TRABAJO DE DIPLOMA. Análisis de vulnerabilidades en Redes Móviles Celulares 2G y 3G

Transcripción

1 Universidad Central Marta Abreu de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica TRABAJO DE DIPLOMA Análisis de vulnerabilidades en Redes Móviles Celulares 2G y 3G Autor: Carlos Alberto Agesta Cobo. Tutor: MSc. Rubersy Ramos García. Cotutor: MSc. David Beltrán Casanova. Santa Clara 2015 "Año 57 de la Revolución"

2 Universidad Central Marta Abreu de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica TRABAJO DE DIPLOMA Análisis de vulnerabilidades en Redes Móviles Celulares 2G y 3G Autor: Carlos Alberto Agesta Cobo cagesta@uclv.edu.cu Tutor: MSc. Rubersy Ramos García rubersy.ramos@etecsa.cu Cotutor: MSc. David Beltrán Casanova dbeltranc@uclv.edu.cu Santa Clara 2015 "Año 57 de la Revolución"

3 Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central Marta Abreu de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada. Firma del Autor Firma del Jefe de Departamento donde se defiende el trabajo Firma del Responsable de Información Científico-Técnica

4 i PENSAMIENTO La ignorancia afirma o niega rotundamente; la ciencia duda. Voltaire, François-Marie Arouet Nunca consideres el estudio como un deber, sino como una oportunidad para penetrar en el maravilloso mundo del saber. Einsten, ALbert

5 ii DEDICATORIA A mi madre, Ana María Cobo Luege, por haberme educado con tanto amor y por entregarme todo en la vida a cambio de ser un hombre de bien. A la memoria de mi padre, Luis Agesta Hernández, por su gran cariño, inculcándome siempre el amor por el estudio y la superación. A la memoria de mi abuela y mi tía, Delfina Luege y María Lourdes Cobo, por su ternura infinita y porque simplemente hay personas que te marcan para siempre.

6 iii AGRADECIMIENTOS A mi familia, que tanto se ha preocupado por educarme, inculcándome los mejores valores morales y guiándome por los mejores caminos de la vida, brindándome amor y fuerza de voluntad para llegar a ser un profesional. A mis verdaderos amigos por estar presente en buenos y malos momentos. A mis compañeros de aula por compartir esta etapa con ellos. A TODOS GRACIAS

7 iv TAREA TÉCNICA Búsqueda de información en la literatura actualizada sobre los mecanismos de seguridad de las redes móviles celulares 2G y 3G. Análisis de las principales vulnerabilidades de las redes móviles celulares 2G y 3G. Selección de las herramientas más utilizadas por los investigadores de seguridad para vulnerar las redes móviles celulares. Elaboración de una guía para mitigar las vulnerabilidades de las redes móviles celulares 2G y 3G presentes en ETECSA Firma del Autor Firma del Tutor

8 v RESUMEN Las redes móviles celulares presentan vulnerabilidades importantes que comprometen las comunicaciones de los usuarios, de ahí la importancia de buscar soluciones de seguridad para el uso seguro de la telefonía móvil. El presente trabajo se centra en realizar un análisis de las vulnerabilidades de las redes móviles celulares de Segunda Generación (2G) y Tercera Generación (3G), teniendo como objetivo principal elaborar una guía para mitigar las vulnerabilidades presentes en estas redes. Esta propuesta de guía se basa en proporcionar seguridad tanto a los operadores de red como a los usuarios móviles. Además en el trabajo se caracterizan los mecanismos de seguridad de las redes 2G y 3G y se proponen herramientas para la explotación de las vulnerabilidades presentes hasta la fecha.

9 vi TABLA DE CONTENIDOS PENSAMIENTO... i DEDICATORIA... ii AGRADECIMIENTOS... iii TAREA TÉCNICA... iv RESUMEN... v INTRODUCCIÓN... 9 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MÓVILES CELULARES GSM (2G) Arquitectura GSM Identificadores GPRS (2.5G) Arquitectura GPRS EDGE (2.75G) UMTS (3G) Arquitectura UMTS HSPA Mecanismos de Seguridad GSM (2G) Mecanismos de Seguridad GPRS (2.5G) Mecanismos de Seguridad UMTS (3G) Interoperabilidad entre redes 2G y 3G Conclusiones Parciales... 31

10 vii CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN Vulnerabilidades en redes móviles GSM (2G) Vulnerabilidades en redes móviles GPRS (2.5G) Vulnerabilidades en redes móviles UMTS (3G) Herramientas para la explotación de vulnerabilidades en redes móviles celulares Analizadores de espectro Falsa BTS Herramientas para explotar las vulnerabilidades del cifrado Herramientas para la clonación física de tarjetas SIM Conclusiones Parciales CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES Medidas a implementar por el operador de red móvil Medidas a implementar en los dispositivos móviles Medidas a implementar para el acceso remoto seguro a las redes corporativas Conclusiones Parciales CONCLUSIONES RECOMENDACIONES REFERENCIAS BIBLIOGRÁFICAS GLOSARIO ANEXOS Anexo A Bandas de frecuencia de GSM Anexo B Canales Lógicos y Tráfico en GSM... 73

11 viii Anexo C Funcionamiento del VLR Anexo D Autenticación de la Identidad del Suscriptor GSM [1] Anexo E Algoritmo de Cifrado A5/ Anexo F Mecanismo AKA Anexo G Generación del vector de autenticación Anexo H Algoritmo f Anexo I Algoritmo f Anexo J Algoritmo KASUMI Anexo K Herramientas de Hardware Anexo L Dispositivo USRP N200/N Anexo M Software de clonado de tarjetas SIM XSim

12 INTRODUCCIÓN 9 INTRODUCCIÓN La telefonía móvil digital es un servicio que lleva relativamente poco tiempo, y que ha evolucionado mucho en su corto camino. La primera generación de telefonía móvil fue analógica. Este servicio analógico no tenía ninguna ambición de protección de las comunicaciones: la voz viajaba en claro, simplemente modulada en frecuencia (FM), con lo que podía ser interceptada con un simple escáner de frecuencias [1]. La segunda generación (2G) de comunicaciones móviles fue digital, destacando dentro de los estándares 2G el estándar europeo GSM, desarrollado inicialmente por la CEPT (Conférence Européene des Administrations des Postes et Telécommunications) y posteriormente debido a la rápida proliferación mundial de las redes GSM, el nombre se ha reinterpretado como Sistema Global para Comunicaciones Móviles. Este sistema incluyó entre sus objetivos garantizar la seguridad y la privacidad de las comunicaciones. Por ello, entre sus funcionalidades está el uso de cifrado tanto para la autenticación de los usuarios como de todas las comunicaciones [1]. El estándar GSM surgió inicialmente sin la capacidad de transmitir datos mediante conmutación de paquetes. Posteriormente se ampliaría el estándar incorporándole los protocolos GPRS (General Packed Radio Service) primero, y EDGE (Enhanced Data Rates for Global Evolution) después, que permiten el acceso a Internet, aunque a velocidades bastante reducidas [2]. Dentro de la Tercera Generación (3G) de comunicaciones móviles el estándar de mayor despliegue a nivel mundial ha sido UMTS (Universal Mobile Telecommunications System), desarrollado por el grupo de colaboración 3GPP (3rd Generation Partnership Project). UMTS fue desarrollado como una evolución de GSM, de manera que la transición de GSM a UMTS fuera sencilla. En 3G las funciones de seguridad fueron ampliadas considerablemente respecto a 2G. UMTS nació desde el principio con la capacidad de conmutar tanto circuitos, para las llamadas de voz, como paquetes, para las conexiones de datos. Posteriormente se añadieron los protocolos HSPA, HSDPA, HSUPA y HSPA+, con el objetivo de aumentar la velocidad por la alta demanda de servicios de multimedia [2].

13 INTRODUCCIÓN 10 La Cuarta Generación (4G) la constituye el estándar LTE-Advanced, desarrollado también por 3GPP y desde 2010 está siendo desplegado en diferentes partes del mundo. Con el afianzamiento de 3G y el advenimiento de 4G, se podría pensar que 2G va a caer en desuso rápidamente. Sin embargo, los hechos apuntan a que 2G va a coexistir con 3G o incluso 4G durante mucho tiempo, al menos en muchas zonas del planeta [2]. Actualmente en Cuba coexisten los servicios 2G y 3G y todavía no se ha comenzado a desplegar 4G. El servicio 2G está presente prácticamente en todo el territorio, mientras que el servicio 3G está disponible sólo para servicio de Roaming internacional en la cayería Norte del país (La Habana, Varadero, Cayos de Villa Clara y Cayos de Ciego de Ávila) y en las cabeceras provinciales [3]. Las comunicaciones móviles 2G/3G son hoy en día vitales para la vida diaria de millones de personas y empresas en todo el mundo. Los sistemas de comunicaciones móviles son muy populares entre los clientes y los operadores de servicios. A diferencia de las redes cableadas, este tipo de redes ofrecen en cualquier lugar y en cualquier momento acceso a los usuarios. El amplio uso de las comunicaciones móviles ha incrementado la importancia de la seguridad. La seguridad de estas redes posee sus deficiencias y a medida que pasa el tiempo evolucionan las técnicas y herramientas de ataque. Por tanto, los mecanismos de seguridad deben ser mejorados continuamente. El interés principal de los atacantes hacia los dispositivos móviles se centra en el robo de información personal y confidencial, la obtención de credenciales y las transacciones financieras y fraude online, por lo que cada vez serán más comunes las soluciones de seguridad para dispositivos móviles, con capacidades de antivirus, cortafuegos y cifrado de datos. Teniendo en cuenta los aspectos anteriores, en el presente trabajo de diploma se plantea el siguiente problema de investigación: no existencia de una guía para eliminar las vulnerabilidades de las redes móviles celulares implementadas en ETECSA. El objetivo general es: proponer una guía para mitigar las vulnerabilidades de las redes móviles celulares implementadas en ETECSA, lo cual va a permitir el uso seguro de estas redes.

14 INTRODUCCIÓN 11 De este objetivo se derivan los siguientes objetivos específicos: Caracterizar los mecanismos de seguridad de las redes móviles celulares 2G y 3G. Analizar las principales vulnerabilidades de las redes móviles celulares 2G y 3G. Determinar qué herramientas son utilizadas por los investigadores de seguridad para vulnerar las redes móviles celulares 2G y 3G. Elaborar una guía para la solución de las vulnerabilidades de las redes móviles celulares 2G y 3G implementadas en ETECSA. Para dar ejecución a estos objetivos, durante la investigación se dará respuesta a las siguientes interrogantes: Cuáles son y como funcionan los mecanismos de seguridad presentes en las redes móviles celulares 2G y 3G? Cuáles son las vulnerabilidades más frecuentes en las redes móviles celulares 2G y 3G? Qué herramientas de software y hardware son las más utilizadas por los investigadores de seguridad para explotar las vulnerabilidades y cuales son sus prestaciones más significativas? Cuáles serían los pasos a seguir para eliminar o al menos mitigar las vulnerabilidades en las redes móviles celulares 2G y 3G? El informe está estructurado de la siguiente manera: introducción, tres capítulos, conclusiones, recomendaciones, referencias bibliográficas, glosario y anexos. En el primer capítulo se realiza una introducción a las redes móviles celulares 2G y 3G y a la seguridad de estas, mediante la definición de conceptos y la caracterización de los mecanismos de seguridad de estas redes. En el segundo capítulo se analizan las principales vulnerabilidades de las redes móviles celulares 2G y 3G reportadas en la literatura. Además se determinan las herramientas más utilizadas por los investigadores de seguridad para explotar las vulnerabilidades presentes en estas redes.

15 INTRODUCCIÓN 12 Por último, en el capítulo tercero se propone una guía para eliminar, o al menos mitigar, las principales vulnerabilidades presentes en las redes 2G y 3G.

16 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 13 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MÓVILES CELULARES. El actual uso generalizado de la comunicación móvil, tanto en la vida cotidiana como en el comercio, es una realidad insoslayable. En las redes móviles celulares la seguridad en la comunicación es una característica imprescindible, de interés tanto de los clientes como de los proveedores de servicios. Los primeros necesitan que sea garantizada la confidencialidad e integridad de su información, y los segundos necesitan garantizar que los recursos y servicios de sus redes no sean utilizados por usuarios no autorizados [4]. 1.1 GSM (2G) Una red GSM se compone de una serie de entidades funcionales cuyo objetivo es prestar servicios de comunicación móvil a una serie de suscriptores basada en un interfaz de radio. El sistema GSM fue diseñado como una plataforma independiente en donde no se especificaban los requisitos de hardware, pero si las funciones de red y sus interfaces en detalle. GSM utiliza modulación digital binaria (Gaussian minimum shift keying GMSK) y posee una tasa de transmisión de 270 Kbps, para datos 9,6 Kbps [1]. Ver Anexo A y B Arquitectura GSM Una red GSM se compone de dos sistemas principales: la infraestructura fija y los abonados móviles los cuales utilizan los servicios de la red y se comunican a través de la interfaz de radio. La figura 1.1 muestra la arquitectura de red de un determinado operador GSM, denominada Public Land Mobile Network (PLMN) con sus componentes esenciales, en la misma se muestra la estructura jerárquica de estas redes [1].

17 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 14 Fig.1.1. Arquitectura del estándar GSM. La infraestructura fija puede dividirse a su vez en tres subsistemas y cada uno se compone por un número de unidades funcionales. Estos tres subsistemas son: BSS (Base Station Subsystem), MSS (Mobile Switching and Management Subsystem) y el OMSS (Operation and Maintenance Subsystem) [1]. Subsistema de Estaciones Bases (BSS) El BSS es el subsistema encargado de realizar todas las funciones relacionadas con los enlaces de radio, este suministra el canal entre los MS y el MSC como se muestra en la figura 1.1[1]. Este subsistema está compuesto por: Estación Móvil (MS) Es la herramienta utilizada por los usuarios de la red móvil para el acceso a los servicios. Se compone de dos componentes principales: el Equipo Móvil (ME) y el Módulo de Identificación del Suscriptor, la SIM [1]. Estación Base de Transmisión y Recepción (BTS) La BTS actúa como intermediario entre la MS y la red proporcionando la cobertura de radio necesaria en la celda a través de la interfaz Um, que es la interfaz de radio que existe entre la MS y la BTS. El BTS está compuesto por sistemas de radiación, trasmisores/receptores y equipos de señalización que le permiten realizar varias funciones de control que reducen el tráfico entre las BTS y el BSC [1].

