David Pérez y José Picó - layakk.com · Las comunicaciones móviles 2G son totalmente...

https://cybercamp.es #CyberCamp15

Seguridad de comunicaciones móviles 3G

David Pérez y José Picó

Quienes somos

Servicios de seguridad

Investigación en seguridad

David Pérez José Picó

www.layakk.com @layakk

Introducción

y un poco de historia…

Las comunicaciones móviles 2G son totalmente vulnerables

>Interceptación

>Manipulación

>Identificación de usuarios

>Geolocalización

>Denegación de servicio

<1.000

(*) NOTA: solamente teniendo en cuenta los

ataques con estación base falsa

Ataque con estación base falsa


Ubicación de la

infraestructura



Caracterización de la

celda



Atacante comienza a

emitir



La víctima campa en

la celda falsa



El atacante toma

control total de las

comunicaciones de la

víctima

010011101011001110011011000

En la práctica…


>Interceptación

>Manipulación

>Identificación

de usuarios

>Geolocalización

>Denegación de

servicio

En la práctica…


>Interceptación

>Manipulación

>Identificación de usuarios

>Geolocalización

>Denegación de servicio

¿Es posible aplicar estas técnicas a 3G?

En 3G existe autenticación bidireccional

La criptografía de 3G no está rota públicamente

sin embargo…

En 2014 ya pensábamos que una parte de los ataques era

posible…

Base teórica

El problema de la configuración y

parametrización de la celda falsa

¿Quién vive en el vecindario?

Las celdas vecinas

Las celdas vecinas en 2G y en 3G

2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador

3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 para un operador

935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9

(*) En la práctica no se consideran solapamientos

Solución Ideal

Un sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y

algunos dedicados)

Trabajo en progreso

Solución alternativa

xgoldmon

extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados,

en las comunicaciones entre un móvil y la red 3G

Ref.: xgoldmon (Tobias Engel)

https://github.com/2b-as/xgoldmon

Infraestructura estación base 3G

¿Qué hace falta?

USRP B200

Lo que nosotros utilizamos…

Ref.: OpenBTS-UMTS

http://openbts.org/w/index.php/OpenBTS-UMTS

Ref.: USRP B200

http://www.ettus.com/product/details/UB200-KIT

Lo que nosotros utilizamos…

IMSI Catching

¿En qué consiste?

¿Por qué es peligroso?

Pruebas en 3G

IMSI Catching

El IMSI (Internation Mobile Subscriber Number) es el número que

identifica a los usuarios de la red móvil

Está asociado a cada persona que lo compra

Es el único identificador de usuario (en el nivel de movilidad de la

comunicaciones móviles) que es invariable

Sólo debe ser conocido por el operador y por el usuario

¿Qué es el IMSI?

MCC MNC MSIN

IMSI Catching

Consiste en la captura no autorizada de IMSIs

Puede hacerse utilizando diferentes técnicas

la que nos ocupa es la utilización de una estación base falsa

en este caso, la captura se hace en el entorno del atacante

Determina la presencia de un usuario en la zona

Una infraestructura de estación base falsa como la descrita

anteriormente, sin necesidad de modificaciones software.

¿En qué consiste?

¿Por qué es peligroso?

¿Qué se necesita?

IMSI Catching

Denegación de servicio persistente y

selectiva

La técnica de LURCC aplicada a 3G (RAURCC)

Diferentes técnicas

Denegación de servicio de telefonía móvil

Ataque

Masivo

Ataque

Selectivo

Ataque

Persistente

Transparente

al usuario

Inhibidor de

frecuencia

Agotamiento de

canales de radio

en la BTS

Redirección

mediante estación

base falsa

Técnica LUPRCC

Fundamentos teóricos

Técnica LURCC (RAURCC)

Técnica LURCC (RAURCC)

Una infraestructura de estación base falsa UMTS como la descrita

anteriormente

Una modificación del software de la estación base falsa para que pueda

implementar el ataque de forma selectiva y configurable

¿Qué se necesita?

RAURCC: “Illegal MS”

Escenario de aplicación

Trabajos en curso y a futuro

Qué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro…

Geolocalización

Geolocalización

Portar el sistema ya realizado a 3G

modificar la estación base para que mantenga los canales de radio abiertos el mayor

tiempo posible

obtener datos para triangular similares a los usados en 2G

¿Otros caminos?

Trabajo en curso

Downgrade selectivo a 2G

Desarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS

para probar las técnicas descritas en RootedCON2014

Trabajo futuro: Sniffer y 4G

Continuar el trabajo del sniffer 3G

Estudiar y probar si estas técnicas son igualmente posibles en redes

4G

CONCLUSIONES

Conclusiones

Efectivamente, los ataques de IMSI Catching, denegación de servicio

son posibles en la práctica

Estamos trabajando para:

portar la funcionalidad de geolocalización de 2G a 3G

Implementar el downgrade selectivo 3G 2G

Probar toda la funcionalidad en 4G

¡ Muchas gracias !

https://cybercamp.es #CyberCamp15

Seguridad de comunicaciones móviles 3G

David Pérez y José Picó

David Pérez y José Picó - layakk.com · Las comunicaciones móviles 2G son totalmente...

Documents

Transcript of David Pérez y José Picó - layakk.com · Las comunicaciones móviles 2G son totalmente...