2009/04/05

Résumé du 2600 Nîmes du Samedi 04 Avril

Le rendez-vous avait lieu a 14h devant un centre commercial en centre ville le temp que tout le monde soit présent et hop , direction un petit bistro simpa pour lancer ce petit meet .

Les discussions se sont trés vite dirigées sur Hadopi avec une petite vidéo simpathique a l'appuis , l'actualité et les moyens alternatifs concernants le P2P (entre autre), l'avenir de freenet , silc ...enfin , divers moyens de communications et partages sécurisés.


Aprés quelques cafés, nous abordons l'insécurité de certains moyens de paiement en ligne puis au moment ou les bieres arrivent a notre table, retour sur l'anonymat avec une breve présentation sur l'ip spoofing via un petit utilitaire .

Viens ensuite l'architecture des réseaux de téléphonie mobile ,le phreaking gsm nous poursuivons par Hebiko qui nous présente de la doc intéréssante sur le carding .

De fil en aiguille les discours s'enchainent , documents a l'appuis jusqu'a la fin de ce petit meet fort sympathique malgrés le petit comité présent (4personnes).
Enfin ,nous nous dirigeons vers la sortie avec un petit " au mois prochain " qui fait plaisir a entendre pour ce 2k6 Nîmois qui peu etre commencerait a prendre ? Espérons-le :-} .

2009/03/30

Réseaux GSM : chapitre II

Salut , me revoila , je poursuis mon aventure ....

Cette fois -ci nous allons nous intérésser a des choses bien plus passionante (fallait bien avoir les bases avant quand meme , chaque choses en son temp :-P ).

Allez , c'est reparti :



[+] Etude simplifiée des fréquences de travail du GSM :


Le systeme GSM/DCS utilise 2 fréquences :

une autour des 900 MHz (GSM) et l’autre autour de 1,8 GHz (DCS).

Chacune est elle meme divisée en 2 sous bandes servantent l’une pour le transfert d’informations entre le mobile et la station de base ( voie montante ) , et l’autre pour la liaison entre la station de base et le mobile ( voie descendante ) :



# bande EGSM étendue ( bande de largeur totale 35 MHz )
- de 880 à 915 MHz du mobile vers la base (voie montante)
- de 925 à 960 MHz de la base vers le mobile (voie descendante)

+ écart entre les deux fréquences: 45 MHz
- 174 canaux espacés de 200 kHz


# bande DCS ( bande de largeur totale 75 MHz )
- de 1710 à 1785 MHz du mobile vers la base (voie montante)
- de 1805 à 1880 MHz de la base vers le mobile (voie descendante)

+ écart entre les deux fréquences: 95 MHz
- 374 canaux espacés de 200 kHz




L'utilisation de fréquences moins élevées augmenterait sensiblement la portée des stations de base.
Ainsi en 450 MHz, leur portée serait près du double de ce qu'elle serait en 900 MHz.

Ericsson et Nokia travaillent à la mise au point d'une norme GSM fonctionnant en 450 MHz ou en 480 MHz.

Dans la bande 450, les fréquences utilisées seraient 450,4 à 457,6 MHz pour les liaisons montantes (GSM vers station de base) et 460,4 à 467,6 MHz pour les liaisons descendantes.

Une BTS émet en permanence des informations sur son canal BCH (Broadcast Channel appelé aussi voie balise) constituant ainsi un lien permanent entre mobile et station de base à partir de la mise en route du mobile jusqu’à sa mise hors service, qu’il soit en communication ou non.





[+] Adresssage , Confidentialité et Sécurité de la transmission sur la voie radio (interface Um):

-Pré-requis:

1) I.M.S.I :

*Numéro (identité) d'abonné se trouvant dans la SIM d'une part et dans la HLR d'autre part (logique)
IMSI n'est connu qu'a l'intérieur du réseau GSM et doit ( autant que possible) rester secrete (d'ou l'utilisation de TMSI).



2) T.M.S.I :

*Identifiant temporaire codé sur 4 Octets modifié a chaque changement de zone (gérer pas un VLR) .
Le TMSI est utilisé pour identifier le mobile appelé ou appelant lors de l’établissement d’une communication .

3) M.S.I.S.D.N :

*Numéro de l'abonné . C'est la seule donnée concernant l'identitée de l'abonné connu hors réseaux GSM .




