Un ataque práctico contra
comunicaciones móviles
David Pérez -
[email protected]
José Picó -
[email protected]
Contenido
•
Introducción
• Arquitectura general de GPRS
• Vectores de ataque
• Ataque con estación base falsa
– Vulnerabilidades
– Herramientas
– Proceso de ataque
– Extensión a UMTS (3G)
• Ejemplos de uso del ataque con estación base falsa
– Captura de una búsqueda en google
– Ataque de phishing redirigiendo tráfico HTTPS
– Toma de control de un PC
– Ataque a dispositivos situados tras un router 3G
– Ataque a otros dispositivos 2G/3G
• Medidas de protección
Introducción
Dispositivos móviles como fuente
de amenaza
• Cada vez más, los dispositivos móviles
tienen acceso a información sensible
– Correo electrónico
– Acceso a servicios “cloud”
– Aplicaciones corporativas
• Son ya una de las vías de ataque en
proceso de investigación
Dispositivos móviles 2G/3G
• Teléfonos (smartphones)
• Tablets (ej. iPad, Kindle)
• Portátiles con modem 2G/3G
• Routers 3G
• Y más…
¿Amenaza?
• ¿Existen entidades (personas,
organizaciones, gobiernos) interesadas en
obtener y/o manipular las conexiones
móviles de datos de otras entidades?
• ¿Con $10,000 de presupuesto?
Arquitectura general de GPRS
Arquitectura GPRS/EDGE
Vectores de ataque
Vectores de ataque a
comunicaciones móviles
Vulnerabilidades
del protocolo
Corrupción
de
memoria
Ataques
criptográficos
Ataques OTA
Desde el operador
Ataque con estación base falsa
Vulnerabilidades
• Autenticación unidireccional
• Soporte a GEA0 (no cifrado)
• Soporte a degradación
UMTSGPRS/EDGE
Igual que en GSM
Herramientas
Las herramientas
Un atacante no necesitará esto, pero...
Nosotros realizamos
todas nuestras
pruebas en una caja
de Faraday, para
evitar emisiones en
el espacio público
radioeléctrico (Um)
Las herramientas
ip.access nanoBTS
• BTS comercial
• Soporta GSM/GPRS/EDGE
• Fabricada by ip.acccess
(www.ipaccess.com)
• Intefaz IP-over-Ethernet
Abis
Las herramientas
PC
• S.O. GNU/Linux
• Acceso a Internet
• Un pequeño netbook es
suficiente
Las herramientas
OpenBSC
• Código desarrollado por Harald Welte,
Dieter Spaar, Andreas Evesberg y Holger
Freyther
• http://openbsc.osmocom.org/trac/
“[OpenBSC] is a project aiming to create a Free Software,
GPL-licensed Abis (plus BSC/MSC/HLR) implementation for
experimentation and research purpose. What
this means:
OpenBSC is a GSM network in a box software, implementing
the minimal necessary parts to build a small, self-contained
GSM network.”
Las herramientas
OsmoSGSN
• Código incluido en OpenBSC
• http://openbsc.osmocom.org/trac/wiki/osmo-sgsn
“OsmoSGSN (also spelled osmo-sgsn when referring to the
program name) is a Free Software implementation of the GPRS
Serving GPRS Support Node (SGSN). As such it implements
the GPRS Mobility Management
(GMM) and SM (Session
Management). The SGSN connects via the Gb-Interface to the
BSS (e.g. the ip.access nanoBTS), and it connects via the GTP
protocol
like
OpenGGSN”
to a Gateway GPRS Support Node (GGSN)
Las herramientas
OpenGGSN
• Código iniciado por: Jens Jakobsen
• Actualmente mantenido por: Harald Welte
• http://sourceforge.net/projects/ggsn/
“OpenGGSN is a Gateway GPRS Support Node (GGSN). It is
used by mobile operators as the interface between the Internet
and the rest of the mobile network infrastructure.”
Las herramientas
Inhibidor de frecuencias de móvil (jammer)
• Capaz de inhibir las frecuencias
asignadas a UMTS/HSPA en un lugar
determinado, sin perturbar las
frecuencias de GSM/GPRS/EDGE
“A mobile phone jammer is an instrument used to
prevent cellular phones from from receiving
signals from base stations. When used,
the
jammer effectively disables cellular phones.”
[Source: Wikipedia]
AVISO: Incluso poseer un jammer es ilegal en muchos sitios
El ataque: punto de partida
El ataque: paso 1
1 Caracterización de la celda real
El ataque: paso 2
2
El atacante comienza a emitir
El ataque: paso 3
3
El dispositivo vícitima se
conecta a la celda falsa
El ataque: paso 4
4
El atacante logra
control total (man-in-
the-middle) de las
comunicaciones de
datos (y voz) de la
víctima
El ataque en acción
Un iPhone cae en la trampa
¿Qué ha sucedido?
Extensión del ataque a UMTS
¿Cómo podemos extender este ataque
para que sea efectivo contra dispositivos
UMTS (3G)?
Extensión del ataque a UMTS:
Simplemente, añadir un paso previo
Inhibir las
frecuencias
0
de UMTS
Ejemplos de uso del
ataque con estación base falsa
Aprovechando el ataque: ejemplo 1
Captura de una búsqueda en Google de un iPhone
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 2
Ataque de phishing contra un iPad (usando https)
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 3
Toma de control de un PC a través de GPRS/EDGE
¿Qué ha sucedido?
user / password
remote desktop
Aprovechando el ataque: ejemplo 4
Control del tráfico de todos los dispositivos ubicados tras
un router 3G
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 5
Ataques contras otro dispositivos GPRS/EDGE
¿Qué ha sucedido?
FTP
Medidas de protección
Medidas de protección
• Configurar nuestros dispositivos móviles
para aceptar sólo 3G, rechazando 2G
• Cifrar nuestras comunicaciones de datos
en niveles superiores (HTTPS, SSH,
IPSEC, etc.)
• Instalar y configurar un firewall software
en nuestros dispositivos móviles
Un ataque práctico contra
comunicaciones móviles
www.taddong.com
@taddong
[email protected]
[email protected]
Comentarios de: Un ataque práctico contra comunicaciones móviles (0)
No hay comentarios