Nuevos escenarios de ataque con estación base falsa GSM/GPRS



Documentos relacionados
Seguridad en comunicaciones móviles

@layakk Atacando 3G. José Picó David Pérez

Atacando 3G (Chapter II)

IMEI = TAC / FAC / SNR / SP

Capítulo 1. Estructura de la red UMTS.

Servicios pensados para optimizar los procesos de comunicación de voz y SMS.

Atacando 3G vol. III.

Acceso móvil a la nube: un punto vulnerable

Configuración de móviles Vodafone utilizando códigos cortos

Introducción a GSM. Global System for Mobile communications. Ing. Edgar Velarde edgar.velarde@pucp.pe blog.pucp.edu.pe/telecom

Tema 3. Redes celulares

Un ataque práctico contra comunicaciones móviles

GSM. Objetivos del módulo. Al final del módulo, el estudiante será capaz de:

Guía de Uso Roaming Movistar

Hacking y Seguridad en Redes de Telefonía Móvil. Msc. Ing. Mauricio Canseco Torres

SMPP Server http GATEWAY

Localización en Redes Celulares

11 Número de publicación: Int. Cl. 7 : H04Q 7/ Inventor/es: Klockner, Hanns-Peter. 74 Agente: Ungría López, Javier

Sistemas de Telecomunicación TEMA 7 COMUNICACIONES MÓVILES 3G

Guía de Uso. Roaming Movistar

TECNOLOGÍA MÓVIL ENVIO DE MENSAJES DE TEXTO USSD

Health over IP Telemedicina basada en Tecnologías Móviles (GPRS)

Protegiendo las comunicaciones Seguridad de la información ante la generalización de los dispositivos móviles

GUÍA DE USUARIO DE GPS TRACKER UTILITY (MU-201S1)

Guía de Uso Roaming Movistar. Zona Movistar Europa. Zona Movistar Centroamérica y México

TECNOLOGÍA 3G ACOSTA VENEGAS ALBERTO AGUILAR SALINAS GUILLERMO MIRANDA ELIZALDE CARLOS VENEGAS HURTADO JUAN

Int. Cl.: 72 Inventor/es: Bergqvist, Per. 74 Agente: Justo Vázquez, Jorge Miguel de

Modificación de la ENS acorde con la KEL 28

Qué es Verified by Visa y MasterCard Secure Code? Qué es la Clave Dinámica? Qué es el Mensaje Personal? Qué es el Token? Qué es el CVV2 / CVC2?

ÍNDICE. PKWatch 1/14 09/04/a

2N VoiceBlue Next. 2N VoiceBlue Next & Siemens HiPath (series 3000) conectados via SIP trunk. Guía rápida. Version 1.00

KeyMaker, Token Security System, Rel 1.16

La única plataforma de autenticación que necesita.

LTE Diógenes Marcano

Generalidades: Activar Wifi y Teléfono SICAE S.L.L.

4G en el ferrocarril.

Int. Cl.: los servicios del servicio de paquetes CSCF en un sistema de comunicaciones.

Programación Básica de su Alarma GSM Alarm System 32+8 zone

11 Número de publicación: Int. Cl. 7 : H04M 3/ Agente: Curell Suñol, Marcelino

MÓDULO DE EXPANSIÓN DW-GSM. Manual de usuario

Redes de Comunicación II

Manual de Usuario. Software Monitoreo Teléfono Móvil. Basado en OS Symbian

REDES INALAMBRICAS CONFIGURACION DE TARJETAS INALAMBRICAS 421/423/424

ESIM252 CONTROL REMOTO Y MONITORIZACIÓN GSM

Int. Cl.: 72 Inventor/es: Haumont, Serge y Hurtta, Tuija. 74 Agente: Curell Suñol, Marcelino

Configuración y uso de la aplicación SG SmartPanics: usuario final. PRESENTACIÓN DE LA APLICACIÓN

2N VoiceBlue Next. 2N VoiceBlue Next & CISCO (CCM 6, 7, 8) conectados via SIP trunk. Quick guide. Version 1.00

Router Teldat. Protocolo TIDP

Mi Cobertura Móvil. Preguntas frecuentes.