18 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 15 Controlador de Estaciones Base (BSC) El BSC es el nodo central de un BSS y el encargado de coordinar las acciones de las BTS. La tarea más importante del BSC es la de garantizar el mejor aprovechamiento posible de los recursos de radio de la red [1]. Subsistema de Conmutación y Administración de Red (MSS) Este subsistema se encarga del procesamiento y conmutación de las llamadas en la red GSM, además contiene las bases de datos de los abonados para poder encargarse de las funciones relacionadas con cada usuario. La figura 1.1 muestra los componentes principales del subsistema MSS [1]. Este subsistema está compuesto por: Centro de Conmutación de Servicios Móviles (MSC) El MSC es el nodo primario de una red GSM. Este nodo es el encargado de controlar las llamadas desde y hacia las MS [1]. Registro de Localización del Visitante (VLR) El VLR es el encargado del almacenamiento temporal de la información de los MS que se encuentren dentro de un área de servicio particular del MSC. Existe un VLR por cada MSC. Esto posibilita que un MSC no tenga que entrar en contacto con el HLR (que puede estar situado en otro país) cada vez que un suscriptor utiliza un servicio o cambie su posición dentro del área de servicio [1].(Ver Anexo C) Registro de localización permanente (HLR) El HLR es una base de datos centralizada de la red GSM que almacena y maneja todas las suscripciones móviles que pertenecen a un operador específico. Actúa como un registro permanente de la información de suscripción de una persona hasta que esta suscripción sea cancelada. En una red GSM puede existir más de un HLR a los cuales pueden acceder los MSC y los VLR [1]. Pasarela MSC (GMSC) Es el encargado de servir como interfaz entre la red móvil y otras redes externas. Cualquier MSC en la red puede actuar como GMSC con el software de integración apropiado [1].

19 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 16 Subsistema de Operación y Mantenimiento (OMSS) El control de la red es monitoreado desde el Centro de Operación y Mantenimiento (OMC), el cual cuenta con las bases de datos EIR y AuC. La figura 1.1 muestra los componentes esenciales del OMSS [1]. Este subsistema está compuesto por: Registro de identificación de equipo (EIR) El EIR es una base de datos que contiene la información de identidad de cada equipo móvil y no del abonado, lo cual ayuda al bloqueo de llamadas no autorizadas o provenientes de estaciones móviles defectuosas [1]. Centro de Autentificación (AuC) El AuC está asociado al HLR al cual solicita información relativa al abonado a autenticar. El proceso de autenticación se efectúa cada vez que un abonado intenta acceder al sistema por primera vez, procesando la autenticación de las tarjetas SIM [1] Identificadores Módulo de Identificación del Suscriptor (SIM): Como indica su nombre SIM es un componente sustituible que contiene [5]: Un número de identificación que se usa para desbloquear la tarjeta. El número telefónico del abonado (MSISDN) Contiene el IMSI La clave de autenticación del suscriptor Ki, un número de 128 bits. IMSI (International Mobile Subscriber Identity ): Es un ID único asociado con todos los usuarios de teléfonos móviles. Está codificado en un espacio máximo de 15 dígitos sobre la tarjeta SIM que está en el teléfono [1]. Los primeros tres dígitos representan el Código de País de Móvil (MCC), Seguido del Código de Operador de Móvil (MNC), que puede ser de 2 dígitos. Los dígitos restantes representan el Número de Identificación de Suscripción de Móvil (MSIN) en la red de la base de clientes. Número Telefónico del Abonado (MSISDN) : Es el número de teléfono real que contiene [1]: Código de País de Móvil: no más de 3 dígitos

20 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 17 Código Nacional: casi siempre 2 o 3 dígitos Número del abonado: máximo 10 dígitos TMSI (Temporal Mobile Subscriber Identity ): El VLR siendo responsable de la localización actual del usuario asigna una TMSI, la cual tiene significado solamente en el área del VLR. La MS almacena la TMSI en la SIM. Consiste en 32 bits excluyendo el valor hexadecimal FFFF FFFFH [1]. IMEI (International Mobile Equipment Identity): Este código identifica al ME unívocamente a nivel mundial. El IMEI es colocado en el equipo móvil en su fabricación. Es una dirección jerárquica, que consta de [6]: 6 primeros dígitos, se denominan Type Approval Code (TAC) 6 segundos dígitos se denominan Final Assembly Code (FAC), indica el fabricante. compuesta de seis dígitos, es el número de serie del teléfono (SNR). un último dígito, es el dígito verificador o Spare, para verificar que el IMEI es correcto. Identificador de Área de Localización (LAI): El LAI es internacionalmente único y consta de [1]: Código de País de Móvil: 3 dígitos Código de Operador Móvil (MNC): 2 dígitos Código de Localización de Área (LAC): 5 dígitos 1.2 GPRS (2.5G) El GPRS (General Packed Radio Service) es un servicio de paquetes de datos introducidos en las redes GSM. El GPRS ofrece a los suscriptores servicios de datos móviles de extremo a extremo, basado en la conmutación de paquetes (PS), antes se utilizaba la conmutación de circuitos (CS). GPRS es compatible con el sistema GSM, las redes GPRS están basadas en GSM, lo cual permite la misma cobertura y la utilización de los mismos terminales (GSM/GPRS). Posee una alta tasa de transmisión para su época, velocidad de datos hasta 171 kbps [7].

21 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES Arquitectura GPRS A fin de integrar GPRS en la arquitectura GSM existente son introducidos una nueva clase de nodos de red: Nodo de Soporte Servidor de GPRS (SGSN) y Nodo de Soporte Pasarela de GPRS (GGSN). La figura 1.5 muestra la arquitectura de una red GPRS [8]. Figura 1.5 Arquitectura de una red GPRS. Nodo de Soporte Servidor de GPRS (SGSN) Son responsables de la entrega y el enrutamiento de paquetes de datos entre las estaciones móviles y las redes de paquetes de datos externos. Además de esta función el SGSN se encarga de la autentificación y registro de los móviles, actualización de la posición de los usuarios y la conexión con los demás nodos de la red GSM [8]. Nodo de Soporte Pasarela de GPRS (GGSN) Al igual que el SGSN el GGSN es un nodo primario de la red GSM utilizado por el sistema GPRS y su principal función es la de proveer la interfaz hacia las redes externas. Por lo tanto GGSN es el encargado de la interconexión con los Proveedores de Servicios de Internet (ISP). Desde el punto de vista de las redes IP, el GGSN actúa como un router para las direcciones IP de los suscriptores que cuentan con el servicio de la red GPRS ya que oculta la infraestructura de la red GPRS al resto de las redes externas [8]. Interfaces de GPRS A través de las interfaces Gn y Gp son transmitidos datos de usuarios y señalización entre los GSN. La interfaz Gn es usada si el SGSN y el GGSN están localizadas en la misma

22 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 19 PLMN, mientras que la interfaz Gp es usada si estas están en diferentes PLMN. La interfaz Gi conecta la PLMN con los PDN (Packet Data Networks) externos [9]. 1.3 EDGE (2.75G) La tecnología EDGE (Enhanced Data Rates for Global Evolution) es otro de los desarrollos evolutivos de las redes GSM. Se trata de una tecnología que mejora el ancho de banda de la transmisión de los datos en GSM y GPRS, y que se puede considerar como precursora de UMTS [7]. EDGE es básicamente solo una nueva tecnología de modulación y de codificación del canal, además de usar GMSK (Gaussian Minimum-Shift Keying), EDGE usa 8PSK (8 Phase Shift Keying). Puede ser utilizado para transmitir conmutación de paquetes (PS) y conmutación de circuitos (CS) de datos o de voz. EDGE puede alcanzar una velocidad de transmisión de 384 Kbps en modo de paquetes [7]. Aunque EDGE funciona con cualquier red GSM que tenga implementado GPRS el operador debe implementar las actualizaciones necesarias. El núcleo de la red o Core Network no necesita ser modificado, sin embargo las estaciones bases sí deben serlo pues se deben instalar transceptores compatibles con EDGE, además de que los terminales deben soportar los esquemas de modulación de esta tecnología. Se puede decir que EDGE es una tecnología que actúa como puente entre las redes 2G y 3G [7]. 1.4 UMTS (3G) El sistema UMTS (Universal Mobile Telecommunications System) fue desarrollado por el 3rd Generation Partnership Project (3GPP) con el objetivo de satisfacer la alta demanda de servicios de multimedia, mediante el uso eficiente de los recursos de radio[10]. Las principales especificaciones técnicas de UMTS son: Las redes UMTS introdujeron una elevada tasa de transmisión de bits teóricamente hasta 2 Mbps. Utiliza Acceso Múltiple por División de Código de Banda Ancha (WCDMA). La Core Network del sistema UMTS es basada en la establecida red GSM.

23 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES Arquitectura UMTS La idea básica detrás de UMTS es preparar una infraestructura universal capaz de mantener los servicios existentes y que soporte los servicios futuros. La figura 1.6 muestra la arquitectura de una red UMTS [11]. El sistema UMTS está dividido en tres bloques principales [12]: El núcleo de red (Core Network, CN), La red terrestre de acceso radio UMTS (UTRAN) y la Estación Móvil. Figura 1.6. Arquitectura UMTS. Núcleo de Red (CN) La principal función del CN es proporcionar la conmutación, el enrutamiento y el tránsito para el tráfico de los usuarios. Incluye las bases de datos que se usan para la movilidad, la administración del usuario y la facturación. Además, facilidades para la administración de la red [11]. Las redes UMTS soportan ambos tipos de conmutación, en cada caso con nodos especiales en la CN. Los nodos necesarios para la conmutación de circuitos son basados en las existentes redes GSM. Los nodos utilizados para la conmutación de paquetes, fueron introducidos en la arquitectura GSM con la aparición de GPRS. Los elementos que utilizan la conmutación de circuitos son el MSC y el GMSC. Los elementos que utilizan la conmutación de paquetes son el SGSN y el GGSN. Algunos elementos como el EIR, HLR

24 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 21 y AuC son compartidos por ambos dominios. Todos los equipos son modificados mediante una actualización de software para las operaciones y los servicios de UMTS [11]. Red terrestre de acceso radio UMTS (UTRAN) Es la infraestructura de la red fija que contiene los servicios de transmisión. La UTRAN se compone de [11]: Controlador de la Red de Radio (RNC) Es el nodo central en la UTRAN. Ocupa el lugar de la BSC en la red GSM y asume la administración de los recursos correspondientes a las celdas. En este nodo se implementan los protocolos que están entre los equipos de usuario y la UTRAN. El RNC perfecciona las funciones que provee el Controlador de Estación Base BSC en la GERAN (GSM/EDGE Radio Acces Network), interconectando robustamente a las BTS. Cada RNC es asignado a un MSC y a un SGSN. El RNC es responsable de los recursos de radio, handover, control de potencia y el cifrado de los datos del usuario [12]. Nodo B Es el equivalente al BTS de la red GSM. Las tareas directamente relacionadas a la interfaz de radio se manejan en el Nodo B. Un Nodo B puede manejar una o varias celdas y se conecta con el UE mediante la interfaz de radio Uu [11]. Equipo de Usuario (UE) Este equipo soporta uno o más estándares de radio y contiene la USIM (Universal Subscriber Identity Module) [11]. 1.5 HSPA Con WCDMA Recomendación 99 (R.99) de 3GPP se proporcionan razones de datos teóricamente hasta 2Mbps para el área de cobertura de la red. Sin embargo con esta razón de datos todavía no se lograba satisfacer la demanda de los usuarios, por lo que se requirió un incremento de los servicios de paquetes de datos y de la calidad de los mismos. Como respuesta a esto el 3GPP crea HSPA (High Speed Packet Access). Con HSPA se logra mejorar considerablemente la experiencia del usuario final ya que proporciona razones de datos de 14 Mbps en el enlace de bajada y 5,8 Mbps en el enlace de subida [13].

25 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 22 HSDPA (High Speed Downlink Packet Access) HSDPA (WCDMA 3GPP R.5) se basa en la transmisión compartida de canal, lo que significa que algunos códigos de canal y la potencia de transmisión en una celda se consideran como recursos comunes para ser compartidos dinámicamente entre los usuarios en tiempo y en los dominios del código. Esto trae consigo un uso más eficiente de los recursos disponibles en WCDMA. HSDPA le agrega un nuevo canal de transporte a WCDMA, HS-DSCH (High Speed Downlink Shared Channel), que proporciona un alto desempeño de las aplicaciones en el enlace de bajada. HSDPA utiliza los canales de datos de alta velocidad llamados HS-PDSCH (High Speed Physical Downlink Shared Channels) para transportar a HS-DSCH. Hasta 15 canales HS-PDSCH pueden operar en un radio canal de WCDMA. A las transmisiones de los usuarios se le asignan uno o más de estos canales para un TTI (Transmission Time Interval) corto de 2 ms, que es mucho menor que el TTI de 10 a 20 ms utilizado en WCDMA. Esto le permite a la red asignarles a los usuarios de forma instantánea los canales de mejores condiciones y los que verdaderamente necesite [13]. HSUPA (High Speed Uplink Packet Access) Mientras que HSDPA optimiza el funcionamiento del enlace de bajada, HSUPA (WCDMA 3GPP R.6) mediante la utilización del canal E-DCH (Enhanced Dedicated Channel) optimiza el funcionamiento del enlace de subida. HSUPA da la posibilidad de incrementar en un 85% el rendimiento total de la celda en el enlace de subida y más de un 50% de ganancia en el procesamiento de los usuarios. A diferencia de HSDPA, el nuevo canal que introduce HSUPA no se comparte entre los usuarios, sino que se dedica a un solo usuario. Hasta cuatro códigos pueden ser utilizados para aumentar la razón de datos en el enlace de subida. Por ejemplo, si un usuario necesita enviar grandes volúmenes de datos como un clip de video se le asignan a este usuario más de un código garantizándose una buena calidad de servicio. HSUPA también cuenta con un TTI de 2ms que permite una respuesta más rápida a los cambios en las condiciones de radio propagación y a los errores [14].

