Atacando 3G (Chapter II) Satellite Edition www.layakk.com @layakk José Picó [email protected] David Pérez 1 [email protected] Rooted Satellite Valencia Agenda Introducción El problema de la configuración de la celda falsa IMSI Catching Denegación de servicio Trabajos en marcha y futuros Conclusiones 2 Rooted Satellite Valencia INTRODUCCIÓN y un poco de historia… 3 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables >Interceptación >Manipulación >Identificación de usuarios >Geolocalización <1.000 (*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa Rooted Satellite Valencia >Denegación de servicio 4 Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Ubicación de la infraestructura 5 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Caracterización de la celda 6 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: Atacante comienza a emitir 7 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: La víctima campa en la celda falsa 8 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables Ataque con estación base falsa: El atacante toma control total de las comunicaciones de la víctima 010011101011001110011011000 9 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 10 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 11 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 12 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 13 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 14 Rooted Satellite Valencia Las comunicaciones móviles 2G son totalmente vulnerables En la práctica… >Interceptación >Manipulación >Identificación de usuarios >Geolocalización >Denegación de servicio 15 Rooted Satellite Valencia ¿Es posible aplicar estas técnicas a 3G? En 3G existe autenticación bidireccional La criptografía de 3G no está rota públicamente sin embargo… 16 Rooted Satellite Valencia En 2014 ya pensábamos que una parte de los ataques era posible… 17 Rooted Satellite Valencia Base teórica 18 Rooted Satellite Valencia EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA ¿Quién vive en el vecindario? 19 Rooted Satellite Valencia Las celdas vecinas 20 Rooted Satellite Valencia Las celdas vecinas en 2G y en 3G 2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador 935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9 3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 (*) En la práctica no se consideran solapamientos para un operador 21 Rooted Satellite Valencia Solución Ideal Un sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados) En progreso 22 Rooted Satellite Valencia Solución alternativa xgoldmon Ref.: xgoldmon (Tobias Engel) https://github.com/2b-as/xgoldmon – extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G 23 Rooted Satellite Valencia INFRAESTRUCTURA ESTACIÓN BASE 3G ¿Qué hace falta? 24 Rooted Satellite Valencia Lo que nosotros utilizamos… USRP B200 Ref.: OpenBTS-UMTS http://openbts.org/w/index.php/OpenBTS-UMTS Ref.: USRP B200 http://www.ettus.com/product/details/UB200-KIT 25 Rooted Satellite Valencia Lo que nosotros utilizamos… 26 Rooted Satellite Valencia IMSI CATCHING ¿En qué consiste? ¿Por qué es peligroso? Pruebas en 3G 27 Rooted Satellite Valencia IMSI Catching ¿Qué es el IMSI? El IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil IMSI MCC MNC MSIN Está asociado a cada persona que lo compra Es el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariable Sólo debe ser conocido por el operador y por el usuario 28 Rooted Satellite Valencia IMSI Catching ¿En qué consiste? Consiste en la captura no autorizada de IMSIs Puede hacerse utilizando diferentes técnicas – la que nos ocupa es la utilización de una estación base falsa – en este caso, la captura se hace en el entorno del atacante ¿Por qué es peligroso? Determina la presencia de un usuario en la zona ¿Qué se necesita? Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software. 29 Rooted Satellite Valencia IMSI Catching 30 Rooted Satellite Valencia DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVA La técnica de LURCC aplicada a 3G (RAURCC) 31 Rooted Satellite Valencia Denegación de servicio de telefonía móvil Diferentes técnicas Ataque Ataque Ataque Transparente Masivo Selectivo Persistente al usuario Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Técnica LUPRCC 32 Rooted Satellite Valencia Técnica LURCC (RAURCC) Fundamentos teóricos 33 Rooted Satellite Valencia Técnica LURCC (RAURCC) ¿Qué se necesita? Una infraestructura de estación base falsa UMTS como la descrita anteriormente Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable 34 Rooted Satellite Valencia RAURCC: “IMSI Unknown in HLR” 35 Rooted Satellite Valencia RAURCC: “Illegal MS” 36 Rooted Satellite Valencia Escenario de aplicación 37 Rooted Satellite Valencia Escenario de aplicación 38 Rooted Satellite Valencia TRABAJOS EN CURSO Y A FUTURO Qué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro… 39 Rooted Satellite Valencia Geolocalización 40 Rooted Satellite Valencia Geolocalización Trabajo en curso Portar el sistema ya realizado a 3G – modificar la estación base para que mantenga los canales de radio abiertos el mayor tiempo posible – obtener datos para triangular similares a los usados en 2G ¿Otros caminos? 41 Rooted Satellite Valencia Downgrade selectivo a 2G Desarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON2014 42 Rooted Satellite Valencia Trabajo futuro: Sniffer y 4G Continuar el trabajo del sniffer 3G Estudiar y probar si estas técnicas son igualmente posibles en redes 4G 43 Rooted Satellite Valencia CONCLUSIONES 44 Rooted Satellite Valencia Conclusiones Efectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la práctica Estamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica) 45 Rooted Satellite Valencia ¡ MUCHAS GRACIAS ! 46 Rooted Satellite Valencia Atacando 3G (Chapter II) Satellite Edition www.layakk.com @layakk José Picó [email protected] David Pérez 47 [email protected] Rooted Satellite Valencia