Занятие четвертое (или продолжение третьего?) - в общем, снова про радиопиратство
Малициус Фрод
malicious_fraud@email.com
Да, так вот, с введением защиты тема не умерла. Разумеется, мы знали о такой возможности и заранее к этому готовились. И вот, как сейчас помню, 1 апреля, в день, когда крупнейшие NMT-операторы заявили о 100% переводе своих клиентов на систему SIS, мы сделали первый, пока пробный, выход в эфир пиратированного телефона другой системы. В этот раз повезло операторам, которые использовали телефоны стандарта AMPS, и его модификациям (NAMPS, DAMPS). В Москве это BeeLine (Билайн).
Тут особого ума не надо - их же хакают по всей планете!
А вот и нет! То есть хакают, конечно. И 90% всех телефонов на земле именно этой системы. Но, во-первых, технология у американских фрикеров, мягко говоря, инфернальная. А во-вторых, несмотря на сотни криков, по делу в Internet так ничего и не нашлось. Только пустые разговоры, и - редко-редко - взломанная управляющая программа из телефона какой-нибудь античной модели. В качестве примера мусора из Internet привожу этот документ. Называется он MOTOROLA BIBLE. Он почти совершенно бесполезен, понты из него так и прут. В общем, делать пришлось все самим.
А что там такого особенного?
Дело в том, что американцы, когда создавали стандарт AMPS, думали головой, а не жопой, как европейцы со своим NMT. И защиту, какую-никакую, но заложили. Нужно заметить, что до нас по-хорошему, чисто, эту защиту никто так и не взломал. Все известные мне американские хакеры-фрикеры пользовались обходными путями.
И что же там была за защита?
Для своего времени - очень даже неплохая. У каждого телефонного аппарата есть неизменяемый заводской серийный номер ESN (Electronic Serial Number). Он выдается раз и навсегда (технология не предусматривает его замену). При продаже телефона оператор заполняет NAM (Number Address Module), где хранится номер телефона и ещё кое-какая техническая информация. Так вот, комбинация ESN и NAM и есть уникальный идентификатор абонента.
И что с ней делать?
Чтобы имитировать такой телефон (то есть подсесть на него), нужно знать ESN и NAM. Откуда можно взять эту информацию? Есть два способа - социально-инженерный и технологический. Первый - это trashing и подобные фокусы.
Какой такой trashing?
Trashing - это копание в мусоре, который выкидывают из магазинов, в надежде найти выброшенную копию контракта или что-нибудь еще (например, номер чужой кредитной карты, но об этом - в другой раз). К слову, в штатах мусор является федеральной собственностью, так что за копание в помойке можно схлопотать срок. В совке все проще.
А если без мусора?
Без мусора тоже можно обойтись - например, снять девочку, которая контракты выписывает, и за шоколадки/секс получать от нее чужие секреты. Опытный жулик так может обеспечить свои потребности, но коммерчески это неприменимо. Значит, остается второй способ - нужно искать технологическое решение. Тут тоже есть варианты. Можно купить промышленное устройство. Для этого нужно подделать бумаги, дающие право приобретать такое оборудование (абы кому такое не продают - только правоохранителям), и наскрести немалые деньги - товар штучный, цены - соответственно - атомные. И нужно понимать, что оборудование, которое можно купить таким образом, придумано и сделано для другого - это тестовое оборудование, которое заодно может и то, что требуется для взлома. Это примерно как вместо отмычки покупать гранатомет - препятствие в виде замка и двери будет устранено в обоих случаях. Так что лучше сделать такой агрегат самостоятельно.
Как?
Тут-то и началось самое интересное. Выяснилось, что никакой полезной информации нет. В Internet'е удалось найти только самое общее описание, и оно содержало огромное количество неточностей и ошибок. Пришла пора рассказать обо всем подробно.
Технология, часть 2
Опять же, если неинтересно, эту главку можно пропустить. Для интересующихся расскажу, как же оно действует. Разумеется, упрощенно, только то, что относится непосредственно к взлому.
Взлом состоит из двух частей - сначала нужно чужую информацию добыть, и потом нужно ее записать в свой аппарат.
Для установления связи аппарат сообщает о себе пару ESN+NAM (американские фрикеры их так и называют - pairs). Базовая станция (в народе - сота) эту информацию принимает и запрашивает у главного компьютера, существует такая пара или нет. Если существует, то соединение происходит. Здесь важно то, что пара передается в эфире как есть, то есть без кодирования. И ее можно перехватить. Для этого нужно сделать приемник и декодер. Вместо приемника можно использовать радио-сканер, только придется попотеть, чтобы найти нужный (в большинстве сканеров нужный диапазон закрыт). Дальше нужно декодировать принятый сигнал. Метод кодировки там - NRZ (non-return to zero).
