SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Telefonia Movil Celular (TMA 900-A)

      3771

Autor: Falken
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
o 05. SISTEMAS DE TELEFONIA MOVIL CELULAR (TMA 900-A)                       o
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII



       _/_/_/_/       Sistemas de telefonia movil celular       \_\_\_\_
      _/_/_/_/                     TMA 900-A                     \_\_\_\_
     _/_/_/_/                                                     \_\_\_\_
    _/_/_/_/                 por el Profesor Falken                \_\_\_\_


AVISO: Si alguna persona con animo de conseguir pillar a alguien considera
       que la informacion que se recoge en el presente articulo es delito,
       que se compre un buen libro de telefonia.


         EL AUTOR NO SE HACE RESPONSABLE DEL USO DE ESTA INFORMACION


Introduccion
============

    En este articulo vamos a explicar en que consiste la telefonia movil
celular, profundizando en el sistema TMA 900-A.
    La idea de realizar este articulo nace de la practica inexistencia de
informacion sobre el sistema de telefonia movil espa€ol en el ambiente under.
Desde luego que existen muchos articulos en otras muchas publicaciones sobre
telefonia celular, y los principios son los mismos, pero como mas adelante
veremos, en Espa€a no se usa la banda de frecuencias que podemos ver en
estos articulos.

    De ahora en adelante hablaremos de TMA, refiriendonos a la telefonia
movil automatica. (šA qui‚n se le ocurriria lo de automatica?) :)


Algo de historia
================

    Si, ya se que esto es una revista tecnica, y que la historia es otra
cosa, y bla bla bla. Pero a veces es util conocer algo de historia.
    La primera vez que se usaron servicios de radio movil, o telefonia
movil, que viene a ser lo mismo, comerciales fue en los USA (y abusa)
alla por los a€os 30. Por aquel entonces solo los usaba, como no, la policia.
    Con el tiempo se mejoraron los sistemas de radio, apareciendo el
concepto de modulacion y mejorandose posteriormente los metodos de modulacion.
    šPero de que sirve tener un terminal movil si no puedo llamar a un
telefono fijo? Aqui es donde aparecen los autenticos servicios de telefonia
movil, por 1946, aproximadamente. (šA alguien le recuerda algo esta fecha?) ;)
    Despues de periodos de mejora de la calidad del servicio (Ja!), se
automatizan los servicios, dando origen al TMA. Y se desarrollan nuevos
sistemas.
    Al principio, a cada terminal se le asignaba una frecuencia fija. Esto
es lo que se denomina un sistema no trunking. šOs imaginais el caos que
se formaria actualmente si todos los telefonos moviles tuvieran asignada
una frecuencia fija?
    Pues aqui es donde aparece el sistema celular.


El sistema celular
==================

    La idea principal del sistema celular se basa en la reutilizacion de
frecuencias. Se define un grupo de frecuencias que pueden ser usadas por
todos los terminales moviles.
    Bueno, pero no es la reutilizacion de frecuencias la unica ventaja
aportada por el sistema celular. En el sistema celular se definen ciertas
areas limitadas en las que opera un transmisor/receptor. A partir de ahora
llamaremos al tandem transmisor/receptor EB (Estacion Base).
    Veamos, tenemos una EB en un area. Esta EB tiene limitada la potencia
de transmision de tal forma que no salga de su area, o salga ligeramente.
ademas, esta EB tiene asignado un conjunto de radiocanales, que puede ser
usado en otro area. Este conjunto de radiocanales es un conjunto de
frecuencias, por si no lo sabiais. Para evitar interferencias, las EB vecinas
usan conjuntos de frecuencias diferentes.
    Asi tenemos un sistema que con un rango limitado de frecuencias puede
manejar un numero elevado de comunicaciones. Este sistema es el sistema
celular. Y si sustituis en el parrafo anterior la palabra area por celula
puede que os suene mejor.
    Veamoslo de forma grafica:


          ______          ______               En un pais multicolor,
         /*     \        /      \              nacio una abeja bajo el sol...
        /   EB   \______/   EB   \______       Ups, esto no tiene nada que
        \   C    /      \   B    /      \      ver.
         \______/   EB   \______/   EB   \
         /      \   D    /*     \   A    /     Bueno, co€as aparte, vemos
        /   EB   \______/   EB   \______/      que existe un EB por cada
        \   B    /      \   C    /      \      celula. Ademas, aparecen
         \______/   EB   \______/   EB   \     4 letras, A, B, C, D. Estas
         /      \   A    /      \   D    /     letras representan distintos
        /   EB   \______/   EB   \______/      grupos de frecuencias.
        \   C    /      \   B    /
         \______/        \______/


