Post on 22-Oct-2018
Quienes somos
Servicios de seguridad
Investigación en seguridad
David Pérez José Picó
www.layakk.com @layakk
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los
ataques con estación base falsa
Ataque con estación base falsa
Las comunicaciones móviles 2G son totalmente vulnerables
Ubicación de la
infraestructura
Ataque con estación base falsa
Las comunicaciones móviles 2G son totalmente vulnerables
Caracterización de la
celda
Ataque con estación base falsa
Las comunicaciones móviles 2G son totalmente vulnerables
Atacante comienza a
emitir
Ataque con estación base falsa
Las comunicaciones móviles 2G son totalmente vulnerables
La víctima campa en
la celda falsa
Ataque con estación base falsa
Las comunicaciones móviles 2G son totalmente vulnerables
El atacante toma
control total de las
comunicaciones de la
víctima
010011101011001110011011000
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
¿Es posible aplicar estas técnicas a 3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
Las celdas vecinas en 2G y en 3G
2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador
3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 para un operador
935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9
(*) En la práctica no se consideran solapamientos
Solución Ideal
Un sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y
algunos dedicados)
Trabajo en progreso
Solución alternativa
xgoldmon
extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados,
en las comunicaciones entre un móvil y la red 3G
Ref.: xgoldmon (Tobias Engel)
https://github.com/2b-as/xgoldmon
USRP B200
Lo que nosotros utilizamos…
Ref.: OpenBTS-UMTS
http://openbts.org/w/index.php/OpenBTS-UMTS
Ref.: USRP B200
http://www.ettus.com/product/details/UB200-KIT
IMSI Catching
El IMSI (Internation Mobile Subscriber Number) es el número que
identifica a los usuarios de la red móvil
Está asociado a cada persona que lo compra
Es el único identificador de usuario (en el nivel de movilidad de la
comunicaciones móviles) que es invariable
Sólo debe ser conocido por el operador y por el usuario
¿Qué es el IMSI?
MCC MNC MSIN
IMSI Catching
Consiste en la captura no autorizada de IMSIs
Puede hacerse utilizando diferentes técnicas
la que nos ocupa es la utilización de una estación base falsa
en este caso, la captura se hace en el entorno del atacante
Determina la presencia de un usuario en la zona
Una infraestructura de estación base falsa como la descrita
anteriormente, sin necesidad de modificaciones software.
¿En qué consiste?
¿Por qué es peligroso?
¿Qué se necesita?
Diferentes técnicas
Denegación de servicio de telefonía móvil
Ataque
Masivo
Ataque
Selectivo
Ataque
Persistente
Transparente
al usuario
Inhibidor de
frecuencia
Agotamiento de
canales de radio
en la BTS
Redirección
mediante estación
base falsa
Técnica LUPRCC
Técnica LURCC (RAURCC)
Una infraestructura de estación base falsa UMTS como la descrita
anteriormente
Una modificación del software de la estación base falsa para que pueda
implementar el ataque de forma selectiva y configurable
¿Qué se necesita?
Trabajos en curso y a futuro
Qué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro…
Geolocalización
Portar el sistema ya realizado a 3G
modificar la estación base para que mantenga los canales de radio abiertos el mayor
tiempo posible
obtener datos para triangular similares a los usados en 2G
¿Otros caminos?
Trabajo en curso
Downgrade selectivo a 2G
Desarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS
para probar las técnicas descritas en RootedCON2014
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son igualmente posibles en redes
4G
Conclusiones
Efectivamente, los ataques de IMSI Catching, denegación de servicio
son posibles en la práctica
Estamos trabajando para:
portar la funcionalidad de geolocalización de 2G a 3G
Implementar el downgrade selectivo 3G 2G
Probar toda la funcionalidad en 4G