Как это работает: координаты базовых станций. Часть 2
В первой части мы уже рассмотрели, откуда сервис местонахождения базовых станций берет данные и что именно показывает вам. Во второй части мы рассмотрим практическое использование сервиса, посмотрим, какие параметры он использует и где их брать.
Базовая станция сотовой сети
Параметры базовой станции
Зайдя на страницу сервиса, вы видите форму, предлагающую указать параметры базовой станции: MCC, MNC, LAC/TAC, CID/SAC/ECI. Все эти параметры обязательны для того, чтобы найти, где расположена базовая станция.
Форма ввода параметров базовой станции
MCC — это код страны, Mobile Country Code. Номер, состоящий из трех цифр, уникальный для каждой из стран мира.
Вы можете ввести этот код самостоятельно (ручной ввод) или воспользоваться встроенным справочником, в котором есть коды абсолютно всех стран.
MNC — код сотовой сети, Mobile Network Code. Номер, состоящий из двух цифр, присваивается каждой сотовой сети. Является уникальным кодом сотового оператора внутри страны. То есть в разных странах коды сотовых сетей могут повторяться.
Встроенный справочник содержит коды всех сотовых сетей России. Коды операторов «большой тройки» также применимы к Белоруссии и Украине.
Если объединить MCC и MNC, то получится номер мобильной сети PLMN — Public Land Mobile Network. Например, для сети Билайн (MNC — 99) в России (MCC — 250) номер PLMN — 25099.
CID / SAC / ECI — идентификатор соты (Cell ID) в GSM, код зоны обслуживания (Service Area Code) в UMTS и идентификатор соты E-UTRAN (E-UTRAN Cell Identifier) в LTE-сетях. Для GSM и UMTS представляет собой число размером 16 бит (от 0 до 65535), для LTE — число размером в 28 бит, т.е. от 0 до 268435455. Этот номер однозначно указывает на базовую станцию, он уникален внутри каждой зоны обслуживания (LAC или TAC) каждого оператора в стране.
Строго говоря, ECI уникален в пределах сети оператора даже без учета зоны обслуживания, так что некоторые геолокационные сервисы найдут базовую станцию сети LTE, даже если вы введете неверный TAC, например, 0.
Собирая все эти параметры вместе, мы получаем комбинацию чисел, однозначно определяющую базовую станцию по всему миру:
MCC—MNC—LAC—CID.
Например, базовая станция оператора МТС (код оператора — 01) с идентификатором соты 1384, расположенная в регионе с кодом местности 114 республики Беларусь (код страны — 257) будет кодироваться такой последовательностью чисел: 257-01-114-1384.
Мониторинг сотовых сетей
Теперь немного о том, где мы можем достать все эти параметры, чтобы посмотреть, где находится базовая станция (вернее, как мы знаем из предыдущей части статьи, где может находиться абонент, зарегистрированный на базовой станции).
Если вы являетесь счастливым обладателем смартфона на базе ОС Android, то лучшими приложениями, которые покажут всю необходимую информацию являются бесплатные G-MoN и G-MoN Pro. Можно также использовать комбинацию *#*#4636#*#* для запуска инженерного меню, в котором также будет вся необходимая информация.
G-MoN (слева) и G-MoN Pro (справа)
Лично мне больше нравится именно версия Pro, т.к. позволяет видеть информацию сразу о двух сетях сотовой связи в двухсимочном смартфоне.
Для владельцев iPhone-ов таких приложений, насколько мне известно, нет. Но вы можете посмотреть нужные параметры в инженерном меню, попасть в которое можно, набрав комбинацию *3001#12345#*
Так вот, если посмотреть на экран любого из приложений (или на экран инженерного меню), то для начала мы увидим параметры сети оператора связи — NET в G-MoN или PLMN в G-MoN Pro. Как вы уже знаете, PLMN представляет собой два параметра — 3 цифры MCC и и 2 цифры MNC, записанные вместе.
