View
225
Download
0
Category
Preview:
Citation preview
1Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó jose.pico@layakk.com
David Pérez david.perez@layakk.com
www.layakk.com
@layakk
2Rooted Satellite Valencia
Agenda
Introducción
El problema de la configuración de la celda falsa
IMSI Catching
Denegación de servicio
Trabajos en marcha y futuros
Conclusiones
4Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa
5Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
Ataque con estación base falsa:
Ubicación de la infraestructura
6Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
Ataque con estación base falsa:
Caracterización de la celda
7Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
Ataque con estación base falsa:
Atacante comienza a emitir
8Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
Ataque con estación base falsa:
La víctima campa en la celda falsa
9Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
Ataque con estación base falsa:
El atacante toma control total de las comunicaciones de la víctima
010011101011001110011011000
10Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
11Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
12Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
13Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
14Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
15Rooted Satellite Valencia
Las comunicaciones móviles 2Gson totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
16Rooted Satellite Valencia
¿Es posible aplicar estas técnicas a 3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
19Rooted Satellite Valencia
EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA¿Quién vive en el vecindario?
21Rooted Satellite Valencia
Las celdas vecinas en 2G y en 3G
2G: 74 ARFCNs (200KHz) en la banda de 900
sólo para un operador
3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100
para un operador
935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9
(*) En la práctica no se consideran solapamientos
22Rooted Satellite Valencia
Solución Ideal
Un sniffer de 3G, DL y UL, de los mensajes de
control (Broadcast y algunos dedicados)
En progreso
23Rooted Satellite Valencia
Solución alternativa
xgoldmon
– extrae algunos mensajes de los canales de control,
tanto de broadcast como dedicados, en las
comunicaciones entre un móvil y la red 3G
Ref.: xgoldmon (Tobias Engel)https://github.com/2b-as/xgoldmon
25Rooted Satellite Valencia
USRP B200
Lo que nosotros utilizamos…
Ref.: OpenBTS-UMTShttp://openbts.org/w/index.php/OpenBTS-UMTS
Ref.: USRP B200http://www.ettus.com/product/details/UB200-KIT
28Rooted Satellite Valencia
IMSI Catching
El IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil
Está asociado a cada persona que lo compra
Es el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariable
Sólo debe ser conocido por el operador y por el usuario
¿Qué es el IMSI?
IMSI
MCC MNC MSIN
29Rooted Satellite Valencia
IMSI Catching
Consiste en la captura no autorizada de IMSIs
Puede hacerse utilizando diferentes técnicas– la que nos ocupa es la utilización de una estación base
falsa
– en este caso, la captura se hace en el entorno del atacante
Determina la presencia de un usuario en la zona
Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software.
¿Por qué es peligroso?
¿En qué consiste?
¿Qué se necesita?
31Rooted Satellite Valencia
DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVA
La técnica de LURCC aplicada a 3G (RAURCC)
32Rooted Satellite Valencia
Denegación de servicio de telefonía móvil
Ataque Masivo
Ataque Selectivo
Ataque Persistente
Transparente al usuario
Inhibidor de frecuencia
Agotamiento de canales de radio
en la BTS
Redirecciónmediante estación
base falsa
Técnica LUPRCC
Diferentes técnicas
34Rooted Satellite Valencia
Técnica LURCC (RAURCC)
Una infraestructura de estación base falsa
UMTS como la descrita anteriormente
Una modificación del software de la estación
base falsa para que pueda implementar el
ataque de forma selectiva y configurable
¿Qué se necesita?
39Rooted Satellite Valencia
TRABAJOS EN CURSO Y A FUTUROQué es lo que estamos haciendo ahora y qué querríamos hacer en
el futuro…
41Rooted Satellite Valencia
Geolocalización
Portar el sistema ya realizado a 3G
– modificar la estación base para que mantenga los
canales de radio abiertos el mayor tiempo posible
– obtener datos para triangular similares a los usados
en 2G
¿Otros caminos?
Trabajo en curso
42Rooted Satellite Valencia
Downgrade selectivo a 2G
Desarrollo de la funcionalidad necesaria dentro
de OpenBTS-UMTS para probar las técnicas
descritas en RootedCON2014
43Rooted Satellite Valencia
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son
igualmente posibles en redes 4G
45Rooted Satellite Valencia
Conclusiones
Efectivamente, los ataques de IMSI Catching,
denegación de servicio son posibles en la
práctica
Estamos estudiando el caso de la
geolocalización y downgrade selectivo a 3G
(aunque tenemos pocas dudas de su viabilidad
técnica)
Recommended