazione. In codice la kiave e' kiamata 
KC (ciphering key).
Alcuni di questi dati vengono conservati dentro la vostra carta
SIM (Subscriber Identity Module), SIM ke come vedremo e' impossibile
da "hackerare", ma ne parleremo meglio in seguito.
Adesso conosciamo, bene o male, i segnali principali ke comandano
la nostra SIM card... ma no sappiamo ankora cosa succede quando
il nostro amato GSM viene acceso e va in "ricerca rete".


2 - IN CENTRALE (AUTHENTICATION)

L'AUC (Authentication Center), una parte dell'OMS (Operation and Maintenance 
Subsystem) e' formato da un database di autentifikazione.
Il server confronta IMSI, TMSI, Location Area Identity (LAI) e Ki per ogni
utente.
Inoltre la centrale verifika anke un eventuale compare per quanto riguarda
l'IMEI (International Mobile Equipment Identity) un numero a 15 cifre ke
identifika UNIVOKAMENTE il vostro GSM (non la SIM, ma il telefono dal quale
usate la SIM, per essere kiari).
Ogni centrale esegue un check appoggiandosi all'EIR (Equipment ID Register)
un database ke contiene dei numeri IMEI "pericolosi".
Provate a scrivere *#06# sul vostro cellulare ed avrete l'IMEI del vostro
apparekkio GSM.
Ma non perdiamoci...
Il nostro numero IMEI COMPARE nella lista EIR (telefono rubato, eh? :),
la centrale puo' eseguire due azioni:

Greylist : permette al cellulare di collegarsi in rete, ma OGNI azione
           viene loggata mediante i DATI PRESENTE NELLA SIM INSERITA
           NEL TELEFONO... okkio, vi stanno per arrestare :)

BlackList : il telefono non puo' connettersi a nessuna rete GSM
            sulla quale e' attivo il servizio di CHECK IMEI.

In italia NESSUN gestore GSM controlla l'IMEI dei telefoni.

Ma, dato ke noi siamo persone oneste (parlo di voi, non di me :),
il nostro numero NON compare sul database... Beh... I OMNITEL sul display :)
Il network ci riconosce, ci da accesso e segna la nostra posizione :)
Come, dove e perke' lo vedremo in seguito :)


3 - IN CENTRALE (SEGNALI PRINCIPALI)

BASE STATION - Le BS non sono altro ke i famosi ripetitori, ke quindi
               formano le celle; ogni ripetitore e' connesso con tutti
               gli altri. E' possibile anke ke si cambi cella se alcuni
               parametri controllati dalla centrale scendono sotto il
               limite minimo (Handover), vedremo in seguito.

MSC (Mobile Switch Center) -  Si okkupa dell'autentifikazione dei GSM in rete
               e del routing delle kiamate entranti o uscenti, verso
	       qualsiasi numero, rete fissa o GSM.

HLR (Home Location Rrgister) - Fa parte dell'MSC e si okkupa di altri check
               (ke abbiamo visto all'inizio di qst articolo).
               L'autentifikazione va a buon fine quando sul display appare il
               nome del provider GSM al quale si e' abbonati.

POLLING      - L'HLR inoltre registra a quale ripetitore (cella) siamo
               connessi, cosi' quando l'MSC deve ruotarci una kiamata
               controlla l'HLR kiedendo la posizione... Il nostro apparekkio
               GSM quindi invia un msg alla centrale segnalando la posizione.

HANDOVER     - E' il processo ke si okkupa del passaggio da una cella
               all'altra. Durante questa operazione l'HLR continua a
               monitorare la connessione in modo da sapere DOVE ruotare le
               kiamate in arrivo... L'handover si puo' avere per diversi
               motivi che non andremo a studiare. Se la connessione alla nuova
               cella fallisce, si tenta di riconettersi alla cella precedente
               e, se anke questa connessione non riesce, la comunikazione
               cade.

VLR (Visitor Location Register) - Il VLR e' una parte dell'MSC ke si okkupa
               di controllare se siamo abilitati o no al tipo di kiamata
               rikiesta (usiamo una rikarikabile senza credito, non siamo
               abilitati alle kiamate verso l'estero, per esempio).
               Un messaggio VOCE di notifika viene inviato dalla centrale al
               nostro GSM (Omnitel, messaggio gratuito...).

SMSC         - E' il server ke si okkupa di smistare gli SMS.
               Gli SMS sono dei brevi messaggi di testo (160 caratteri) ke
               possono essere inviati mediante lo standard GSM.
               Gli SMS possono essere ricevuti anke durante una conversazione
               in quanto vengono inviati sul DATA CHANNEL e non sul
               VOICE CHANNEL (giusto per fare una distinzione rozza), quindi
               ad una frequenza diversa.