Например, на скриншоте G-MoN выше мы видим сеть 26203, т.е. MCC здесь будет — 262, а MNC — 03. Вводим эти данные на сайте и видим, что разработчик приложения, скорее всего, живет в Германии, а воспользовавшись этим списком, понимаем, что он использует оператора связи E-Plus.
Дальше нам нужны параметры LAC (825 на скриншоте) и CID (23395 на скриншоте). Вводим все это на сайте и получаем примерное местонахождение разработчика, когда он сделал этот скриншот.
Местонахождение базовой станции 262-03-825-23395
Чтобы определить место еще точнее, можно последовательно ввести данные всех соседних вышек, которые показаны в разделе Neighbour cells detected программы G-MoN: 40055, 7655, 34105, 39075. Но не забывайте обращать внимание на параметр RXL в крайнем правом столбце, чем он меньше (больше в абсолютном значении), тем хуже уровень приема базовой станции, а значит, тем дальше она находится от абонента.
Соседние базовые станции
На скриншоте выше мы отобразили все базовые станции (вернее, усредненные местоположения абонентов в секторе), которые видит телефон разработчика программы G-MoN. Как видим, базовая станция, на которой абонент зарегистрирован в данный момент (в момент снятия скрина), находится посередине между соседними базовыми станциями, причем, чем хуже сигнал (меньше RXL), тем дальше базовая станция находится от абонента.
Вместо заключения
Я думаю, не надо объяснять, что таким образом вы можете узнать параметры только своего телефона, так что следить за другими людьми у вас не выйдет. Если, конечно, у вас нет доступа к сети SS7 (подробнее об этом можно узнать в исследовании Positive Technologies), но это уже совсем другая история.
А пока пользуйтесь сервисом и не забывайте, что сайт живет на ваши донаты.
Как узнать координаты базовой станции GSM по MCC, MNC, LAC и CellID (CID).
Published 22.04.2015 by Johhny
Какие данные необходимы для локализации БС?
Для того, чтобы найти координаты сектора базовой станции необходимо знать 4 параметра:
Где взять эти данные?
Откуда берутся координаты базовой станции?
Поиск координат базовых станций проводится в базах данных Google и Yandex, которые предоставили такую возможность. Следует отметить, что в результате поиска мы получаем не точное местоположения вышки, а приблизительное. Это то местоположение, в котором регистрировалось наибольшее количество абонентов, передавших информацию о своем местоположении на серверы Google и Yandex. Наиболее точно местоположение по LAC и CID определяется при использовании функции усреднения, при которой вычисляются координаты всех секторов (CellID) одной базовой станции, а затем вычисляется усредненное значение.
Как работать с CellIDfinder?
Для того, чтобы начать работать с сервисом поиска местоположения базовых станций CellIdfinder необходимо установить на смартфон любой нетмонитор. Вот один из неплохих вариантов. Включаем скачанное приложение и смотрим необходимые параметры.
В данном случае в окне нетмонитора мы увидели:
MCC = 257 (Белоруссия)
MNC = 02 (МТС)
LAC = 16
CID = 2224
Вводим эти параметры в форму поиска на главной странице. Т.к. LAC и CID могут выдаваться нетмонитором как в десятичном, так и в шестнадцатеричном виде, то форма поиска имеет автозаполнение для LAC и CID во втором виде. Выбираем «Данные Google», «Данные Yandex» и, если необходима высокая точность, «Усреднение». Нажимаем кнопку «Найти БС».
В результате получили координаты для данного сектора базовой станции. Более того координаты по базам Google и Yandex практически совпали, а значит можно предположить, что БС построены на карте достаточно точно.
Как работает роуминг — международный, национальный, аварийный
Поведение телефона в роуминге иногда кажется не совсем понятным и предсказуемым, например, в части выбора сети.
Прежде всего, изложенное далее относится не только к телефонам, но ко всем мобильным терминалам GSM-UMTS-LTE – планшетам, модемам, роутерам и так далее. Для понимания процесса важно, что на каждой базовой станции есть приемопередатчик, который постоянно передает радиосигналы, содержащие «системную информацию». Системная информация сгруппирована в системные сообщения (в сети GSM) или системные блоки (в сетях UMTS и LTE), несущие информацию, необходимую мобильным станциям для того, чтобы ориентироваться в обстановке и принимать решения для выполнения тех или иных действий при получении доступа к услугам и работе в сети мобильной связи.