    Como podemos observar, nunca coinciden dos grupos de frecuencias iguales
en celulas adyacentes. Esto se hace asi para evitar interferencias. La
distancia que separa dos celulas que usan el mismo set de frecuencias, como
las marcadas por el asterisco, viene definida por lo que los tecnicos llaman
Distancia de Reutilizacion. Esta es la distancia minima en la que no existen
interferencias entre dos comunicaciones que usen la misma frecuencia.

    šQue sucede si aumenta el numero de usuarios en una celula de tal forma
que no quedan frecuencias libres? Muy sencillo, dividimos la celula en otras
mas peque€as. Esto es lo que se llama fragmentacion celular. Para el ejemplo
anterior:

                      ______          ______
                     /      \        /      \
                    /        \______/   __   \______
                    \        /      \__/  \__/      \
                     \______/     __/  \__/  \       \
                     /      \  __/  \__/  \__/       /
                    /        \/  \__/  \__/  \______/
                    \        /\__/  \__/  \__/      \
                     \______/    \__/  \__/  \       \
                     /      \       \__/  \__/       /
                    /        \______/  \__/  \______/
                    \        /      \        /
                     \______/        \______/


    Otra mejora del servicio consiste en asignar las frecuencias, a partir
de ahora canales, de forma dinamica. Estos canales podrian estar asignados
de forma fija a un terminal movil (TM). De esta forma necesitariamos tantos
canales en una celula como TM estan en ella.
    Al realizar la signacion de forma dinamica, se consigue una mejor
optimizacion del servicio, pudiendo existir mas TM en una celula que canales
pueda gestionar. Esto es lo que se denomina un sistema trunking.

    Existen otros dos servicios, que aunque similares, realizan funciones
distintas: el roaming (seguimiento) y el handover (traspaso). Ambos se
encargan de trasladar la gestion de un TM a una celula adyacente cuando el
TM se esta moviendo de una celula a otra. La diferencia esta en que el
roaming se hace siempre, para tener localizado al TM permanentemente. El
handover, por su parte, se produce en plena comunicacion, de forma que el
usuario "no se entere" que se le ha cambiado de canal.

    Para completar el sistema existen las Centrales de Telefonia Movil (CTM o
MSC), que se encargan de realizar las tareas de conmutacion, interconectando
las EB con la RTC (Red Telefonica Conmutada. Vamos, la que teneis en casa a
menos que seais unos bichos raros con RDSI)


El sistema TMA 900-A
====================

    Despues de todo este rollo que parece pelotero a telefonica pasemos a
algo mas interesante, el sistema TMA 900-A. Este es el sistema que usa
telefonica en sus TM analogicos (MoviLine). Ademas, como detalle curioso, se
usa tambien en algunos servicios de emergencia. Buscad, buscad y os
sorprendereis. Pero antes un aviso, estos servicios de emergencia como es
logico usan una codificacion por subtonos en sus sistemas de comunicacion
que usan la malla trunking. Los radioaficionados ya sabran por donde voy.
    Bueno, al grano. El sistema TMA 900-A esta basado en la especificacion
del sistema TACS del Reino Unido, basado este a su vez en el sistema americano
AMPS.
    La se€al que se transmite en este sistema se encuentra modulada en
frecuencia (FM) en las transmisiones de voz y tonos de supervision y modulada
en FSK en la se€alizacion de control. Aquellos interesados en un articulo
sobre la modulacion, que lo pidan. Si interesa me lo curro.
    Pero este sistema no se llama TMA 900-A porque haya 900 sistemas
anteriores, o porque al que lo bautizo le dio la gana. Se llama asi por
utilizar la banda de 900 MHz.
    Se dispone de 1320 canales duplex (esto quiere decir que permite mantener
una comunicacion bidireccional simultanea, como un telefono normal). Estos
canales estan separados entre si 25 KHz. Las portadoras de emision y de
recepcion correspondientes a un mismo canal se encuentran separadas a 45 MHz.
    Detallemos un poco mas esta distribucion de canales.
    Las portadoras de emision pertenecen a una banda de frecuencias que van
desde los 884 MHz a los 917 MHz. En algunos sitios dicen que van de 890 MHz
a 915 MHz, pero calculad:

                915 - 890 = 25 MHz
                25 MHz / 25 KHz = 1000 canales  (25 KHz entre canales)

    Como veis no cuadra. Y es que algunas informaciones...
    Y las portadoras de recepcion se distribuyen desde los 929 MHz a los
962 MHz. Esto ultimo lo podriais haber calculado vostros:

                884 MHz + 45 MHz = 929 MHz
                917 MHz + 45 MHz = 962 MHz  (45 MHz entre portadoras)

    šHa quedado claro?

