GreedyBTS – Hacking Adventures in GSM GreedyBTS)*)Hac.in1)2d3entures)in)GS7) 21end,) • Eho)am)I?) • Technical)o3er3ieI)of)2.5G)en3ironments) • Cellular)en3ironment diagnosAcs)and)tools) • Security)3ulnerabiliAes)in)GS7) • Cre,An1)an)openNsource)2.5G)simul,Aon)en3ironment for)analysis.) • Implementaons)of)GS7),Oac.s) • Demo © 2014 MDSec ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) 2.5G)Technical)O3er3ieI) IntroducAon)to)GS7) • June)2008)*)2.9 BILLION subscribers)use)GSM.) • Replaced)2nalo1ue)TTotal)2ccess)Communic,Aon)SystemU)in)the)UW.)(T2CS)) • GS7)is),)European)Eide)Standard)started)in)1982)by)Groupe)Spécial)Mobile.) • Di1ital)standard)Iith)neI)Security),OempAn1)to)address)losses)due)to)Fraud.) • GPRS)created)to)Ior.)Iith)GS7)and)address)data needs_)2.5G.) • UMTS)and)LTE_)3rd)and)4th)1ener,Aon)networ.s)have)arri3ed)*)2.5G)sAll)here.)) • HoI)3ulnerable)are)2.5G)networ.s)a)GS7)communic,Aons)todayH) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) GS7)2rchitecture) • Mobile)Staon)is)your)phone.) ) • BSS)pro3ides)the)air)interface) between)networ.)a)phone.) • betwor.)SIitchin1)subsystem) pro3ides)authenAc,Aon_)idenAty_) billin1)and)more.) • The)architecture)shoIn)is),) typical)2G)GS7)en3ironment.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Mobile)Staon)(MS).) • Intern,Aonal)mobile)staon)ecuipment idenAty)(IMEI)) • Contains)unicuely)idenAdable)inform,Aon)on)de3ice.) ) • SG7)card)contains)subscriber)inform,Aon.) • Intern,Aonal)mobile)subscriber)idenAty)(IMSI).) • Mobile)Country)Code)*)MCC)N)3)di1its.) • Mobile)betwor.)Code)*)7bC)*)2)di1its.) • Mobile)Subscriber)IdenAdc,Aon)bumber)*)MSIN)*)(m,e)10).) • SG7)card)also)holds)encrypAon).eys.) • four)phone)contains),)baseband)processor)and)RTOS)used)by)GSM.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Ehat is),)SG7)cardH) • Described)in)GS7)11.14.) • Subscriber)IdenAty)Module.) • Stores)the)IMSI and)Wi).ey.) • Wi).ey)needed)for)networ.)) ))))))authenAc,Aon)a)2ir)encrypAon.) • Pro1rammable)card)can)be)used)Ihich)has),)Iriteable)Wi) key.) • GS7)test cards)Iith),)Iriteable)Wi).ey)can)be)bou1ht online.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) ISOg81h)a)SG7)Tool.it) • ISOg81h)dednes),)physical)smart card)standard.)) • SG7)2pplic,Aon)Tool.it (STW))is)implemented)by)GS7)smart cards.) • GS7)applic,Aon)pro3ides)authenAc,Aon)2PDUis.) • COMP12831)is)an)encrypAon)al1orithm)that Ias)found)to)be)jawed.) • 2)TstopU)condiAon)Ias)found)that alloIs)Wi)to)be)brute)forced.) • COMP12831),Oac.)takes)12N24)hours)and)recuires)physical)card.) • COMP12833)is)used)more)Iidely)today)and)COMP12831)is)rare.) • Chinese)3endors)sell)cheap)COMP12831)mulANSG7)cards)a)cloner.) • SG7)Trace)hOp:llbb.osmocom.or1ltraclIi.ilSIMtrace)) • For)more)inform,Aon)on)SG7),Oac.s)THC)have),)SG7)Tool.it Research)Group) promect that contains),)lot more)inform,Aonn)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Eh,4os),)Base)Transcei3er)System)(BTS)H) • TransmiOer)and)recei3er)ecuipment,)such)as) antennas)and)ampliders.) • Has)components)for)doin1)di1ital)si1nal) processing (DSP). • Contains)funcAons)for)Radio)Resource) management.) • Pro3ides)the)air)(UM))interface)to),)MS.) • This)is)part of),)typical)Tcell)toIerU)that is)used) by)GSM.) • BTS)pro3ides)the)radio)si1nallin1)between),) networ.)and)phone.) • Base)Staon)Subsystem)(BSS))has)addiAonal) component Base)Staon)Controller)that pro3ides)lo1ic)a)intelli1ence.