Далее для простоты будем считать, что это всё работает и на базовых станциях, и в телефоне, предоставляя вышележащим уровням программного обеспечения в телефоне необходимую информацию.
Включаем телефон и…
Итак, прилетев в другую страну, мы включаем телефон, чтобы получить доступ к услугам мобильной связи.
После включения для получения доступа к услугам мобильной связи телефону необходимо выполнить целый ряд задач. Для ускорения доступа к услугам, некоторые задачи выполняются параллельно, но есть несколько ключевых процедур, которые должны быть обязательно выполнены.
А какие сети работают в округе?
Очевидно, что для доступа к услугам телефону необходимо установить канал связи с одной из базовых станций. Для этого телефон должен выполнить поиск сигналов базовых станций для всех поддерживаемых им технологий радиодоступа и во всех поддерживаемых диапазонах частот. Понятно, что эта задача достаточно длительная, что может вызывать не самые приятные эмоции у пользователя, особенно для моделей с наибольшими возможностями по поддерживаемым технологиям радиодоступа и диапазонам частот. Поэтому стандарты разрешают производителям оптимизировать этот процесс.
«Золотой ключик» к услугам сети
Для того, чтобы предоставить доступ к услугам мобильной связи оператору необходимо убедиться в том, что абоненту эти услуги можно предоставлять – он имеет подписку на эти услуги. Ключом для доступа к услугам является (U)SIM-карта. Поэтому сразу после включения питания мобильного терминала и установления рабочих напряжений для его узлов, начинается процедура инициализации (U)SIM-карты, в ходе которой телефон ищет файлы и пытается прочитать из них информацию, необходимую для принятия решения о выборе сети и последующей регистрации в выбранной сети.
6F7B — EF fplmn (Forbidden PLMN) – список «запрещенных» сетей
Это небольшой файлик для записи кодов MCC+MNC для четырех сетей, организованных в порядке «очереди» (FIFO). При изготовлении (U)SIM-карты, этот файл не имеет записей (во всех полях записано значение FF). Когда при попытке регистрации в «чужой» сети телефон получает отказ с кодом причины #11 PLMN not allowed, то код MCC+MNC этой сети записывается в этот файл. Потом, при выборе сети для автоматической регистрации терминал уже не предпринимает попыток автоматической регистрации в сетях, коды которых в этот момент присутствуют в этом файле.
Если пользователь в ручном режиме выберет сеть, код которой содержится в этом файле, то телефон попытается зарегистрироваться в этой сети, несмотря на то, что код сети присутствует в списке «запрещенных».
Если регистрация произойдет успешно, то телефон удалит код этой сети из списка «запрещенных» (заполнит место значением FF). Если в ручной регистрации будет отказано, то всё останется без изменений.
6F30 – EF plmnsel (PLMN selector)
Это один из самых старых файлов, влияющих на выбор сети в роуминге. Он содержит коды сетей (не менее 8 кодов MCC+MNC) в порядке приоритета их выбора в роуминге. Формировать этот список может как сам пользователь через интерфейс телефона, так и оператор, причем, не только при изготовлении (U)SIM-карты, но и впоследствии, загружая информацию «по воздуху».
В ходе дальнейшего развития стандартов и технологий появились ещё несколько файлов, в которых влияние пользователя и оператора были уже разделены, но зато в файлы добавлена информация о технологиях радиодоступа, доступных в каждой из сетей.
6F60, 6F61, 6F62
6F60 – EF plmnwact (User controlled HPLMN Selector with Access Technology)
6F61 – EF oplmnwact (Operator controlled PLMN Selector with Access Technology)
6F62 – EF hplmnwact (HPLMN Selector with Access Technology)
Эти три файла имеют одинаковую структуру. Они могут содержать список кодов (MCC+MNC) для не менее 8 сетей, но с дополнительной информацией о технологиях радиодоступа, поддерживаемых каждой из сетей (GSM, GSM-Compact, UTRAN, E-UTRAN, cdma2000 HRPD, cdma20001xRTT).