    Las EB proporcionan dos tipos de canales:

        - Canal de control -> Usados para la se€alizacion en las llamadas
                              hacia los TM. Tambien conocido por canal de
                              llamada.
        - Canales de trafico -> Son los que mantienen las conversaciones
                                telefonicas. Pueden estar en reposo o
                                libres. (Ya se que suena absurdo, pero
                                luego quedara claro).

    Por supuesto, ademas el sistema TMA 900-A es un sistema celular. Y como
tal, Las EB deberan supervisar las comunicaciones de los TM para asegurar su
calidad. Esta supervision la realizan enviando una se€al piloto no audible
de 4 KHz desde la EB. Esta se€al es retransmitida por el TM a la EB. Cuando
la se€al que recibe la EB pasa por debajo de un cierto limite de intensidad
la MSC ordena medidas en las centrales adyacentes para seleccionar aquella
en la que el TM tiene mejor se€al.


Canales en TMA 900-A
====================

    Se define como canal al camino entre el Terminal Movil (TM) y la Central
de Telefonia Movil (CTM o MSC). Un canal esta compuesto de:

        - Una conexion a 4 hilos entre la central MSC y la EB. šAdivinais
          que sistema de transmision usa esta conexion?
        - Un canal de radio entre la EB y el TM, usando una frecuencia para
          transmision y otra para recepcion, tal y como ya se ha visto.

    Asimismo podemos diferenciar los siguientes tipos de canales:

        - Canales de radio -> Usados en la se€alizacion entre la MSC y los
                              TM y en la conversacion:

              - Canal de llamada (CC) -> Llamadas hacia TM.
              - Canal de trafico (TC)
                    - Libre (free-TC) -> Llamada y conversacion hacia TM.
                    - reposo (idle-TC) -> Conversacion hacia TM.
              - Canal combinado (CC/TC) -> Usado indistintamente.

        - Canales de datos -> Solo se usan en la se€alizacion entre la EB
                              y la MSC.

    Cada EB consta con un unico CC, siendo el resto TC. Tanto el canal CC
como los canales free-TC se estan identificando continuamente como tales en
la zona de cobertura de la EB.
    Los canales idle-TC no son operativos hasta que no sean asignados a una
llamada dirigida hacia un TM.
    Todos los TM cuelgan del unico CC de la EB de su zona de cobertura.


Ejemplos de procedimientos TMA 900-A
====================================

    A continuacion se recogen los procedimientos que se siguen en la mayor
parte de las comunicaciones por telefonia TMA 900-A. Cabe destacar que
cualquier llamada dirigida a un TM se comunicara a todas las EB del area de
localizacion (AL) donde se encuentra el TM. El AL lo constituyen todas las EB
que cuelgan de la misma MSC donde se encuentra el TM.


Llamadas a terminales moviles
-----------------------------

    Una llamada a un TM se constituye de los siguientes pasos:

        - Llamada al TM.
        - Asignacion de un idle-TC al TM.
        - Identificacion del TM.
        - Llamada al abonado.
        - Supervision.

    Esquematicamente:


   MSC                                EB                                 TM
    |                                  |                                  |
    | Canal de llamada (CC)            | Canal de llamada (CC)            |
    |--------------------------------->|--------------------------------->|
    | Llamada (CC)                     | Llamada (CC)                     |
    |--------------------------------->|--------------------------------->|
    |                Confirmacion (CC) |                Confirmacion (CC) |
    |<---------------------------------|<---------------------------------|
    | Inicio de TC (TC)                |                                  |
    |--------------------------------->|                                  |
    |                 TC Iniciado (TC) |                                  |
    |<---------------------------------|                                  |
    | Asignacion de TC (CC)            | Asignacion de TC (CC)            |
    |--------------------------------->|--------------------------------->|
    | Peticion de identificacion (TC)  | Peticion de identificacion (TC)  |
    |--------------------------------->|--------------------------------->|
    |              Identificacion (TC) |              Identificacion (TC) |
    |<---------------------------------|<---------------------------------|
    | Orden de llamada (TC)            | Orden de llamada (TC)            |
    |--------------------------------->|--------------------------------->|
    |                   Respuesta (TC) |                   Respuesta (TC) |
    |<---------------------------------|<---------------------------------|
    | Inicio supervision               |                                  |
    |--------------------------------->|                                  |
    | Calidad de transmision (TC)      |                                  |
    |                                  |                                  |
    |        Supervision iniciada (TC) |                                  |
    |<---------------------------------|                                  |
    |                                  |                                  |
   """                                """                                """