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Radio)a)CellularH) • The)spectrum)is)di3ided)into) uplin.ldoInlin.)TchannelsU.) • GS7)uses)2bsolute)Radio) Frecuency)Channel)bumber) (2RFCb).) • Cellular)betwor.)means) channels)can)be)reNused) Iithin)diperent sp,Aal)areas.)) • This)is)hoI),)small)number) of)frecuencies)can)pro3ide),) n,Aonal)networ.n) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Physical)Interface) • Eaterfall)3ieIs)of)GS7)2RFCb)doInlin.)(leD))and)uplin.)(ri1ht).) • 2RFCb)is)200.+r)channel)and)this)is)di3ided)into)TD72)slots.) • Fi3e)diperent types)of)TburstsU)are)modulated)Iithin.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Radio)a)CellularH)) • GS7)communicates)usin1)Time) Di3ision)MulAple)2ccess)l)Frecuency) Di3ision)MulAple)2ccess)(TD72l FD72))principles.) • Space)Di3ision)MulAple)2ccess)1i3es) the)cellular)concept.)) • Tr,sc)transmiOed)as)TburstsU.) • Radio)modul,Aon)is)usin1)Gaussian) Minimum)ShiD)Weyin1)(GMSW).) • GMSW)is)3ariant of)frecuency)shiD) .eyin1)(FSW))desi1ned)to)reduce) bandIidth_)minimum)shiD).eyin1) (MSW))Iith)further)Gaussian) bandpass)(GMSW).) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) betwor.)SIitchin1)Subsystem) • The)GS7)core)networ.)components)usually)not 3isible)to),Oac.er.) • Mobile)SIitchin1)Centre)(MSC).) • Home)Locality)Re1istrar)(HLSY.) • tisitor)Locality)Re1istrar)(tLSY.) • Ecuipment IdenAty)Re1istrar)(EIR).) • These)are)components)or)databases)that handle)subscribers)inform,Aon_)IMSGl encrypAon).eys)and)perform)processes)li.e)billin1.)) • 2lso)Ihere)the)call)sIitchin1)and)rouAn1)takes)place)and)connecAn1)to)other) networ.s)e.1.)PSTb.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) GS7)Lo1ical)Channels) • GS7)implements)lo1ical)channels)to)alloI)for)si1nallin1)between)handset and) networ..) • There)is),)dedned)Tr,sc)Channel)(TCH))*)FullNrate)and)HalfNrate)channels)are) available)as)TC+lF)(Bm)_)TC+lH (Lm).) • There)are)Si1nallin1)channels)(Dm). • Many)eeploitable)Ie,.nesses)in)GS7)are)due)to)TinNbandU)si1nallin1.) • This)same)class)of)3ulnerability)is)Ihat alloIs)phre,.er)Tblue)boeesU)to) funcAon)and)responsible)for)Tformat strin1),Oac.s.U)*)Ihere)management capability)is)accessible)it has)potenAal)for)sub3erAn1.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Broadcast Channel)(BCH)) • The)BCH is)used)by),)MS)to)synchronize)i4os)oscillator)and)frecuency)Iith)the) BTS.)) • The)BCH consists)of)subNchannels)that assist Iith)this)process.) • Broadcast Control)N)BCCH • Frecuency)CorrecAon)N)FCCH • Synchronir,Aon)*)SCH • The)channels)are)used)durin1)the)preliminary)stages)of),)MS)bein1)poIered)on) and)are)inte1ral)part of)T1eu01),)si1nalU.