PDF de programación - Seguridad en comunicaciones móviles

www.layakk.com @layakk

XI CICLO DE CONFERENCIAS

UPM TASSI – AÑO 2015

Seguridad en comunicaciones

móviles

Un repaso a los ataques conocidos

José Picó García

David Pérez conde

© 2015 Layakk. Todos los derechos reservados.

En películas y series…

00:37

© 2015 Layakk

2

En películas y series…

© 2015 Layakk

3

Objetivos

Resumir el estado de la seguridad en comunicaciones
móviles

 Enumerar y explicar brevemente las

vulnerabilidades conocidas

 Ilustrar lo anterior con algunos ejemplos prácticos

(formato video)

© 2015 Layakk

4

Tecnología actual

2G

VOZ

DATOS

3G

VOZ y
DATOS

4G

VOZ y
DATOS

© 2015 Layakk

5

Terminología

Término

Descripción

SIM

IMSI

IMEI

Ki

Kc

Tarjeta inteligente que contiene el IMSI y la Ki del usuario

Identificador del usuario

Identificador del terminal (teléfono / modem)

Clave precompartida entre la tarjeta SIM y el operador

Clave de sesión (generada dinámicamente en cada sesión)

BTS/nodeB/

e-nodeB

Estación base. Llamada coloquialmente:
“antena del operador”

SGSN, GGSN Nodos de la red del operador que cursan el tráfico IP

PLMN

Red de un operador (Public Land Mobile Network)

© 2015 Layakk

6

Arquitectura de red

Um

D

A

Gs

Gr

Gf

Abis

Gb

Gn

AGPRS

Red
de
Datos

Otra PLMN

Gi

Gp

© 2015 Layakk

7

Interceptación de
comunicaciones

Cifrado de las comunicaciones GSM

 GSM cifra, a partir de un momento en la comunicación,

la voz y los datos de señalización.

 Normalmente el cifrado se realiza con el algoritmo

A5/1

 El algoritmo A5/1 es un algoritmo que genera un bitstream por

cada unidad de transmisión (ráfaga).

 El bitstream se combina (XOR) con la ráfaga a transmitir

 La generación del bitstream depende de una clave de sesión y

del número de trama TDMA.

© 2015 Layakk

9

Ataques contra A5/1:

A5 Security Project

Ráfaga Cifrada Interceptada
Ráfaga Conocida

Salida Generador Bloques

114-63=51 candidatos

a ser buscados

64 bits

COUNT

Otra Ráfaga Cifrada Interceptada

A5/1

© 2015 Layakk

10

¿Capturar tráfico GSM es difícil?

“… the GSM call has to be identified and
recorded from the radio interface. […] we
strongly suspect the team developing the
intercept approach has underestimated its
practical complexity. A hacker would need a
radio receiver system and the signal
processing software necessary to process
the raw radio data.”

GSMA, Aug.‘09

© 2015 Layakk

11

Sistema de captura de voz: 20€

10€

OSMOCOM

10€

OSMOCOM

Kc

KRAKEN

Captura ciertos

mensajes

cifrados pero
predecibles

27C3 (Dic.2010)

Nohl, Munaut

Security Research Labs

Escucha y
descifra la
conversación

© 2015 Layakk

12

¡Suplantación de usuarios!

02:51

© 2015 Layakk

13

13

Cifrado en GPRS

 El cifrado se realiza entre el SGSN y la MS

 Algoritmos obligatoriamente soportados por una MS

GPRS:

 GEA0 = NO cifrado

 GEA1 = Roto mediante algebraic attacks(*)

 GEA2 ?

 GEA3 ?

Utilizados
comúnmente

(*)http://events.ccc.de/camp/2011/Fahrplan/attachments
/1868_110810.SRLabs-Camp-GRPS_Intercept.pdf

© 2015 Layakk

14

Captura de comunicaciones GPRS

Confidencialidad de GPRS: en la práctica

osmocommBB

(layer1 + gprsdecode)

02:00

© 2015 Layakk

.

