| ||||
Рассказ взломщика сотовых телефонов
| ||||
|
Скука Дело было в конце 1993 года, бизнес с девчонками к тому моменту уже кончился. Жизнь и бизнес вернулись в обычное, скучное русло - выдушивание из иностранцев денег на "русское программирование". Писать об этом отдельно не имеет смысла, потому что все было предельно цинично и скучно - якобы десяток русских программистов и художников были заняты в крупном программном проекте. На деле же все делал один студент, а разница между его зарплатой и получаемыми деньгами и была источником моего существования.
Взломанный телефон - это как? А так - звонишь ты, а платит кто-то другой (или вообще никто). Ты на время присваиваешь номер чужого телефона, и счет за твои переговоры приходит хозяину номера (в принципе, он может и отказаться платить за чужие разговоры). Техническая сторона будет раскрыта чуть позже, но в тот самый момент пришло осознание, что это ТЕМА. Мой сегмент рынка Тусовка этого видеофила боялась бандитов как черт ладана, поэтому продвигала пиратчинку среди своих друзей, коммерсантов средней руки. У меня же, напротив, имелся вполне положительный опыт взаимодействия с этими самыми ужасными бандитами. Мне сразу стало понятно, что это - идеальный товар для людей, занятых разнообразной незаконной деятельностью. Судите сами - никаких следов (звонишь с разных номеров), не подслушать (кого подслушивать-то?), да и объем звонков у таких людей, как правило, столь велик, что никаких денег на честный телефон не хватит. Первый вопрос Первое, что нужно было решить для себя, это где переделывать телефоны. Можно было воспользоваться услугами уже существовавшей тусовки, но такое решение привело бы к зависимости от них и их ценовой политики. Памятуя о том, что сделанное одним может повторить другой, я обратился к знакомому нищему электронщику. Гений без штанов Знакомство с ним произошло за полгода до описываемых событий, когда изучался вопрос о создании перехватчика для автомобильной сигнализации. Потом расскажу об этом поподробнее. Пока что замечу, что она была создана, но наладить массовый сбыт - ввиду сложности использования - не удалось. Примерно во время нашего знакомства он продал свой телевизор и музыкальный центр, чтобы на что-то жить. Он сразу согласился стать главным техническим специалистом. Еще бы - эта тема пахла деньгами. Не то чтобы он действительно был гением. Со временем я понял, что 90% его крутости и "профессионализма" - просто понты. Но, надо отдать ему должное, он и его команда (всего 4 человека) обладали фантастической работоспособностью и решали-таки любые технологические задачи. Реклама, часть один Для начала были извещены все специфические знакомые. Они узнали, что телефоны - отключенные за неуплату или со сложной судьбой - теперь можно не выбрасывать или отдавать детишкам. Теперь у них может появиться новая жизнь. Как обычно, этот контингент реагировал с гипертрофированным энтузиазмом. Именно в те времена появилась фразочка о "мешках телефонов". Реальность, как всегда, оказалась много скромнее. Первый заказ Первый заказ пришел из тюрьмы. Ну, не совсем тюрьмы - из изолятора временного содержания. И волновали людей не деньги, а секретность. Помню, мы даже внутренности телефона протерли - уничтожали отпечатки пальцев. Не все шло гладко, но результат был! Клиент (а это была девушка, хозяйка агентства недвижимости) осталась очень довольна и рассказала своим знакомым. Заказы посыпались. Первая фаза Сначала мы "делали" аппараты единственной на тот момент сотовой компании. Делали просто - подменяли номер внутри аппарата, прописывая другой, и все. Почти никакой защиты там не было. Номер хранился в энергонезависимой памяти (EEPROM) телефона. Раз разобравшись, как ее редактировать, мы уже легко повторяли операцию. Поначалу мы не продумали как следует ценовую политику и делали аппараты практически за бесценок - клиент платил один раз $150 (кажется) и потом, за каждую смену номера, еще $45. Учитывая, что минута разговора по городу стоила $3, цены были более чем божескими. Скоро стало ясно, что долго так продолжаться не может - мы неграмотно действовали, "выдавая" один и тот же номер