Llamadas desde terminales moviles
---------------------------------

    Los pasos que constituyen una llamada desde un TM son:

        - Llamada desde el TM.
        - Identificar el TM.
        - Marcar las cifras del abonado llamado.
        - Supervision.


   MSC                                EB                                 TM
    |                                  |                                  |
    | Canal de llamada (CC)            | Canal de llamada (CC)            |
    |--------------------------------->|--------------------------------->|
    | Canal FREE-TC                    | Canal FREE-TC                    |
    |--------------------------------->|--------------------------------->|
    |                                  |                                  |
    |                    Llamada (TC)  |                    Llamada (TC)  |
    |<---------------------------------|<---------------------------------|
    | Peticion de identificacion (TC)  | Peticion de identificacion (TC)  |
    |--------------------------------->|--------------------------------->|
    |              Identificacion (TC) |              Identificacion (TC) |
    |<---------------------------------|<---------------------------------|
    | Orden envio cifras (TC)          | Orden envio cifras (TC)          |
    |--------------------------------->|--------------------------------->|
    |                     Cifra 1 (TC) |                     Cifra 1 (TC) |
    |<---------------------------------|<---------------------------------|
    |                     Cifra 2 (TC) |                     Cifra 2 (TC) |
    |<---------------------------------|<---------------------------------|
    :    :    :    :    :    :    :    :    :    :    :    :    :    :    :
    :    :    :    :    :    :    :    :    :    :    :    :    :    :    :
    |                                  |                                  |
    | Marcacion completa (TC)          | Marcacion completa (TC)          |
    |--------------------------------->|--------------------------------->|
    | Inicio supervision               |                                  |
    |--------------------------------->|                                  |
    | Calidad de transmision (TC)      |                                  |
    |                                  |                                  |
    |        Supervision iniciada (TC) |                                  |
    |<---------------------------------|                                  |
    |                                  |                                  |
   """                                """                                """


Procedimiento de cambio de canal
--------------------------------

    Antes de explicar este procedimiento debemos recordar como funciona la
supervision. La EB emite un tono no audible de 4 KHz al TM continuamente. El
TM recibe la se€al y la retransmite a la EB. Entonces la EB compara la
relacion se€al/ruido (S/N) del tono recibido con dos niveles prefijados. Si
se la relacion S/N se encuentra por encima del primer nivel, la comunicacion
sigue de la forma en la que estaba. Si por el encontrario, esta por debajo del
primer nivel, se inicia el proceso de HANDOVER, o cambio de canal. Pero si
esta por debajo del segundo nivel, simplemente se corta la comunicacion.
    Los pasos que se siguen a la hora de realizar el handover son:

        - La EB comunica a la MSC que la relacion S/N esta por debajo del
          primer nivel en el TC en uso.
        - La MSC solicita una medida de la relacion S/N de la se€al en todas
          las EB colindantes a la anterior, y a esta misma.
        - La MSC selecciona el TC de la EB con mejor relacion S/N.
        - La MSC informa al TM del cambio.
        - El TM se identifica en el nuevo canal.
        - Supervision.


