PDF de programación - Atacando 3G (Chapter II)

Atacando 3G (Chapter II)

Satellite Edition

www.layakk.com
@layakk

José Picó

[email protected]

David Pérez
Rooted Satellite Valencia

[email protected]

1

Agenda

Introducción

El problema de la configuración de la celda falsa

IMSI Catching

Denegación de servicio

Trabajos en marcha y futuros

Conclusiones

Rooted Satellite Valencia

2

INTRODUCCIÓN

y un poco de historia…

Rooted Satellite Valencia

3

Las comunicaciones móviles 2G
son totalmente vulnerables

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

<1.000

(*) NOTA: solamente teniendo en cuenta los ataques con
estación base falsa

Rooted Satellite Valencia

4

Las comunicaciones móviles 2G

son totalmente vulnerables

Ataque con estación
base falsa:

 Ubicación de la
infraestructura

Rooted Satellite Valencia

5

Las comunicaciones móviles 2G

son totalmente vulnerables

Ataque con estación
base falsa:

 Caracterización de la

celda

Rooted Satellite Valencia

6

Las comunicaciones móviles 2G

son totalmente vulnerables

Ataque con estación
base falsa:

 Atacante comienza a

emitir

Rooted Satellite Valencia

7

Las comunicaciones móviles 2G

son totalmente vulnerables

Ataque con estación
base falsa:

 La víctima campa en

la celda falsa

Rooted Satellite Valencia

8

Las comunicaciones móviles 2G

son totalmente vulnerables

Ataque con estación
base falsa:

 El atacante toma

control total de las
comunicaciones de la
víctima

010011101011001110011011000

Rooted Satellite Valencia

9

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

10

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

11

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

12

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

13

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

14

Las comunicaciones móviles 2G

son totalmente vulnerables

En la práctica…

>Interceptación

>Manipulación

>Identificación
de usuarios

>Geolocalización

>Denegación de
servicio

Rooted Satellite Valencia

15

¿Es posible aplicar estas técnicas a
3G?

En 3G existe autenticación bidireccional

La criptografía de 3G no está rota públicamente

sin embargo…

Rooted Satellite Valencia

16

En 2014 ya pensábamos que una
parte de los ataques era posible…

Rooted Satellite Valencia

17

Base teórica

Rooted Satellite Valencia

18

EL PROBLEMA DE LA
CONFIGURACIÓN Y
PARAMETRIZACIÓN DE LA
CELDA FALSA

¿Quién vive en el vecindario?

Rooted Satellite Valencia

19

Las celdas vecinas

Rooted Satellite Valencia

20

Las celdas vecinas en 2G y en 3G

2G: 74 ARFCNs (200KHz) en la banda de 900
sólo para un operador

3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100
para un operador

(*) En la práctica no se consideran solapamientos

Rooted Satellite Valencia

21

935,1935,3935,5935,7935,9936,1936,3936,5936,7936,9937,1937,3937,5937,7937,9938,1938,3938,5938,7938,9939,1939,3939,5939,7939,9940,1940,3940,5940,7940,9941,1941,3941,5941,7941,9942,1942,3942,5942,7942,9943,1943,3943,5943,7943,9944,1944,3944,5944,7944,9945,1945,3945,5945,7945,9946,1946,3946,5946,7946,9947,1947,3947,5947,7947,9948,1948,3948,5948,7948,9949,1949,3949,5949,7949,9Solución Ideal

Un sniffer de 3G, DL y UL, de los mensajes de
control (Broadcast y algunos dedicados)

 En progreso

Rooted Satellite Valencia

22

Solución alternativa

xgoldmon

Ref.: xgoldmon (Tobias Engel)
https://github.com/2b-as/xgoldmon

– extrae algunos mensajes de los canales de control,

tanto de broadcast como dedicados, en las
comunicaciones entre un móvil y la red 3G

Rooted Satellite Valencia

23

INFRAESTRUCTURA
ESTACIÓN BASE 3G

¿Qué hace falta?