сразу нескольким клиентам. В результате они мешали друг другу: система обладала смешным свойством - с данного номера звонить может только один человек. Второй"срубает" первого с линии (я упрощаю, но эффект именно такой). Тогда мы и придумали вторую фазу. Технология, часть один Пора объяснить поподробнее, как же это - пиратировать чужой номер. Если неинтересно, можно смело читать следующий пункт. Ничего сверхзанимательного здесь нет, просто хочется все расставить на свои места. Пока мы обсуждаем систему NMT-450. В Москве аппаратурой этой системы пользуется Московская Сотовая (МСС), по России - это СОТЕЛ. В те времена телефонные аппараты системы NMT-450 были практически не защищены от взлома. Каждый аппарат в системе идентифицировался десятизначным кодом. Расскажу о нем подробнее. Сразу хочу предупредить, что все это уже давно неактуально, потому что усилиями хакеров фирму Nokia вынудили разработать достойную систему защиты (SIS). Рассмотрим на примере Москвы. Допустим, у абонента номер телефона 8-гудок-2-900-4455 (совершенно случайно выбранный номер, не звоните туда!). Тогда в его аппарате могло быть прописано следующее: 480-4455-123, где 48 - код города Москва в системе NNT-450, 04455 - идентификатор собственно абонента (последние 5 цифр номера), а последние три цифры - защита. Слабая такая защита. Дело в том, что обойти ее было проще простого - прописать туда три нуля (для продвинутых - "двоичных" нуля; если среди этих цифирей встречался нуль, он был "десятичным", то есть цифрой "A"). Таким образом, чтобы "подсесть" на телефон знакомого с номером 8-гудок-2-905-1112, нужно было записать в свой аппарат 485-1112 (защиту мы даже не учитывали - всегда обнуляли). Вторая фаза Целей у второй фазы операции было две: во-первых, облегчить жизнь клиентам, чтобы им не приходилось приезжать к нам за новыми номерами, во-вторых, нормализовать ценовую политику, то есть брать с клиентов больше денег. Мы сделали так, что клиент теперь смог сам менять номер в своем телефонном аппарате. Стало очень удобно - кончились деньги у одного, "пересел" на любого другого. В некоторых моделях аппаратов оказалось достаточно немного подправить программу (это же компьютер, как ни крути), для других было разработано специальное устройство, которое вставлялось внутрь и, как паук, подключалось к десятку контактов. Цены мы тоже подняли - стали брать за модификацию аппарата от $300 до $400. Тут нужно заметить, что это мы брали столько, наши дилеры отрывались по полной программе - доходило аж до восьми сотен. Кошмар Через каких-то 10 месяцев именно этим словом определялось состояние функционеров операторов NMT-450. В некоторых городах пиратов было почти 10%, а объем неоплаченных разговоров - все 90%. Это уже не говоря о недовольстве клиентов. В общем, стало пахнуть керосином. Операторам в крупных городах пришлось срочно менять оборудование и аппараты абонентам, чтобы перейти на систему защиты SIS. Приколы Мы тяжело работали, но и веселья было предостаточно. С тех времен в обиходе остались несколько фраз. "Таскать телефоны мешками" - одна из них. Еще был прикольный случай, когда мы с приятелем зашли на Модную Большую Биржу. Там торговали металлом, валютой и еще хрен знает чем. Зашли мы к знакомому Большому Функционеру. Оба - с пиратскими телефонами. Когда ему понадобилось куда-то позвонить, мы оба предложили наши трубки. Он замешкался (напоминаю, тариф был около $3 минута), а мы ему и говорим: "Думаешь, мы платим?". Он, вероятно, решил, что мы - крутые бандиты и за нас платят какие-то люди. "Но ведь кто-то же платит!" - только и смог выдавить из себя Большой Функционер. Это фраза тоже осталась с нами навсегда. Так кто же все-таки платил? Сложный вопрос. Сначала, пока операторы не поверили в саму возможность взлома, они не принимали претензий. Но со временем, когда жалобы стали массовыми, в офисе стали происходить эксцессы с рукоприкладством (ясно, кто мог себе позволить платить по $3 в минуту?). Тогда операторы стали давать клиенту распечатку его звонков и просить его вычеркнуть незнакомые номера. После этого счет корректировался. Так все и устаканилось до момента, когда