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Common)Control)Channel)N)CCCH • The)CCCH is)used)by)MS)and)BTS)for)communic,An1)recuests)for)resources) Iith)networ.)and)handset such)as)Ihen),)call),Oempt is)placed.) • Random)2ccess)Channel)N)S2CH • 2ccess)Grant Channel)N)2GCH • Pagin1)Channel)N)PCH • boAdc,Aon)Channel)*)bCH • Temporary)Mobile)Subscriber)IdenAty)(TMSI))is)used)to)help)pre3ent trac.in1) of),)GS7)user_)can)be)frecuently)chan1ed)and)has),)lifeAme)limit.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Dedicated)Control)Channels)N)DCCH) • The)DCCH and)i4os)associated)subNchannels)perform)authenAc,Aon)recuests_) cipher)selecAon)a)si1nallin1)of)call)compleAon.) • Standalone)dedicated)control)N)SDCCH ) • SloI)associated)control)N)S2CCH • Fast associated)control)*)F2CCH • Summary)of)the)three)control)channels)and)purpose)of)each.) • 2Oac.er)could)eeploit GS7)si1nallin1)Ie,.nesses)to)access)subscriber)mobile) usage.)Ee)Iill)loo.)at this)in)more)detail.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) Ehat about O3erNtheN2ir)EncrypAonH) • Se3eral)o3erNtheNair)(OT2))encrypAon)al1orithms)eeist.)These)are)used)to) encrypt v6omev)of)the)GS7)lo1ical)channels)data (such)as)TCH).) • 25l1)*)publicly)bro.en_)rainboI)tables)eeist.) • 25l2)*)opers)no)real)security.) • 25l3)*)W2SU7G)Cipher_)althou1h)some)manNinNtheNmiddle),Oac.s)are).noIn)*) it has)not yet been)publicly)bro.en)in)GSM.) • 23l28)N)used)durin1)the)authenAc,Aon)process.) • 2Oac.er)can),Oempt to)Tpassi3elyU)analyse)tr,sc)loo.in1)for)Ie,.)encrypAon) or)perform)manNinNtheNmiddle),Oac.s)against subscriber)MS)and)BTS.)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) 2.5G)Technical)O3er3ieI) General)Pac.et Radio)Ser3ice) • Uses)eeisAn1)GS7)concepts_)e.1.)Ameslots.) • Introduces)TSubscriber)GPRS)Ser3ice)bodeU) ))))))(SGSb))and)TGateIay)GPRS)Ser3ice)bodeU)) ))))))X!!(b). ) • 2dds)Pac.et Control)Unit to)BSS.) • Data is)sent in)PCU)frames.) • Introduces),)neI)Radio)Resource)(SSY)protocol.) • Radio)Lin.)Control)(SBC))l)Medi,)2ccess)Control)(72C)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) Cell)DiagnosAcs)a)Tools) bo.i,)betMonitor)) • bo.i,)shipped)diagnosAc)tool)in)early)phones.) • Can)be)enabled)on)phone)such)as)3310)usin1)cable) • Pro3ides),)cellular)diagnosAc)tooln) • 2RFCb)idenAdc,Aonn) • Si1nallin1)channel)displayn) • Uplin.)Tr,sc)capturen) • tery)cool)TfeatureU)of)bo.i,)w)) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) Cell)DiagnosAcs)a)Tools) Dedicated)Test HardIare) • eBay)is)your)friend.) • GS7)tesAn1)hardIare)prices)3ary)Iildly.) • OpenNsource)tools)are)noI)more)jeeible.) • GS7)tesAn1)hardIare)is)oDen)not 3ery)featured.) • The)price)of)dedicated)hardIare)can)be)3ery)hi1h.) • tendors)oDen)not forthcomin1)Iith)help.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.) )) Cell)DiagnosAcs)a)Tools) OsmocomNLL)a)!bU/Plot) • OsmocomNbb)alloIs)you)to)Irite) tools)for)MS)baseband.) • Lots)of)useful)diagnosAcs)already) available)in)the)public)repository.) • fou)can)eetend)the)code)to) 3isually)represent the)GS7) spectrum)or)perform)more) detailed)analysis)of),)GS7)cell) toIer.) • Recuires),)xy30)phone)to)use.) 8)2014)MDSec)ConsulAn1)Ltd.))2ll)ri1hts)reser3ed.)