Atacando 3G (Chapter II)

Transcripción

1 Atacando 3G (Chapter II) Satellite Edition José Picó David Pérez 1

2 Agenda Introducción El problema de la configuración de la celda falsa IMSI Catching Denegación de servicio Trabajos en marcha y futuros Conclusiones 2

3 INTRODUCCIÓN y un poco de historia 3

4 Las comunicaciones móviles 2G son totalmente vulnerables >Interceptación >Manipulación >Identificación de usuarios >Geolocalización <1.000 >Denegación de servicio (*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa 4

5 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Ubicación de la infraestructura 5

6 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Caracterización de la celda 6

7 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Atacante comienza a emitir 7

8 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: La víctima campa en la celda falsa 8

9 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: El atacante toma control total de las comunicaciones de la víctima

10 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 10

11 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 11

12 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 12

13 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 13

14 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 14

15 Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 15

16 Es posible aplicar estas técnicas a 3G? En 3G existe autenticación bidireccional La criptografía de 3G no está rota públicamente sin embargo 16

17 En 2014 ya pensábamos que una parte de los ataques era posible 17

18 Base teórica 18

19 EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA Quién vive en el vecindario? 19

20 Las celdas vecinas 20

21 Las celdas vecinas en 2G y en 3G 2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador 935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9 3G: 3 ARFCNs (*) (5 MHz) en la banda de 2100 para un operador (*) En la práctica no se consideran solapamientos 21

22 Solución Ideal Un sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados) En progreso 22

23 Solución alternativa xgoldmon Ref.: xgoldmon (Tobias Engel) extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G 23

24 INFRAESTRUCTURA ESTACIÓN BASE 3G Qué hace falta? 24

25 Lo que nosotros utilizamos USRP B200 Ref.: OpenBTS-UMTS Ref.: USRP B

26 Lo que nosotros utilizamos 26

27 IMSI CATCHING En qué consiste? Por qué es peligroso? Pruebas en 3G 27

28 IMSI Catching Qué es el IMSI? El IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil IMSI MCC MNC MSIN Está asociado a cada persona que lo compra Es el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariable Sólo debe ser conocido por el operador y por el usuario 28

29 IMSI Catching En qué consiste? Consiste en la captura no autorizada de IMSIs Puede hacerse utilizando diferentes técnicas la que nos ocupa es la utilización de una estación base falsa en este caso, la captura se hace en el entorno del atacante Por qué es peligroso? Determina la presencia de un usuario en la zona Qué se necesita? Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software. 29

30 IMSI Catching 30

31 DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVA La técnica de LURCC aplicada a 3G (RAURCC) 31

32 Denegación de servicio de telefonía móvil Diferentes técnicas Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Ataque Masivo Ataque Selectivo Ataque Persistente Transparente al usuario Técnica LUPRCC 32

33 Técnica LURCC (RAURCC) Fundamentos teóricos 33

34 Técnica LURCC (RAURCC) Qué se necesita? Una infraestructura de estación base falsa UMTS como la descrita anteriormente Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable 34

35 RAURCC: IMSI Unknown in HLR 35

36 RAURCC: Illegal MS 36

37 Escenario de aplicación 37

38 Escenario de aplicación 38

39 TRABAJOS EN CURSO Y A FUTURO Qué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro 39

40 Geolocalización 40

41 Geolocalización Trabajo en curso Portar el sistema ya realizado a 3G modificar la estación base para que mantenga los canales de radio abiertos el mayor tiempo posible obtener datos para triangular similares a los usados en 2G Otros caminos? 41

42 Downgrade selectivo a 2G Desarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON

43 Trabajo futuro: Sniffer y 4G Continuar el trabajo del sniffer 3G Estudiar y probar si estas técnicas son igualmente posibles en redes 4G 43

44 CONCLUSIONES 44

45 Conclusiones Efectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la práctica Estamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica) 45

46 MUCHAS GRACIAS! 46

47 Atacando 3G (Chapter II) Satellite Edition José Picó David Pérez 47