все 100% абонентов были переведены на защиту. Что же они не пытались бороться? Все просто - никакого закона мы не нарушали, а наша крыша сразу договорилась с крышей сотового оператора (по их понятиям, "нельзя запретить вору воровать" или что-то в этом духе). В общем, чувствовали мы себя как сыр в масле. Наши клиенты тоже почти ничего не нарушали. Я сразу им объяснял, что, во-первых, доказать ничего нельзя, а во-вторых, даже если сознаться, то привлекут по двум нестрашным статьям административного кодекса - незаконное использование услуг и неразрешенный радиопередатчик. В общем, штраф в несколько МРОТов и все. Ну защитились они, и что дальше? А дальше мы переключились на другую систему (AMPS/NAMPS/DAMPS), которая была защищена не сильно лучше. Но эту историю я расскажу в следующий раз. В завершение добавлю, что SIS введен вовсе не везде. До последнего времени в Мурманске его не было. А в Финляндии нет и до сих пор... На чем мы там остановились? Да, так вот, с введением защиты тема не умерла. Разумеется, мы знали о такой возможности и заранее к этому готовились. И вот, как сейчас помню, 1 апреля, в день, когда крупнейшие NMT-операторы заявили о 100% переводе своих клиентов на систему SIS, мы сделали первый, пока пробный, выход в эфир пиратированного телефона другой системы. В этот раз повезло операторам, которые использовали телефоны стандарта AMPS, и его модификациям (NAMPS, DAMPS). В Москве это BeeLine (Билайн). Тут особого ума не надо - их же хакают по всей планете! А вот и нет! То есть хакают, конечно. И 90% всех телефонов на земле именно этой системы. Но, во-первых, технология у американских фрикеров, мягко говоря, инфернальная. А во-вторых, несмотря на сотни криков, по делу в Internet так ничего и не нашлось. Только пустые разговоры, и - редко-редко - взломанная управляющая программа из телефона какой-нибудь античной модели. В качестве примера мусора из Internet привожу этот документ. Называется он MOTOROLA BIBLE. Он почти совершенно бесполезен, понты из него так и прут. В общем, делать пришлось все самим. А что там такого особенного? Дело в том, что американцы, когда создавали стандарт AMPS, думали головой, а не жопой, как европейцы со своим NMT. И защиту, какую-никакую, но заложили. Нужно заметить, что до нас по-хорошему, чисто, эту защиту никто так и не взломал. Все известные мне американские хакеры-фрикеры пользовались обходными путями. И что же там была за защита? Для своего времени - очень даже неплохая. У каждого телефонного аппарата есть неизменяемый заводской серийный номер ESN (Electronic Serial Number). Он выдается раз и навсегда (технология не предусматривает его замену). При продаже телефона оператор заполняет NAM (Number Address Module), где хранится номер телефона и ещё кое-какая техническая информация. Так вот, комбинация ESN и NAM и есть уникальный идентификатор абонента. И что с ней делать? Чтобы имитировать такой телефон (то есть подсесть на него), нужно знать ESN и NAM. Откуда можно взять эту информацию? Есть два способа - социально-инженерный и технологический. Первый - это trashing и подобные фокусы. Какой такой trashing? Trashing - это копание в мусоре, который выкидывают из магазинов, в надежде найти выброшенную копию контракта или что-нибудь еще (например, номер чужой кредитной карты, но об этом - в другой раз). К слову, в штатах мусор является федеральной собственностью, так что за копание в помойке можно схлопотать срок. В совке все проще. А если без мусора? Без мусора тоже можно обойтись - например, снять девочку, которая контракты выписывает, и за шоколадки/секс получать от нее чужие секреты. Опытный жулик так может обеспечить свои потребности, но коммерчески это неприменимо. Значит, остается второй способ - нужно искать технологическое решение. Тут тоже есть варианты. Можно купить промышленное устройство. Для этого нужно подделать бумаги, дающие право приобретать такое оборудование (абы кому такое не продают - только правоохранителям), и наскрести немалые деньги - товар штучный, цены - соответственно - атомные. И нужно понимать, что оборудование, которое можно купить таким образом, придумано и сделано