Файл 6F60 может заполняться пользователем, обычно через интерфейс телефона, если производитель телефона такой интерфейс предоставляет.
Содержимым файла 6F61 управляет оператор, выпустивший (U)SIM-карту, как при заказе партии (U)SIM-карт, так и впоследствии, когда он может изменять список, передавая новое содержимое файла «по воздуху».
6F31 — EF hpplmn (Higher Priority PLMN Search Period)
Это короткий файл, содержащий число, определяющее длительность интервала, после которого телефон должен пытаться искать сеть с большим приоритетом (домашнюю и т.п.).
Так что же выбирает телефон?
Итак, наступает момент, когда включенный телефон после инициализации (U)SIM-карты, закончил чтение файлов, необходимых для принятия решения о выборе сети, и в результате поиска обнаружил сигналы базовых станций мобильных сетей, и собрал передаваемую ими системную информацию. Каким же образом принимается решение об автоматическом выборе сети?
3GPP-ETSI TS 23.122 в автоматическом режиме предписывает телефону выбрать сеть (PLMN) с наивысшим приоритетом из тех сетей, которые доступны и не запрещены. «Запрещенные» сети телефон проверяет в файле 6F7B — EF fplmn (Forbidden PLMN).
Какой режим выбора сети, автоматический или ручной, лучше использовать в международном роуминге?
Прежде всего, следует помнить, что телефон начнет работать в том режиме выбора сети (автоматическом или ручном), в котором он находился в момент выключения питания. Это кажется пустяком, но если телефон сразу после включения машинально засунуть в карман, а дома сеть по каким-то соображениям выбиралась вручную (ведь другие сети все равно не пускали к себе!), то в роуминге телефон автоматически сеть не выберет, и абонент может остаться без связи на неопределенное время!
Кроме того, нужно понимать, что при использовании телефона в роуминге в ручном режиме выбора сети и впоследствии есть шансы остаться без связи, если оказаться в местах, где покрытие выбранного оператора пропадает – телефон будет ждать решения владельца, о выборе сети из других, доступных в этом месте. Поэтому полезно или в ручном режиме выбрать одну из местных сетей и дождаться успешной регистрации, или перевести телефон в режим автоматического выбора сети и убедиться, что он зарегистрировался в одной из местных сетей.
Как оператор может влиять на автоматический выбор телефоном сетей в роуминге
Рекомендации оператора, выпустившего (U)SIM-карту, записываются в файл 6F61 – EF oplmnwact (Operator controlled PLMN Selector with Access Technology) и/или 6F30 – EF plmnsel (PLMN selector).
Многие операторы входят в группы компаний, предоставляющих услуги мобильной связи в нескольких странах. Естественно, в таких случаях операторы заинтересованы в том, чтобы абоненты получали услуги роуминга в сетях партнеров. И дело здесь часто не столько в желании получить дополнительный доход за счет более высоких цен, сколько в желании оставить доход в рамках группы компаний. Поэтому многие операторы внедряют у себя системы управления роумингом (Steering of Roaming). Многие, наверное, включив телефон по прилете в страну, обнаруживали приветственное текстовое сообщение от оператора, которое содержало практические рекомендации по использованию голосовой почты и др.
Оно появляется потому, что в момент регистрации в роуминге «домашний» оператор получает запрос от «визитной» сети на информацию, которая необходима для предоставления услуг абоненту, а значит «домашний» оператор узнаёт, в какой стране находится его абонент. Имея такую информацию можно отправить на телефон абонента «SMS-ку» специального формата, которая не будет отображена пользователю, а будет «загружена» телефоном в (U)SIM-карту, где обновит содержание нужного файла. С помощью этого механизма оператор подсказывает телефону приоритеты при автоматическом выборе сетей в роуминге.
Как пользователь может повлиять на автоматический выбор его телефоном сетей в роуминге
Поскольку уже было отмечено, что в международном роуминге, чтобы не остаться без связи, лучше использовать автоматический выбор сети, но при этом не хочется полностью полагаться на оператора, возникает вопрос, как абонент может повлиять на выбор сети в автоматическом режиме.
