Atacando 3G - layakk.com
37
1 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Atacando 3G José Picó [email protected] David Pérez [email protected] @layakk www.layakk.com
Transcript of Atacando 3G - layakk.com
1Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com
2Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RootedCON en Valencia
3Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Introducción
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
– Downgradeselectivo a 2G
Nota: La información teórica expuesta a continuación es un resumen de información que ya era de dominio público, aunque no muy divulgada.
4Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
BACKGROUND TEÓRICO
.
5Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Cómo es posible?
Los mensajes de señalización en 3G están
protegidos en integridad, gracias al security
mode command y a la estructura del protocolo
La criptografía detrás de la protección de
integridad y del cifrado no ha sido rota (al
menos públicamente).
¿Todos los mensajes?
.
6Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Security mode set-up procedure
MS SRNC VLR/SGSN
Establecimiento de conexión RRC1
Mensaje inicial de nivel 3 (Id)2
Autenticación y establecimiento de clave4
Determinación de algoritmos de cifrado e integridad
5
Security Mode Command (UIAs, IK, UEAs, CK, etc.)
6
Inicio de cifrado y protección en integridad
7
Identificación de usuario3
.
7Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Establecimiento de un canal de radio (protocolo RRC)
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION SETUP
2
RRC CONNECTION SETUP COMPLETE3
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
8Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Rechazo de solicitud de establecimiento de conexión RRC
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION REJECT
2
(Establishment Cause, Initial UE Identity, …)
(Rejection Cause, Redirection info, …)
Frequency info Inter-RAT info
9Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
HANDOVER TO UTRAN COMPLETE
PAGING TYPE 1
PUSCH CAPACITY REQUEST
PHYSICAL SHARED CHANNEL ALLOCATION
SYSTEM INFORMATION
SYSTEM INFORMATION CHANGE INDICATION
TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only)
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
RRC CONNECTION RELEASE (CCCH only)
Mensajes de señalización RRC no protegidos en integridad
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
10Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Mensajes MM (DL) permitidos antes del security mode command
AUTHENTICATION REQUEST
AUTHENTICATION REJECT
IDENTITY REQUEST
LOCATION UPDATING REJECT
LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity)
CM SERVICE ACCEPT, if the following two conditions apply:– no other MM connection is established; and
– the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to ‘emergency call establishment’
CM SERVICE REJECT
ABORT
IDENTITY REQUEST
LOCATION UPDATING REJECT
11Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
12Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ATAQUESIMSI / IMEI Catching
Geolocalización de dispositivos
Denegación de Servicio
Downgrade selectivo a 2G
.
13Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
IMSI / IMEI CatchingUE SRNC
Establecimiento de conexión RRC1
Location Update Request2
Identity Request (IMSI / IMEI / TMSI)3
Identity Response4
Location Update Reject5
.
14Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Geolocalización de dispositivos
Los datos necesarios para la geolocalización
viajan en los canales de señalización
establecidos.
Tan sólo es necesario establecer el canal RRC
con un dispositivo y tras ese momento el resto
es idéntico al caso 2G
¿Hace falta aceptar el registro del terminal?
.
15Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda
falsa
Geolocalización de dispositivosUE SRNC
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
16Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Denegación de servicio 3G
Puesto que el mensaje “Location Update Reject” puede enviarse
previamente al establecimiento de la protección en integridad, el
ataque de denegación de servicio basado en los LU Reject Cause
Codes es totalmente posible en 3G
17Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Downgrade selectivo a 2G
El downgrade selectivo a 2G puede realizarse de 2
formas (al menos):
– Si se conoce el identificador temporal del dispositivo (lo
cual puede obtenido mediante otra acción previa), puede
redirigirse el establecimiento de conexión selectivamente
a una celda 2G, mediante el uso de Inter-RAT info
– Con cualquier identificador del dispositivo, puede utilizarse
una celda configurada con el LAC de la celda (en el caso
de que existan 2 celdas en el entorno con diferentes LAC
pueden utilizarse 2 estaciones base) y rechazar el registro
con “Location Area not allowed”
18Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
19Rooted CON 2014 6-7-8 Marzo // 6-7-8 March.
20Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DESARROLLO DE UN MODEM SW 3G
Para recepción de una señal en el downlink
.
21Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura HW
CAPTURA
GigEUHD
UmTRX
https://code.google.com/p/umtrx/
.
22Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 2G en plano IQ
CAPTURA
.
23Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 3G en plano IQ
CAPTURA
24Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
La frecuencia de muestreo debe
ser un múltiplo de la tasa de
símbolos por segundo
En UMTS se emiten 3,84 Msps (1
símbolo representa 1 chip)
13 Msps 3,84 Msps
CAPTURA
RESAMPLING
25Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
IDENTIFICACIÓN DEL PSCH
26Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
27Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
28Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
29Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (I)
IDENTIFICACIÓN SCRAMBLING CODE
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
30Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (II)
1
1
.
31Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DEMO
.
32Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
90850023aa1909143219218438c0b48000aa
Master Information Block
10010000 10000101 00000000 00100011 10101010 0001100100001001 00010100 00110010 00011001 00100001 1000010000111000 11000000 10110100 10000000 00000000 10101010
214 01
MCC MNC
(España) (Vodafone)
.
33Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
34Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
3G
.
– Downgradeselectivo a 2G
35Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PARA SABER MÁS…
.
36Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PREGUNTAS
.
37Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com