4) M.S.R.N :

*Numéro attribué lors de l'établissement d'un appel permettant d'acheminer les appels via les commutateurs (MSC)






5) I.M.E.I :

*Numéro d'équipement mis en mémoire dans le portable a la fabrication , c'est donc l'identifiant de l'appareil .




L'IMSI est transmis a la mise sous tension du mobile afin d'éviter de l'emmettre fréquemment de cette maniere il est plus difficile de l'intercepter.

Une fois l'IMSI transmis , les TMSI successives du mobile seront transmises. Ce n’est qu’en cas de perte du TMSI ou lorsque le VLR courant ne la reconnaît pas (par exemple après une panne) que l’IMSI peut être retransmise.

En cas d'echec lors de la vérification d'un de ces identifiants ,on interdit l'accés aux services.

L’allocation d’une nouvelle TMSI est faite au minimum à chaque changement de VLR, et suivant le choix de l’opérateur, à chaque intervention du mobile. Son envoi à la station mobile a lieu en mode chiffré .




* Le chiffrement GSM sur la voie radio (interface Um):

Pour assurer la confidentialité de leurs abonnés , les opérateurs ont recours au éléments suivant :

-Nombres aléatoire RAND (128 Bits)

-une clée appellée Ki (128 Bits) pour l'authentification et la création d'une seconde clée Kc ( en 64 Bits) (la clée Ki,stockée dans la carte SIM et dans l'AUC coté réseaux , est attribuée lors de l'abonnement avec l'IMSI)

-un algorithme A3 fournissant le nombre SRES (32 Bits) à partir des arguments de RAND et de la clé Ki (contruction SRES)

-un algorithme A8 pour la détermination de la clé Kc à partir des arguments de RAND et Ki (construction clée Kc)

-un algorithme A5 pour le chiffrement / déchiffrement des données à partir de la clé Kc (chiffrement a proprement parlé)

Chaque abonné utilise une clé Ki propre.
Les algorithmes A3, A5 et A8 sont quant à eux les mêmes pour tous les abonnés d’un même réseau.



-- Schéma Simplifié --

RAND(128Bits) ->SRES=A3[Rand(128Bits),Ki(128Bits)] -> Kc=A8[Rand(128Bits),Ki(128 Bits)] -> [N° de Trames en 22 Bits, Clée Kc(64 Bits)] -> Algorithme A5 -> Trames Chiffrées



Le centre d’authentification (AUC) stocke ainsi :
-l’algorithme d’authentification A3,
-l’algorithme de génération de la clé de chiffrement A8
-les clés Ki des différents abonnés du réseau GSM.

Le HLR stocke les (Kc, RAND, SRES) pour chaque IMSI.

Dans le VLR les (Kc, RAND, SRES) sont enregistrés pour chaque IMSI avec les couples TMSI - IMSI .

La BTS quand a elle ,stocke l’algorithme de chiffrement A5 pour les données usager et pour les données de signalisation.

La station mobile (MS) quand a elle , contient dans la carte SIM de l’abonné : l’algorithme d’authentification A3, l’algorithme de chiffrement A5, l’algorithme de génération des clés de chiffrements A8, la clé d’authentification individuelle de l’utilisateur Ki, la clé de chiffrement Kc, le numéro de séquence de la clé de chiffrement et le TMSI.


Voila actuellement ou j'en suis , je pense que maintenant il commence a y avoir matière a réflexions et par conséquent je vous donne rendez-vous ici d'ici quelques temps pour de nouvelles aventures qui j'espère vous plaisent et vous permettent autant qu'a moi de découvrir de nouvelles choses .

Cya \o>

Liens utiles:
http://fr.wikipedia.org/wiki/A5/1
http://internetmobile.falorni.fr/publications/securite-architecture-gsm/

2009/03/18

Réseaux GSM : chapitre I

Salut a tous !

Alors voila , j'ai décider de me lancer dans une nouvelle aventure : l'univers des réseaux de télécommunication mobile ou GSM (Global System for Mobile communications) .

Voici donc une première approche afin de comprendre un peu mieux les bases de ce monde pour ma part encore trop peu exploré jusqu'alors , et pourtant incontournable et qui plus est , en pleine expansion !

Pré-requis

Zone cellulaire : Zone couverte
Les cellules sont plus ou moins grandes en fonction du nombre potentiel d’abonnés qu’elles doivent gérer .
Ainsi , les zones de couverture des cellules voient leur taille diminuer ( + d'abonnés == cellules plus petites ) pour garantir une large bande passante aux
utilisateurs.