Прежде всего, полезно заранее ознакомиться со списком операторов, предоставляющих услуги в посещаемой стране (или странах), и тарифах на их услуги. На основе этой информации можно составить свой собственный список приоритетов выбора сетей в стране пребывания. В меню телефона в разделе настроек нужно найти настройки сети и список приоритетных сетей. Поскольку этот интерфейс не регламентируется стандартами, то название и местоположение этого пункта меню может быть различным в разных моделях, а в некоторых моделях этот пункт может и вовсе отсутствовать! Если пункт обнаружен, то список сетей, который там может присутствовать, следует отредактировать в соответствии с выбранными предпочтениями.
Почему в списке сетей для выбора предпочтительных указаны только сети 2G или 3G
Не нужно смущаться, если в списке для конкретной сети будет указана только одна технология радиодоступа, хотя известно, что оператор использует несколько технологий – GSM, UMTS, LTE. После того, как телефон обнаружит нужную сеть и получит к ней доступ, он сможет из системной информации, передаваемой БС, узнать о поддержке сетью и других технологий, чтобы затем выбрать ту из них, которая оптимальна с точки зрения радиоусловий.
Стоит ещё заметить, что ручную настройку списка приоритетов выбора сетей лучше делать уже находясь в стране, после того, как оператор мог подправить список предпочтения по своему разумению. Или, как минимум, проверить, что сделанная заранее настройка приоритетов не изменилась. Это особенно актуально для тех случаев, когда и оператор и пользователь используют для управления приоритетами один и тот же файл 6F30 – EF plmnsel (PLMN selector).
Стоит ли покупать SIM-карту местного оператора на время отпуска?
Каждый может решать этот вопрос исходя из своих интересов, потребностей и предпочтений. В последнее время российские операторы в значительной мере снизили цены на услуги роуминга, или стали предлагать специальные опции или пакеты, оптимизирующие затраты на связь в роуминге. Конечно, если предполагается много общения с владельцами местных номеров, то использование SIM-ки местного оператора может оказаться действительно более выгодным. Однако при этом можно оказаться недоступным для входящих звонков с Родины – ведь не всем известен номер телефона, присвоенный местной SIM-карте, да и заставлять людей совершать международные звонки не всегда удобно. В общем, этот вопрос каждый решает индивидуально, исходя из конкретных условий.
Аварийный Межсетевой Роуминг (АМР)
Это понятие появилось несколько лет назад, и даже сейчас не очень известно широкой аудитории.
Дело в том, что российская нормативная база не разрешает предоставлять услуги роуминга абонентам другого оператора, имеющего лицензии на той же территории (республики, края, области). Именно поэтому в файлах со списками «запрещенных» сетей (6F7B) в (U)SIM-картах российских пользователей обычно содержатся коды всех «чужих» сетей, работающих там, где абоненты проживают. Ведь БС операторы ставят в разных точках, и практически всегда можно найти местечко (лифт, подвал, середина большого железобетонного здания и т.п.), где телефон на некоторое время потеряет «домашнюю» сеть, и при этом обнаружит сеть другого оператора. Впервые попав в такую ситуацию, телефон попытается получить доступ к услугам в сети этого оператора. Из-за запрета роуминга, телефон обычно получает отказ в предоставлении услуг с кодом причины #11 PLMN not allowed, и код этой сети заносится в список «запрещенных» в (U)SIM-карте, чтобы предотвратить повторные попытки автоматической регистрации в «чужой» сети.