В аппарате нужно модифицировать программу так, чтобы он позволял несложно и оперативно менять ESN+NAM.
Ловилка
Сначала мы сделали приемник. Мы не хотели связываться с поиском правильного радио-сканера, поэтому собрали приемник сами. Конечно, катушки никто не наматывал, все было собрано из модулей. Потом к нему подцепили персональный компьютер, и первый NRZ-декодер был просто программой под Windows (или DOS? не помню уже). Именно так мы получили первые пары. Попробовали. Получилось. Тогда сделали первую автономную ловилку - коробочку размером с пару видеокассет, с антенной, жидкокристаллическим окошечком на 4 строчки, и разъемом для подключения к последовательному порту компьютера (RS-232). Она перехватывала сигнал от любого телефона системы AMPS в радиусе 100-120 метров, показывала в окошке пойманный номер, ESN и еще кое-что, к взлому непосредственно не относившееся. С этой коробочкой мы объездили не один город. Она до сих пор где-то валяется как память, хотя почти сразу были сделаны более совершенные устройства. Вот пример технологического вывода ловилки, который посылался в последовательный порт компьютера:
1.2.0.1.1.0.E.9748781!0.1.02.0.00.0.15.095!0.0.82EDC070!-----------!----------- 1.2.1.1.1.0.E.9748943!0.1.00.3.0D.0.15.095!0.0.82E3EC1D!-----------!----------- 1.2.1.1.1.0.E.9688191!0.1.00.3.0D.0.15.095!0.0.82EF7B26!-----------!----------- ---------------------!--------------------!------------!-----------!----------- 1.3.1.1.1.0.E.9748781!0.2.02.0.00.0.15.095!0.1.82EDC070!0.0.9686119!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- 1.2.1.1.1.0.E.9748943!0.1.00.3.0D.0.15.095!0.0.82E3EC1D!-----------!----------- 1.2.0.1.1.0.E.2479400!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- 1.2.1.1.1.0.E.9748943!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- 1.2.1.1.1.0.E.2479400!0.1.00.3.0D.0.15.095!0.0.82F284B2!-----------!----------- 1.3.1.1.1.0.E.9686678!0.2.02.0.00.0.15.095!0.1.82F005C8!0.0.4065644!----------- 1.3.1.1.1.0.E.9686678!0.2.02.0.00.0.15.095!0.1.82F005C8!0.0.4065644!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- ---------------------!--------------------!------------!-----------!----------- 1.3.1.1.1.0.E.9686678!0.2.02.0.00.0.15.095!0.1.82F005C8!0.0.4065644!----------- 1.2.0.1.1.0.E.7550968!0.1.02.0.00.0.15.095!0.0.82E54CAC!-----------!-----------
Аппараты
Потом руки дошли и до взлома аппаратов. Сначала возникла проблема с идентификацией процессора, который жил внутри телефонов Motorola. Из общих соображений было ясно, что это, скорее всего, процессор той же фирмы. Однако модель удалось определить не сразу. Кажется, его звали MC68HC11A (впрочем, после стольких лет могу и ошибаться). Первое, что мы попытались сделать, это определить его цоколевку (то есть взаимное расположение ног). Это оказалось непросто - хотя в те времена Motorola уже начала выкладывать документацию на web, по закону подлости, именно этого процессора там не было. Тогда я вспомнил, что один мой приятель в Израиле работает на фирме Motorola. Я ему позвонил, он сходил в библиотеку фирмы, и через пару часов из нашего факса вылез требуемый документ. Работа закипела. Я написал простенький табличный дизассемблер и сделал табличку для нашего процессора. Электронщики возились очень долго, зато и результат превзошел ожидания - в аппарат можно было записать сразу 10 разных пар и быстро переключаться между ними.
Сбыт
Работу с клиентами я с самого начала поставил на "ура". Результатом стало то, что почти все наши старые клиенты пришли снова. При этом они и платили снова, никаких скидок (кроме символических) им не делали. Просто они прекрасно помнили, как это сладко - болтать часами на халяву.