Routage: Construction d’un chemin de communication entre deux téléphones mobiles.


[+] Architecture d'un Réseau GSM


1) Le MS :

Dans réseau GSM, le terminal mobile MS (Mobile Segment)a trois aspects :

* Le téléphone de voiture

* Le portable d'une puissance de 8 W

* Le portatif (terminal de poche), d'un poids compris entre 150 et 350 grammes et d'une puissance d'environ 2W


Le terminal est scindé en deux parties :

* Le combiné téléphonique identifié par un numéro unique : l'IMEI (International Mobile Equipement Identity) qui est l'identité internationale spécifique à chaque combiné.
En pratique ce numéro n'est que peu utilisé


* La carte SIM (Subscriber Identity Module) et qui contient les informations suivantes :

o- Le numéro d'identification temporaire attribué par le réseau qui permet la localisation et qui est utilisé sur les canaux radio (TMSI Temporary Station Identity)
o- La liste des fréquences à écouter pour identifier la meilleure Station de Base (BTS)
o- Les algorithmes de chiffrement

Cette liste n'est pas exhaustive. D'autres informations sont stockées sur cette carte, tel que le code permettant de la débloquer :

une carte SIM se bloque automatiquement après un certain nombre d'erreurs sur le code entré par l'utilisateur.


Cet ensemble permet d'accéder aux services d'un PLMN GSM.

Cette découpe permet à l'usager d'utiliser n'importe que terminal GSM car son identification complète est portée par la carte SIM.
L'établissement d'une communication commence toujours par une phase d'authentification durant laquelle le réseau dialogue avec la carte SIM.


Le terminal mobile a pour seule interface les équipements de type BTS et ses fonctionnalités sont :

* La gestion de la liaison de données avec le BTS (protocole LAPDm)

* La surveillance périodique de l'environnement par des séries de mesure stockées sur la carte SIM

* La restitution des données vocales ou non (messagerie) destinées à l'abonné

* Les opérations de chiffrement





2)Le BSS (Base Station sub System) comprend :


*BTS ( Base Transceiver Station)
Les stations de base (BTS) assurent la couverture de l’aire de service :
Chaque cellule dispose d’une BTS et d’une seule,une BTS gère la transmission radio.

-Une BTS est reliée à un contrôleur de station de base BSC (BSC, base station controller).



*BSC (Base Station Controller)
Un BSC est lui-même relié à un commutateur de service mobile (MSC, mobiles services switching center).

( 1 seule BTS par cellule mais un BSC gère un ensemble de BTS )

Le BSC organise la supervision, l’allocation et la relâche des canaux radios (routage), conformément aux demandes reçues du MSC.




3) Le NSS comprend : des bases de données (HLR) et des commutateurs (MSC)


*HLR (Home Location Register)

Un HLR est une base de données de localisation et de caractérisation des abonnés .

A l’aide du numéro appelé (appel entrant), on en déduit la localisation du destinataire grâce à l’enregistreur de localisation nominal (HLR).

Le HLR fournit l’adresse du MSC, BSC, et BTS couvrant l’aire dans laquelle se trouve le destinataire.




*MSC (Mobile-services Switching Center)

Les MSC sont des commutateurs mobiles associés en général aux bases de données VLR (Visitor Location Register) .
Le MSC gère l’établissement d’appel, la relâche d’appel, et tout ce qui est lié aux identités des abonnés




*VLR (Visitor Location Register)

C'est la base de données qui gère les abonnés présents dans une certaine zone géographique.
Ces informations sont une copie de l'original conservé dans le HLR.

*AuC (Authentication Center)

Il mémorise pour chaque abonné une clé secrète utilisée pour authentifier les demandes de services et pour le chiffrement des communications. Un AuC est en général associé à chaque HLR.



[+] Schéma simplifié d'un réseau GSM ( topologie de type "Arbre")



4) Les interfaces :

a)L’interface Um
C’est l’interface entre les deux sous systèmes MS (Mobile Station) et le BSS (Base Station Sub-system. On la nomme couramment « interface radio » ou « interface air ».

b)L’interface Abis
C’est l’interface entre les deux composants du sous système BSS : la BTS (Base Station Transceiver) et le BSC (Base Station Controler).

c)L’interface A
C’est l’interface entre les deux sous systèmes BSS (Base Station Sub System) et le NSS (Network Sub System).