Ref.: https://http://bb.osmocom.org/

15

Cifrado en UMTS (3G)

 Algoritmos obligatoriamente soportados por una MS

UMTS:

 UEA0 = NO cifrado

 UEA1 = KASUMI

 UEA2 = SNOW-3G

 El mismo que se usa en A5/3

 Probablemente roto por la NSA para claves de 64 bits.

Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defens
e-Karsten_Nohl-31C3-v1.pd

© 2015 Layakk

16

Escucha de UMTS

 La escucha de UMTS mediante un ataque híbrido

radioSS7 es posible también, al igual que en GSM

 Se necesita un equipo adicional HW/SW para la

escucha, demodulación y decodificación de la señal 3G,
lo cual ya está resuelto.

Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mob
ile_Self_Defense-Karsten_Nohl-31C3-v1.pd

© 2015 Layakk

17

Cifrado en LTE (4G)

 Algoritmos obligatoriamente soportados por una MS

LTE:

 EEA0 = NO cifrado

 128-EEA1 = SNOW-3G

 128-EEA2 = AES

EA2

 128-EEA3 = ZUC (soporte de momento opcional)

Ref:
http://www.etsi.org/deliver/etsi_ts/133400_133499/13340
1/12.14.00_60/ts_133401v121400p.pdf

© 2015 Layakk

18

Escucha de LTE

 El ataque de escucha mediante radioDiameter

(equivalente a SS7) parece viable debido a que:

 La tarea de construir un sistema de bajo coste para escuchar el

tráfico LTE es totalmente abordable

 La definición del equivalente de SS7 en LTE (Diameter) ha

arrastrado muchas de las vulnerabilidades existentes en SS7

Ref.:

http://media.ccc.de/browse/congress/2014/31c3_-_6531_-_en_-_saal_6_-
_201412272300_-
_ss7map_mapping_vulnerability_of_the_international_mobile_roaming_infrastructure_-
_laurent_ghigonis_-_alexandre_de_oliveira.html#video&t=2

© 2015 Layakk

19

Interceptación de comunicaciones

mediante estación base falsa

© 2015 Layakk

20

Location Update Procedure

MS

PLMN

1

INICIO DEL PROCEDIMIENTO

LOCATION UPDATING REQUEST

2

3

4

5

(Classmark Interrogation Procedure)

(Identification Procedure)

(Authentication Procedure)

(Start Ciphering Procedure)

LOCATION UPDATING ACCEPT

6

© 2015 Layakk

21

Interceptación de tráfico GSM con

estación base falsa

 El atacante se
convierte en el
operador

 El ataque

puede
realizarse
selectivamente

 CIFRADO: A5/0

(nulo)

010011101011001110011011000

© 2015 Layakk

22

Laboratorio GSM

CAJA DE
FARADAY

PC

USRP

© 2015 Layakk

23

Interceptación de llamada

mediante estación base falsa

02:52

© 2015 Layakk

24

Interceptación de comunicaciones
GPRS/EDGE con estación base falsa

http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

© 2015 Layakk

25

Interceptación de tráfico GPRS/EDGE

mediante estación base falsa

02:02

© 2015 Layakk

26

Manipulación de
comunicaciones

Manipulación de tráfico GSM

con estación base falsa

 El atacante se
convierte en el
operador

 El ataque

puede
realizarse
selectivamente

 CIFRADO: A5/0

(nulo)

010011101011001110011011000

© 2015 Layakk

28

Manipulación de tráfico GSM

con estación base falsa

00:56

00:50

00:47

Móvil registrándose en
la estación base falsa

Suplantación de
origen de llamada

Redirección de

destino de llamada

00:41

Interceptación de SMS

© 2015 Layakk

29

SS7 Redirección

Métodos de redirección SS7

 Un atacante con acceso a la red SS7 puede

potencialmente (si la red no filtra ese tipo de tráfico),
redirigir llamadas a su antojo