Вместе с нашим телефонным аппаратом клиент получал список пар (для простоты - список), строчек около 100. Когда текущий список заканчивался, всем раздавался новый. Списки составлял я. Люди, имевшие "честные" аппараты и боявшиеся получить чужие счета, стали спрашивать через друзей - можно ли исключить их номер из списка. "За деньги мы можем все" - говаривал, бывало, мой приятель - адвокат из Израиля. Так же отвечал и я. За какие-то $100 номер телефона счастливчика навечно пропадал из наших списков. Списки выглядели примерно так:
Кусочек питерского списка (номер/ESN):
(812) 987-0348:500-870-2722
(812) 987-0448:500-931-0586
(812) 987-0484:547-054-4913
(812) 987-0505:546-496-2313
(812) 987-0534:546-420-6779
(812) 987-0539:547-042-9946
(812) 987-0623:500-931-0991
(812) 987-0736:500-752-3413
(812) 987-0772:500-845-3072
(812) 987-0809:547-054-2761
А вот кусочек московского (номер/ESN/защита/код доступа к межгороду):
(095) 247-9475:335-132-7051:155-734-9999-598-342-1003:*04156
(095) 258-8023:335-135-3676:244-542-3569-308-735-2356:*06551
(095) 258-8895:335-120-6353:562-741-7103-313-904-9266:*06174
(095) 258-9093:335-131-2150:291-253-6064-324-765-5275:*05178
(095) 258-9476:335-162-1114:463-170-0982-601-005-8088:*01709
(095) 258-9690:335-112-8464:249-643-7475-036-295-2044:*02807
(095) 755-0610:335-124-3397:492-676-5423-159-221-3663:*02512
(095) 755-0816:335-145-5036:466-581-4632-466-462-6572:*05365
(095) 755-0820:335-123-1004:080-091-5664-249-176-2046:*03418
(095) 755-0879:335-134-4402:493-743-4451-176-821-9176:*01323
Телефоны продавались по $600-$800 за штуку. Спрос был так высок, что я с трудом успевал покупать сырье - отключенные за неуплату или проблемные трубки и микросхемы памяти (ROM, по-русски ПЗУ), куда прописывалась новая программа. Из-за того, что сырья катастрофически на хватало, пришлось покупать его за границей, и я освоил кардинг (про это тоже расскажу потом). Дело дошло до того, что на офисе, где я сидел, появилась табличка - "ПРИЕМ ДЕНЕГ КРУГЛОСУТОЧНО". Это было веселое время.
Дилеры
С первым своим дилером я познакомился, прочитав его объявление в релкоме (была такая сеть, еще до появления в России полноценного Internet). Он продавал телефоны. Я предложил ему переделывать телефоны у нас, он согласился, и работа закипела. Но это был единственный случай, когда кого-то нашли по объявлению. В остальных случаях мне помогали мои клиенты и крыша - все ездили на родину с телефонами, и всегда находился молодой деятельный парнишка, который разворачивал у себя в городе каналы сбыта. Наши телефоны долетали аж до Иркутска и Владивостока.
Реклама, часть 2
Заодно с перехватом телефонных пар электронщики разобрались и с кодированием пейджеров. Как-нибудь расскажу про глобальную идею, связанную с ними, а пока скажу, что мы продавали результаты перехвата. Нужно отметить, что это было еще до выхода известного указа о спецтехнике. Именно это я и решил порекламировать. На факсы людям посыпалась реклама примерно такого вида:
Заказов было не очень много, но контингент обращавшихся был что надо - мелкие торговцы, жулики, разнообразные службы безопасности банков. Большинству из них я впарил и по пиратскому телефону - соглядатаи, как правило, сами отменные параноики. И идея звонить, не оставляя следов в своем счете, им нравилась.
Заграница
Мы славно развернулись в России и ближнем зарубежье. Но не давала покоя мысль о том, что крупнейший в мире рынок - обе Америки - нами не охвачен. Но торговать там так же, как в России, не представлялось возможным. Здесь мы имели дилеров с ловилками в большинстве городов, которые осуществляли послепродажный сервис - давали номера. В Америке же борьбой с сотовыми пиратами занимается Секретная Служба тамошнего министерства финансов, поэтому встречаться с клиентом второй раз очень опасно. Не то чтобы они уж очень эффективно борются, но щеки надувают и пропаганду разводят нешуточную. Когда стало ясно, что так торговать не получится, мы вернулись к идее, которую обсуждали с самого начала, но за ненадобностью не реализовали - засунуть ловилку в аппарат.
Такого еще никто не сделал!
Электронщики засели за свои осциллографы и прочую дребедень, и через некоторое время вынесли вердикт - радио тракт внутри аппарата подходит для перехвата. На человеческом русском это значило - сканер на фиг не нужен, в качестве сканера будет выступать сам аппарат. Оставался NRZ-декодер. Его ничего не стоило сделать программным, то есть внести еще изменений в код программы телефона. Но такое решение было бы слишком легко скопировать (а к тому моменту наши программы воровали все подряд). И мы выбрали аппаратное решение - на базе процессора Z8. Это теперь я рассказываю, что там стоял за процессор, тогда же мы его так корежили напильником, что понять это было невозможно. Такую штуку хрен скопируешь. И, что интересно, ее так никто и не скопировал. Наиболее талантливая тусовка конкурентов просто создала собственное устройство с точно таким же интерфейсом. У них это отняло 1,5 года - было за что биться.