для другого - это тестовое оборудование, которое заодно может и то, что требуется для взлома. Это примерно как вместо отмычки покупать гранатомет - препятствие в виде замка и двери будет устранено в обоих случаях. Так что лучше сделать такой агрегат самостоятельно. Как? Тут-то и началось самое интересное. Выяснилось, что никакой полезной информации нет. В Internet'е удалось найти только самое общее описание, и оно содержало огромное количество неточностей и ошибок. Пришла пора рассказать обо всем подробно. Технология, часть 2 Опять же, если неинтересно, эту главку можно пропустить. Для интересующихся расскажу, как же оно действует. Разумеется, упрощенно, только то, что относится непосредственно к взлому. Взлом состоит из двух частей - сначала нужно чужую информацию добыть, и потом нужно ее записать в свой аппарат. Для установления связи аппарат сообщает о себе пару ESN+NAM (американские фрикеры их так и называют - pairs). Базовая станция (в народе - сота) эту информацию принимает и запрашивает у главного компьютера, существует такая пара или нет. Если существует, то соединение происходит. Здесь важно то, что пара передается в эфире как есть, то есть без кодирования. И ее можно перехватить. Для этого нужно сделать приемник и декодер. Вместо приемника можно использовать радио-сканер, только придется попотеть, чтобы найти нужный (в большинстве сканеров нужный диапазон закрыт). Дальше нужно декодировать принятый сигнал. Метод кодировки там - NRZ (non-return to zero). В аппарате нужно модифицировать программу так, чтобы он позволял несложно и оперативно менять ESN+NAM. Ловилка Сначала мы сделали приемник. Мы не хотели связываться с поиском правильного радио-сканера, поэтому собрали приемник сами. Конечно, катушки никто не наматывал, все было собрано из модулей. Потом к нему подцепили персональный компьютер, и первый NRZ-декодер был просто программой под Windows (или DOS? не помню уже). Именно так мы получили первые пары. Попробовали. Получилось. Тогда сделали первую автономную ловилку - коробочку размером с пару видеокассет, с антенной, жидкокристаллическим окошечком на 4 строчки, и разъемом для подключения к последовательному порту компьютера (RS-232). Она перехватывала сигнал от любого телефона системы AMPS в радиусе 100-120 метров, показывала в окошке пойманный номер, ESN и еще кое-что, к взлому непосредственно не относившееся. С этой коробочкой мы объездили не один город. Она до сих пор где-то валяется как память, хотя почти сразу были сделаны более совершенные устройства. Вот пример технологического вывода ловилки, который посылался в последовательный порт компьютера:
Аппараты Потом руки дошли и до взлома аппаратов. Сначала возникла проблема с идентификацией процессора, который жил внутри телефонов Motorola. Из общих соображений было ясно, что это, скорее всего, процессор той же фирмы. Однако модель удалось определить не сразу. Кажется, его звали MC68HC11A (впрочем, после стольких лет могу и ошибаться). Первое, что мы попытались сделать, это определить его цоколевку (то есть взаимное расположение ног). Это оказалось непросто - хотя в те времена Motorola уже начала выкладывать документацию на web, по закону подлости, именно этого процессора там не было. Тогда я вспомнил, что один мой приятель в Израиле работает на фирме Motorola. Я ему позвонил, он сходил в библиотеку фирмы, и через пару часов из нашего факса вылез требуемый документ. Работа закипела. Я написал простенький табличный дизассемблер и сделал табличку для нашего процессора. Электронщики возились очень долго, зато и результат превзошел ожидания - в аппарат можно было записать сразу 10 разных пар и быстро переключаться между ними. Сбыт Работу с клиентами я с самого начала поставил на "ура". Результатом стало то, что почти все наши старые клиенты пришли снова. При этом они и платили снова, никаких скидок (кроме символических) им не делали. Просто они прекрасно помнили, как это сладко - болтать часами на халяву. Вместе с нашим телефонным аппаратом клиент получал список пар (для простоты - список), строчек около 100. Когда текущий список заканчивался, всем раздавался новый. Списки