Но в случаях стихийных бедствий (например, недавнее наводнение на Дальнем Востоке), серьезных аварий в сетях операторов (например, при падении метеорита в Челябинской области), очень большое число граждан оказываются без связи. Они не могут вызвать помощь, например, врача, сообщить близким о своем местонахождении или узнать об их состоянии. В случаях таких серьёзных бедствий принято помогать пострадавшим «всем миром». Именно для таких случаев по инициативе регулятора (Минкомсвязи) или по запросу пострадавшего оператора может быть разрешено включение Аварийного Межсетевого Роуминга на территории, охваченной чрезвычайной ситуацией. В этом случае, абоненты получают возможность воспользоваться услугами любого из операторов, чья сеть доступна в конкретный момент. В отличие от экстренных звонков (на номер 112), при включенном АМР можно позвонить не только в МЧС, но и связаться с родными и близкими по их обычным номерам телефонов – мобильных или проводных, если они, конечно, работают.
В таких сложных ситуациях абонентам важно не растеряться и знать, что нужно сделать, чтобы воспользоваться сетями других операторов в чрезвычайной ситуации, ведь без специальных действий со стороны пользователя, их телефоны не станут регистрироваться в сетях других операторов, чтобы стать доступными для входящей связи.
Если телефон потерял связь с сетью «домашнего» оператора из-за выхода из строя сетевого оборудования, то телефон автоматически найдет сигнал одной из сохранивших работоспособность базовых станции другого оператора, и будет находиться в состоянии Limited Service, ожидая команды владельца позвонить по телефону экстренного вызова (112). В этом случае можно просто попытаться позвонить по нужному номеру. Если АМР включен, то «чужая» сеть должна предоставить соединение.
Если телефон продолжает принимать сигналы базовых станций «домашней» сети, но сеть не позволяет звонить, то нужно в ручном режиме выполнить поиск доступных сетей и выбрать одну из «чужих» сетей, обнаруженных телефоном. Если «чужая» сеть предоставит доступ, значит АМР включен, и такой абонент сможет совершать исходящие звонки и получать входящие. Если сеть откажет в доступе, то следует попытаться повторить ручной выбор других сетей, обнаруженных телефоном до тех пор, пока не произойдет регистрация в одной из сетей. Если же ни одна из «чужих» сетей не выполнила регистрацию, то это означает, что АМР в данном месте не включен, и в «чужих» сетях можно пользоваться только услугой «Экстренного вызова».
Найти и обезвредить. Как раскрыть местоположение мобильного абонента
В сетях мобильной связи возможно осуществление довольно специфичных атак. Об одной из них — раскрытии местоположения абонента в реальном времени с точностью до определения соты — пойдет речь в данной статье. Я не указываю точность в более привычных единицах измерения, т. к. размер соты не является величиной постоянной. В плотных городских застройках сота может обеспечивать покрытие порядка сотен метров, а в условиях лесов, полей и рек междугородной трассы — нескольких километров.
Элементы системы
Рисунок 1 (по клику открывается в полном размере)
Для начала проведу небольшое введение в структуру сотовой сети на примере стандарта GSM. Упрощенная схема стандарта приведена на рисунке 1.
Покрытие обеспечивается базовыми станциями (Base Station, BS), каждая из которых, как правило, имеет несколько антенн, направленных в разные стороны. Антенна обеспечивает радиопокрытие соты, каждая сота имеет свой идентификатор (Cell Identity, CI). Базовые станции группируются в географические зоны (Location Area, LA). Группировка происходит чаще всего по территориальному принципу. Идентификатор такой группы называется LAC (Location Area Code). На рисунке 1 каждая базовая станция обеспечивает покрытие трех секторов.
Базовые станции подсоединяются к контроллеру базовых станций (Base Station Controller, BSC). В самом простом варианте один LAC соответствует одному BSC. Именно такое назначение LAC показано на примере (рисунок 1). Для наглядности LAC выделены разными цветами.
Территория, покрываемая одним LAC, зависит от плотности населения. В Москве, в пределах МКАД, может быть несколько десятков LAC, а в небольшом регионе центральной полосы России разделение на LAC может быть таким: один LAC покрывает областной центр, второй LAC покрывает всю остальную территорию области.
Все контроллеры BSC подключаются к коммутатору (Mobile Switching Center, MSC). По сути, MSC представляет собой обычный коммутатор голосовых телефонных вызовов с аппаратно-программным расширением для обеспечения функций мобильности абонентов. В эпоху широкого распространения IP следует напомнить, что MSC оперирует коммутацией цепей (Circuit Switched) согласно установленным в нем статичным таблицам маршрутизации на основе привычной нам телефонной нумерации.
