@layakk Atacando 3G. José Picó David Pérez

Transcripción

1 @layakk wwwlayakkcom Atacando 3G José Picó David Pérez 1

2 RootedCON en Valencia 2

3 Introducción Ataques posibles en 2G utilizando la técnica de estación base falsa: IMSI Catching Downgrade Geolocalización de dispositivos selectivo a 2G Denegación de servicio Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores de renombre dicen que en 3G no se pueden realizar estos ataques en esta charla os contamos que gran parte de lo anterior sí puede hacerse pero sobre todo queremos desvelar? cómo Nota: La información teórica expuesta a continuación es un resumen de información que ya era de dominio público, aunque no muy divulgada 3

4 BACKGROUND TEÓRICO 4

5 Cómo es posible? Los mensajes de señalización en 3G están protegidos en integridad, gracias al security mode command y a la estructura del protocolo La criptografía detrás de la protección de integridad y del cifrado no ha sido rota (al menos públicamente) Todos los mensajes? 5

6 Security mode set-up procedure MS SRNC VLR/SGSN 1 Establecimiento de conexión RRC 2 Mensaje inicial de nivel 3 (Id) 3 Identificación de usuario 4 Autenticación y establecimiento de clave Determinación de algoritmos de cifrado e integridad 5 Security Mode Command (UIAs, IK, UEAs, CK, etc) 6 7 Inicio de cifrado y protección en integridad 6

7 Establecimiento de un canal de radio (protocolo RRC) UE SRNC 1 RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION SETUP (Frequency info, secondary CCPCH, ) 2 3 RRC CONNECTION SETUP COMPLETE (RRC transaction identifier, UE radio access capability, ) 7

8 Rechazo de solicitud de establecimiento de conexión RRC UE SRNC 1 RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION REJECT (Rejection Cause, Redirection info, ) 2 Frequency info Inter-RAT info 8

9 Mensajes de señalización RRC no protegidos en integridad HANDOVER TO UTRAN COMPLETE PAGING TYPE 1 PUSCH CAPACITY REQUEST PHYSICAL SHARED CHANNEL ALLOCATION SYSTEM INFORMATION SYSTEM INFORMATION CHANGE INDICATION TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only) RRC CONNECTION REQUEST RRC CONNECTION SETUP RRC CONNECTION SETUP COMPLETE RRC CONNECTION REJECT RRC CONNECTION RELEASE (CCCH only) 9

10 Mensajes MM (DL) permitidos antes del security mode command AUTHENTICATION REQUEST AUTHENTICATION REJECT IDENTITY REQUEST LOCATION UPDATING REJECT LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity) CM SERVICE ACCEPT, if the following two conditions apply: no other MM connection is established; and the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to emergency call establishment CM SERVICE REJECT ABORT 10

11 Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe 11

12 ATAQUES IMSI / IMEI Catching Geolocalización de dispositivos Denegación de Servicio Downgrade selectivo a 2G 12

13 IMSI / IMEI Catching UE SRNC 1 Establecimiento de conexión RRC 2 Location Update Request Identity Request (IMSI / IMEI / TMSI) 3 4 Identity Response Location Update Reject 5 13

14 Geolocalización de dispositivos Los datos necesarios para la geolocalización viajan en los canales de señalización establecidos Tan sólo es necesario establecer el canal RRC con un dispositivo y tras ese momento el resto es idéntico al caso 2G Hace falta aceptar el registro del terminal? 14

15 Geolocalización de dispositivos UE SRNC RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION SETUP (Frequency info, secondary CCPCH, ) RRC CONNECTION SETUP COMPLETE (RRC transaction identifier, UE radio access capability, ) Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda falsa 15

16 Denegación de servicio 3G Puesto que el mensaje Location Update Reject puede enviarse previamente al establecimiento de la protección en integridad, el ataque de denegación de servicio basado en los LU Reject Cause Codes es totalmente posible en 3G 16

17 Downgrade selectivo a 2G El downgrade selectivo a 2G puede realizarse de 2 formas (al menos): Si se conoce el identificador temporal del dispositivo (lo cual puede obtenido mediante otra acción previa), puede redirigirse el establecimiento de conexión selectivamente a una celda 2G, mediante el uso de Inter-RAT info Con cualquier identificador del dispositivo, puede utilizarse una celda configurada con el LAC de la celda (en el caso de que existan 2 celdas en el entorno con diferentes LAC pueden utilizarse 2 estaciones base) y rechazar el registro con Location Area not allowed 17

18 Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe 18

19 19

20 Para recepción de una señal en el downlink DESARROLLO DE UN MODEM SW 3G 20

21 Infraestructura HW CAPTURA GigE UHD UmTRX 21

22 Cómo es una señal 2G en plano IQ CAPTURA 22

23 Cómo es una señal 3G en plano IQ CAPTURA 23

24 Recepción en el downlink CAPTURA RESAMPLING La frecuencia de muestreo debe ser un múltiplo de la tasa de símbolos por segundo En UMTS se emiten 3,84 Msps (1 símbolo representa 1 chip) 13 Msps 3,84 Msps 24

25 Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH 25

26 Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT 26

27 Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP 27

28 Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP SINCRONIZACIÓN DE FRAME 28

29 Recepción en el downlink (I) CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP SINCRONIZACIÓN DE FRAME IDENTIFICACIÓN SCRAMBLING CODE 29

30 Recepción en el downlink (II)

31 DEMO 31

32 Master Information Block aa c0b48000aa MCC (España) MNC (Vodafone) 32

33 Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan 33

34 Conclusiones Ataques posibles en 3G 2G utilizando la técnica de estación base falsa: IMSI Catching Downgrade Geolocalización de dispositivos selectivo a 2G Denegación de servicio Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores de renombre dicen que en 3G no se pueden realizar estos ataques en esta charla os contamos que gran parte de lo anterior sí puede hacerse pero sobre todo queremos desvelar? cómo 34

35 PARA SABER MÁS 35

36 PREGUNTAS 36

37 @layakk wwwlayakkcom Atacando 3G José Picó David Pérez 37