PDF de programación - Nuevos escenarios de ataque con estación base falsa GSM/GPRS

Nuevos escenarios de ataque

con estación base falsa

GSM/GPRS

#rootedgsm

José Picó - [email protected]

David Pérez - [email protected]

w w w . t a d d o n g . c o m
@ t a d d o n g

Introducción

.

2

Terminología

• BTS – Base Station Transceiver:

– Estación base; estación de radio que constituye el

acceso del móvil a la red

• PLMN – Public Land Mobile Network:

– El operador de telefonía
• HPLMN – Home PLMN:

– Es el operador que emite una tarjeta SIM y el único

que conoce su clave precompartida Ki

• IMSI – International Mobile Subscriber Identifier:

– Identificar único de la tarjeta SIM (y del usuario)

• TMSI – Temporary Mobile Subscriber Identifier:

– Identificador temporal asignado por la red para que el

móvil no tenga que revelar su IMSI constantemente

.

3

Ataque con estación base falsa

.

4

BTSBSCSGSNMSC/VLRHLR/AuCGSM / GPRS / EDGEGGSNRouterINTERNET Ataque con estación base falsa

Voz

Datos

• Grabación de

• Interceptación de

llamadas y SMS

tráfico

• Suplantación

• Redirección de

número llamante

tráfico

• Suplantación

• Posición

destino
(redirección)

• Impersonación del

usuario

.

privilegiada para
realizar todo tipo
de ataques IP

5

Escenario objeto de esta charla

.

6

Escenario objeto de esta charla

Denegación de

servicio de

telefonía móvil

7

Denegación de Servicio GSM

8

Características de los ataques de

denegación de servicio de telefonía móvil

Ataque
‘Masivo’

El ataque es capaz de causar una
denegación de servicio de forma masiva e
indiscriminada en el alcance del sistema.

Ataque

‘Selectivo’

El ataque es capaz de causar una
denegación de servicio selectivamente sólo a
algunos terminales móviles que pueden ser
discriminados por el atacante.

Ataque

‘Persistente’

El ataque persiste en el tiempo (hasta una
determinada condición) después de que el
atacante deja de actuar y sale del lugar.

Ataque

‘Transparente’

El usuario no percibe ninguna señal de que
ha perdido el servicio

9

Comparativa de técnicas para llevar a
cabo una denegación de servicio GSM

Ataque
Masivo

Ataque

Ataque

Transparente

Selectivo

Persistente

al usuario

Inhibidor de
frecuencia

Agotamiento de

canales de

radio en la BTS

Redirección

mediante

estación base

falsa

Técnica
LUPRCC

10

Agotamiento de canales de radio en la

BTS (I)

Ref.: “Threats and countermeasures in GSM networks”. Valer Bocan, Bocan Cretu
http://ojs.academypublisher.com/index.php/jnw/article/view/010618/655

11

Agotamiento de canales de radio en la
BTS (II)

Ref.: “A practical DoS attack to the GSM Network”. Dieter Spaar.
http://www.mirider.com/GSM-DoS-Attack_Dieter_Spaar.pdf

12

Redireccion mediante estación base falsa

Llamada saliente

Demo

13

BTSBSCSGSNMSC/VLRHLR/AuCGSM / GPRS / EDGEGGSNRouterINTERNET Denegación de Servicio GSM

Técnica LUPRCC

(Location Update Procedure Reject
Cause Codes)

.

14

Location Update Procedure

MS

PLMN

1

INICIO DEL PROCEDIMIENTO

LOCATION UPDATING REQUEST

2

3

4

5

(Classmark Interrogation Procedure)

(Identification Procedure)

(Authentication Procedure)

(Start Ciphering Procedure)

LOCATION UPDATING ACCEPT / REJECT

6

Reject Cause Code

.

15

Location Update Procedure

Reject Cause Codes

Dec
02
03
06
11
12
13
15

Descripción

IMSI unknown in HLR
Illegal MS
Illegal ME

Hex
0x02
0x03
0x06
0x0B PLMN not allowed
0x0C Location Area not allowed
0x0D Roaming not allowed in this location area
0x0F No Suitable Cells In Location Area

OTHER OTHER

OTHER

.

16

Location Update Procedure

Reject Cause Codes

Dec
02
03
06
11
12
13
15

Descripción

IMSI unknown in HLR
Illegal MS
Illegal ME

Hex
0x02
0x03
0x06
0x0B PLMN not allowed
0x0C Location Area not allowed
0x0D Roaming not allowed in this location area
0x0F No Suitable Cells In Location Area

OTHER OTHER

OTHER

.

