Atacando 3G (Chapter II)
Satellite Edition
www.layakk.com
@layakk
José Picó
[email protected]
David Pérez
Rooted Satellite Valencia
[email protected]
1
Agenda
Introducción
El problema de la configuración de la celda falsa
IMSI Catching
Denegación de servicio
Trabajos en marcha y futuros
Conclusiones
Rooted Satellite Valencia
2
INTRODUCCIÓN
y un poco de historia…
Rooted Satellite Valencia
3
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los ataques con
estación base falsa
Rooted Satellite Valencia
4
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Ubicación de la
infraestructura
Rooted Satellite Valencia
5
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Caracterización de la
celda
Rooted Satellite Valencia
6
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Atacante comienza a
emitir
Rooted Satellite Valencia
7
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
La víctima campa en
la celda falsa
Rooted Satellite Valencia
8
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
El atacante toma
control total de las
comunicaciones de la
víctima
010011101011001110011011000
Rooted Satellite Valencia
9
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
10
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
11
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
12
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
13
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
14
Las comunicaciones móviles 2G
son totalmente vulnerables
En la práctica…
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
Rooted Satellite Valencia
15
¿Es posible aplicar estas técnicas a
3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
Rooted Satellite Valencia
16
En 2014 ya pensábamos que una
parte de los ataques era posible…
Rooted Satellite Valencia
17
Base teórica
Rooted Satellite Valencia
18
EL PROBLEMA DE LA
CONFIGURACIÓN Y
PARAMETRIZACIÓN DE LA
CELDA FALSA
¿Quién vive en el vecindario?
Rooted Satellite Valencia
19
Las celdas vecinas
Rooted Satellite Valencia
20
Las celdas vecinas en 2G y en 3G
2G: 74 ARFCNs (200KHz) en la banda de 900
sólo para un operador
3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100
para un operador
(*) En la práctica no se consideran solapamientos
Rooted Satellite Valencia
21
935,1935,3935,5935,7935,9936,1936,3936,5936,7936,9937,1937,3937,5937,7937,9938,1938,3938,5938,7938,9939,1939,3939,5939,7939,9940,1940,3940,5940,7940,9941,1941,3941,5941,7941,9942,1942,3942,5942,7942,9943,1943,3943,5943,7943,9944,1944,3944,5944,7944,9945,1945,3945,5945,7945,9946,1946,3946,5946,7946,9947,1947,3947,5947,7947,9948,1948,3948,5948,7948,9949,1949,3949,5949,7949,9 Solución Ideal
Un sniffer de 3G, DL y UL, de los mensajes de
control (Broadcast y algunos dedicados)
En progreso
Rooted Satellite Valencia
22
Solución alternativa
xgoldmon
Ref.: xgoldmon (Tobias Engel)
https://github.com/2b-as/xgoldmon
– extrae algunos mensajes de los canales de control,
tanto de broadcast como dedicados, en las
comunicaciones entre un móvil y la red 3G
Rooted Satellite Valencia
23
INFRAESTRUCTURA
ESTACIÓN BASE 3G
¿Qué hace falta?
Rooted Satellite Valencia
24
Lo que nosotros utilizamos…
USRP B200
Ref.: OpenBTS-UMTS
http://openbts.org/w/index.php/OpenBTS-UMTS
Ref.: USRP B200
http://www.ettus.com/product/details/UB200-KIT
Rooted Satellite Valencia
25
Lo que nosotros utilizamos…
Rooted Satellite Valencia
26
IMSI CATCHING
¿En qué consiste?
¿Por qué es peligroso?
Pruebas en 3G
Rooted Satellite Valencia
27
IMSI Catching
¿Qué es el IMSI?
El IMSI (Internation Mobile Subscriber Number) es el número
que identifica a los usuarios de la red móvil
IMSI
MCC
MNC
MSIN
Está asociado a cada persona que lo compra
Es el único identificador de usuario (en el nivel de movilidad de
la comunicaciones móviles) que es invariable
Sólo debe ser conocido por el operador y por el usuario
Rooted Satellite Valencia
28
IMSI Catching
¿En qué consiste?
Consiste en la captura no autorizada de IMSIs
Puede hacerse utilizando diferentes técnicas
– la que nos ocupa es la utilización de una estación base
falsa
– en este caso, la captura se hace en el entorno del
atacante
¿Por qué es peligroso?
Determina la presencia de un usuario en la zona
¿Qué se necesita?
Una infraestructura de estación base falsa como
la descrita anteriormente, sin necesidad de
modificaciones software.
Rooted Satellite Valencia
29
IMSI Catching
Rooted Satellite Valencia
30
DENEGACIÓN DE SERVICIO
PERSISTENTE Y SELECTIVA
La técnica de LURCC aplicada a 3G (RAURCC)
Rooted Satellite Valencia
31
Denegación de servicio de
telefonía móvil
Diferentes técnicas
Ataque
Masivo
Ataque
Selectivo
Ataque
Transparente
Persistente
al usuario
Inhibidor de
frecuencia
Agotamiento de
canales de radio
en la BTS
Redirección
mediante estación
base falsa
Técnica LUPRCC
Rooted Satellite Valencia
32
Técnica LURCC (RAURCC)
Fundamentos teóricos
Rooted Satellite Valencia
33
Técnica LURCC (RAURCC)
¿Qué se necesita?
Una infraestructura de estación base falsa
UMTS como la descrita anteriormente
Una modificación del software de la estación
base falsa para que pueda implementar el
ataque de forma selectiva y configurable
Rooted Satellite Valencia
34
RAURCC: “IMSI Unknown in HLR”
Rooted Satellite Valencia
35
RAURCC: “Illegal MS”
Rooted Satellite Valencia
36
Escenario
de
aplicación
Rooted Satellite Valencia
37
Escenario de aplicación
Rooted Satellite Valencia
38
TRABAJOS EN CURSO Y A
FUTURO
Qué es lo que estamos haciendo ahora y qué querríamos hacer en
el futuro…
Rooted Satellite Valencia
39
Geolocalización
Rooted Satellite Valencia
40
Geolocalización
Trabajo en curso
Portar el sistema ya realizado a 3G
– modificar la estación base para que mantenga los
canales de radio abiertos el mayor tiempo posible
– obtener datos para triangular similares a los usados
en 2G
¿Otros caminos?
Rooted Satellite Valencia
41
Downgrade selectivo a 2G
Desarrollo de la funcionalidad necesaria dentro
de OpenBTS-UMTS para probar las técnicas
descritas en RootedCON2014
Rooted Satellite Valencia
42
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son
igualmente posibles en redes 4G
Rooted Satellite Valencia
43
CONCLUSIONES
Rooted Satellite Valencia
44
Conclusiones
Efectivamente, los ataques de IMSI Catching,
denegación de servicio son posibles en la
práctica
Estamos estudiando el caso de la
geolocalización y downgrade selectivo a 3G
(aunque tenemos pocas dudas de su viabilidad
técnica)
Rooted Satellite Valencia
45
¡ MUCHAS GRACIAS !
Rooted Satellite Valencia
46
Atacando 3G (Chapter II)
Satellite Edition
www.layakk.com
@layakk
José Picó
[email protected]
David Pérez
Rooted Satellite Valencia
[email protected]
47
Crear cuenta
Comentarios de: Atacando 3G (Chapter II) (0)
No hay comentarios