Регистр местоположения визитных абонентов (Visited Location Register, VLR) функционально считается отдельным элементом сети, но фактически всегда интегрирована с MSC. В базе данных VLR содержится информация об абонентах, которые в данный момент находятся в зоне действия своего MSC. И раз уж тема статьи о местоположении абонента, то стоит упомянуть, что для каждого абонента в БД VLR хранится информация о текущем идентификаторе LAC, и идентификаторе той соты (CI), которая была при последнем радиоконтакте мобильного телефона с сетью. То есть, если абонент передвигается по территории покрытия одного LAC, не совершая и не принимая вызовов, в базе данных VLR информация о его местоположении не меняется. В общем случае, в сети может быть несколько узлов MSC/VLR. В примере на рисунке 1 показано два таких узла.
Еще два функциональных узла — регистр местоположения домашних абонентов (Home Location Register, HLR) и центр аутентификации (Authentication Center, AuC) — размещаются физически в едином модуле. HLR/AuC хранит профили абонентов своей сети. В профиле содержится следующая информация: телефонный номер абонента, уникальный идентификатор SIM-карты (International Mobile Subscriber Identity, IMSI), ключи для обеспечения безопасности, категория абонента (предоплатная система расчетов /постоплатная система расчетов), список разрешенных и запрещенных услуг, адрес биллинг-центра (для абонентов предоплатной системы), адрес MSC/VLR, в зоне действия которого находится абонент в настоящий момент. Этот же профиль с некоторыми изменениями копируется в VLR, когда абонент регистрируется в зоне его действия.
Шлюзовой коммутатор (Gateway MSC, GMSC) является приемной точкой для входящих вызовов. Он на основе информации, полученной из HLR, маршрутизирует вызов на тот коммутатор, в зоне действия которого находится вызываемый абонент.
В процессе установления вызова, отправки SMS и прочих транзакций, узлы связи обмениваются между собой сигнальными сообщениями. Стек протоколов, набор сообщений и их параметров в сетях телефонной (не только мобильной) связи называется Системой сигнализации №7 (Signaling System 7, SS7). Все протоколы SS7 открыты и доступны для ознакомления и изучения на сайтах таких международных организаций, как МСЭ-Т, 3GPP, GSMA. Описанная далее атака опирается на сообщения SS7.
Атака
Разумеется, данную атаку не сможет совершить любой человек с улицы. Для осуществления атаки звезды должны расположиться в правильном порядке на небосводе. А именно:
Рисунок 2 (по клику открывается в полном размере)
1. Мобильный телефон регистрируются в сети одного из украинских мобильных операторов. В какой-то момент абонент входит в зону покрытия LAC 41800 со стороны сектора CI 22C0 и продолжает движение вплоть до сектора CI 22CF. Что же в это время происходит в сети оператора? Когда телефон оказывается в зоне покрытия LAC 41800, то инициируется процедура Location Update, обновляя в базе данных VLR значения LAC и CI. По мере движения нашего коллеги до сектора CI 22CF в базе данных VLR не происходит более никаких изменений.
2. Мы хотим узнать, на самом ли деле у наших сотрудников идут сложные переговоры. И в какой-то момент мы формируем SMS-сообщение с атрибутом Type-0 и отправляем на номер одного из коллег. Напоминаю, что по легенде он в это время находится в секторе CI 22CF.
3. У SMS-сообщения Type-0 есть другое название — SMS-пинг. Это сообщение не отображается на экране мобильного телефона и не сохраняется в списке принятых SMS. Кроме того, оно осуществляет действия, которые абонент не планировал, а именно, производит обновление атрибутов местоположения в базе данных VLR. Теперь в VLR хранится актуальное значение сектора, в котором прибывает абонент, то есть CI 22CF.