составлял я. Люди, имевшие "честные" аппараты и боявшиеся получить чужие счета, стали спрашивать через друзей - можно ли исключить их номер из списка. "За деньги мы можем все" - говаривал, бывало, мой приятель - адвокат из Израиля. Так же отвечал и я. За какие-то $100 номер телефона счастливчика навечно пропадал из наших списков. Списки выглядели примерно так: Кусочек питерского списка (номер/ESN): (812) 987-0348:500-870-2722 - - - - - - - - - - - - (812) 987-0809:547-054-2761 А вот кусочек московского (номер/ESN/защита/код доступа к межгороду): (095) 247-9475:335-132-7051:155-734-9999-598-342-1003:*04156 - - - - - - - - - - - - (095) 755-0879:335-134-4402:493-743-4451-176-821-9176:*01323 Телефоны продавались по $600-$800 за штуку. Спрос был так высок, что я с трудом успевал покупать сырье - отключенные за неуплату или проблемные трубки и микросхемы памяти (ROM, по-русски ПЗУ), куда прописывалась новая программа. Из-за того, что сырья катастрофически на хватало, пришлось покупать его за границей, и я освоил кардинг (про это тоже расскажу потом). Дело дошло до того, что на офисе, где я сидел, появилась табличка - "ПРИЕМ ДЕНЕГ КРУГЛОСУТОЧНО". Это было веселое время. Дилеры С первым своим дилером я познакомился, прочитав его объявление в релкоме (была такая сеть, еще до появления в России полноценного Internet). Он продавал телефоны. Я предложил ему переделывать телефоны у нас, он согласился, и работа закипела. Но это был единственный случай, когда кого-то нашли по объявлению. В остальных случаях мне помогали мои клиенты и крыша - все ездили на родину с телефонами, и всегда находился молодой деятельный парнишка, который разворачивал у себя в городе каналы сбыта. Наши телефоны долетали аж до Иркутска и Владивостока. Реклама, часть 2 Заодно с перехватом телефонных пар электронщики разобрались и с кодированием пейджеров. Как-нибудь расскажу про глобальную идею, связанную с ними, а пока скажу, что мы продавали результаты перехвата. Нужно отметить, что это было еще до выхода известного указа о спецтехнике. Именно это я и решил порекламировать. На факсы людям посыпалась реклама примерно такого вида: Заказов было не очень много, но контингент обращавшихся был что надо - мелкие торговцы, жулики, разнообразные службы безопасности банков. Большинству из них я впарил и по пиратскому телефону - соглядатаи, как правило, сами отменные параноики. И идея звонить, не оставляя следов в своем счете, им нравилась. Заграница Мы славно развернулись в России и ближнем зарубежье. Но не давала покоя мысль о том, что крупнейший в мирерынок - обе Америки - нами не охвачен. Но торговать там так же, как в России, не представлялось возможным. Здесь мы имели дилеров с ловилками в большинстве городов, которые осуществляли послепродажный сервис - давали номера. В Америке же борьбой с сотовыми пиратами занимается Секретная Служба тамошнего министерства финансов, поэтому встречаться с клиентом второй раз очень опасно. Не то чтобы они уж очень эффективно борются, но щеки надувают и пропаганду разводят нешуточную. Когда стало ясно, что так торговать не получится, мы вернулись к идее, которую обсуждали с самого начала, но за ненадобностью не реализовали - засунуть ловилку в аппарат. Такого еще никто не сделал! Электронщики засели за свои осциллографы и прочую дребедень, и через некоторое время вынесли вердикт - радио тракт внутри аппарата подходит для перехвата. На человеческом русском это значило - сканер на фиг не нужен, в качестве сканера будет выступать сам аппарат. Оставался NRZ-декодер. Его ничего не стоило сделать программным, то есть внести еще изменений в код программы телефона. Но такое решение было бы слишком легко скопировать (а к тому моменту наши программы воровали все подряд). И мы выбрали аппаратное решение - на базе процессора Z8. Это теперь я рассказываю, что там стоял за процессор, тогда же мы его так корежили напильником, что понять это было невозможно. Такую штуку хрен скопируешь. И, что интересно, ее так никто и не скопировал. Наиболее талантливая тусовка конкурентов просто создала собственное устройство с точно таким же интерфейсом. У них это