..----------------------------..
..    Art:  GSM phreakers     ..
..____________________________..


   Предпосылки  к  взлому  появились  несколько  месяцев  назад,  когда  в
   Ростове диллеры Мегафона стали продавать сим-карты без регистрации. Они
   стали  появляться  на  рынках  и  в  палатках города. Время жизни такой
   карты - около пары недель. На  счету сразу  лежит 10 грин,  чего вполне
   хватает на короткое время,  пока  аккаунт  не заблокируют.  После можно
   смело скидывать симу и ничто тебя больше с ней не связывает...

   И вот однажды, собравшись на канале, мы затронули эту тему. Общая схема
   работы  диллерских точек такова: они получают от оператора симки и софт
   для   подключения   к   его  внутренней  базе данных.  Каждая карта уже
   зарегистрирована,  то   есть   в  этой  базе есть аккаунты, id которого
   соответсвует id карты. На нём, в случае  Мегафона, лежит  10 бачей. Как
   только клиент припрётся регистрироваться, ему дают  симу, а  в  таблицу
   базы оператора вносят инфу об этом человеке (индексация по id).  И всё,
   система работает.

   Идея, которую мы разработали, состоит в том,  чтобы  предугадать инфу с
   симки. То есть изготовить такую симу, в которую можно было бы  загонять
   свои данные. Т.к.  в  базе инфа  о ней есть, а она лежит на складе и не
   используется, ни  что  не  должно  помешать нам  попользоваться ей.  По
   крайней мере,  опыт с  ростовскими  диллерами показал что это возможно.
   Любой  современный  оператор  имеет  средства по выявлению клонированых
   сим,  так  что  данный метод нам вполне подходит. Если инфа, которую мы
   загнали  в карту принадлежит какому-то клиенту (то есть  если  на счету
   не $10, то генерим новый). Всё вроде бы неплохо.  Уже на следующий день
   у нас на руках были 3 живые карты и 1  свеже-регнутая, позаимствованная
   у знакомого. Всё что нужно для начала исследований достали.

   Ещё одна немаловажная деталь - разобраться в том, как  читать и  писать
   инфу на симу.Загвоздка решилась изучением  исходников (на асме конечно)
   прошивок  к нашим  сименсам и моторылам. Ещё немного поковырявшись,  мы
   смогли   сделать  что-то   вроде  редактора  настроек  карты.  Нажатием
   нескольких клавиш можно было переправить всю коммуникативную часть.

   Осталось узнать  какие  конкретно значения  идентифицируют симку  и как
   они  генерятся.  Для  этого  был  спёрт  кусок базы данных с диллерской
   точки, а затем и с внутренней bd билайна. Итак, основные значения симы:

   SerNumber  - 15 цифр
   IMSI       - 18 цифр
   SNB        - 10 цифр

   На  разгадывание  алгоритма  ушло около 4 дней.  Оказалось  всё  весьма
   примитивно - огромной  корпорации  с  единой  базой было  бы сложновато
   следить за совпадениями, которые могут возникнуть при сложном алгоритме
   генерации id. Поэтому применялась функция для вычисления IMSI и SNB  от
   серийного  номера.  Сам  серийник  подобрать  оказалось  так же просто,
   поэтому  изучив симки,  которые  у  нас были,  мы сделали некое подобие
   сканера...

   Первое тестирование вареза состоялось в тот момент, когда мы  сорвались
   на ds_party. На  следующий  день, когда прибрались в квартире одного из
   участников,  предоставившего  нам халупу  на  3 дня,  мы  отправились к
   ближайшему  универу. Народу  там крутится  предостаточно, почти  у всех
   мобилы.  При  таком  раскладе вычислить нас было бы не так  просто. Уже
   через  5  минут  скана  удалось  поймать  что-то  глюкавое. Видимо наша
   обновлённая  прошивка  дала  некоторый  сбой когда  поймала новую инфу.
   Выключив трубу и снова включив, мы  получили  долгожданный  аккаунт. 10
   баксов на счету и полная анонимность :) Весь вечер, пока мы шатались по
   городу  и  тестили  сканер,  он  часто лажался, давал сбои, но работал.
   Деньги кончались, пиво больше не влезало, так что мы отправились на наш
   camp-point.   Прямо   там,   буквально   на   коленке был написан более
   совершенный варез, уже под моторылу (изначально был siemens).  На  этот
   раз  ассемблер  оказался ещё  проще,  так что  не  пришлось привыкать к
   нему.  Теперь  часть  кода  была  выложена  в   виде  java-аплета,  что
   оказалось весьма удобно. В любом случае, gui наладили неплохой :))

   На  той  же  машине,  но  уже  другим  участником тусовки была написана
   примочка для  сканера, с помошью которой можно было отправлять найденую
   инфу на комп по шнуру,  если  конечно тот был подключен. Софт под винду
   тоже  был  закончен,  хотя  некоторые  напряги  возникли  с распиновкой
   кабеля.  Решилась  проблема небольшой вознёй со свето-диодами. В общем,
   получился цивильный фрикерский комплекс.

   Помотавшись  ещё  день,  мы  завершили  ds_party'04.  Все   разъехались
   довольные  и  с  кучей  болванок. Халява до сих  пор юзается, но иногда
   вообще не фартит "поймать симку". Возможно мегафоны засекли утечку,да и
   к  тому  же  иногда   сканер  натыкается  на   использующиеся аккаунты.
   Вероятно,   админов   мегафона   удивляет  появление  в логах множества
   странных записей об атаке клонов :))

   Самое  забавное  тут  то,  что  после получения  анлима стало как-то не
   интересно юзать сотовую связь. Не смотря на  свободу действий  остаётся
   риск  получить по шее за данные дела. Единственное, для чего я юзаю эту
   шнягу, так это инет по gprs.

   Вот  примерно  так  развилась  субкультура, называющая себя "new wave".
   Всегда под  рукой  моторыла  (софт под неё  кодить удобнее) и палм  или
   лептоп для  сохранения/загрузки  инфы,  плейер  с джанглом  или шустрым
   трансом  (всё  же  jungle  более  популярен),  бекпаки со всевозможными
   нашивками на тему "мир  покрыт сотами  gsm-сетей"  и  неизменная тяга к
   возвышенностям - крыши домов, вышки и т.д.

* основано на реальных событиях