4 - COMUNICARE VIA MODEM

Il protocollo ke gestisce la comunikazione DATI via GSM e' il famoso
SS7 (Signalling System Number 7).
Al contrario di quello ke si pensa, non e' possibile usare dei modem ANALOGICI
per comunikare via GSM. Questo perke' il NETWORK essendo DIGITALE e'
programmato per ricevere e smistare i pakketti ke hanno frequenze ke rientrano
nell'intervallo della voce umana.
La tecnika usata e' la TDMA (Time Division Multiple Access (TDMA) ke divide il
canale in tanti altri piccoli canali discontinui o discreti.
Un CODEC (compressor/decompressor) si okkupa di compattare la parte ridondante
del pakketto, in modo da okkupare meno spazio.
Questa tecnika permette lo sharing di 7 utenti in un singolo canale GSM.
Il CODEC processa dati DIGITALI e non e' capace di processare segnali
ANALOGICI.
La connessione analogika tuttavia E' POSSIBILE, ma con velocita' talmente
basse da rendere la stessa ridicola.
Per una corretta comunikazione, quindi, e' necessario acquistare un modem
digitale.
Come funziona il modem digitale e quali sono i segnali ke gestiscono la
comunikazione non verra' spiegato in questo testo.


5 - POSSIBILE CLONARE ?

Questa estate le nostre email sono state riempite da un allarmistiko
messaggio ke insisteva nel dire di una fantomatika squadra di clonatori di
skede GSM ke, facendoci digitare dei codici particolari, riuscisse a
carpire "i codici segreti della nostra skeda" (La Repubblika docet)
clonandoci quindi la SIM.
BELLA MINKIATONA :)
-!- NESSUN SEGNALE UTILE PASSA NEL VOICE CHANNEL OLTRE LA VOCE -!-
Per questo principale motivo e per altri 10.000 ke non sto qui ad elencare
la clonazione delle SIM resta tutt'ora impossibile...
Ma impossibile in effetti e' una parolona...
Il metodo di cryptografia e' una grossa parte dello standard GSM, parte
sviluppata nel piu' assoluto segreto e ke continua a restare segreta...
Le unike informazioni rilasciate riguardano degli HOW-TO ke indirizzano le
kase costruttrici di apparati GSM.
So di un gruppo di cryptografi ke sfruttando un BUG dell'algoritmo di
crytografia, kiedendo piu' volte alla SIM di identifikarsi, sono riusciti
a bekkare non so quale DATO della skeda...
Purtroppo non ne so molto per cui mi fermo qua.
E se ci fossero due skede uguali? Probabilmente la centrale darebbe accesso
ad entrambe, facendo squillare l'ultima skeda ad aver affettuato il POLLING.
Sono solo supposizioni, in quanto non si e' ankora verifikata una situazione
del genere, quindi non abbiamo avuto modo di gestirla :)
Ovviamente la centrale fa distinzione tra CELLULARE SPENTO e
CELLULARE IRRAGIUNGIBILE.
Quando un cellulare viene spento, invia un MESSAGGIO ALLA CENTRALE avvertendo
quest'ultima dello spegnimento.
La centrale marka la sim come NON IN RETE.
Se invece un cellulare perde il segnale o magari finisce le batterie e si
spegne, la centrale non marka il telefono come spento, ma lo ritiene attivo.

Qualcuno kiama il nostro cellulare:

a) Cellulare spento.
Check database sim off, parte IMMEDIATAMENTE il msg "Omnitel.. la persona
da lei kiamata potrebbe avere il cellulare spento"

b) Cellulare irragiungibile.
Detect del numero a cui ruotare la kiamata.
Bene, il numero si trova in rete?
Si', alla posizione X (CELLA).
Rikiesta di segnalazione posizione al telefono destinatario (POLLING).
DOPO ALCUNI SECONDI, se il polling non va a buon fine:
"Omnitel...mex gratuito..la persona da lei kiamata non e' al momento
raggiungibile".


6 - PHASE 2, QUESTA SCONOSCIUTA

Le sim PHASE II consentono di usufruire di alkuni servizi supplementari
mediante lo standard GSM.
In italia attualmente NESSUNO gestisce i servizi di phase2.

  - enhanced Multi-Level Precedence and Pre-emption service (eMLPP)
    Reference: ETSI GSM 02.67

Il servizio di phaseII+eMLPP fornisce differenti livelli di precedenza
per il call setup e per la continuazione di una conversazione in caso di
handover in una cella congestionata.
In realta' si assegna una priorita' di kiamata diversa ad ogni singolo
utente ke puo' ANKE essere tassato in maniera diversa rispetto alle
kiamate con priorita' normale.
I livelli di priorita' sono 7.
I livelli piu' alti (7 e 6) hanno validita' soltanto sulla CELLA ATTUALE;
al prossimo cambio di cella la priorita' decade. Sono gestiti dagli
operatori di sistema.
Le altre priorita' sono GLOBALI ed usate per la clientela.