отняло 1,5 года - было за что биться. Что же получилось? Получилось в кайф! В кармане лежал телефон, и если в радиусе 30-40 метров (не 100-120, как в случае со сканером, но и этого более чем достаточно) кто-то звонил или кому-то звонили, он перехватывал пару, запоминал ее и говорил "пииииип". На экране появлялась надпись SCAN nn - где nn - номер ячейки. Это просто для понта сделали, чтобы веселее было. В аппарате было 100 ячеек памяти. В них накапливались пойманные пары. Самые свежие затирали самые старые. Каждый раз аппарат звонил с другого номера. Это обеспечивало абсолютную безопасность - кто заметит, что в его счете ОДИН непонятный звонок? Да никто! А если и заметит, то не будет кричать - подумаешь, ошибся. Еще наш аппарат отвечал на звонок почти вдвое быстрее стандартного. То есть если взять себе какой-нибудь из пойманных номеров и раздать его друзьям, дозваниваться будут на наш телефон, а не хозяину. Сильно? И как там Америка? Увы. С Америкой так и не заладилось. В Израиль аппараты уходили неплохо (их там штук 40, наверное), а вот в Америке народ оказался слишком запуган - несколько штук из Чикаго вернули с криками "не работает", но быстро выяснилось, что они просто испугались. В Нью-Йорке живут несколько наших творений, но там и контингент соответствующий - push'еры (это которые наркотой торгуют) и угонщики автомобилей. Для них это не самое страшное преступление в жизни. Собственно, я и придумал, как выйти на пушеров - заставил своих знакомых в NY спросить у друзей, которые нюхают, "Где берешь? Предложи туда это!". Так и было продано несколько штук. Дальнейший сбыт там был осложнен тем, что в крупных городах (Нью-Йорк, Чикаго, Лос-Анджелес) введена дополнительная защита, на перехват которой наш аппарат не был рассчитан. Зато он умел не брать телефоны из городов, где есть защита - ему можно было сказать: коды городов 212, 515 и т.д. - игнорируй. Так что, зря вставляли ловилку? Нет, конечно! С появлением автономного аппарата сбыт увеличился в разы - многие скептически настроенные люди немедленно купили себе и друзьям. Раньше они не хотели быть привязанными к спискам. Еще купило много народу из тех, кто много ездит по России и в Америку. В общем, все шло даже слишком хорошо. Операторы стандарта AMPS/NAMPS/DAMPS стонали. Защита И они начали защищаться. Как я уже писал в прошлый раз, организационно с нами сделать было ничего нельзя. Поэтому борьба шла техническая. И конечно, самые сильные войны шли в Москве, где был крупнейший рынок. Сначала они ввели коды доступа к межгороду. Это была идиотская идея - мы эти коды перехватывали и публиковали в списках. Потом они перевели всех на систему DAMPS. Это те же яйца, но вид сбоку. Единственная проблема была с аппаратами - кроме нас переделать их никто не справился. Таким образом, мы объективно выигрывали от введения защиты. И только через несколько лет Билайн разорился-таки на достойную защиту. Это так называемый A-Key (authentication key). В детали вдаваться не буду, скажу только, что и она неидеальна. Но именно с введением A-Key они смогли наконец вздохнуть свободно. В Москве пиратства больше практически нет. В других городах все по-прежнему процветает. Только в Питере попытались что-то сделать, но денег на A-Key у них не хватило, и они купили защиту на базе так называемого RF fingerprinting ("отпечатки пальцев" телефона). Система построена на базе одного мифа и мешает пиратам только в хорошую погоду. Чуть на небе тучки - пиратские телефоны снова оживают. А из других мест вообще ничего не слышно о защитах. Ну вот... Все основные моменты я вроде бы изложил. Конечно, на семи страничках не расскажешь обо всем, что было за много лет. Даже не знаю, что задать на дом. Поговорите с друзьями. Наверняка кто-то из них пользовался нашей продукцией. Пусть расскажут, как классно болтать и не думать, сколько потом придется платить. В завершение привожу инструкцию (на русском языке!), которой я снабжал продаваемые телефоны. Термин LIFETIME PHONE я позаимствовал из какой-то газеты, где рассказывали про американского фрикера.
Добавил: Павел (Admin) Автор: Неизвестно Вас может заинтересовать:
|
|||
| ||||
|