PDF de programación - Un ataque práctico contra comunicaciones móviles

Un ataque práctico contra
comunicaciones móviles

David Pérez -

[email protected]

José Picó -

[email protected]

Contenido

•

Introducción

• Arquitectura general de GPRS

• Vectores de ataque

• Ataque con estación base falsa

– Vulnerabilidades

– Herramientas

– Proceso de ataque

– Extensión a UMTS (3G)

• Ejemplos de uso del ataque con estación base falsa

– Captura de una búsqueda en google

– Ataque de phishing redirigiendo tráfico HTTPS

– Toma de control de un PC

– Ataque a dispositivos situados tras un router 3G

– Ataque a otros dispositivos 2G/3G

• Medidas de protección

Introducción

Dispositivos móviles como fuente

de amenaza

• Cada vez más, los dispositivos móviles

tienen acceso a información sensible
– Correo electrónico

– Acceso a servicios “cloud”

– Aplicaciones corporativas

• Son ya una de las vías de ataque en

proceso de investigación

Dispositivos móviles 2G/3G

• Teléfonos (smartphones)

• Tablets (ej. iPad, Kindle)

• Portátiles con modem 2G/3G

• Routers 3G

• Y más…

¿Amenaza?

• ¿Existen entidades (personas,

organizaciones, gobiernos) interesadas en
obtener y/o manipular las conexiones
móviles de datos de otras entidades?

• ¿Con $10,000 de presupuesto?

Arquitectura general de GPRS

Arquitectura GPRS/EDGE

Vectores de ataque

Vectores de ataque a
comunicaciones móviles

Vulnerabilidades

del protocolo

Corrupción

de

memoria

Ataques

criptográficos

Ataques OTA

Desde el operador

Ataque con estación base falsa

Vulnerabilidades

• Autenticación unidireccional

• Soporte a GEA0 (no cifrado)

• Soporte a degradación

UMTSGPRS/EDGE

Igual que en GSM

Herramientas

Las herramientas

Un atacante no necesitará esto, pero...

Nosotros realizamos
todas nuestras
pruebas en una caja
de Faraday, para
evitar emisiones en
el espacio público
radioeléctrico (Um)

Las herramientas

ip.access nanoBTS

• BTS comercial

• Soporta GSM/GPRS/EDGE

• Fabricada by ip.acccess
(www.ipaccess.com)

• Intefaz IP-over-Ethernet
Abis

Las herramientas

PC

• S.O. GNU/Linux

• Acceso a Internet

• Un pequeño netbook es
suficiente

Las herramientas

OpenBSC

• Código desarrollado por Harald Welte,

Dieter Spaar, Andreas Evesberg y Holger
Freyther

• http://openbsc.osmocom.org/trac/

“[OpenBSC] is a project aiming to create a Free Software,
GPL-licensed Abis (plus BSC/MSC/HLR) implementation for
experimentation and research purpose. What
this means:
OpenBSC is a GSM network in a box software, implementing
the minimal necessary parts to build a small, self-contained
GSM network.”

Las herramientas

OsmoSGSN

• Código incluido en OpenBSC
• http://openbsc.osmocom.org/trac/wiki/osmo-sgsn

“OsmoSGSN (also spelled osmo-sgsn when referring to the
program name) is a Free Software implementation of the GPRS
Serving GPRS Support Node (SGSN). As such it implements
the GPRS Mobility Management
(GMM) and SM (Session
Management). The SGSN connects via the Gb-Interface to the
BSS (e.g. the ip.access nanoBTS), and it connects via the GTP
protocol
like
OpenGGSN”

to a Gateway GPRS Support Node (GGSN)

Las herramientas

OpenGGSN

• Código iniciado por: Jens Jakobsen

• Actualmente mantenido por: Harald Welte

• http://sourceforge.net/projects/ggsn/

“OpenGGSN is a Gateway GPRS Support Node (GGSN). It is
used by mobile operators as the interface between the Internet
and the rest of the mobile network infrastructure.”

Las herramientas

Inhibidor de frecuencias de móvil (jammer)

• Capaz de inhibir las frecuencias

asignadas a UMTS/HSPA en un lugar
determinado, sin perturbar las
frecuencias de GSM/GPRS/EDGE

“A mobile phone jammer is an instrument used to
prevent cellular phones from from receiving
signals from base stations. When used,
the
jammer effectively disables cellular phones.”

[Source: Wikipedia]

AVISO: Incluso poseer un jammer es ilegal en muchos sitios

El ataque: punto de partida

El ataque: paso 1

1 Caracterización de la celda real

El ataque: paso 2

2

El atacante comienza a emitir

El ataque: paso 3

3

El dispositivo vícitima se
conecta a la celda falsa

El ataque: paso 4

4

El atacante logra

control total (man-in-

the-middle) de las
comunicaciones de
datos (y voz) de la

víctima

El ataque en acción

Un iPhone cae en la trampa

¿Qué ha sucedido?

Extensión del ataque a UMTS

¿Cómo podemos extender este ataque
para que sea efectivo contra dispositivos
UMTS (3G)?

Extensión del ataque a UMTS:

Simplemente, añadir un paso previo

Inhibir las
frecuencias

0

de UMTS

Ejemplos de uso del

ataque con estación base falsa

Aprovechando el ataque: ejemplo 1

Captura de una búsqueda en Google de un iPhone

¿Qué ha sucedido?

Aprovechando el ataque: ejemplo 2

Ataque de phishing contra un iPad (usando https)

¿Qué ha sucedido?

Aprovechando el ataque: ejemplo 3

Toma de control de un PC a través de GPRS/EDGE

¿Qué ha sucedido?

user / password

remote desktop

Aprovechando el ataque: ejemplo 4
Control del tráfico de todos los dispositivos ubicados tras
un router 3G

¿Qué ha sucedido?

Aprovechando el ataque: ejemplo 5

Ataques contras otro dispositivos GPRS/EDGE

¿Qué ha sucedido?

FTP

Medidas de protección

Medidas de protección

• Configurar nuestros dispositivos móviles

para aceptar sólo 3G, rechazando 2G

• Cifrar nuestras comunicaciones de datos

en niveles superiores (HTTPS, SSH,

IPSEC, etc.)

• Instalar y configurar un firewall software

en nuestros dispositivos móviles

Un ataque práctico contra
comunicaciones móviles

www.taddong.com

@taddong

[email protected]

[email protected]