PRIMERO PLAN NACIONAL DE RECURSOS PÚBLICOS DE NUMERACION

AMPS/TDMA(IS-136) Este tutorial presenta los conceptos básicos de los Sistemas Celulares AMPS y TDMA (IS-136).

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

EQUIPO MOVIL DE TELE-ALARMA

ArquitecturaGPRS SGSN (Serving GPRS Support Node) GGSN (Gateway GPRS Support Node) PCU (Packet Control Unit)

UNIVERSIDAD SIMÓN BOLÍVAR Decanato de Estudios Profesionales Coordinación de Ingeniería Electrónica

Sierra Security System

Asunto CONDICIONES DE VENTA PLANES POSTPAGO VOZ IPHONE SEPTIEMBRE *Aplica para los Planes iphone Todo Incluido.

1. Qué es Escudo Movistar para móviles?

2. Configuración. 3. Configuración de red 4. Selección de red manual 5. Modo de selección manual

"Presentación de la Cuarta Práctica Calificada del Curso Sistemas de Comunicaciones"

Guía de instalación de 2N VoiceBlue Next. Guía rápida. Version 1.00

Arquitectura e interfaces en GPRS

PLIEGO DE PRESCRIPCIONES TÉCNICAS

Tecnologías del Siglo XXI. Tema 4.- Telefonía Móvil. Pedro M. Ruiz Martínez Curso 2009/10

GLOSARIO 1.2G: 2-2.5G 3G: Bluetooth: Bps: Bits por Segundo CEPT (European Postal Telephone and Telegraph):

El Bearer es el elemento básico de la QoS, ya que los parámetros de QoS se asocian a los mismos.

Manual de uso App Mi Movistar

Guía del usuario de KIP sobre el estado de la impresora Instalación y guía del usuario de KIP sobre el estado de la impresora

Modelos de uso de las Soluciones para el acceso a Redes Privadas Virtuales (VPN)

MANUAL PUERTA GSM- GPRS BAENASEGURIDAD.COM. 01/02/

El Servicio de Mensajes Cortos SMS (Short Message Service)

2N VoiceBlue Next. 2N VoiceBlue Next & Panasonic NCP PBX. connected via SIP trunk. Quick guide. Version 2.00

Características principales: 1. Es compatible con redes GSM y PSTN. 2. Banda cuádruple: 850/900/1800/1900 MHz 3. Grabación de voz de 2 secciones

Documentación PopGrabber

EN / ES Airtribune Live tracking Instructions

Aplicateca API Validador de Móviles Certificados SMS -

GESad Time Control. Manual de uso v.2

LABORATORIO DE CONTROL POR COMPUTADOR 4º - INGENIERIA DE TELECOMUNICACION

Gestión Fácil Administrá por la web el tráfico y consumo de las líneas de tu empresa.

Innovando en los sistemas de autenticación

Acceso redundante Backup ADSL 3G/4G

Solución de encriptación completa de MX-ONE con Teldat

Práctica de laboratorio a Configuración de listas de acceso estándar

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad

CONDICIONES TÉCNICAS CONCURSO TELEFONIA FIJA / MOVIL / COMUNICACIONES

Redirección de puertos

Plataforma de Autogestión y Monitorización de Zona Wi-Fi

CONFIGURACIÓN GR-3 NTRIP

Controlador GSMClim Direct

en la gestión de Desastres Naturales"

Capítulo 8. Conclusiones.

El Abecedario Financiero

Guía de Instalación para clientes de WebAdmin

Comunicaciones Móviles

Tema 1. Bases de datos activas

Comprensión del imsi-auth de la autenticación configuración del msisdn-auth para L2TP corporativo APNs

MANUAL DE USUARIO v.2. Settop CellXtrem

Introducción a GPRS. General Packet Radio Service. Ing. Edgar Velarde edgar.velarde@pucp.pe blog.pucp.edu.pe/telecom

GARAGE DOOR OPENER CONNECTIVITY HUB QUICK START GUIDE

COMUNICACIONES MOVILES

Transcripción:

Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm w w w. t a d d o n g. c o m @ t a d d o n g José Picó - jose@taddong.com David Pérez - david@taddong.com