 MSC                     EB1                      EB2                     TM
  |                       |                        |                       |
  | Supervision (TC)      |                        |                       |
  |<----------------------|                        |                       |
  | Orden medida (TC)     |                        |                       |
  |---------------------->|                        |                       |
  | Orden medida (TC)     |                        |                       |
  |------------------------------------------------|                       |
  | Resultado medida (TC) |                        |                       |
  |<----------------------|                        |                       |
  |                       | Resultado medida (TC)  |                       |
  |<-----------------------------------------------|                       |
  | Inicio de TC (TC*)    |                        |                       |
  |----------------------------------------------->|                       |
  |                       |     TC Iniciado (TC*)  |                       |
  |<-----------------------------------------------|                       |
  |                       | Asignacion de TC* (TC) |                       |
  |----------------------------------------------->|---------------------->|
  |                       |                        |                       |
  | Peticion ID (TC*)     |                        | Peticion ID (TC*)     |
  |----------------------------------------------->|---------------------->|
  |                       |   Identificacion (TC*) |  Identificacion (TC*) |
  |<-----------------------------------------------|<----------------------|
  | Inicio supervision    |                        |                       |
  |----------------------------------------------->|                       |
  | Calidad de            |                        |                       |
  | transmision (TC*)     |                        |                       |
  |                       |         Supervision    |                       |
  |                       |         iniciada (TC*) |                       |
  |<-----------------------------------------------|                       |
  |                       |                        |                       |
  |                       |                        |                       |
 """                     """                      """                     """


Seguimiento (Roaming)
---------------------

    Ya hemos explicado porque es necesario mantener controlado constantemente
a un TM. Cuando un TM sale de una celula, inicia una llamada al MSC para
actualizar el area de localizacion. Entonces pueden suceder dos cosas:

           - El TM se encuentra localizado en un area que pertenece a la
             central propia. Entonces la MSC actualiza el registro de
             residentes inscribiendo al TM.
           - El area de localizacion pertenece a otra central que no es la
             propia. Entonces se llama a la central propia para que actualice
             el registro de residentes con el nuevo MSC y el area de
             localizacion. Ademas, se inscribe al TM en el registro de
             visitantes del nuevo AL.


   MSC                                EB                                 TM
    |                                  |                                  |
    | Canal de llamada (CC)            | Canal de llamada (CC)            |
    |--------------------------------->|--------------------------------->|
    |                                  |                                  |
    | Llamada de actualizacion (TC)    | Llamada de actualizacion (TC)    |
    |<---------------------------------|<---------------------------------|
    |                                  |                                  |
    | Peticion de identificacion (TC)  | Peticion de identificacion (TC)  |
    |--------------------------------->|--------------------------------->|
    |                                  |                                  |
    |              Identificacion (TC) |              Identificacion (TC) |
    |<---------------------------------|<---------------------------------|
    |                                  |                                  |
    |                 Desconexion (TC) |                 Desconexion (TC) |
    |<---------------------------------|<---------------------------------|
    |                                  |                                  |
    |                                  |                                  |
   """                                """                                """


šY como #$@!!?! se identifica un TM?
====================================

    Pues esto es lo mas sencillo. El aparato lleva consigo un numero de serie
denominado ESN, ademas de almacenar el numero telefonico asignado o MIN. De
entre otros datos que se transmiten en la identificacion, estos dos son los
que pueden ser mas utiles.
    Y si estais pensando en hackear un telefono movil, recordad, esta
informacion se refiere a telefonia analogica. No sirve para los moviles GSM.
Sobre GSM ya hablaremos en siguientes articulos. Pero lo que os debe quedar
muy claro es que hagais lo que hagais es cosa vuestra.
    Seguro que pensais que con clonar, ahora que esta tan de moda, el chip
del movil donde se almacena el par MIN/ESN ya podeis llamar como si del movil
de otro se tratara. Bueno, esto es cierto en parte. Aparte de la
identificacion, las centrales realizan otros controles. šOs imaginais a una
EB atendiendo a dos telefonos moviles en la misma celula que tengan la misma
identificacion? Si el primer movil no tiene autorizado el uso de un segundo
movil...


Despedida y cierre (Ta - ta - ta chan !!!)
==========================================

    Como habeis visto, esta informacion ha sido un poco mas orientada a que
conozcais uno de los sistemas de telefonia movil usado en Espa€a que a ver
como conseguir intervenir una llamada o cosas de esas. De todas formas, os
aseguro que hay informacion de sobra para que si lo pensais detenidamente os
deis cuenta de la inseguridad de las comunicaciones moviles, por mucho que
las compa€ias telefonicas se empe€en en vanagloriarse de sus sistemas de
codificacion (solo usados en GSM) y demas.
    Ademas, si habeis leido algo de telefonia movil en otras publicaciones,
sobre todo del extranjero, habreis notado que las frecuencias y algunos
procesos son totalmente diferentes. Eso se debe a que la Telefonica no es
tan tonta como parece, pero si es un tanto ...... bueno, mejor no decirlo que
luego hay problemas, y ya se sabe.



                                                      Have P/Hun
                                                  El profesor Falken
                                               falken@lettera.skios.es