  - Pre-emption della risorsa radio (fonte: Marco Scorzesi, collega TiM)

La rete ha la possibilita' di sottrarre la risorsa radio ad una comunicazione
in corso di priorita' inferiore per garantire il servizio ad un utente di
priorita' superiore, in caso di congestione della rete in fase di setup,
oppure di handover su una cella congestionata. Questa possibilita' e' offerta
soltanto ai livelli di priorita' che dispongono anche della possibilita' di
pre-emption. Le chiamate di emergenza (TS12) non sono soggette a pre-emption.
Il servizio di priorita' puo' essere disabilitato dall'utente.

  - Voice Group Call Service (VGCS)
    Reference: ETSI GSM 02.68

Permette la comunikazione tra un gruppo (cos'e' un gruppo non verra' spiegato
in questo testo) in modalita' HALF-DUPLEX.
Uno parla, gli altri ascoltano: tutti hanno la possibilita' di parlare,
mediante una coda di priorita'.
Feature inutile, a mio avviso, ed inutile parlarne.

  - Voice Broadcast Service (VBS)
    Reference: ETSI GSM 02.69

Come il servizio di VGCS, in modalita' BROADCAST.
HA DIRITTO DI PAROLA SOLO IL KIAMANTE: GLI ALTRI ASCOLTANO PASSIVAMENTE.

  - MultiParty (MPTY) services
    Reference: ETSI GSM 02.64

Permette a CINQUE (5) utenti di conversare CONTEMPORANEAMENTE IN FULL-DUPLEX.
L'utente che inizia la multiParty call e' detto Served Mobile Subscriber e
gli altri utenti partecipanti sono detti Remote Party.

  - Explicit Call Transfer (ECT) service (Fonte: Marco Scorzesi, collega TiM)
    Reference: ETSI GSM 02.91

Il servizio di Trasferimento Esplicito di Chiamata permette ad un utente
impegnato in due conversazioni di connettere i due partner tra loro
rilasciando contemporaneamente la propria connessione. E' possibile
sia per le comunicazioni entranti (incoming) che uscenti (outgoing).

  - User-To-User Signalling (UUS) service
    Reference: ETSI GSM 02.87

Permette ad ogni utente di trasferire informazioni ad altri utenti connessi.
L'esito della connession e' INCERTO, non c'e' NOTIFICA di avvenuta ricezione.
E' possibile scegliere il protocollo usato.
Altro servizio inutile, a mio avviso, sul quale non approfondiro' la
diskussione.


7 - OMNITEL WARNING

Sconsiglio innanzitutto di tentare di fregare Omnitel Pronto Italia,
in quanto il sistema e' progettato in modo da skoprire OGNI eventuale
truffa.

a) Gli sms mandati da SMCS stranieri VENGONO IN EGUAL MODO TASSATI.

b) Telefonate effettuate con trukki ke non skalano il credito sulla SIM
   vengono cmq registrate in centrale ke stakka automatikamente la skeda
   al raggiungimento di una soglia di default.

c) Attenti al CID: l'identifikativo del kiamante si puo' disabilitare
   solo da centrale e non da telefono.


8 - LA FINE

Siamo giunti alla fine... Ci sarebbero un sacco di cose da dire riguardo lo
standard GSM, spero di essere stato utile, ma piu' ke altro spero di aver
fornito le informazioni nella maniera piu' kiara possibile, in modo ke
kiunque le possa kapire e comprendere.
Le specifike ed i segnali ke non rikordavo a memoria sono stati riportati
dal reference book ke la compagnia telefonika per la quale lavoro mette a
disposizione dei tecnici di centrale.
Un grazie va anke a Marco (TiM) il quale mi ha passato in email alcuni
servizi di phaseII da me skonosciuti.
Ho preferito non inserire e non approfondire argomenti tipo CRYPTOGRAFIA GSM
ke mi riservo di conservare per un prossimo articolo, sikuramente e
COMPLETAMENTE TECNICO, quindi non di facile comprensione.

Detto questo...

Ventotto agosto uno nove nove nove...
Il viaggio continua...

Eric Draven!/#CyberNet Hacking Group


==============================================================================
--------------------------------[ EOF 16/22 ]---------------------------------
==============================================================================

---------------------[ previous ]---[ index ]---[ next ]----------------------