Introducción. 2

Terminología BTS Base Station Transceiver: Estación base; estación de radio que constituye el acceso del móvil a la red PLMN Public Land Mobile Network: El operador de telefonía HPLMN Home PLMN: Es el operador que emite una tarjeta SIM y el único que conoce su clave precompartida Ki IMSI International Mobile Subscriber Identifier: Identificar único de la tarjeta SIM (y del usuario) TMSI Temporary Mobile Subscriber Identifier: Identificador temporal asignado por la red para que el móvil no tenga que revelar su IMSI constantemente. 3

SGSN Router Ataque con estación base falsa MSC/ VLR GGSN HLR/AuC BSC INTERNET BTS GSM / GPRS / EDGE. 4

. Ataque con estación base falsa Voz Grabación de llamadas y SMS Suplantación número llamante Suplantación destino (redirección) Impersonación del usuario Datos Interceptación de tráfico Redirección de tráfico Posición privilegiada para realizar todo tipo de ataques IP 5

Escenario objeto de esta charla. 6

Escenario objeto de esta charla Denegación de servicio de telefonía móvil 7

Denegación de Servicio GSM 8

Características de los ataques de denegación de servicio de telefonía móvil Ataque Masivo Ataque Selectivo Ataque Persistente Ataque Transparente El ataque es capaz de causar una denegación de servicio de forma masiva e indiscriminada en el alcance del sistema. El ataque es capaz de causar una denegación de servicio selectivamente sólo a algunos terminales móviles que pueden ser discriminados por el atacante. El ataque persiste en el tiempo (hasta una determinada condición) después de que el atacante deja de actuar y sale del lugar. El usuario no percibe ninguna señal de que ha perdido el servicio 9

Comparativa de técnicas para llevar a cabo una denegación de servicio GSM Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Ataque Masivo Ataque Selectivo Ataque Persistente Transparente al usuario Técnica LUPRCC 10

Agotamiento de canales de radio en la BTS (I) Ref.: Threats and countermeasures in GSM networks. Valer Bocan, Bocan Cretu http://ojs.academypublisher.com/index.php/jnw/article/view/010618/655 11

Agotamiento de canales de radio en la BTS (II) Ref.: A practical DoS attack to the GSM Network. Dieter Spaar. http://www.mirider.com/gsm-dos-attack_dieter_spaar.pdf 12

Router SGSN / VLR GGSN Redireccion mediante estación base falsa BSC HLR/AuC INTERNET BTS GSM / GPRS / EDGE Llamada saliente Demo 13

Denegación de Servicio GSM Técnica LUPRCC (Location Update Procedure Reject Cause Codes). 14

Location Update Procedure MS PLMN 1 INICIO DEL PROCEDIMIENTO LOCATION UPDATING REQUEST 2 (Classmark Interrogation Procedure) 3 (Identification Procedure) 4 (Authentication Procedure) 5 (Start Ciphering Procedure) LOCATION UPDATING ACCEPT / REJECT Reject Cause Code 6. 15

Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER. 16

Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER. 17

Comportamiento descrito por la norma ante LU Reject Cause Code: OTHER (sólo por curiosidad). 3GPP TS 24.008-4.4.4.7 "The MS waits for release of the RR connection as specified in sub-clause 4.4.4.8, and then proceeds as follows. TimerT3210 is stopped if still running. The RR Connection is aborted in case of timer T3210 timeout. The attempt counter isincremented. The next actions depend on the Location Area Identities (stored and received from the BCCH of thecurrent serving cell) and the value of the attempt counter." " the update status is UPDATED, and the stored LAI is equal to the one received on the BCCH from the currentserving cell and the attempt counter is smaller than 4:The mobile station shall keep the update status to UPDATED, the MM IDLE sub-state after the RR connection release is NORMAL SERVICE. The mobile station shall memorize the location updating type used in the location updating procedure. It shall start timer T3211 when the RR connection is released. When timer T3211 expires the location updating procedure is triggered again with the memorized location updating type;" " either the update status is different from UPDATED, or the stored LAI is different from the one received on thebcch from the current serving cell, or the attempt counter is greater or equal to 4:The mobile station shall delete any LAI, TMSI, ciphering key sequence number stored in the SIM, set the updatestatus to NOT UPDATED and enter the MM IDLE sub-state ATTEMPTING TO UPDATE when the RRconnection is released (See sub-clause 4.2.2.2 for the subsequent actions). If the attempt counter is smaller than4, the mobile station shall memorize that timer T3211 is to be started when the RR connection is released,otherwise it shall memorize that timer T3212 is to be started when the RR connection is released." 18