17

Comportamiento descrito por la norma

ante LU Reject
Cause Code: OTHER (sólo por curiosidad)

3GPP TS 24.008 - 4.4.4.7
"The MS waits for release of the RR connection as specified in sub-clause 4.4.4.8, and then proceeds
as follows. TimerT3210 is stopped if still running. The RR Connection is aborted in case of timer
T3210 timeout. The attempt counter isincremented. The next actions depend on the Location Area
Identities (stored and received from the BCCH of thecurrent serving cell) and the value of the attempt
counter."
"– the update status is UPDATED, and the stored LAI is equal to the one received on the BCCH from
the currentserving cell and the attempt counter is smaller than 4:The mobile station shall keep the
update status to UPDATED, the MM IDLE sub-state after the RR connection release is NORMAL
SERVICE. The mobile station shall memorize the location updating type used in the location updating
procedure. It shall start timer T3211 when the RR connection is released. When timer T3211 expires
the location updating procedure is triggered again with the memorized location updating type;"
"– either the update status is different from UPDATED, or the stored LAI is different from the one
received on theBCCH from the current serving cell, or the attempt counter is greater or equal to 4:The
mobile station shall delete any LAI, TMSI, ciphering key sequence number stored in the SIM, set the
updatestatus to NOT UPDATED and enter the MM IDLE sub-state ATTEMPTING TO UPDATE when the
RRconnection is released (See sub-clause 4.2.2.2 for the subsequent actions). If the attempt counter
is smaller than4, the mobile station shall memorize that timer T3211 is to be started when the RR
connection is released,otherwise it shall memorize that timer T3212 is to be started when the RR
connection is released."

18

.

Comportamiento descrito por la norma

Cause Code: 0x0B (PLMN not allowed)

ante LU Reject

3GPP TS 24.008 - 4.4.4.7

"The mobile station shall delete any LAI, TMSI and

ciphering key sequence number stored in the SIM/USIM,
reset the attempt counter, and set the update status to
ROAMING NOT ALLOWED (and store it in the SIM/USIM
according to subclause 4.1.2.2). The mobile station shall

store the PLMN identity in the ‘forbidden PLMN list’.The MS
shall perform a PLMN selection when back to the MM IDLE

state according to 3GPP TS 23.122. An MS in GAN mode
shall request a PLMN list in GAN (see 3GPP TS 44.318)

prior to performing a PLMN selection from this list

according to 3GPP TS 23.122."

.

19

Pruebas de comportamiento

Cause Code: 0x0B (PLMN not allowed)

ante LU Reject

Intentos de conexión del móvil en el

tiempo desde el primer rechazo

.

20

Comportamiento descrito por la norma

ante LU Reject
Cause Code: 0x02 (IMSI unknown in HLR)

Cause Code: 0x03 (Illegal MS)

Cause Code: 0x05 (Illegal ME)

3GPP TS 24.008 - 4.4.4.7

"The mobile station shall set the update status to

ROAMING NOT ALLOWED (and store it in the SIM/USIM

according to subclause 4.1.2.2), and delete any TMSI,

stored LAI and ciphering key sequence number and shall
consider the SIM/USIM as invalid for non-GPRS services

until switch-off or the SIM/USIM is removed.”

.

21

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Nokia 6210

(Simyo)

22

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Nokia 3210

(Simyo)

23

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Nokia

N97(Movistar)

24

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Sony-Ericsson

T290i

(Movistar)

25

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Siemens A55

(Simyo)

26

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

Motorola C123

(Simyo)

27

Pruebas de comportamiento ante

LUReject
Terminales probados en el laboratorio

0x02

0x03

0x06

IMSI unknown in HLR

Illegal MS

Illegal ME

iPhone

(Movistar)

28

Pruebas de comportamiento

ante LU Reject
Cause Code: 0x02 (IMSI unknown in HLR)

Cause Code: 0x03 (Illegal MS)

Cause Code: 0x05 (Illegal ME)

Demo

Vídeo

29

Escenario de aplicación

.

30

El ataque puede ser un ataque

masivo

• El atacante puede rechazar

indiscriminadamente los intentos de
conexión, sea cual sea el identificador de las
víctimas

• La capacidad de proceso no es determinante

(el atacante sólo debe rechazar un registro
de cada víctima)

• Se puede realizar consecutivamente a varios

operadores (o simultáneamente con varios
equipos iguales)

.

31

El ataque puede ser un ataque

selectivo

Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de
la víctima

• Existen varias técnicas para identificar a la

víctima, por ejemplo:
– Técnicas de “monitorización” para obtener el IMSI:

http://blog.taddong.com/2011/05/selective-attack-
with-rogue-gsmgprs.html

– Descubrir el TMSI y utilizarlo:

http://events.ccc.de/congress/2011/Fahrplan/attachm
ents/1994_111217.SRLabs-28C3-
Defending_mobile_phones.pdf

– Interrogar al HLR a través de la red global SS7:

http://events.ccc.de/congress/2010/Fahrplan/attachm
ents/1783_101228.27C3.GSM-
Sniffing.Nohl_Munaut.pdf

32

.

La denegación es persistente

• El terminal