Rooted Satellite Valencia

24

Lo que nosotros utilizamos…

USRP B200

Ref.: OpenBTS-UMTS
http://openbts.org/w/index.php/OpenBTS-UMTS

Ref.: USRP B200
http://www.ettus.com/product/details/UB200-KIT

Rooted Satellite Valencia

25

Lo que nosotros utilizamos…

Rooted Satellite Valencia

26

IMSI CATCHING

¿En qué consiste?

¿Por qué es peligroso?

Pruebas en 3G

Rooted Satellite Valencia

27

IMSI Catching
¿Qué es el IMSI?

El IMSI (Internation Mobile Subscriber Number) es el número
que identifica a los usuarios de la red móvil

IMSI

MCC

MNC

MSIN

Está asociado a cada persona que lo compra

Es el único identificador de usuario (en el nivel de movilidad de
la comunicaciones móviles) que es invariable

Sólo debe ser conocido por el operador y por el usuario

Rooted Satellite Valencia

28

IMSI Catching
¿En qué consiste?

Consiste en la captura no autorizada de IMSIs

Puede hacerse utilizando diferentes técnicas
– la que nos ocupa es la utilización de una estación base

falsa

– en este caso, la captura se hace en el entorno del

atacante

¿Por qué es peligroso?

Determina la presencia de un usuario en la zona

¿Qué se necesita?

Una infraestructura de estación base falsa como
la descrita anteriormente, sin necesidad de
modificaciones software.

Rooted Satellite Valencia

29

IMSI Catching

Rooted Satellite Valencia

30

DENEGACIÓN DE SERVICIO
PERSISTENTE Y SELECTIVA

La técnica de LURCC aplicada a 3G (RAURCC)

Rooted Satellite Valencia

31

Denegación de servicio de
telefonía móvil
Diferentes técnicas

Ataque
Masivo

Ataque
Selectivo

Ataque

Transparente

Persistente

al usuario

Inhibidor de
frecuencia

Agotamiento de
canales de radio

en la BTS

Redirección

mediante estación

base falsa

Técnica LUPRCC

Rooted Satellite Valencia

32

Técnica LURCC (RAURCC)
Fundamentos teóricos

Rooted Satellite Valencia

33

Técnica LURCC (RAURCC)
¿Qué se necesita?

Una infraestructura de estación base falsa
UMTS como la descrita anteriormente

Una modificación del software de la estación
base falsa para que pueda implementar el
ataque de forma selectiva y configurable

Rooted Satellite Valencia

34

RAURCC: “IMSI Unknown in HLR”

Rooted Satellite Valencia

35

RAURCC: “Illegal MS”

Rooted Satellite Valencia

36

Escenario
de
aplicación

Rooted Satellite Valencia

37

Escenario de aplicación

Rooted Satellite Valencia

38

TRABAJOS EN CURSO Y A
FUTURO

Qué es lo que estamos haciendo ahora y qué querríamos hacer en
el futuro…

Rooted Satellite Valencia

39

Geolocalización

Rooted Satellite Valencia

40

Geolocalización
Trabajo en curso

Portar el sistema ya realizado a 3G
– modificar la estación base para que mantenga los
canales de radio abiertos el mayor tiempo posible

– obtener datos para triangular similares a los usados

en 2G

¿Otros caminos?

Rooted Satellite Valencia

41

Downgrade selectivo a 2G

Desarrollo de la funcionalidad necesaria dentro
de OpenBTS-UMTS para probar las técnicas
descritas en RootedCON2014

Rooted Satellite Valencia

42

Trabajo futuro: Sniffer y 4G

Continuar el trabajo del sniffer 3G

Estudiar y probar si estas técnicas son
igualmente posibles en redes 4G

Rooted Satellite Valencia

43

CONCLUSIONES

Rooted Satellite Valencia

44

Conclusiones

Efectivamente, los ataques de IMSI Catching,
denegación de servicio son posibles en la
práctica

Estamos estudiando el caso de la
geolocalización y downgrade selectivo a 3G
(aunque tenemos pocas dudas de su viabilidad
técnica)

Rooted Satellite Valencia

45

¡ MUCHAS GRACIAS !

Rooted Satellite Valencia

46

Atacando 3G (Chapter II)

Satellite Edition

www.layakk.com
@layakk

José Picó

[email protected]

David Pérez
Rooted Satellite Valencia

[email protected]

47