Comportamiento descrito por la norma ante LU Reject Cause Code: 0x0B (PLMN not allowed). 3GPP TS 24.008-4.4.4.7 "The mobile station shall delete any LAI, TMSI and ciphering key sequence number stored in the SIM/USIM, reset the attempt counter, and set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2). The mobile station shall store the PLMN identity in the forbidden PLMN list.the MS shall perform a PLMN selection when back to the MM IDLE state according to 3GPP TS 23.122. An MS in GAN mode shall request a PLMN list in GAN (see 3GPP TS 44.318) prior to performing a PLMN selection from this list according to 3GPP TS 23.122." 19

Pruebas de comportamiento ante LU Reject Cause Code: 0x0B (PLMN not allowed) Intentos de conexión del móvil en el tiempo desde el primer rechazo. 20

Comportamiento descrito por la norma ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) 3GPP TS 24.008-4.4.4.7 "The mobile station shall set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2), and delete any TMSI, stored LAI and ciphering key sequence number and shall consider the SIM/USIM as invalid for non-gprs services until switch-off or the SIM/USIM is removed.. 21

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Nokia 6210 (Simyo) 22

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Nokia 3210 (Simyo) 23

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Nokia N97(Movistar) 24

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Sony-Ericsson T290i (Movistar) 25

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Siemens A55 (Simyo) 26

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME Motorola C123 (Simyo) 27

Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 IMSI unknown in HLR 0x03 Illegal MS 0x06 Illegal ME iphone (Movistar) 28

Pruebas de comportamiento ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) Demo Vídeo 29

Escenario de aplicación. 30

El ataque puede ser un ataque masivo El atacante puede rechazar indiscriminadamente los intentos de conexión, sea cual sea el identificador de las víctimas La capacidad de proceso no es determinante (el atacante sólo debe rechazar un registro de cada víctima) Se puede realizar consecutivamente a varios operadores (o simultáneamente con varios equipos iguales). 31

. El ataque puede ser un ataque selectivo Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de la víctima Existen varias técnicas para identificar a la víctima, por ejemplo: Técnicas de monitorización para obtener el IMSI: http://blog.taddong.com/2011/05/selective-attackwith-rogue-gsmgprs.html Descubrir el TMSI y utilizarlo: http://events.ccc.de/congress/2011/fahrplan/attachm ents/1994_111217.srlabs-28c3- Defending_mobile_phones.pdf Interrogar al HLR a través de la red global SS7: http://events.ccc.de/congress/2010/fahrplan/attachm ents/1783_101228.27c3.gsm- Sniffing.Nohl_Munaut.pdf 32

. La denegación es persistente El terminal no recupera el servicio hasta que el usuario lo apaga y lo enciende de nuevo La denegación NO es transparente El mensaje al usuario depende del terminal: algunos terminales muestran en pantalla un mensaje para informar al usuario y otros simplemente que no hay cobertura 33

Contramedidas 34

Protección de los mensajes de nivel 3 en UMTS En todas las conexiones de control N3 establecidas es obligatorio iniciar el procedimiento de protección de integridad de los mensajes de señalización. Existen 5 excepciones a esta norma (3GPP 33.102), que no aplican al Location Registration Reject procedure; explícitamente se describe ( )it shall be mandatory for the VLR/SGSN to start integrity protection before sending a reject signalling message that causes the CSG list on the UE to be modified ( ). El procedimiento de protección de integridad se establece mediante el security mode command 35

USUARIOS Contramedidas Prohibir en nuestros terminales el uso de 2G OPERADORES Desplegar completamente 3G/4G y eliminar la cobertura 2G 36

Conclusión 37

Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm w w w. t a d d o n g. c o m @ t a d d o n g José Picó - jose@taddong.com David Pérez - david@taddong.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback