@layakk wwwlayakkcom Atacando 3G José Picó josepico@layakkcom David Pérez davidperez@layakkcom 1
RootedCON en Valencia 2
Introducción Ataques posibles en 2G utilizando la técnica de estación base falsa: IMSI Catching Downgrade Geolocalización de dispositivos selectivo a 2G Denegación de servicio Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores de renombre dicen que en 3G no se pueden realizar estos ataques en esta charla os contamos que gran parte de lo anterior sí puede hacerse pero sobre todo queremos desvelar? cómo Nota: La información teórica expuesta a continuación es un resumen de información que ya era de dominio público, aunque no muy divulgada 3
BACKGROUND TEÓRICO 4
Cómo es posible? Los mensajes de señalización en 3G están protegidos en integridad, gracias al security mode command y a la estructura del protocolo La criptografía detrás de la protección de integridad y del cifrado no ha sido rota (al menos públicamente) Todos los mensajes? 5
Security mode set-up procedure MS SRNC VLR/SGSN 1 Establecimiento de conexión RRC 2 Mensaje inicial de nivel 3 (Id) 3 Identificación de usuario 4 Autenticación y establecimiento de clave Determinación de algoritmos de cifrado e integridad 5 Security Mode Command (UIAs, IK, UEAs, CK, etc) 6 7 Inicio de cifrado y protección en integridad 6
Establecimiento de un canal de radio (protocolo RRC) UE SRNC 1 RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION SETUP (Frequency info, secondary CCPCH, ) 2 3 RRC CONNECTION SETUP COMPLETE (RRC transaction identifier, UE radio access capability, ) 7
Rechazo de solicitud de establecimiento de conexión RRC UE SRNC 1 RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION REJECT (Rejection Cause, Redirection info, ) 2 Frequency info Inter-RAT info 8
Mensajes de señalización RRC no protegidos en integridad HANDOVER TO UTRAN COMPLETE PAGING TYPE 1 PUSCH CAPACITY REQUEST PHYSICAL SHARED CHANNEL ALLOCATION SYSTEM INFORMATION SYSTEM INFORMATION CHANGE INDICATION TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only) RRC CONNECTION REQUEST RRC CONNECTION SETUP RRC CONNECTION SETUP COMPLETE RRC CONNECTION REJECT RRC CONNECTION RELEASE (CCCH only) 9
Mensajes MM (DL) permitidos antes del security mode command AUTHENTICATION REQUEST AUTHENTICATION REJECT IDENTITY REQUEST LOCATION UPDATING REJECT LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity) CM SERVICE ACCEPT, if the following two conditions apply: no other MM connection is established; and the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to emergency call establishment CM SERVICE REJECT ABORT 10
Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe 11
ATAQUES IMSI / IMEI Catching Geolocalización de dispositivos Denegación de Servicio Downgrade selectivo a 2G 12
IMSI / IMEI Catching UE SRNC 1 Establecimiento de conexión RRC 2 Location Update Request Identity Request (IMSI / IMEI / TMSI) 3 4 Identity Response Location Update Reject 5 13
Geolocalización de dispositivos Los datos necesarios para la geolocalización viajan en los canales de señalización establecidos Tan sólo es necesario establecer el canal RRC con un dispositivo y tras ese momento el resto es idéntico al caso 2G Hace falta aceptar el registro del terminal? 14
Geolocalización de dispositivos UE SRNC RRC CONNECTION REQUEST (Establishment Cause, Initial UE Identity, ) RRC CONNECTION SETUP (Frequency info, secondary CCPCH, ) RRC CONNECTION SETUP COMPLETE (RRC transaction identifier, UE radio access capability, ) Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda falsa 15
Denegación de servicio 3G Puesto que el mensaje Location Update Reject puede enviarse previamente al establecimiento de la protección en integridad, el ataque de denegación de servicio basado en los LU Reject Cause Codes es totalmente posible en 3G 16
Downgrade selectivo a 2G El downgrade selectivo a 2G puede realizarse de 2 formas (al menos): Si se conoce el identificador temporal del dispositivo (lo cual puede obtenido mediante otra acción previa), puede redirigirse el establecimiento de conexión selectivamente a una celda 2G, mediante el uso de Inter-RAT info Con cualquier identificador del dispositivo, puede utilizarse una celda configurada con el LAC de la celda (en el caso de que existan 2 celdas en el entorno con diferentes LAC pueden utilizarse 2 estaciones base) y rechazar el registro con Location Area not allowed 17
Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe 18
19
Para recepción de una señal en el downlink DESARROLLO DE UN MODEM SW 3G 20
Infraestructura HW CAPTURA GigE UHD UmTRX https://codegooglecom/p/umtrx/ 21
Cómo es una señal 2G en plano IQ CAPTURA 22
Cómo es una señal 3G en plano IQ CAPTURA 23
Recepción en el downlink CAPTURA RESAMPLING La frecuencia de muestreo debe ser un múltiplo de la tasa de símbolos por segundo En UMTS se emiten 3,84 Msps (1 símbolo representa 1 chip) 13 Msps 3,84 Msps 24
Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH 25
Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT 26
Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP 27
Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP SINCRONIZACIÓN DE FRAME 28
Recepción en el downlink (I) CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DE SSC GROUP SINCRONIZACIÓN DE FRAME IDENTIFICACIÓN SCRAMBLING CODE 29
Recepción en el downlink (II) 1 1 30
DEMO 31
Master Information Block 90850023aa1909143219218438c0b48000aa 10010000 10000101 00000000 00100011 10101010 00011001 00001001 00010100 00110010 00011001 00100001 10000100 00111000 11000000 10110100 10000000 00000000 10101010 214 01 MCC (España) MNC (Vodafone) 32
Infraestructura necesaria: estación base 3G Infraestructura HW necesaria Emisor / receptor de radio con ancho de banda de al menos 5 MHz Tasa de muestreo >= 3,84 Msps Frecuencia y precisión de reloj adecuada Infraestructura SW Módem SW 3G Emulación de las partes del protocolo que nos interesan 33
Conclusiones Ataques posibles en 3G 2G utilizando la técnica de estación base falsa: IMSI Catching Downgrade Geolocalización de dispositivos selectivo a 2G Denegación de servicio Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores de renombre dicen que en 3G no se pueden realizar estos ataques en esta charla os contamos que gran parte de lo anterior sí puede hacerse pero sobre todo queremos desvelar? cómo 34
PARA SABER MÁS 35
PREGUNTAS 36
@layakk wwwlayakkcom Atacando 3G José Picó josepico@layakkcom David Pérez davidperez@layakkcom 37