26 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES Mecanismos de Seguridad GSM (2G) El objetivo de los diseñadores de GSM era asegurar el sistema para que fuera al menos tan seguro como los sistemas cableados. Las funciones o servicios de seguridad básicos desarrollados para GSM se podrían agrupar en tres grupos: Autenticación de la Identidad del Suscriptor, Confidencialidad de la Identidad del Suscriptor y la Confidencialidad de los Datos [15]. Autenticación de la Identidad del Suscriptor La tarjeta SIM almacena datos del abonado correspondiente y tiene implementados algoritmos de seguridad como el algoritmo de autenticación y generador de claves A3/A8. GSM implementa un mecanismo para la identificación del equipo de usuario. Puede usar el IMEI para verificar el estado del terminal mediante la base de datos EIR [6]. El protocolo de autenticación GSM consiste en un mecanismo de desafío-respuesta. El proceso de autenticación es sólo en una dirección (se autentica el teléfono pero no la BTS) [16]. En el Anexo D se pueden ver los pasos de la autenticación en las redes GSM. Algoritmo A3/A8 En realidad el algoritmo A3/A8 no existe. En el estándar GSM esos nombres se emplean como receptáculos a la hora de definir posibles algoritmos a implementar, para permitir el roaming de los teléfonos entre diferentes redes GSM la mayoría de los operadores han desplegado los mismos algoritmos [17]. Las especificaciones GSM permiten el uso de varios tipos de algoritmos para A3/A8. COMP128 es uno de ellos, no es el único posible, pero sí el más usado [18]. Confidencialidad de la Identidad del Suscriptor Este mecanismo tiene doble función, la primera es evitar que un intruso pueda averiguar la identidad de un usuario legítimo y la segunda evitar que una vez averiguada la identidad del usuario pueda emplear esta información para localizar al usuario en la red GSM. Para conseguirlo, cuando el móvil se registra en una red, se genera el TMSI. Esta identificación debe ir acompañada del LAI y sólo tiene sentido en esa área. Cuando se recibe un TMSI en una LAI distinta de la VLR actual se solicita la transmisión del IMSI a

27 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 24 la MS, por parte del VLR. Cada vez que se procede a la actualización de la localización es necesario establecer un nuevo TMSI eliminándose el anterior [19]. Confidencialidad de los datos Mediante este mecanismo de seguridad GSM proporciona confidencialidad de los datos mediante el cifrado del tráfico entre el terminal y la BTS una vez que los procesos de autenticación y registro se han realizado correctamente. Básicamente se digitaliza la voz, se comprime y se generan una serie de paquetes, cada uno de los cuales es cifrado mediante una secuencia pseudoaleatoria que se genera a partir de la clave de cifrado Kc y el número de paquete [19]. Cifrado En una conversación GSM se envía una secuencia de tramas cada 4,6 ms. Cada trama contiene 114 bits de información que representan la comunicación desde A hasta B y 114 bits que representan la comunicación de B a A. Cada conversación puede ser cifrada utilizando el algoritmo A5/1 por una nueva Kc. Para cada trama, Kc es mezclado con un contador de tramas Fn conocido y el resultado sirve como el estado inicial de un generador que produce 228 bits pseudoaleatoria. Con estos bits y los de información se realiza un XOR dando como resultado los 228 bits de la información cifrada [20]. Se pueden ver las características del Algoritmo A5/1 en el Anexo E. 1.7 Mecanismos de Seguridad GPRS (2.5G) GPRS está basado en las medidas de seguridad implementadas en GSM ya que emplea la infraestructura GSM. GPRS persigue dos objetivos: proteger la red de accesos no autorizados y proteger la privacidad de los usuarios. Incluye por tanto los siguientes componentes, algunos ya vistos en GSM, a los que se le realizan pequeñas modificaciones: Autenticación de la Identidad del Suscriptor, Confidencialidad de la Identidad del Suscriptor, Confidencialidad de los datos y de la información de control entre MS y el SGSN y la Seguridad de la red troncal GPRS [1]. Autenticación de la Identidad del Suscriptor El proceso de autenticación del suscriptor es el mismo que en GSM con la diferencia de que los procesos se realizan ahora en el SGSN. La información relativa a la seguridad por

28 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 25 parte de la red se almacena en el SGSN. Si el SGSN no tiene autentificación para un usuario (RAND), (SRES) y (Kc), los pide del HLR enviando el mensaje Send Authentication Info. El HLR le responde Send Authentication Info ACK. Posteriormente el SGSN envía el RAND a la MS y este calcula el SRES y se lo envía nuevamente al SGSN, si son iguales la autenticación tiene éxito, de lo contrario falla [1]. Confidencialidad de la Identidad del Suscriptor En lo que se refiere a la confidencialidad de la identidad del usuario, emplea igualmente una identidad temporal que se denomina Identidad de Suscriptor Móvil Temporal de Paquetes (P-TMSI). Si el SGSN incluye la firma digital del P-TMSI en algún mensaje enviado a MS, este debe hacer lo mismo en los siguientes mensajes de actualización de área o de establecimiento de conexión, la relación entre los valores y el IMSI es conocida solo en la MS y en el SGSN [19]. Confidencialidad de los datos y de la información de control entre el MS y el SGSN El alcance del cifrado llega desde la MS al SGSN y viceversa, mientras que en el sistema GSM el alcance es sólo entre la MS y la BTS. Al igual que en el cifrado GSM el algoritmo A3/A8 genera una clave cifrada Kc desde la clave Ki y el RAND. Kc es luego usada por el algoritmo de cifrado GPRS (GEA) para la encriptación de datos (Algoritmo A5/1). La clave Kc que es entregada por el SGSN es independiente de la clave Kc generada en los servicios GSM. Una MS puede por tanto tener más de una clave Kc. La función de cifrado es aplicada ahora en una capa más alta [1]. Seguridad de la red troncal GPRS La red troncal GPRS incluye tanto a los elementos de red y sus conexiones físicas como los datos de usuario y la información de señalización y control. Las señales en GPRS al igual que en GSM se basan en la tecnología SS7 (Signaling System 7), que no incluye ninguna medida de seguridad para el despliegue de este tipo de redes GPRS [21].

29 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 26 Todas los GSN están conectadas a través de un backbone GPRS basado en IP. Dentro de este backbone el GSN encapsula los paquetes PDN y los transmite usando el GPRS Tunneling Protocol (GTP), este tampoco incorpora seguridad [22]. En principio se puede distinguir entre dos tipos de backbones GPRS [1]: Intra- PLMN backbones: son redes basadas en IP pertenecientes al proveedor de red GPRS, conectando los GSN de la red GPRS. Inter-PLMN backbones: conecta los GSN de diferentes redes GPRS. Estas redes son instaladas si hay acuerdo de roaming entre dos proveedores de red GPRS. Son llamadas GRX. El gateway entre las PLMN y las Inter-PLMN backbone (GRX) externas se llama Border Gateways (BG) [1]. 1.8 Mecanismos de Seguridad UMTS (3G) En UMTS fueron desarrolladas las contramedidas para las debilidades de seguridad presentes en las redes GSM. Esto es uno de los objetivos principales que se tuvieron en cuenta en el diseño de la arquitectura de seguridad de las redes 3G. Los mecanismos de seguridad del sistema UMTS son: mecanismo AKA (Authentication and Key Agreement), uso de Identidades Temporales, Confidencialidad de los Datos y Control de Integridad y Seguridad IP (IPsec) y MAPSec [23]. Autenticación mutua del usuario y la red Existen dos entidades involucradas en el mecanismo de autenticación del sistema UMTS: Serving Network (SN), más específicamente el VLR/SGSN y el terminal, específicamente la USIM [19]. El proceso de autenticación comienza con la conexión inicial (RRC Connection Request). La inclusión de las capacidades de seguridad de la MS son enviadas en el mensaje (RRC Connection Request) que contiene: UEA (UMTS Encryption Algorithm) y UIA (UMTS Integrity Algorithm) y permite al usuario obtener información sobre las características de seguridad que se utilizan [19].

30 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 27 La idea básica es que el SN compruebe la identidad del abonado (como en GSM) por la técnica de desafío-respuesta, y por otra parte que el terminal verifique que se ha conectado a una red legítima. La parte fundamental del mecanismo de autenticación es la clave maestra o la clave de autenticación del abonado K, la cual es compartida entre la USIM del usuario y la base de datos AuC. La clave es mantenida en secreto de forma permanente y tiene un tamaño de 128 bits. Esta clave K nunca es transferida desde estas dos localizaciones, ni el usuario conoce su clave maestra [19]. Además de la autenticación mutua las claves para el cifrado de integridad (IK) y confidencialidad (CK) son también generadas. Estas son claves temporales (también de 128 bits) y son derivadas de la clave permanente K durante cada evento de autenticación. El proceso de autenticación comienza cuando el usuario es identificado en la VLR/SGSN [19]. En el Anexo F y G se describe el Mecanismo de Autenticación y el Acuerdo de Clave AKA y la generación del vector de autenticación. Uso de identidades temporales La identidad permanente del usuario en UMTS es IMSI como también es en GSM. Sin embargo, la identificación del usuario en la UTRAN está en la mayoría de los casos provocado por identidades temporales: TMSI en el dominio de CS o P-TMSI en el dominio de PS. El registro inicial es la excepción, porque una identidad temporal no puede ser usada si la red no conoce aún la identidad permanente del usuario. Si el usuario ya ha sido identificado en el SN por su IMSI entonces el SN (VLR/SGSN) asigna el TMSI o P-TMSI para el usuario y mantiene la asociación entre la identidad permanente y la temporal. La identidad temporal asignada es transferida al usuario en cuanto el cifrado está activado. El TMSI o P-TMSI es usado luego tanto en el enlace ascendente como descendente, hasta que un nuevo TMSI o P-TMSI sea asignado por la red. Cuando se lleva a cabo la asignación de una nueva identidad temporal, esta es reconocida por el terminal y entonces la antigua identidad temporal es eliminada del SN. Si esta asignación no es recibida en el terminal, el SN debe guardar tanto la antigua como la nueva identidad y aceptar cualquiera de ellas en el enlace ascendente. En el enlace descendente se envía una señal al terminal indicando que el IMSI debe ser usado porque la red no sabe qué identidad temporal está usando el terminal en ese momento. En este caso, el VLR/SGSN

31 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 28 señala eliminar cualquier TMSI/P-TMSI guardado y una nueva reasignación se lleva a cabo. Debido a que la identidad temporal solamente tiene un significado a nivel local, la identidad de área tiene que ser añadida a esta, para obtener una identidad inequívoca para el usuario; lo cual significa que el LAI es indexado al TMSI y el RAI (Routing Area Identity) al P-TMSI. Si la MS llega a una nueva área, entonces la asociación entre el IMSI y el TMSI/P-TMSI puede ser recuperada de la pasada ubicación o área de enrutamiento, si su dirección es reconocida por la nueva área (basado en LAI o RAI). Si la dirección no es reconocida o no se puede establecer la conexión con la vieja área, entonces el IMSI es requerido a la MS [19]. Confidencialidad de los datos. El cifrado y descifrado toma lugar en el terminal y en el RNC. La USIM está habilitada para generar CK e IK y las transfiere al ME donde el cifrado es implementado para la protección de la confidencialidad e integridad [19]. De la comprobación de confidencialidad se encarga el algoritmo f8. El ME utilizando el algoritmo f8 calcula una secuencia de cifrado y realiza un XOR entre esta secuencia de bits y los datos, obteniendo un bloque de datos cifrados. Estos datos cifrados se envían a la red a través de la interfaz radio. El RNC, a partir de los mismos parámetros que el dispositivo de usuario genera la misma secuencia binaria de cifrado. Realizando una operación XOR entre esta secuencia y el bloque cifrado recibido, se recuperan los datos originales [24]. Ver Anexo H Mecanismo de Control de Integridad Se implementa tanto en la estación móvil como en el RNC el algoritmo f9. El proceso de verificación de integridad es como sigue: El dispositivo del usuario calcula un código de autenticación de mensaje de 32 bits (MAC-I). El MAC-I calculado se adjunta a los datos de señalización y se envía al controlador de red. Una vez que el controlador de red recibe la información de señalización con el MAC-I adjunto, calcula empleando el mismo método que el dispositivo de usuario el XMAC-I. La integridad de la información de señalización se comprueba comparando MAC-I y XMAC-I [24]. Ver anexo I.

32 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 29 Seguridad IP (IPSec) Los principales componentes de IPSec son [19]: AH Authentication Header (Cabecera de Autenticación). ESP Encasulation Security Payload (Carga Útil Encapsulada para Seguridad). IKE Internet Key Exchange (Intercambio de Claves de Internet). La finalidad de IPSec es proteger los paquetes IP y de eso se encarga ESP y AH. ESP ofrece confidencialidad y protección de la integridad, mientras AH únicamente protege la integridad. Tanto ESP como AH necesitan claves. Una SA (Security Association) contiene información sobre el algoritmo utilizado e información de validez de las claves. Las SA deben negociarse para que puedan utilizar ESP y AH, la negociación tiene lugar en modo seguro mediante el protocolo IKE. El IKE se basa en la criptografía de clave pública con la que se pueden intercambiar claves secretas para comunicaciones seguras sobre un canal no seguro [19]. Algoritmo de cifrado por bloque KASUMI o A5/3 Los algoritmos de confidencialidad f8 y de integridad f9 están basados en el algoritmo KASUMI o A5/3. Este algoritmo de cifrado por bloque presenta una estructura de Feistel que opera con una clave de 128 bits sobre entradas y salidas de 64 bits. El algoritmo KASUMI ofrece un grado de seguridad elevado [25]. Ver Anexo J. 1.9 Interoperabilidad entre redes 2G y 3G Como las características de seguridad en los sistemas 2G y 3G son diferentes, no es fácil definir como se maneja la seguridad durante la interoperabilidad de ambos sistemas [19]. Si un terminal UMTS visita una red que solo admite la autenticación y cifrado GSM, el terminal debe autenticarse utilizando la interfaz A3/A8 para su conversión (las entradas de f1-f5 para salidas A3/A8) y lo contrario cuando desea entrar a una red 3G se utilizan las reglas de conversión para las entradas A3/A8 a las salidas f1-f5. Cuando una SIM es usada para acceder a la UTRAN, ninguna autenticación de la red es posible, porque la tarjeta solamente provee una llave de 64 bits (Kc) por autenticación, mientras que en la UTRAN se necesitan dos llaves de 128 bits. Para este propósito, la llave Kc de 64 bits es ampliada en 256 bits usando funciones específicas de conversión. Este procedimiento hace posible aplicar cifrado y protección de integridad en la UTRAN cuando se usan las SIM. Sin

33 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES 30 embargo, los niveles de seguridad resultantes solamente se pueden comparar con los de GSM porque las funciones de conversión solo construyen llaves más largas en teoría [19]. Para la interoperabilidad entre redes 2G y 3G el concepto de handover es diferente para los servicios CS y los PS [19]. CS Handover desde la UTRAN a GSM BSS El algoritmo de cifrado es cambiado durante el handover desde la UTRAN a GSM BSS. El algoritmo empleado por UMTS es remplazado por el algoritmo A5/1 utilizado por GSM y la clave CK de la UTRAN es remplazada por la Kc ampliada en el proceso de autenticación. La información acerca de los algoritmos a utilizar junto con la clave tienen que ser transferidos dentro de la estructura del sistema antes de que ocurra el handover. La protección de integridad se detiene en el handover a GSM BSS pues GSM no soporta protección a la integridad de los datos. CS Handover desde GSM BSS a la UTRAN Si el handover se realiza desde la BSS GSM a la UTRAN, entonces el algoritmo de cifrado es cambiado de A5/1 al algoritmo KASUMI usado por UMTS. Antes del handover, el BSS solicita a la MS información acerca de sus capacidades de seguridad UTRAN junto con los parámetros asociados (CK, IK). Esta información es transferida dentro de la infraestructura del sistema al RNC antes que el cifrado y la protección de la integridad comiencen en la UTRAN. Interoperabilidad en los servicios PS Existen notables diferencias en el handover entre sistemas con servicios CS y PS. Primero, el cifrado GPRS termina en el CN y por tanto la transferencia de claves es más simple. Segundo, hay diferencias cuando el CN cambia en conjunto con la red de radio. Si la MS se mueve al área de un nuevo MSC/VLR, el MSC/VLR anterior todavía continua como el punto de acceso de la llamada. Sin embargo, si la MS se mueve al área de un nuevo SGSN, entonces este nuevo SGSN también se convierte en el punto de acceso de la conexión.

34 CAPÍTULO 1. MECANISMOS DE SEGURIDAD EN REDES MOVILES CELULARES Conclusiones Parciales El protocolo de autenticación del estándar GSM solo autentica al usuario frente a la red, mientras que la identidad de la red no se verifica, a diferencia de las redes UMTS donde la autenticación se realiza en los dos sentidos a través del mecanismo de seguridad AKA. El algoritmo de cifrado A5/1 implementado en las redes 2G es un algoritmo débil, mientras que en las redes 3G se emplean algoritmos de cifrado robustos como el algoritmo KASUMI e incorporan mecanismos de control de integridad y seguridad IP.

35 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 32 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN. En las redes celulares 2G y 3G existen varias vulnerabilidades que en su mayoría se deben a fallos graves en la implementación de los mecanismos de seguridad de estas redes. En la actualidad existen herramientas disponibles para los investigadores de seguridad que permiten detectar y explotar estas vulnerabilidades. A continuación se analizarán las vulnerabilidades más importantes así como se determinarán las herramientas de seguridad más utilizadas. 2.1 Vulnerabilidades en redes móviles GSM (2G) GSM estaba destinado a ser un sistema inalámbrico seguro, sin embargo con el paso del tiempo se ha demostrado que es vulnerable a varios ataques [21]. A continuación se exponen las distintas vulnerabilidades presentes en este tipo de redes. Vulnerabilidades del Sistema de Autenticación Autenticación unilateral y vulnerabilidad al ataque man-in-the-middle: la principal vulnerabilidad de GSM es su protocolo de autenticación. El estándar GSM sólo autentica al usuario frente a la red, mientras que la identidad de la red no se verifica. Esta falta hace que sea relativamente fácil para un atacante suplantar a una estación base legítima y realizar un ataque man-in-the-middle para de esta manera interceptar y alterar las comunicaciones [26]. Si se pretende suplantar una estación base, cabe plantearse por qué una MS (que ya está recibiendo servicio de una estación base legítima) se conectaría a la de un atacante. Existen varios eventos que pueden desencadenar un proceso de reelección de celda, y muchos pueden ser forzados por el atacante. Cuando una MS desea conectarse a la red celular, recibe una lista de BTS disponibles ordenadas de acuerdo con los criterios para la selección de BTS [27]. La idea es que las transmisiones del atacante se realicen en una de las

36 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 33 frecuencias de la BTS de menos potencia de esta lista. La información acerca de las BTS vecinas es emitida en el Canal de Control de Difusión (BCCH). Si se cumplen ciertas condiciones, la MS se conecta automáticamente a la BTS falsa, sin enviar ninguna notificación. El siguiente paso es presentar la BTS falsa como la BTS real. Para hacerlo, la BTS falsa debe utilizar el mismo Código de País Móvil (MCC) y Código de Red Móvil (MNC) que la BTS real. También, la BTS falsa tiene que utilizar diferente código Identificador de Localización de Área (LAI) con el fin de actualizar la localización del usuario con éxito [26]. Por ejemplo, se puede utilizar un inhibidor de frecuencias para bloquear todas las frecuencias del enlace descendente que la BTS seleccionada utiliza para la radiodifusión. Por defecto, la MS se sincroniza con las seis BTS vecinas más fuertes y cada cinco segundos vuelve a calcular los valores de la potencia de señal recibida, que dependen del parámetro de pérdida de trayectoria (C1) y el parámetro de selección de una nueva BTS (C2). El handover se producirá si el valor medido C2 por las BTS vecinas es mayor que el valor de C2 medido por la BTS actual y si el parámetro C1 de la BTS que sirve al usuario cae por debajo de cero. Esto último indica que hay una pérdida de trayectoria significativamente grande en el espacio libre. Sobre la base de los criterios descritos anteriormente se requiere el inhibidor de frecuencias si se necesita que el valor del parámetro C1 esté por debajo de cero [26]. En la figura 2.1 se representa el ataque man-inthe-middle. Fig. 2.1 Representación del ataque man in the middle.

37 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 34 El atacante puede entonces modificar el intercambio de datos en varios escenarios. En la fase de diseño de los protocolos GSM, este tipo de ataque parecía poco práctico debido a los costosos equipos necesarios para llevarlo a cabo. Actualmente, este tipo de ataque se puede ejecutar en la práctica debido a la disminución de los costes de las herramientas necesarias para implementarlo [21]. Los defectos en la implementación de los algoritmos A3/A8: aunque la arquitectura GSM permite al operador elegir cualquier algoritmo para A3 y A8, muchos operadores utilizaron el COMP128v1 que estaba secretamente desarrollado por la asociación GSM. La estructura de COMP128v1 finalmente fue dada a conocer por ingeniería inversa y fueron descubiertos fallos de seguridad. COMP128v1 hace posible revelar Ki, y establece deliberadamente los diez bits menos significativos de Kc igual a cero, entonces las combinaciones de Kc serian 2 64, pero al ser los últimos 10 bits ceros se reducen a 2 54, que hace la criptografía 1024 veces más débil y vulnerable [21]. Clonación de tarjetas SIM: la clonación de tarjetas SIM es posible tanto físicamente como en la interfaz de radio ( Over the Air OTA). La clonación física de la SIM se limita al algoritmo de cifrado común y básico llamado COMP128v1 el cual tiene debilidades que permiten a un atacante montar con éxito un ataque de fuerza bruta y extraer la clave Ki junto con el IMSI [5]. La clonación sobre la interfaz de radio (OTA) es la combinación de diferentes ataques al canal de comunicación, es similar a la clonación física, excepto que aquí un atacante debe espiar el canal de comunicación para extraer los valores. La clonación OTA es aún más compleja y larga que la física porque OTA requiere suficiente tiempo para capturar los datos que le permitan determinar los valores secretos almacenados en la SIM [5]. Es importante explicar que después de encontrar Ki y el IMSI del abonado, el atacante puede clonar la tarjeta SIM y hacer y recibir llamadas y otros servicios tales como SMS en el nombre de la víctima. Sin embargo, la red GSM permite solo una SIM para acceder a la red en un momento dado de modo que si el atacante y el suscriptor víctima tratan de acceder desde diferentes lugares, la red se da cuenta de la existencia de duplicación de tarjetas y desactiva la cuenta del afectado [21].

38 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 35 Vulnerabilidades de la Confidencialidad de la Identidad del Suscriptor Pérdida del anonimato del usuario: cada vez que un abonado entra en un área de ubicación por primera vez o cuando la tabla de registro entre TMSI e IMSI del abonado se pierde, la red pide al abonado declarar el IMSI, la MS se lo envía en texto claro. Esto se convierte en una importante vulnerabilidad de GSM y puede ser atacada mediante el envío de una solicitud de IDENTIDAD desde una falsa BTS a la MS del usuario para encontrar el IMSI correspondiente [21]. Vulnerabilidades de la Confidencialidad de los Datos Los defectos en los algoritmos criptográficos: el algoritmo A5/1 fue desarrollado en secreto y sin la debida auditoría por tanto una serie de deficiencias en el sistema de cifrado A5/1 han sido identificadas [28]. El algoritmo A5/1 utiliza un cifrado de flujo con 3 LFSR, cuando se sincroniza un registro sus estados de realimentación realizan un XOR, y el resultado se almacena en el bit más a la derecha del registro izquierda-cambiado. Estos circuitos de retroalimentación se utilizan con el fin de garantizar la aleatoriedad. Un LFSR de longitud L puede tener una duración máxima de 2L-1, esto constituye el límite superior del número de claves que pueden ser producidas por causa del límite de la periodicidad, la cual debe ser infinita en teoría. En los casos prácticos esto no sucede porque la clave generada es pseudoaleatoria. Por tanto, el algoritmo A5/1 es suficientemente lineal para la tecnología actual [29]. Corto alcance de la protección: El cifrado es sólo logrado en la interfaz de radio entre el MS y la BTS. No hay ninguna protección sobre otras partes de la red y la información se envía en claro entre los nodos del núcleo de la red. Esto es una gran exposición a posibles ataques, sobre todo cuando la comunicación entre la BTS y BSC se realiza a través de los enlaces inalámbricos que tienen vulnerabilidades potenciales para la interceptación. Incluso en algunos países, la instalación del cifrado de la interfaz de radio no está activada [21]. La falta de visibilidad de usuario: El cifrado es controlado por la BTS. El usuario no recibe una alerta cuando se desactiva el modo cifrado. Una falsa BTS también puede desactivar el modo cifrado y fuerza a la MS para enviar datos de forma no cifrada [21].

39 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 36 La falta de protección de la integridad: Aunque la arquitectura de seguridad GSM considera la autenticación y la confidencialidad, no existe ninguna disposición para la protección de la integridad de la información. Por lo tanto, el destinatario no puede verificar que un determinado mensaje no se haya alterado [21]. También un atacante puede hacer mal uso de los mensajes intercambiados previamente entre el abonado y la red con el fin de realizar ataques de repetición [21]. Vulnerabilidad a los ataques DoS Un solo atacante es capaz de deshabilitar una celda GSM completamente a través del ataque de negación de servicio (Denial of Service, DoS). El atacante puede enviar una ráfaga de mensajes Channel Request en el Canal de Acceso Aleatorio (RACH). Entonces la BTS reserva un canal de señalización para la MS y este es asignado respondiendo con el comando Immediate Assignment en el Canal de Autorizacion de Acceso (AGCH). Todas las ráfagas de acceso correctamente recibidos le sugerirán la reserva de un canal de señalización a la BTS. Estos canales de señalización son liberados después de algún tiempo, si no se recibe tráfico en ellos. Sin embargo toma el tiempo suficiente para agotar la oferta de canales. Como el número de canales de señalización es limitado, esto conduce a un ataque DoS. Este ataque hace inútil una BTS para todas las MS que deseen conectarse a ella. Si un usuario está llevando a cabo una conversación a través de esta BTS, esta conversación no será comprometida. Pero cuando se termina la conversación va a ser muy difícil poder iniciar una nueva conexión a través de esta BTS [30]. Este ataque es viable ya que el protocolo de establecimiento de llamada realiza las asignaciones de recursos sin una adecuada autenticación [21]. Vulnerabilidades en los canales de transporte Algunos de los canales de transporte de la red GSM son: Short Message Service (SMS), Multimedia Messaging Service (MMS) Unstructured Supplementary Service Data (USSD), y el canal de voz, varios de estos se han añadido con las actualizaciones del estándar. Las vulnerabilidades ya vistas se aplican generalmente a todos los servicios y canales de transporte, ya que tienen por objeto todo el intercambio de datos y de información de

40 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 37 señalización. Sin embargo, además de este tipo de debilidades, los canales de transporte de la red GSM poseen fallas en la seguridad [21]. La mensajería SMS presenta vulnerabilidades debido a su atributo store-and-forward, y el problema de SMS maliciosos que se pueden enviar a través de la Internet. También resalta otra vulnerabilidad cuando un tercero tiene acceso al teléfono y lee los mensajes anteriores. El USSD que es una tecnología orientada a la sesión también es vulnerable a ataques ya que los mensajes no están cifrados ni asegurados en el núcleo de la red GSM[21]. 2.2 Vulnerabilidades en redes móviles GPRS (2.5G) Muchas de las vulnerabilidades de GSM son aplicables a GPRS. Sin embargo, GPRS está más expuesto a los intrusos y a los posibles ataques, ya que utiliza la tecnología IP y se conecta a la red pública de Internet [9]. A continuación, se analizan las debilidades en la seguridad de GPRS. Vulnerabilidades del sistema de Identificación y Confidencialidad de la Identidad del Usuario GPRS utiliza una arquitectura de seguridad específica, basada en las medidas de seguridad aplicadas en GSM. Por tanto las vulnerabilidades analizadas en GSM en cuanto al sistema de identificación y confidencialidad de la identidad del usuario siguen presentes en el estándar GPRS [9]. Vulnerabilidades de la Confidencialidad de los datos Se utiliza el algoritmo GEA (A5/1) y el alcance del cifrado llega ahora desde la MS a la SGSN y viceversa. También el cifrado es opcional. Si el cifrado está activado, entonces durante la autenticación, la MS y el SGSN indican que tipo de cifrado utilizarán. Sin embargo, un atacante puede mediar en el intercambio de mensajes de autenticación entre ellos, ya que ningún cifrado o integridad de datos se emplea en este proceso. Esto puede resultar en la modificación del algoritmo a utilizar entre la MS y la red, o la supresión de la encriptación sobre la interfaz de radio [9].

41 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 38 Vulnerabilidades en la Red Troncal La principal vulnerabilidad de la red troncal GPRS se relaciona con el hecho de que los datos de usuario y señalización se transmiten en texto claro. Como se mencionó anteriormente en el capítulo uno, SS7 no admite ninguna medida de seguridad para el despliegue de GPRS, esto resulta en el intercambio de mensajes de señalización sin protección dentro de la Red troncal GPRS. Los mensajes no protegidos pueden incluir información crítica para los usuarios móviles y el funcionamiento de la red. Además, la probabilidad de que un atacante pueda obtener acceso a la red o le permita actuar como un operador legítimo aumenta. Por ejemplo: un atacante, que tiene acceso a la parte de señalización de una red GPRS, podría hacerse pasar por un elemento de la red para recolectar información como el IMSI, información de ubicación, la tríada de autenticación (Kc, RES,RAND), así como realizar un ataque DoS [9]. Basado en la arquitectura de red GPRS existen 3 interfaces críticas donde la seguridad de GPRS es expuesta. En la figura 2.2 se muestran las tres interfaces de posibles ataques. Fig. 2.2 Interfaces del núcleo de red GPRS. I) Interface Gn En cuanto a la tecnología IP, teniendo acceso a los elementos de la red se puede realizar la técnica de suplantación de identidad IP spoofing. Un atacante puede hacerse pasar por una parte legítima de una red GPRS por spoofing de la dirección de un elemento de la red (es decir, GGSN o SGSN) a fin de ejecutar comandos que normalmente el elemento legítimo

42 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 39 hace. Este ataque no se detecta hasta que sus resultados son notables [31]. Por otra parte se pueden realizar ataques de sobrefacturación: un atacante puede apropiarse de la dirección IP de otro MS e invocar una descarga desde un servidor malicioso. Una vez que la descarga comienza, el atacante sale de la sesión. El MS bajo ataque recibe el tráfico y se cobra por ello [9]. También, se puede espiar el tráfico GTP: un atacante, quien tiene acceso a una red troncal GPRS, es capaz de obtener información sobre el túnel GTP por el seguimiento del tráfico de GTP, que es sin cifrar [22]. II) Interface Gp El tráfico que se transfiere a través de la interfaz Gp es: tráfico GTP de una red local, de enrutamiento de la información entre un operador de red GPRS y un operador de intercambio de enrutamiento GPRS (GRX) que proporciona servicios de cooperación a las redes y del servidor de nombre dominio (DNS) [9]. La principal vulnerabilidad en la interfaz Gp es la falta de medidas de seguridad del protocolo GTP. Se pueden realizar ataques contra el protocolo GTP tales como: la eliminación o actualización de contextos PDP, que eliminan o modifican los túneles GPRS entre un SGSN y un GGSN de un operador dando como resultado un ataque DoS, también puede resultar en DoS la consulta de los servidores DNS ya sea mediante consultas DNS correctas o incorrectas para inundarlos. Además un atacante puede utilizar un SGSN falso para enviar un de mensaje de actualización Solicitud de Contexto PDP a un SGSN, que se ocupa de una sesión existente de un usuario GTP. De esta manera, el atacante inserta su SGSN falsa en la sesión GTP y secuestra los datos del usuario que no son cifrados[22]. Otra de las debilidades del protocolo GTP es el acceso no autorizado a Internet, un atacante con acceso a una GRX puede crear un túnel GTP entre sí y el GGSN. En este caso, la red proporciona al atacante, el acceso no autorizado a Internet o a las redes de cooperación [22]. III) Interface Gi La interfaz Gi conecta la red GPRS con la Internet pública y varios proveedores de servicios. La interfaz Gi puede llevar cualquier tipo de tráfico. Este hecho expone la red

43 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 40 GPRS a una variedad de ataques que amenazan la disponibilidad, confidencialidad e integridad [9]. Ataques DoS: un atacante puede amenazar los elementos de una red GPRS o a los suscriptores móviles utilizando software malicioso (por ejemplo, virus, gusanos, etc.). También puede inundar una red GPRS con tráfico no válido[9]. Además se pone en peligro la confidencialidad de los datos del usuario transmitidos sin protección sobre la Internet pública, es decir, un atacante puede alterar estos datos [9]. 2.3 Vulnerabilidades en redes móviles UMTS (3G) La arquitectura de seguridad de UMTS ofrece cierta protección contra amenazas conocidas. El estándar asegura con éxito los datos de usuario, así como la confidencialidad y la integridad de los datos de señalización. Sin embargo, algunas vulnerabilidades se han identificado [32]. Vulnerabilidades del Sistema de Autenticación Suplantación de la red: un intruso puede atacar a las redes UMTS suplantando la red, sin embargo la mayoría de los ataques de este tipo se basan principalmente en las debilidades de GSM. El escenario de ataque es el siguiente: el atacante suplanta una BTS GSM que es válida al usuario y utiliza un inhibidor de frecuencias de móvil capaz de inhibir las frecuencias UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias de GSM/GPRS/EDGE. Por tanto un móvil que tiene la capacidad para conectarse a ambos tipos de sistemas, tanto UMTS como GSM, al no obtener cobertura 3G se puede conectar a la red 2G. De esta manera el atacante puede tener éxito en realizar un ataque man-in-the-middle consiguiendo modificar los datos y deshabilitar el cifrado o al menos conseguir los algoritmos de cifrado de su elección [33]. Vulnerabilidades de la Confidencialidad de la Identidad del Suscriptor Pérdida de la Identidad del Abonado: aunque el IMSI se sustituye por el TMSI después de la petición de conexión inicial, el IMSI se envía en texto claro durante la primera RRC Connection Request y también en ocasiones donde el VLR no puede identificar el TMSI.

44 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 41 Esto es suficiente para atraer a un atacante permitiéndole identificar al usuario e incluso localizarlo [33]. En particular, el primer mensaje de solicitud de conexión se envía en el canal de acceso aleatorio que es un canal común y puede ser interceptado. Existen diversas investigaciones sobre GSM para extraer el IMSI durante una conexión [33]. Los receptores IMSI basados en GSM están disponibles en el mercado, pero sus precios son altos y sólo se venden a los organismos gubernamentales. Actualmente algunos investigadores están interesados en la construcción de receptores IMSI que tengan todas las capacidades de los equipos comerciales [26]. UMTS ha evolucionado de GSM y ha adoptado la funcionalidad del envío del IMSI en texto claro en el inicio de la solicitud de conexión. Por lo tanto los dispositivos anteriores también se pueden utilizar para obtener el IMSI de un abonado UMTS [33]. Un posible escenario para obtener el IMSI de un abonado UMTS se muestra en la figura 2.3. El atacante tendría que suplantar un UMTS VLR/SGSN. Durante el RRC Connection Request la víctima puede utilizar el TMSI. Si el TMSI no se puede resolver, entonces la red puede realizar una solicitud de identidad. En tal caso, el UE tiene que enviar su IMSI en texto claro. Fig. 2.3 Escenario de obtención del IMSI.

45 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 42 Vulnerabilidad a los ataques DoS Los ataques de denegación de servicio son difíciles de llevar a cabo en la arquitectura UMTS ya que esta tecnología incluye protección de la integridad en los mensajes de señalización y evita el ataque DoS usando la cancelación del registro del usuario. Sin embargo los mensajes no protegidos antes del comando de modo seguro pueden ser utilizados para lanzar ataques de denegación de servicio. DoS utilizando el mensaje RRC Connection Reject: este es un ataque específico al usuario. En la primera fase el atacante debe conocer el IMSI del usuario. Ahora el atacante espera por la RRC Connection Request del usuario a atacar. La identidad inicial del UE es el identificador único de este mensaje. Esta identidad inicial puede ser TMSI, P-TMSI, IMSI o IMEI. El primer mensaje RRC Connection Request generalmente contiene el IMSI del usuario. El atacante entonces responde con el mensaje RRC Connection Reject. La única manera de evaluar la autenticidad de este mensaje es la comparación del valor de la Identidad del UE inicial con el valor de la recibida en el RRC Connection Reject. Si los valores son diferentes, el UE ignora el resto del mensaje y el UE termina la conexión. De ahí que un intruso sabiendo el IMSI de la víctima puede generar un genuino mensaje RRC Connection Reject y causar DoS al usuario [33]. DoS a un usuario por modificación de las capacidades iniciales de seguridad del UE o de los parámetros de autenticación: esta vulnerabilidad funciona en dos partes. Primero, el atacante ya debe haber obtenido el IMSI de la víctima. Después el atacante tiene que esperar que este usuario en particular (IMSI) solicite la conexión. Cuando el RRC Connection Request se lleva a cabo por este usuario, el atacante modifica el mensaje1 de la figura 2.4 que contiene las capacidades de seguridad iniciales del UE. Este mensaje no está protegido, por lo tanto un intruso puede modificar las capacidades de seguridad del UE y este cambio permanecerá sin ser detectado hasta que el comando de modo seguro alcanza el UE que se muestra en el mensaje 8 de la figura 2.4. En caso de no coincidir los mensajes que contienen las capacidades de seguridad (mensaje 1 y 8 de la figura 2.4) el procedimiento de conexión terminará. Este procedimiento capaz de cambiar las capacidades iniciales de seguridad de la MS puede dar lugar a una DoS al usuario [33].

46 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 43 La modificación de algunos de los parámetros de autenticación incluyendo AUTN, RAND, o RES (mensaje 3 de la figura 2.4) también resulta en una denegación de servicio. Estos mensajes no se cifran ni se protege la integridad de los mismos. Cualquier cambio en ellos se traducirá en una autenticación fallida de la red o el usuario[33]. Fig. 2.4 Procedimiento de modo seguro en el estándar UMTS [33]. Denegación de servicio inundando el HLR/AuC: este es un ataque mucho más peligroso. Con este ataque, los servicios del VLR/SGSN de un operador móvil en particular pueden ser bloqueados [12]. El ataque es efectuado en dos fases: en la fase I el atacante construye

47 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 44 una base de datos IMSI correspondiente al operador víctima. En la fase II el atacante genera el RRC Connection Requests correspondiente a cada IMSI mediante un procedimiento automático. Para cada solicitud, el VLR/SGSN envía el IMSI al HLR/AuC donde se comprueba la validez del IMSI. Si el atacante ha obtenido todos los números IMSI válidos en la fase I, el HLR calcula 5 AV correspondientes a cada IMSI. Este es un proceso engorroso de calcular pues se calcula el RAND, MAC, XRES, CK, IK, AK para cada IMSI. Los AV correspondientes a cada IMSI se envían entonces al VLR/SGSN. Para cada IMSI, el VLR/GSN selecciona una AV y envía el RAND y AUTN para la autenticación. Es la etapa en la que el atacante no será autenticado, ya que no puede calcular RES sin el conocimiento de la clave secreta de la USIM. Pero este no es el objetivo del atacante, su objetivo es el agotamiento de los recursos del HLR/AuC inundándolo cada vez más. Esto también puede causar agotamiento del ancho de banda entre el VLR/SGSN y el HLR/AuC. Este agotamiento de los recursos se traducirá en una DoS a los nuevos usuarios que intentan conectarse [33]. 2.4 Herramientas para la explotación de vulnerabilidades en redes móviles celulares. Las cuestiones de seguridad de las redes móviles 2G y 3G, a pesar de su importancia, fueron durante mucho tiempo sólo abordadas desde un punto de vista teórico, debido principalmente a los requisitos de hardware necesarios. Este escenario está cambiando significativamente en los últimos años ya está disponible el hardware y el software que se necesita utilizar para llevar a cabo los diferentes ataques [34]. Varias herramientas basadas en SDR (Radio Definido por Software), baratas y versátiles, han surgido para llevar el dominio de la RF dentro del alcance de un investigador de seguridad [34]. Algunos de estas son: Analizadores de espectro El tipo de ataque que realizan estas herramientas es considerado de carácter pasivo, en los cuales se hace una señal básica de lectura. Los ataques pasivos están basados en el análisis de paquetes, donde la adquisición de los mismos puede darse de manera pasiva. A continuación se describen algunas de estas herramientas:

48 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 45 Chipset de RealTek RTL2832U SDR Está presente en varios modelos de sintonizadores TDT (Televisión Digital Terrestre) por tanto no soporta la transmisión. El rango de frecuencias que soporta este dispositivo SDR oscila dependiendo de los fabricantes. Por ejemplo el Elonics E4000 es de 52 MHz a 2,2 GHz [33]. Ver Anexo K. FUNcubeDongle El FUNcubeDongle es un receptor SDR. El receptor cubre un rango de frecuencias desde 150 khz hasta 1900 MHz y puede recibir un espectro de hasta 192 khz. Este puede ser utilizado como analizador de espectro ya que no soporta la transmisión. FUNcubeDongle dispone de un conector SMA hembra para la antena y funciona en cualquier ordenador con interfaz USB 2.0 [35]. Ver Anexo K. OsmoSDR El proyecto de código abierto OsmoSDR se encargó de desarrollar el software necesario para manejar estos dispositivos: Chipset de RealTek RTL2832U SDR y FUNcubeDongle para poder capturar la señalización que viaja por la interfaz de radio y convertirla a un fichero binario, pudiendo ajustar la frecuencia, el ancho de banda y ganancia [34]. Utilizando el software de GNU Radio se puede adaptar de manera muy sencilla el formato de este fichero binario de OsmoSDR al formato que utiliza el programa Airprobe, encargado de decodificar la señalización capturada con varios tipos de dispositivos (RTL- SDR, FunCube Dongle, USRP, etc) [34] Falsa BTS Receptor IMSI Este receptor es en realidad una falsa BTS que se coloca entre el dispositivo móvil y el verdadero BTS [26]. La idea es que una BTS falsa imite la función de la BTS verdadera y el dispositivo móvil del usuario se conecte a la BTS falsa. La imitación de una BTS auténtica incluye el uso de los mismos identificadores y frecuencia de portadora. Como resultado, el atacante detecta el número IMSI del usuario, que de otro modo debe permanecer en secreto. Una de las posibles medidas adicionales es que el atacante puede cambiar al modo que no incluye cifrado. El atacante también puede hacerse pasar por una

49 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 46 persona que el usuario desea contactar e incluso iniciar la comunicación con el usuario [26]. Para implementar un receptor IMSI son necesarios el siguiente hardware y software: Dispositivo USRP (Universal Software Radio Peripheral): El dispositivo de hardware que se utiliza para establecer la falsa BTS es el USRP. Este permite la implementación de varios sistemas de radio y está conectado al ordenador a través de una interfaz Gigabit Ethernet. Este dispositivo se selecciona principalmente debido a su alta velocidad de muestreo, gran ancho de banda y arquitectura modular [34]. Ver Anexo L. El dispositivo USRP permite el uso de varias placas daugtherboard para el procesamiento de señales. Existen varias para cubrir diferentes bandas por ejemplo la daugtherboard (WBX) es un transceptor de banda ancha utilizado para para enviar y recibir señales en el rango de 50 MHz hasta los 2,2 GHz [34]. Con el fin de recibir y enviar señales de radio se utiliza un par de antenas. Por ejemplo en la banda GSM 900 se utilizan antenas VERT900 Antena Vertical, Cuatri-banda, 3 dbi de ganancia, 9 Pulgadas [26]. Radio GNU: GNU Radio está licenciado bajo la GNU General Public License (GPL). Todo el código es propiedad de la Fundación del Software Libre. Radio GNU es una herramienta para la creación de software de sistemas de radio. Este puede ser usado con hardware de RF externo de bajo costo para crear un SDR. El principal beneficio provisto por este software es la creación de diferentes dispositivos de radio en un solo dispositivo USRP. Una de las características útiles provistas por la Radio GNU es una herramienta de software de análisis de espectro que puede ser usado para detectar la frecuencia portadora de una BTS. También puede ser combinado con la herramienta AirProbe para la recogida de mensajes emitidos por la BTS [26]. OpenBTS: OpenBTS es una solución de software que contiene las funciones de los subsistemas de conmutación GSM. Soporta funciones de la 2G de GSM sin necesidad utilizar sus módulos

50 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 47 BSC, MSC o VLR. Es decir, que reemplaza la infraestructura tradicional del Subsistema de Conmutación de Red de GSM. Permite implementar una BTS GSM basada en software, a partir de la arquitectura de GNU Radio y del Hardware SDR USRP. Tiene integrado funciones de Recursos de Radio (RR) y realiza también Control de conexión (CC) y Gestión de la Movilidad (MM). También permite los servicios de SMS [26]. AirProbe Se divide en tres módulos: módulo de adquisición, módulo de demodulación, y el módulo de análisis. El módulo de análisis puede ser sustituido eficazmente mediante el uso de la herramienta Wireshark. Fue una de las primeras herramientas de código abierto dirigida a la investigación de GSM, en particular a la seguridad GSM [36]. Aunque el desarrollo de AirProbe se desaceleró en 2008, sigue siendo un software base útil a utilizar para implementar un Analizador GSM de código abierto [34]. Wireshark: Es un analizador de paquetes de red o sniffer de software libre. Está basado en la librería libpcap y su objetivo es capturar los paquetes de la red, mostrando los datos de la forma más detallada posible. Funciona en Linux y en Windows, a través de una interfaz gráfica de usuario; aunque también incluye una versión basada en texto llamada tshark. Provee muchas opciones de organización y filtrado de información. Además, suele ser utilizado para solucionar problemas en una red y aprender sobre protocolos [37] Herramientas para explotar las vulnerabilidades del cifrado El algoritmo de cifrado de las redes móviles 2G es vulnerable y puede ser quebrado mediante el software Kraken y las Rainbow Tables publicadas por Karsten Nohl y que se encuentran disponibles en la Web [4,38] Herramientas para la clonación física de tarjetas SIM La clonación física de tarjetas SIM se limita al algoritmo de cifrado común llamado COMP128v1, que para mayor gravedad es el algoritmo de cifrado que la mayoría de los móviles en el mundo tienen implementado [5]. La clonación de la SIM con acceso físico es un proceso bastante simple; se necesita cierto hardware y el acceso físico a la tarjeta SIM [5].