Что же получилось?
Получилось в кайф! В кармане лежал телефон, и если в радиусе 30-40 метров (не 100-120, как в случае со сканером, но и этого более чем достаточно) кто-то звонил или кому-то звонили, он перехватывал пару, запоминал ее и говорил "пииииип". На экране появлялась надпись SCAN nn - где nn - номер ячейки. Это просто для понта сделали, чтобы веселее было. В аппарате было 100 ячеек памяти. В них накапливались пойманные пары. Самые свежие затирали самые старые. Каждый раз аппарат звонил с другого номера. Это обеспечивало абсолютную безопасность - кто заметит, что в его счете ОДИН непонятный звонок? Да никто! А если и заметит, то не будет кричать - подумаешь, ошибся. Еще наш аппарат отвечал на звонок почти вдвое быстрее стандартного. То есть если взять себе какой-нибудь из пойманных номеров и раздать его друзьям, дозваниваться будут на наш телефон, а не хозяину. Сильно?
И как там Америка?
Увы. С Америкой так и не заладилось. В Израиль аппараты уходили неплохо (их там штук 40, наверное), а вот в Америке народ оказался слишком запуган - несколько штук из Чикаго вернули с криками "не работает", но быстро выяснилось, что они просто испугались. В Нью-Йорке живут несколько наших творений, но там и контингент соответствующий - push'еры (это которые наркотой торгуют) и угонщики автомобилей. Для них это не самое страшное преступление в жизни. Собственно, я и придумал, как выйти на пушеров - заставил своих знакомых в NY спросить у друзей, которые нюхают, "Где берешь? Предложи туда это!". Так и было продано несколько штук. Дальнейший сбыт там был осложнен тем, что в крупных городах (Нью-Йорк, Чикаго, Лос-Анджелес) введена дополнительная защита, на перехват которой наш аппарат не был рассчитан. Зато он умел не брать телефоны из городов, где есть защита - ему можно было сказать: коды городов 212, 515 и т.д. - игнорируй.
Так что, зря вставляли ловилку?
Нет, конечно! С появлением автономного аппарата сбыт увеличился в разы - многие скептически настроенные люди немедленно купили себе и друзьям. Раньше они не хотели быть привязанными к спискам. Еще купило много народу из тех, кто много ездит по России и в Америку. В общем, все шло даже слишком хорошо. Операторы стандарта AMPS/NAMPS/DAMPS стонали.
Защита
И они начали защищаться. Как я уже писал в прошлый раз, организационно с нами сделать было ничего нельзя. Поэтому борьба шла техническая. И конечно, самые сильные войны шли в Москве, где был крупнейший рынок. Сначала они ввели коды доступа к межгороду. Это была идиотская идея - мы эти коды перехватывали и публиковали в списках. Потом они перевели всех на систему DAMPS. Это те же яйца, но вид сбоку. Единственная проблема была с аппаратами - кроме нас переделать их никто не справился. Таким образом, мы объективно выигрывали от введения защиты. И только через несколько лет Билайн разорился-таки на достойную защиту. Это так называемый A-Key (authentication key). В детали вдаваться не буду, скажу только, что и она неидеальна. Но именно с введением A-Key они смогли наконец вздохнуть свободно. В Москве пиратства больше практически нет. В других городах все по-прежнему процветает. Только в Питере попытались что-то сделать, но денег на A-Key у них не хватило, и они купили защиту на базе так называемого RF fingerprinting ("отпечатки пальцев" телефона). Система построена на базе одного мифа и мешает пиратам только в хорошую погоду. Чуть на небе тучки - пиратские телефоны снова оживают. А из других мест вообще ничего не слышно о защитах.
Ну вот...
Все основные моменты я вроде бы изложил. Конечно, на семи страничках не расскажешь обо всем, что было за много лет. Даже не знаю, что задать на дом. Поговорите с друзьями. Наверняка кто-то из них пользовался нашей продукцией. Пусть расскажут, как классно болтать и не думать, сколько потом придется платить. В завершение привожу инструкцию (на русском языке!), которой я снабжал продаваемые телефоны. Термин LIFETIME PHONE я позаимствовал из какой-то газеты, где рассказывали про американского фрикера. В следующий раз расскажу о кардинге.