 Para ello puedo utilizar 2 métodos:

 Utilizar el protocolo CAMEL

 Utilizar el mensaje updateLocation para indicar al HLR de la

víctima que está en roaming en su red (falsa)

© 2015 Layakk

30

Manipulación de comunicaciones
GPRS/EDGE con estación base falsa

http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

© 2015 Layakk

31

Manipulación de comunicaciones
GPRS/EDGE con estación base falsa

Phising http

Phising https

Toma de control de un

PC

Jailbreakme 3.0

silencioso

Router GPRS

Otros dispositivos

© 2015 Layakk

32

Identificación de usuarios

Identidad del usuario y del terminal

 En el Identification Procedure, la estación base puede

preguntar al móvil su IMSI y su IMEI, y el móvil está
obligado a responder

© 2015 Layakk

34

IMSI CATCHER: 2G, 3G, 4G

© 2015 Layakk

35

Geolocalización

Métodos de geolocalización

 Servicios de localización GSM – LCS:

 basados en la red

 basados en el móvil

 asistidos por el móvil

 Software de localización instalado en el

móvil

© 2015 Layakk

37

Pero…

¿Y si el móvil “no quiere” ser

localizado?

© 2015 Layakk

38

Decidimos construir un

sistema de geolocalización

© 2015 Layakk

39

Consola gráfica del sistema de

localización

01:00

© 2015 Layakk

40

40

¿Geolocalización en 3G y 4G?

 Creemos que se podría hacer de forma muy similar

 No se podría completar el registro, pero el diálogo

previo quizás se pueda alargar lo suficiente

© 2015 Layakk

41

Geolocalización mediante SS7

2 posibles métodos

 Un atacante con acceso a la red SS7 puede

potencialmente (si la red no filtra adecuadamente ese
tipo de tráfico), interrogar al MSC que está dando
servicio al MS víctima acerca de la posición de éste con
el mensaje ProvideSubscriberLocation (sin
autenticación)

 Adicionalmente, puede obtenerse el identificador (y

por tanto la ubicación) de la celda que está dando
servicio al usuario víctima, lo que da una ubicación
aproximada de la ubicación del usuario

© 2015 Layakk

42

Denegación de servicio

Jamming clásico

(generación de interferencias)

© 2015 Layakk

44

Jamming clásico contra 2G

01:25

© 2015 Layakk

45

Jamming clásico contra 3G

01:48

© 2015 Layakk

46

Jamming inteligente

 Ejemplo: ocultación de celdas 2G

01:25

© 2015 Layakk

47

Una denegación de servicio diferente…

00:29

© 2015 Layakk

.

48

Comparativa de técnicas para llevar a
cabo una denegación de servicio GSM

Ataque
Masivo

Ataque
Selectivo

Ataque

Transparente

Persistente

al usuario

Inhibidor de
frecuencia

Agotamiento de
canales de radio

en la BTS

Redirección
mediante

estación base

falsa

Técnica LUPRCC

© 2015 Layakk

49

Location Update Procedure

MS

PLMN

1

INICIO DEL PROCEDIMIENTO

LOCATION UPDATING REQUEST

2

3

4

5

(Classmark Interrogation Procedure)

(Identification Procedure)

(Authentication Procedure)

(Start Ciphering Procedure)

LOCATION UPDATING ACCEPT / REJECT

6

Reject Cause Code

© 2015 Layakk

50

Location Update Procedure

Reject Cause Codes

Dec
02
03
06
11
12
13
15

Descripción

Hex
0x02 IMSI unknown in HLR
0x03 Illegal MS
0x06 Illegal ME
0x0B PLMN not allowed
0x0C Location Area not allowed
0x0D Roaming not allowed in this location area
0x0F No Suitable Cells In Location Area

OTHER OTHER

OTHER

© 2015 Layakk

.

51

Comportamiento descrito por la norma

ante LU Reject

Caus