51 CAPÍTULO 2. VULNERABILIDADES EN REDES MÓVILES CELULARES Y HERRAMIENTAS PARA SU EXPLOTACIÓN 48 El atacante debe tener un lector de tarjetas SIM. El lector de tarjetas SIM Dekart es compatible con las SIM y USIM, se conecta directamente al puerto USB y funciona con cualquier versión Windows. Ver Anexo K También se necesita un programa de clonado de tarjeta SIM. Existen varios disponibles en la web, uno de ellos es el XSim 0.9. Permite obtener el IMSI y Ki de la tarjeta SIM. Ver Anexo M 2.5 Conclusiones Parciales Las vulnerabilidades más importantes de las redes 2G son la autenticación unilateral, el ataque man-in-the-middle y los defectos en los algoritmos de cifrado. Por su parte las redes 3G también poseen algunas vulnerabilidades tales como los ataques de denegación de servicio. A pesar de que en sus inicios la mayoría de las investigaciones acerca de la seguridad de estas redes abordaban los problemas a nivel teórico, en la actualidad el abaratamiento del hardware y el software necesario para llevar a cabo ataques sobre estas redes llama a la reflexión tanto a los operadores como a los clientes.

52 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 49 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. En el capítulo anterior se realizó un análisis de las vulnerabilidades de las redes móviles celulares 2G y 3G. Con el objetivo de mitigar y/o eliminar las numerosas amenazas y vulnerabilidades asociadas a las redes móviles descritas en el presente informe, se propone un conjunto de recomendaciones de seguridad que pueden ser implementadas en función del tipo de dispositivo móvil y de las tecnologías de red empleadas. 3.1 Medidas a implementar por el operador de red móvil La Red GSM tiene muchas fallas de seguridad que pueden ser manipuladas para usos fraudulentos o ataques. Independientemente de las mejoras de seguridad proporcionadas por las redes 3G, es necesario proporcionar soluciones para mejorar la seguridad de los sistemas de 2G aun en uso en la actualidad. También las redes UMTS aunque más seguras pueden ser vulnerables a varios ataques [21]. A continuación, basándose en la arquitectura básica de una red celular se proponen algunas soluciones que pueden ser implementadas por el propio operador de telecomunicaciones en la red de acceso y el núcleo de la red para eliminar o al menos mitigar las vulnerabilidades de las redes móviles 2G y 3G. En la figura 3.1 se muestra la arquitectura básica de una red celular con servicios corporativos. Fig. 3.1 Arquitectura básica de una red celular.

53 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 50 Despliegue de algoritmos seguros para A3/A8 Con la implementación de algoritmos más robustos como COMP128v3 se puede hacer fracasar el ataque de clonación a tarjetas SIM. Esta solución es rentable para los operadores de red ya que pueden realizar dicha mejora sin la necesidad de fabricantes de hardware [21]. Desventaja: Esta solución requiere la distribución de nuevas tarjetas SIM a todos los abonados de un determinado operador de red móvil y la modificación del software del HLR. También presenta la desventaja de no permitir el roaming entre diferentes redes GSM ya que deben tener implementados los mismos algoritmos de autenticación y generación de claves o establecer funciones de conversión. Uso de algoritmos de cifrado seguros La solución más viable para evitar la captura de tráfico en infraestructuras GSM pasa por cambiar el algoritmo de cifrado al empleado en infraestructuras de telefonía 3G, denominado A5/3 o Kasumi. Estudios teóricos centrados en descifrar el algoritmo A5/3 han sido publicados por los investigadores de seguridad pero su aplicación práctica no es viable ya que requiere la captura de grandes cantidades de tráfico. El algoritmo de cifrado desplegado debe aplicarse en las BTS y los teléfonos móviles. Cualquier cambio en el algoritmo de cifrado requiere el acuerdo y la cooperación entre fabricantes de software y de hardware ya que se deben realizar los cambios pertinentes al equipamiento [38]. Desventajas: La utilización de un algoritmo de cifrado robusto, como A5/3, sin embargo, no evita la vulnerabilidad de suplantación de la red durante el proceso de autentificación que da la posibilidad al atacante incluso de forzar a la MS para que desactive el modo cifrado. Aseguramiento del tráfico en la red troncal En GSM no existe ninguna disposición para la protección de la integridad de la información por tanto cifrar el tráfico entre los nodos de la red puede evitar que el atacante pueda espiar o modificar los datos transmitidos [21].

54 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 51 Desventajas: Aunque esta solución puede ser implementada por el operador móvil se requiere de los fabricantes de los equipos en el núcleo de la red para llevarla a cabo. 3.2 Medidas a implementar en los dispositivos móviles. Estas medidas pretenden proteger tanto el dispositivo móvil, incluyendo sus capacidades de comunicación y almacenamiento, como la información que gestiona. Configuración del terminal móvil para que sólo utilice 3G o superior Debido a las numerosas vulnerabilidades existentes en los protocolos y estándares de comunicaciones móviles englobados bajo las tecnologías 2G, se recomienda mientras sea posible, solo la conexión a las redes móviles 3G. Para ello se debe configurar el terminal móvil para que sólo utilice 3G, evitando así el handover automático de 3G a 2G. Lo anterior protege al usuario contra los ataques al protocolo GSM, pues se garantiza que siempre se emplean los mecanismos de seguridad del estándar UMTS [38]. En la figura 3.2 se puede observar un ejemplo de configuración en un terminal con sistema operativo Android. Fig. 3.2 Configuración del terminal móvil para que utilice 3G.

55 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 52 Desventajas: En algunos lugares no están disponibles las redes 3G. En caso de que estén disponibles existe la posibilidad de que se pierda la cobertura en algunas zonas, puesto que las redes 3G poseen menor cobertura que las redes 2G. También existe el inconveniente de que no esté presente esta opción en la configuración de algunos terminales móviles. Seguridad end-to-end Una de las soluciones más factible y rentable es el despliegue de la seguridad de extremo a extremo o la seguridad a nivel de aplicación. El establecimiento de la seguridad y el cifrado es realizado en las entidades finales y no será requerido ningún cambio en el hardware del operador móvil. De esta manera, incluso si la conversación está siendo espiada por la policía u organizaciones jurídicas, no pueden descifrar los datos transmitidos sin tener la clave de cifrado correcta, siempre que el algoritmo cifrado que se despliegue sea suficientemente seguro [21]. Fig. 3.3 Seguridad extremo a extremo. El servicio de CSD (Circuit Switch Data) permite utilizar canales dedicados para la transmisión de datos digitales, y por tanto se puede utilizar para enviar datos cifrados, la mayoría de los proveedores ofrecen este servicio sin cargo para el usuario. Utilizando este canal se aplican cifrados, uno de los más usados es AES de 256bits, para cifrar tanto las llamadas como los SMS [39]. Para proteger la confidencialidad de las comunicaciones y llamadas de voz sobre redes no fiables existen softwares de cifrado extremo a extremo disponibles. CellCryptMobile es uno de estos y certificado por el gobierno de Estados Unidos bajo la norma FIPS del NIST (Cert#1310). CellCryptMobile utiliza el canal de datos para proveer una buena

56 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 53 calidad de voz, baja latencia y cobertura global, utiliza AES para el cifrado, funciona sobre Android, Blackberry e iphone, y funciona sobre cualquier red de telefonía móvil 2G o 3G [40]. Almacenamiento de la información Una de las recomendaciones principales para proteger la confidencialidad, integridad y disponibilidad de la información almacenada en los dispositivos móviles se basa en emplear mecanismos de cifrado de los datos. Adicionalmente, numerosos estándares, legislaciones y regulaciones en diferentes países y sectores de la industria exigen este tipo de controles de seguridad. La solución de cifrado debe ser aplicada tanto a las capacidades de almacenamiento internas del dispositivo, como a las tarjetas de memoria externas, debido a la movilidad asociada a ambos tipos de almacenamiento y su exposición a intrusos potencialmente interesados en los datos almacenados [38]. Soluciones basadas en la detección de estaciones bases falsas No es una solución muy avanzada, pero es una buena medida de seguridad ya que cuando se configura el terminal móvil para evitar que se conecte a la red 2G, se tiene la desventaja de no tener cobertura en algunas zonas o simplemente no está disponible la red 3G. Por esta razón se han liberado varias herramientas con el objetivo de detectar estaciones bases falsas tanto para terminales móviles como para operadores de red [39]. Una de ellas es la aplicación AIMSICD (Android IMSI-Catcher-Detector), que detecta y evita estaciones base falsas. La base de funcionamiento de esta aplicación es proporcionar acceso a una base de datos que almacena las coordenadas de las BTS legítimas, junto con los niveles de potencia que esta BTS hace llegar a los puntos de su radio cobertura. De esta forma si el terminal móvil dispone de GPS, fácilmente detecta la presencia de una estación base falsa, pues probablemente el nivel de potencia que emita no corresponda con el que emita la BTS de del operador de red sino que tendrá valores considerablemente superiores para el punto específico de la zona de cobertura. La aplicación está disponible en la web del fabricante de forma gratuita [41]. En la figura 3.4 se muestra la aplicación para Android instalada en un celular en Cuba.

57 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 54 Fig. 3.4 Detalles del abonado, la red y el ME ofrecidas por la aplicación AIMSICD. La aplicación genera alertas las cuales le indica al usuario los diferentes estados de amenaza o si se encuentra todo bien. En la figura 3.5 se pueden observar las diferentes alertas. Fig. 3.5 Alarmas de la aplicación AIMSICD.

58 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 55 Desventajas: La instalación de esta aplicación se limita a los terminales móviles que posean GPS y tengan instalados los sistemas operativos Android. Por otra parte es necesario actualizar la base de datos de las BTS, ya que es posible que muestre falsos avisos. Acceso físico al dispositivo móvil Como recomendación general, no se debe dejar el dispositivo móvil desatendido en ningún momento, ya que un atacante puede instalar un programa malicioso, o comprometer la seguridad del terminal o la clonación de la tarjeta SIM. El objetivo es no facilitar el acceso físico al mismo de forma temporal o permanente (pérdida o robo) a un tercero. El dispositivo debe implementar mecanismos de autentificación para el control de acceso por parte de cualquier usuario. El acceso al teléfono debe estar protegido por un código de acceso, por ejemplo en terminales con sistema Android puede ser un patrón de desbloqueo, PIN o un pasword que para la selección del mismo se debe emplear el conjunto de caracteres más amplio posible (números, letras mayúsculas y minúsculas, símbolos de puntuación, etc.) y de una longitud razonable, al menos ocho caracteres [38]. En la figura 3.6 se muestran las diferentes opciones para un dispositivo con Android Fig. 3.6 Opciones de bloqueo en el Android

59 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 56 Los dispositivos móviles más modernos pueden incluir opciones de autentificación alternativos, como mecanismos biométricos para el reconocimiento de la huella dactilar o autentificación mediante un escáner del iris del ojo. Adicionalmente es posible combinar múltiples factores de autentificación simultáneamente, incrementando así el nivel de protección de acceso al dispositivo móvil [38]. Inclusión de los dispositivos con conexión a redes móviles en las políticas de seguridad de las organizaciones Es importante incluir en las políticas de seguridad de las organizaciones y empresas la regulación del uso de los dispositivos móviles. Las políticas deben incluir cómo mantener la información privada y definir la propiedad de los datos y aplicaciones en los dispositivos corporativos. Se deben establecer programas de divulgación para que las políticas sean reconocidas y entendidas por todos los usuarios [39]. Buenas Prácticas para el uso seguro de la telefonía móvil Primero no se debe asumir que las conversaciones de voz a través de los móviles son confidenciales, al igual que no lo son otros medios de comunicación como SMS o , pese al carácter privado de las infraestructuras de los operadores de telefonía móvil. La recepción de mensajes de texto SMS es el objetivo de múltiples ataques, por lo que aparte de aplicar las actualizaciones proporcionadas por el fabricante del terminal, es necesario que el usuario sea consciente de los riesgos asociados a la lectura de un mensaje de texto. Se recomienda no abrir ningún mensaje de texto no esperado o solicitado, práctica similar a la empleada para la gestión de correos electrónicos [38]. A la hora de acceder y procesar los contenidos del buzón de entrada de mensajes de texto del dispositivo móvil, el usuario debe seguir las mejores prácticas de seguridad como por ejemplo [42] : No deben abrirse mensajes de texto recibidos desde números desconocidos. No ejecutar o permitir la instalación de contenidos adjuntos (configuraciones o multimedia) asociados a mensajes SMS/MMS no esperados. Se debe proceder a borrar el mensaje directamente.