Voila pour l'introduction , j'espère que cet article vous aura permis d'apprendre deux trois choses concernant les réseaux de téléphonie mobile .

Rendez-vous sous peu pour la suite .

Have Fun !

2009/02/27

Parce que la France n’est pas la Chine,parceque ce sont les utilisateurs qui ont fait du cyber espace ce ce qu'il est aujourd'hui : "BLACK-OUT" !

(!) Devant le ridicule d'un gouvernement qui s'entête à vouloir déconnecter du Net des familles entières sans preuves valables ni procès, la Quadrature appelle les citoyens épris de liberté à procéder au « black-out » de leurs sites, blogs, profils, avatars, etc.

Comme en Nouvelle-Zélande, seul pays avec la France où la « riposte graduée » devait être imposée par la loi, pour finalement être repoussée :

pour protester contre cette loi imbécile et sa « liste blanche » de sites autorisés, le Net français doit agir et se draper de noir.



Ainsi , la Quadrature invite tous ses soutiens, individus et collectifs, à :


[*] Peindre leurs sites, blogs, profils, courriers, commentaires ou avatars de la couleur noire du « black-out », au besoin en utilisant les images mises à leur disposition.


[*] Afficher un message expliquant les motivations de cette protestation contre une loi absurde, inapplicable et dangereuse qui met en péril le web français, l'innovation, et les libertés fondamentales.

[*] Faire un lien vers le « tableau de bord HADOPI » de La Quadrature du Net.

[*] Contacter son député pour lui annoncer que l'on a procédé au « black-out » de son espace sur le Net pour protester contre la loi « Création et Internet », lui transmettre le dossier de La Quadrature6 et lui demander ce qu'il en pense.

[*] Inviter ses proches et ses contacts à faire de même.



« Cet appel est un hommage rendu aux citoyens néo-zélandais qui ont pu faire entendre la raison à leur gouvernement. Il s'agit d'un remix, d'une réappropriation d'une idée qui, comme la culture, n'existe que pour être partagée. Ce sont ceux qui traitent leurs clients de " pirates " et les députés qui votent leurs lois qu'il faudrait déconnecter !»





Rendez-vous ici pour plus d'infos :

http://www.laquadrature.net/fr/APPEL-HA … t-francais

MOBILISONS NOUS !

2009/02/25

"Sysinfos" is powned .

Au lendemain de l'article sur les .bss overflow posté par mon ami HyP sur son blog , j'ai eu envie de voir comment bypasser l'authentification de son "Sysinfos" mais avec une approche différente .

Bon , aprés coup je me suis vite rendu compte que ce serait trés classique voir presque triste , je le reconnait mais 24h aprés la publication de son article , ça me tenter donc ...

Code de Sysinfos.c ici

Premiere étape comme souvent , on désassemble a la recherche d'une ou plusieurs intructions intéréssantes ( ici avec objdump) de cette maniere :

objdump -d Sysinfos

et...bingo !

Aprés avoir parcouru les lignes ,on se rend vite compte de la simplicité de la chose lorsqu'on tombe sur un JNE (Jump if Not Egal ) intéréssant.

...........................................
...........................................>

8048410: 55 push ebp
8048411: 89 e5 mov esp,ebp
8048413: 53 push ebx
8048414: 83 ec 04 sub 0x4,esp
8048417: 80 3d bc 98 04 08 00 cmpb 0x0,0x80498bc
804841e: 75 40 jne 8048460 <__do_global_dtors_aux+0x50>
;saut au destructeur si valeur inégale

<..........................................
..........................................


Reste plus qu'a l'éditer a l'aider d'un éditeur hexadécimal pour en modifier la valeur sachant que l'on doit remplacer la valeur 75 par 74 .

Nous avons jne = 75
Nous allons faire en sorte d'obtenir je = 74

Editons donc a l'aide (par exemple ) de Ghex .

Ghex2 Sysinfos

On va rechercher la valeur hexa 75 40 et hop , y'a plus qu'a modifier , enregistrer, faire un chmod +x Sysinfos et lancer le prog pour vérifier.


[root@localhost kmkz]# ./Sysinfos2 i
Vérification de votre mot de passe..
'+) Authentification réussie...
U'r root!

sh 3.0 #


Et voila , le Sysinfos est encore une fois bypasser et ce d'une façon des plus élémentaire mais c'était " just for fun " ;-) .