4. Мы уже начали свою активность, однако еще не получили ни байта результата. Информация о местоположении абонента хоть и обновилась, но она находится в недрах оборудования оператора, и чтобы выудить данные, мы продолжаем наши исследования. На следующем шаге формируем сигнальное сообщение sendRoutingInfoForSM, где в качестве параметра указывается мобильный номер нашего сотрудника, и отправляем это сообщение на HLR оператора.
5. В мире телекома принято доверять друг другу, особенно запросам, пришедшим по сетям SS7, и HLR оператора не является исключением из этого правила. На рисунке 3 показана выдержка из трассировки. HLR находит в своих базах данных идентификатор IMSI абонента (1) и адрес MSC/VLR (2), в зоне действия которого находится абонент с заданным номером, и, не подозревая подвоха, сообщает своему «собеседнику» эти данные. Здесь можно обратить внимание на значения некоторых цифр. Первые три цифры идентификатора IMSI обозначают код страны абонента (Mobile Country Code, MCC). Код 250 закреплен за Россией (1). Адрес коммутатора предоставляется в более привычной для нас телефонной нумерации, где 380 — международный телефонный код Украины (2).
На этом шаге можно сделать небольшую паузу. Дело в том, что в сети существуют сервисы, которые на этом останавливаются и выдают своим пользователям информацию о местоположении любого мобильного абонента с точностью до мобильного коммутатора.
На рисунке 4 показан фрагмент скриншота с результатами поиска того же самого человека. Тут мы видим номер абонента (1). Кроме того, сервис раскрывает идентификатор IMSI (2), который вообще-то является конфиденциальной информацией и должен храниться оператором за семью печатями. Следом нам показан номер сервис-центра, где находится абонент (3). Фактически это урезанный адрес мобильного коммутатора. В России по номеру сервис-центра можно определить регион нахождения абонента, т. к. адресация коммутаторов совпадает с региональной телефонной нумерацией. К сожалению, для украинских мобильных операторов мне не удалось найти такого соответствия.
6. Наши поиски продолжаются. Теперь мы формируем сообщение provideSubscriberInfo, где в качестве параметра задаем идентификатор IMSI, и отправляем это сообщение на адрес мобильного коммутатора. Все нужные параметры (IMSI и адрес MSC/VLR) мы получили на предыдущем шаге.
7. И опять мы сыграем на всеобщем доверии. Коммутатор воспринимает сообщение как вполне легальное и с удовольствием сообщает в ответ идентификаторы сети MCC/MNC, значение LAC и недавно обновленное значение сектора CI.
Теперь посмотрим на трассировку (рисунок 5). Все значения, нужные нам для пеленгации, получены:
Пока это только набор цифр, из которого мы сможем узнать страну по MCC — код 255 закреплен за Украиной. Пока все сходится. Для финального выстрела открываем сервис для определения координат базовой станции, коих в сети можно найти немало (рисунок 6). И что же мы видим? Это не Киев, а Феодосия, причем сектор обслуживает не городскую черту, а морское побережье с пляжами! Теперь ясно, чем наши коллеги так долго заняты в командировке 🙂
Заключение
В качестве пользователей описанного в статье «сервиса» можно представить криминальных элементов, промышленных шпионов, частных детективов… Но остается вопрос: кто и каким образом может реализовать подобного рода атаки?
В первую очередь, такая возможность есть у технических специалистов операторов связи, причем сам оператор может находиться в любой стране мира.
Во-вторых, для реализации сервиса может быть специально создана компания с получением необходимых лицензий, закупкой оборудования и подключением к SS7 обязательно с возможностью работы протокола MAP. Денежные затраты на реализацию такого варианта в России будут исчисляться круглыми суммами и вряд ли смогут окупиться.
Третий вариант — взлом сети управления оператора и внедрение «жучка» в его существующую инфраструктуру.
А у правоохранительных органов имеются свои средства оперативно-розыскных мероприятий (СОРМ), в том числе с функцией поиска местоположения.
Автор: Сергей Пузанков, исследовательский центр Positive Research.
P. S. Хочу выразить благодарность отделу анализа безопасности сетевых устройств Positive Technologies и Вере Красковой, которая отдыхала Крыму во время наших исследований и выступила в роли пеленгуемого абонента 🙂