60 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 57 En caso de acceder a los mensajes se debe desconfiar de su contenido, y se debe tener especial cuidado con la utilización de enlaces a sitios web externos. Además se debe tener en cuenta que la configuración existente por defecto y seleccionada por los fabricantes se centra en promover las capacidades, la funcionalidad y facilidad de uso del dispositivo móvil, y no así la seguridad del mismo. Por ello, es necesario modificar la configuración por defecto para aumentar el nivel de protección del terminal. Se recomienda hacer uso de herramientas de configuración, especialmente para incrementar el nivel de seguridad de los códigos de acceso al dispositivo y para limitar las aplicaciones que pueden ser instaladas en los mismos [38]. Los usuarios deben asegurarse de que disponen de la protección antivirus capaz de detectar las amenazas móviles, tanto las existentes como las nuevas, y mantener actualizado regularmente el software. De esta manera, independientemente de las intenciones de los atacantes, se mantendrá a salvo la información almacenada y el dispositivo [38]. Por otro lado, la principal recomendación de seguridad asociada a las comunicaciones de datos a través de las infraestructuras de telefonía móvil es no activar las capacidades de transmisión y recepción de datos salvo en el caso en el que se esté haciendo uso de éstas, evitando así la posibilidad de ataques sobre el hardware del interfaz, el driver, la pila de comunicaciones móviles y cualquiera de los servicios y aplicaciones disponibles a través de la red y la conexión a Internet [42]. Es necesario una segura configuración de datos móviles por ejemplo: Android permite al usuario configurar de forma manual tanto el operador de telecomunicaciones móviles como el APN (Access Point Name) para las conexiones de datos. Desde el punto de vista de seguridad, y si el operador admite diferentes protocolos de autentificación, se recomienda seleccionar autentificación mediante CHAP, dentro de las cuatro alternativas disponibles en la opción "Tipo de autenticación" (Ninguno, PAP, CHAP, y "PAP o CHAP") [42]. En la figura 3.7 se muestra la configuración recomendada.

61 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 58 Fig. 3.7 Selección del protocolo de autenticación CHAP. 3.3 Medidas a implementar para el acceso remoto seguro a las redes corporativas La infraestructura de movilidad de una red corporativa media el acceso remoto de los dispositivos móviles a la red corporativa, con el objetivo de garantizar un acceso seguro a los servicios corporativos. Esta infraestructura sigue el principio de defensa en profundidad, proporcionando múltiples capas de mecanismos de protección [43]. El terminal móvil se conecta a la red corporativa (utilizando sólo los planes de datos) con capas de cifrado y autenticación de acuerdo con los siguientes principios: Todos los datos entre el terminal móvil y la infraestructura de movilidad de la red corporativa están protegidos en un túnel VPN IPSec. La conexión VPN IPSec se debe establecer antes de permitir las conexiones a los servicios de la red corporativa. El gateway VPN sirve como el principal punto de entrada en la infraestructura de movilidad de la red corporativa y autentica las asociaciones VPN solicitadas utilizando el protocolo IKE. A un cliente VPN que no pueda ser identificado o autenticado se le niega el acceso a la infraestructura de movilidad y a todos los servicios corporativos.

62 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 59 Dentro del túnel VPN, el tráfico de las aplicaciones está cifrado para proporcionar una capa adicional de protección. La capa interna puede depender de las aplicaciones o servicios que se utiliza. En la figura 3.8 se muestran un esquema con las capas adicionales de cifrado. Fig. 3.8 Capas adicionales de cifrado [43]. Capacidades SVoIP (Secure Voice over Internet Protocol) El terminal móvil utiliza una aplicación cliente de SVoIP configurada para utilizar el túnel VPN existente como capa exterior de cifrado. Un túnel TLS interno a un servidor SIP que reside en la infraestructura de movilidad protege el tráfico y control de llamadas, y un túnel SRTP interno a otro punto final protege los servicios de tiempo real de multimedia (Real Time Services media streams). Todo el tráfico SRTP entre los terminales móviles se enruta a través de la infraestructura de movilidad de la red corporativa [43]. Las siguientes protecciones de cifrado se implementan como parte de las capacidades SVoIP: SIP sobre TLS: SIP se utiliza para el registro del equipo de usuario, el establecimiento de la llamada, y la terminación de llamadas. TLS mediante el cifrado proporcionado por la RFC 6380 Suite B Profile for Internet Protocol Security (IPSec)" se utiliza para proteger el tráfico de señalización SIP entre el terminal móvil y el servidor SIP situado en la infraestructura de la de movilidad. Aunque en TLS se prefiere la autenticación mutua con certificados de clave pública,

63 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 60 el Servidor SIP puede autorizar a los usuarios usando el identificador de usuario y la contraseña proporcionados en la sesión protegida por TLS. SVoIP Media Streams: SRTP se utiliza para proteger los flujos multimedia entre sistemas de voz seguros. Las descripciones de seguridad se pueden ver en la IETF RFC Consideraciones de rendimiento de SVoIP: presenta detrimentos en cuanto a la calidad de servicio QoS. Las múltiples capas de cifrado utilizadas y la falta del control sobre la calidad de conexión pueden afectar a la capacidad de hacer y mantener llamadas con una QoS de voz aceptable. También el manejo de la interoperabilidad entre este tipo de sistemas es complejo, son necesitadas las vías de acceso de voz seguras para extender la movilidad a otras redes existentes. Capacidades de acceso Web seguro El usuario puede acceder desde su terminal móvil, a través de un navegador web, a los datos y servicios de la red corporativa. El navegador web del terminal móvil es una simple capa de presentación que puede acceder a múltiples servicios empresariales, con la autenticación y autorización requerida. El navegador web del terminal móvil está configurado para utilizar el túnel VPN existente como capa exterior de cifrado y el túnel TLS interno a un servidor web situado en la infraestructura de movilidad de la red corporativa. Tener un túnel TLS independiente proporciona una clara diferenciación entre el tráfico web y el resto del tráfico de otras aplicaciones instaladas en el terminal móvil. El servidor web proporciona una interfaz para acceder a los datos presentes en la red corporativa sin requerir la capacidad de almacenar los datos en el terminal. La organización puede optar por exponer los datos o aplicaciones (como los sitios web internos, correo electrónico, chat) que desea el usuario, siempre y cuando la conexión sea a través del servidor web y el navegador del terminal móvil [43]. Las siguientes protecciones de cifrado se implementan como parte de las capacidades de acceso Web seguro: Conexión TLS: para establecer el túnel TLS interior, tanto en el servidor web como el navegador web en el terminal móvil deben estar configurados para soportar

64 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 61 sólo TLS utilizando el cifrado proporcionado por la RFC 6380 Suite B Profile for Internet Protocol Security (IPSec)". En particular, las implementaciones no deben permitir los protocolos SSL (que tienen menos seguridad que TLS) ni conexiones sin cifrar. Aunque en TLS se prefiere la autenticación mutua con certificados de clave pública, el Servidor Web puede autorizar a los usuarios usando el identificador de usuario y la contraseña proporcionados en la sesión protegida por TLS. Red de acceso Las conexiones entre la compañía celular y la red corporativa de una organización o empresa pueden ser a través de una red privada o la Internet pública. El uso de una red privada es una mejor opción ya que los usuarios no necesitan exponerse a las amenazas de Internet. No siempre las compañías celulares pueden conectarse a través de una red privada a la red corporativa de una organización. Este suele ser el caso en escenarios de roaming. En este caso es necesario usar la Internet pública para la conexión entre el proveedor de servicios de telefonía celular y la red corporativa de la organización. Puesto que el terminal móvil tendrá una dirección IP enrutable a través de Internet, el dispositivo de usuario requerirá protecciones adicionales tales como un firewall interno para protegerlo contra el tráfico malicioso que se origina en el Internet [43]. La infraestructura de movilidad de una red corporativa requiere que el único servicio de red comercial permitido para su uso desde el terminal móvil sea la conexión de datos. Por tanto los servicios de voz, SMS y otros servicios de valor añadido no deben ser puestos a disposición del cliente móvil. El resultado deseado es que el terminal móvil no se pueda utilizar para llamadas de voz entrantes o salientes mientras el dispositivo está conectado a la red corporativa de la organización. Sin embargo, teniendo en cuenta las amenazas presentes a través de los servicios de SMS, no debe ponerse esta funcionalidad a disposición del cliente móvil incluso cuando el terminal se desconecta de la red corporativa. La capacidad de gestión de los terminales móviles debe garantizar la restricción del uso de los servicios no deseados [43].

65 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 62 Prototipo de infraestructura de movilidad de una red corporativa El objetivo de la infraestructura de movilidad de una red corporativa es proporcionar el acceso remoto seguro de los terminales móviles a la red corporativa. La protección en la infraestructura de movilidad de la red corporativa incluye routers, Firewalls, Gateway VPN, switches, servidores Web, entre otros elementos de red. En la figura 3.9 se muestra el prototipo de una infraestructura de movilidad de una red corporativa. Fig. 3.9 Prototipo de infraestructura de movilidad de una red corporativa [43]. En la figura 3.10 se muestra la arquitectura detallada de una infraestructura de movilidad, se utiliza una red 3G como red de acceso. Esta arquitectura soporta la conexión remota de los terminales móviles a servicios corporativos como , SVoIP y acceso Web seguro. Las redes 2G no soportan servicios como SVoIP pero si soportan los servicios de , IRC, acceso Web seguro, etc., por lo que la infraestructura necesaria para la conexión remota a la red corporativa de una organización es bastante similar [44].

66 CAPÍTULO 3. GUÍA PARA MITIGAR LAS VULNERABILIDADES DE LAS REDES MÓVILES CELULARES. 63 Fig Arquitectura de la infraestructura de movilidad de una red corporativa [43]. 3.4 Conclusiones Parciales La seguridad de los usuarios móviles se puede garantizar teniendo en cuenta las medidas de seguridad y buenas prácticas anteriormente expuestas. Dentro de las medidas se destacan por su factibilidad y fácil implementación la configuración del terminal móvil para que sólo utilice redes 3G y la utilización de aplicaciones que garanticen la seguridad extremo a extremo.

67 CONCLUSIONES Y RECOMENDACIONES 64 CONCLUSIONES Durante la realización de este trabajo se arribó a las siguientes conclusiones: Los mecanismos de seguridad implementados en las redes móviles celulares 2G comprometen la seguridad de las mismas, sin embargo las redes 3G hacen relativamente segura la comunicación. Especialmente la doble autenticación proporcionada por el mecanismo AKA y los algoritmos de cifrado robusto como el KASUMI. Las redes móviles celulares 2G son más propensas a sufrir ataques. La autenticación unilateral y los defectos en los algoritmos de cifrado presentes en las redes 2G permiten el ataque man-in-the-middle y ponen en peligro la confidencialidad de las comunicaciones de los usuarios móviles. Las redes 3G aunque más seguras también presentan vulnerabilidades ya que los mensajes no son protegidos antes del comando de modo seguro. Aunque los equipos profesionales para realizar investigaciones de seguridad en las redes celulares están disponibles comercialmente, la eventual adquisición de este tipo de herramientas está sujeta a la aprobación de los organismos gubernamentales. Esto dificulta enormemente las investigaciones dirigidas a la seguridad de estas redes. El uso de hardware SDR y el desarrollo de herramientas de código abierto disponibles en la actualidad, permiten realizar investigaciones de seguridad en las redes móviles celulares evadiendo, hasta cierto punto, el control gubernamental. El análisis de las vulnerabilidades de las redes móviles celulares 2G y 3G permitió la elaboración de una guía de buenas prácticas de seguridad para mitigar dichas vulnerabilidades. Una guía de este tipo potencia la integridad, confidencialidad y disponibilidad de la información de los usuarios de estas redes.

68 CONCLUSIONES Y RECOMENDACIONES 65 RECOMENDACIONES Se considera que las siguientes recomendaciones pueden ser de utilidad para enriquecer el estudio realizado y los resultados obtenidos: Profundizar en el estudio de la seguridad de las redes móviles celulares, especialmente en las tecnologías 4G. Seguir investigando las potencialidades de las herramientas de seguridad disponibles, y comprobar su efectividad mediante la implementación de ataques reales, como es el caso del receptor IMSI.

69 REFERENCIAS BIBLIOGRÁFICAS 66 REFERENCIAS BIBLIOGRÁFICAS [1] J. Eberspacher, H.-J. Vogel, and C. Bettstetter, GSM Switching, Services and Protocols, Second ed.: John Wiley & Sons, [2] M. P. Kanani, K. Shah, and M. V. Kaul, "A Survey on Evolution of Mobile Networks: 1G to 4G," Network, vol. 5, p. 9, [3] S. A. ETECSA. (22 de Marzo ). Available: [4] C. Kröger, "GSM Security," [5] J. Singh, R. Ruhl, and D. Lindskog, "GSM OTA SIM Cloning Attack and Cloning Resistance in EAP-SIM and USIM" in Social Computing (SocialCom), 2013 International Conference on, 2013, pp [6] 3GPP, "Technical Specification Group Services and System Aspects: International Mobile station Equipment Identities (IMEI)" [7] M. Hakaste, E. Nikula, and S. Hamiti, GSM, GPRS and EDGE Performance, Second ed.: JohnWiley and Sons, [8] M. C. E. Boquera, Servicios avanzados de telecomunicación: Ediciones Díaz de Santos, [9] C. Xenakis, D. Apostolopoulou, A. Panou, and I. Stavrakakis, "A qualitative risk analysis for the GPRS technology," in Embedded and Ubiquitous Computing, EUC'08. IEEE/IFIP International Conference on, 2008, pp [10] J. Castro, The UMTS Network and Radio Access Technology: John Wiley and Sons, [11] B. Walke, R. Seidenberg, and M. P. Althoff, The Fundamentals UMTS.: John Wiley and Sons, [12] N. Gobbo, F. Palmieri, A. Castiglione, M. Migliardi, and A. Merlo, "A denial of service attack to UMTS networks using SIM-less devices," IEEE Transactions on Dependable and Secure Computing, p. 1, [13] A. Ericsson, "Basic Concepts of HSPA," White Paper Uen Rev A. Ericsson, pp. 4-20, [14] J. Bergman, M. Ericson, D. Gerstenberger, B. Göransson, J. Peisa, and S. Wager, "HSPA Evolution Boosting the performance of mobile broadband access," Ericsson Review, vol. 85, pp , [15] ETSI, "Digital cellular telecommunications system (Phase 2+);Security aspects (GSM version Release 1997)"

