Atacando 3G (Chapter II) Satellite Edition www.layakk.com @layakk José Picó David Pérez jose.pico@layakk.com david.perez@layakk.com 1
Agenda Introducción El problema de la configuración de la celda falsa IMSI Catching Denegación de servicio Trabajos en marcha y futuros Conclusiones 2
INTRODUCCIÓN y un poco de historia 3
Las comunicaciones móviles 2G son totalmente vulnerables >Interceptación >Manipulación >Identificación de usuarios >Geolocalización <1.000 >Denegación de servicio (*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa 4
Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Ubicación de la infraestructura 5
Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Caracterización de la celda 6
Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Atacante comienza a emitir 7
Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: La víctima campa en la celda falsa 8
Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: El atacante toma control total de las comunicaciones de la víctima 010011101011001110011011000 9
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 10
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 11
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 12
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 13
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 14
Las comunicaciones móviles 2G son totalmente vulnerables En la práctica >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 15
Es posible aplicar estas técnicas a 3G? En 3G existe autenticación bidireccional La criptografía de 3G no está rota públicamente sin embargo 16
En 2014 ya pensábamos que una parte de los ataques era posible 17
Base teórica 18
EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA Quién vive en el vecindario? 19
Las celdas vecinas 20
Las celdas vecinas en 2G y en 3G 2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador 935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9 3G: 3 ARFCNs (*) (5 MHz) en la banda de 2100 para un operador (*) En la práctica no se consideran solapamientos 21
Solución Ideal Un sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados) En progreso 22
Solución alternativa xgoldmon Ref.: xgoldmon (Tobias Engel) https://github.com/2b-as/xgoldmon extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G 23
INFRAESTRUCTURA ESTACIÓN BASE 3G Qué hace falta? 24
Lo que nosotros utilizamos USRP B200 Ref.: OpenBTS-UMTS http://openbts.org/w/index.php/openbts-umts Ref.: USRP B200 http://www.ettus.com/product/details/ub200-kit 25
Lo que nosotros utilizamos 26
IMSI CATCHING En qué consiste? Por qué es peligroso? Pruebas en 3G 27
IMSI Catching Qué es el IMSI? El IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil IMSI MCC MNC MSIN Está asociado a cada persona que lo compra Es el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariable Sólo debe ser conocido por el operador y por el usuario 28
IMSI Catching En qué consiste? Consiste en la captura no autorizada de IMSIs Puede hacerse utilizando diferentes técnicas la que nos ocupa es la utilización de una estación base falsa en este caso, la captura se hace en el entorno del atacante Por qué es peligroso? Determina la presencia de un usuario en la zona Qué se necesita? Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software. 29
IMSI Catching 30
DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVA La técnica de LURCC aplicada a 3G (RAURCC) 31
Denegación de servicio de telefonía móvil Diferentes técnicas Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Ataque Masivo Ataque Selectivo Ataque Persistente Transparente al usuario Técnica LUPRCC 32
Técnica LURCC (RAURCC) Fundamentos teóricos 33
Técnica LURCC (RAURCC) Qué se necesita? Una infraestructura de estación base falsa UMTS como la descrita anteriormente Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable 34
RAURCC: IMSI Unknown in HLR 35
RAURCC: Illegal MS 36
Escenario de aplicación 37
Escenario de aplicación 38
TRABAJOS EN CURSO Y A FUTURO Qué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro 39
Geolocalización 40
Geolocalización Trabajo en curso Portar el sistema ya realizado a 3G modificar la estación base para que mantenga los canales de radio abiertos el mayor tiempo posible obtener datos para triangular similares a los usados en 2G Otros caminos? 41
Downgrade selectivo a 2G Desarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON2014 42
Trabajo futuro: Sniffer y 4G Continuar el trabajo del sniffer 3G Estudiar y probar si estas técnicas son igualmente posibles en redes 4G 43
CONCLUSIONES 44
Conclusiones Efectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la práctica Estamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica) 45
MUCHAS GRACIAS! 46
Atacando 3G (Chapter II) Satellite Edition www.layakk.com @layakk José Picó David Pérez jose.pico@layakk.com david.perez@layakk.com 47