70 REFERENCIAS BIBLIOGRÁFICAS 67 [16] W. Khan and H. Ullah, "Authentication and Secure Communication in GSM, GPRS, UMTS Using Asymmetric Cryptography," International Journal of Computer Science Issues, vol. 7, [17] J. G. T. Ayuso and J. Gutiérrez, Protocolos criptográficos y seguridad en redes: Ed. Universidad de Cantabria, [18] 3GPP, "Specification of the GSM-MILENAGE Algorithms: An example algorithm set for the GSM Authentication and Key Generation functions A3 and A8" [19] V. Niemi and K. Nyberg, UMTS Security: JohnWiley and Sons, [20] A. Biryukov, A. Shamir, and D. Wagner, "Real Time Cryptanalysis of A5/1 on a PC," presented at the Fast Software Encryption Workshop 2000, New York, [21] M. Toorani and A. Beheshti, "Solutions to the GSM security weaknesses," in Next Generation Mobile Applications, Services and Technologies, NGMAST'08. The Second International Conference on, 2008, pp [22] X. Peng, W. Yingyou, Z. Dazhe, and Z. Hong, "GTP security in 3G core network," in Networks Security Wireless Communications and Trusted Computing (NSWCTC), 2010 Second International Conference on, 2010, pp [23] A. Ahtiainen, H. Kaaranen, L. Laitinen, S. Naghian, and V. Niemi, UMTS Networks Architecture, Mobility and Services, Second ed.: John Wiley and Sons, [24] 3GPP, "Specification of the 3GPP Confidentiality and Integrity Algorithms: f8 and f9 Specification" [25] 3GPP, "Specification of the 3GPP Confidentiality and Integrity Algorithms: KASUMI Specification" [26] M. Hadzialic, M. Skrbic, K. Huseinovic, I. Kocan, J. Musovic, A. Hebibovic, et al., "An approach to analyze security of GSM network," in Telecommunications Forum Telfor (TELFOR), nd, 2014, pp [27] ETSI, "ETSI, Digital cellular telecommunications system (Phase 2+); Radio subsystem link control (GSM version release 1999.) " [28] M. Kalenderi, D. Pnevmatikatos, I. Papaefstathiou, and C. Manifavas, "Breaking the GSM A5/1 cryptography algorithm with rainbow tables and high-end FPGAS," in Field Programmable Logic and Applications (FPL), nd International Conference on, 2012, pp [29] D. Upadhyay, A. Shah, and P. Sharma, "Design, Implementation, and Analysis of GSM Stream Cipher: Software Simulators vs Real Test Bed-FPGA," in Computational Intelligence and Communication Networks (CICN), 2014 International Conference on, 2014, pp [30] F. v. d. Broek, "Catching and Understanding GSM-Signals," Master, Radboud University Nijmegen, [31] Q. Bai and F. Qi, "Ip traceback in GPRS," in Advanced Intelligence and Awareness Internet (AIAI 2011), 2011 International Conference on, 2011, pp

71 REFERENCIAS BIBLIOGRÁFICAS 68 [32] D. Fischer, B. Markscheffel, S. Frosch, and D. Büttner, "A survey of threats and security measures for data transmission over gsm/umts networks," in Internet Technology And Secured Transactions, 2012 International Conference for, 2012, pp [33] M. Khan, A. Ahmed, and A. R. Cheema, "Vulnerabilities of UMTS access domain security architecture," in Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, SNPD'08. Ninth ACIS International Conference on, 2008, pp [34] J. Burki, F. Malik, and M. Mushtaq, "GSM Downlink Protocol Analysis and Decoding using Open-Source Hardware and Software," in 2nd National Conference on Information Assurance (NCIA), [35] A. Retzler, "Software Defined Radio Receiver Application with Web-based Interface," Master, Budapest University of Technology [36] L. Perkov, A. Klisura, and N. Pavkovic, "Recent advances in GSM insecurities," in MIPRO, 2011 Proceedings of the 34th International Convention, 2011, pp [37] W. Foundation. (24 de Marzo). Wireshark Go Deep. Available: [38] España, "GUÍA DE SEGURIDAD DE LAS TIC Seguridad en dispositivos moviles," in CCN-STIC-450, CCN, Ed., ed, [39] J. Pico and C. Perez, Hacking y Seguridad en comunicaciones móviles GSM / GPRS / UMTS / LTE, Segunda ed., [40] "Mobile High Security," Cellcrypt [41] DEV-HOST. (2014, 5 de Mayo). Available: [42] España, "GUÍA DE SEGURIDAD DE LAS TIC SEGURIDAD DE DISPOSITIVOS MÓVILES ANDROID 4.x," in CCN-STIC-453B, CCN, Ed., ed, [43] NSA, "Mobility Security Guide," in Enterprise Mobility, National Security Agency [44] "Official Document SG.16 - GPRS Security Guide for Users," GSMA 2014

72 GLOSARIO 69 GLOSARIO 2G Segunda Generación 3G Tercera Generación 3GPP 3rd Generation Partnership Project 4G Cuarta Generación AKA Authentication and Key Agreement APN Access Point Name BSC Controlador de Estaciones Base BSS Base Station Subsystem BTS Estación Base de Transmisión y Recepción CHAP Challenge Handshake Authentication Protocol CN Núcleo de Red CSD Circuit Switch Data DNS Servidor de Nombre Dominio EDGE Enhanced Data Rates for Global Evolution EIR Registro de Identificación de Equipo ESP Encasulation Security Payload GEA Algoritmo de Cifrado GPRS GGSN Nodo de Soporte Pasarela de GPRS GMSC Pasarela MSC GPRS General Packed Radio Service GSM Sistema Global para Comunicaciones Móviles

73 GLOSARIO 70 GTP GPRS Tunneling Protocol HLR Registro de localización permanente HSDPA High Speed Downlink Packet Access HSPA High Speed Packet Access HSUPA High Speed Uplink Packet Access IKE Internet Key Exchange IMEI International Mobile Equipment Identity IMSI International Mobile Subscriber Identity IPsec Seguridad IP LAI Identificador de Área de Localización MS Estación Móvil MSC Centro de Conmutación de Servicios Móviles MSISDN Número Telefónico del Abonado MMS Multimedia Messaging Service MSS Mobile Switching and Management Subsystem NIST National Institute of Estandards and Technology OMSS Operation and Maintenance Subsystem OTA Over the Air PAP Password Authentication Protocol PLMN Public Land Mobile Network P-TMSI Suscriptor Móvil Temporal de Paquetes RAI Routing Area Identity RNC Controlador de la Red de Radio SDR Radio Definida por Software SIM Módulo de Identificación del Suscriptor

74 GLOSARIO 71 SIP Protocolo de Inicio de Sesiones SGSN Nodo de Soporte Servidor de GPRS SMS Short Message Service SS7 Signaling System 7 SSL Secure Sockets Layer SRTP Secure Real Time Transport Protocol SVoIP Secure Voice over Internet Protocol TLS Transport Layer Security TMSI Temporal Mobile Subscriber Identity UTRAN Red Terrestre de Acceso Radio UMTS UE Equipo de Usuario UMTS Universal Mobile Telecommunications System USIM Universal Subscriber Identity Module UEA UMTS Encryption Algorithm UIA UMTS Integrity Algorithm USSD Unstructured Supplementary Service Data USRP Universal Software Radio Peripheral VLR Registro de Localización del Visitante VPN Red Privada Virtual

75 ANEXOS 72 ANEXOS Anexo A Bandas de frecuencia de GSM Banda Nombre Canales Uplink Downlink Separacion NOTAS (MHz) (MHz) Duplex (MHz) GSM 850 GSM Utilizada en USA, Sudamérica y Asia P-GSM Banda inicial de GSM en Europa E-GSM Extensión de GSM- GSM R-GSM n/a Se emplea en los Ferrocarriles(GSMR) GSM-1800 GSM GSM-1900 GSM Utilizada en USA

76 ANEXOS 73 Anexo B Canales Lógicos y Tráfico en GSM

77 ANEXOS 74 Anexo C Funcionamiento del VLR Cuando un MS se mueve dentro de una nueva área de servicio ocurre lo siguiente: 1. El VLR de la nueva área de servicio comprueba su base de datos para determinar si tiene registros de ese MS. 2. Cuando el VLR no encuentra ningún registro del MS le solicita al HLR una copia de la suscripción del MS. 3. El HLR le envía la información al nuevo VLR y actualiza la información sobre la localización del suscriptor. El HLR le informa al viejo VLR que ya puede eliminar la información del MS. 4. El VLR almacena la información de la suscripción del MS incluyendo su localización.

78 ANEXOS 75 Anexo D Autenticación de la Identidad del Suscriptor GSM [1] 1. La SIM emite el IMSI a la estación base más cercana. 2. Se retransmite a la MSC/VLR y a la base de datos HLR/AuC que busca el IMSI y la clave de autenticación (Ki) relacionada. 3. La HLR/AuC genera un número aleatorio (RAND) que lo firma con la Ki de la SIM y utilizando el algoritmo de generación de claves cifradas (A8) crea la clave cifrada (Kc) y utilizando el algoritmo de autenticación (A3) genera un número conocido como (SRES_1). El HLR envía el triplete incluyendo Kc, RAND y SRES_1 al VLR. 4. El VLR envía el RAND a la MS y pregunta para generar un SRES_2 y enviarlo de vuelta. 5. La MS crea una clave cifrada Kc utilizando A8 y un SRES_2 usando el algoritmo A3 con la clave secreta Ki y el RAND. Almacena Kc para usarlo para el cifrado y SRES_2 se envía de vuelta al VLR. 6. El VLR compara SRES_2 con el SRES_1 enviado por el HLR. Si coinciden, la autenticación tiene éxito de lo contrario falla. Nota: Es importante tener en cuenta que la MS envía su Identidad de Suscriptor Temporal Móvil (TMSI) a VLR en su solicitud de autenticación. El MS utiliza su verdadera identidad IMSI cuando se enciende por primera vez el ME, pero la identidad temporal TMSI se utiliza después.

79 ANEXOS 76 Anexo E Algoritmo de Cifrado A5/1 A5/1 está construido a partir de tres registros cortos lineales de desplazamiento con realimentación (LFSR) de longitudes de 19, 22 y 23 bits, que se denotan por R 1; R 2 y R 3 respectivamente. El bit más a la derecha en cada registro se etiqueta como bit cero. Cuando se sincroniza un registro, sus estados de realimentación realizan un XOR, y el resultado se almacena en el bit más a la derecha del registro izquierda-cambiado. Los tres registros son de longitud máxima con períodos de , , respectivamente. Estos se sincronizan siguiendo las siguientes reglas: cada registro tiene un bit de reloj (bit 8 para R 1, el bit 10 para R 2, y el bit 10 para R 3). Los registros serán desplazados hacia la izquierda si el bit de reloj concuerda con el bit mayoritario (de los bits de reloj de los 3 registros). En cada paso, ya sea dos o tres registros están sincronizados y cada registro se mueve con probabilidad 3/4 y de parada con probabilidad 1/4 [20].

80 ANEXOS 77 Anexo F Mecanismo AKA 1. La autenticación ocurre cuando la identidad del usuario (IMSI, TMSI o P-TMSI) ha sido transmitida al SN (VLR o SGSN). 2. Luego el VLR o SGSN hace una petición de autenticación al AuC.El AuC contiene la llave maestra de cada usuario basado en el IMSI, conociéndola el AuC genera un conjunto de 5 vectores de autenticación (AV1-AVi) para el usuario. 3. Los vectores de autenticación son enviados al SN. 4. La SN escoge uno de los vectores de autenticación (AVi), y desafía a la USIM enviándole dos parámetros RAND y AUTN (token de autenticación) del vector seleccionado. 5. La USIM contiene la llave maestra K y junto con el RAND y el AUTN genera el AVi seleccionado por SN. El resultado da a la USIM la posibilidad de comprobar si los parámetros RAND y AUTN fueron: generados en realidad en la AuC y si no han sido enviados antes a la USIM. De esta forma evidencia que los datos recibidos solo pueden provenir de alguien que tenga acceso a esa clave, por lo que de esta forma la red queda autenticada frente al usuario. La USIM procede entonces a generar una respuesta a la red RES y se la envía al VLR/SGSN. 6. Se compara la RES con la respuesta esperada (XRES) la cual es parte del AV. Si las respuestas coinciden la autenticación tiene éxito.

81 ANEXOS 78 Anexo G Generación del vector de autenticación. Generación del vector de autenticación. El proceso comienza al elegir una secuencia de números adecuados (SQN), su función es garantizar al usuario un vector de autenticación que no haya sido usado anteriormente. En paralelo con la elección del SQN, es generado el RAND (128 bits). En total 5 funciones de un solo sentido son utilizadas para computar el vector de autenticación. Estas funciones se denotan: f1, f2, f3, f4, f5. La función f1 se diferencia de las otras, en que toma cuatro parámetros de entrada: K, RAND, SQN y Authentication Management Field (AMF). Las otras solo toman RAND y K como entradas. Es fundamental que sean diferentes entre ellas para que la salida de una no revele información acerca de las salidas de las otras. La salida de f1 es Message Authentication Code (MAC), y las salidas de f2, f3, f4 y f5 son XRES, CK, IK, AK. El vector de autenticacion consite en los parámetros RAND, XRES, CK, IK y AUTN. El AUTN se obtiene por la concatenación de tres parámetros diferentes: SQN adicionado bit a bit con AK, AMF y MAC.

82 ANEXOS 79 Anexo H Algoritmo f8 CK Clave de Confidencialidad BEARER Bearer Identity LENGHT Número de bits a cifrar/decifrar DIRECTION 0 en dirección de la MS a la RNC, 1 de RNS a MS COUNT Número de Trama.

83 ANEXOS 80 Anexo I Algoritmo f9 FRESH Número Aleatorio DIRECTION 0 en dirección de la MS a la RNC, 1 de RNC a la MS COUNT Numero de trama IK Clave de Integridad. RRC Radio Resource Control

84 ANEXOS 81 Anexo J Algoritmo KASUMI L 0 R KL 1 KO 1, KI 1 KO i,1 S9 FL1 FO1 FIi1 KI i,1 zero-extend FO2 KO 2, KI 2 FL2 KL 2 KO i,2 S7 truncate FIi2 KI i,2 KI i,j,1 KI i,j,2 KL 3 KO 3, KI 3 FL3 FO3 KO i,3 S9 FIi3 KI i,3 zero-extend KO 4, KI 4 KL 4 FO4 FL4 S7 truncate KL 5 KO 5, KI 5 FL5 FO5 Fig.2: FO Function Fig.3: FI Function KO 6, KI 6 KL 6 FO6 FL KL i,1 KL 7 KO 7, KI 7 FL7 FO7 KL i,2 KO 8, KI 8 KL 8 FO8 FL8 bitwise AND operation bitwise OR operation L 8 C R 8 one bit left rotation Fig. 1: KASUMI Fig.4: FL Function

85 ANEXOS 82 El algoritmo KASUMI realiza ocho iteraciones y para cada una genera un conjunto de claves de ronda a partir de la clave maestra K de 128 bits. Con esas claves de ronda se computa una función f, diferente para cada ronda. KASUMI se descompone en varias subfunciones, la función FL (operaciones lógicas y desplazamientos binarios), la función FO presenta internamente una estructura de Feistel propia consistente en tres rondas, para cada una de las cuales se computa una subfunción FI que consta a su vez de otras tres rondas.

86 ANEXOS 83 Anexo K Herramientas de Hardware Fig. K.1 Dispositivo Eleonics E400 Fig. K.2 Dispositivo FUNCubeDongle Fig. K.3 Lector de tarjetas SIM Dekart

87 ANEXOS 84 Anexo L Dispositivo USRP N200/N210

88 ANEXOS 85 Anexo M Software de clonado de tarjetas SIM XSim 0.9