Atacando 3G (Chapter II) - layakk.com · >Geolocalización >Denegación de servicio

1Rooted Satellite Valencia

Atacando 3G (Chapter II)

Satellite Edition

José Picó [email protected]

David Pérez [email protected]

www.layakk.com

@layakk


Agenda

Introducción

El problema de la configuración de la celda falsa

IMSI Catching

Denegación de servicio

Trabajos en marcha y futuros

Conclusiones


INTRODUCCIÓNy un poco de historia…


Las comunicaciones móviles 2G son totalmente vulnerables

>Interceptación

>Manipulación

>Identificación

de usuarios

>Geolocalización

>Denegación de

servicio

<1.000

(*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa


Las comunicaciones móviles 2Gson totalmente vulnerables

Ataque con estación base falsa:

Ubicación de la infraestructura




Caracterización de la celda




Atacante comienza a emitir




La víctima campa en la celda falsa




El atacante toma control total de las comunicaciones de la víctima

010011101011001110011011000



>Interceptación

>Manipulación

>Identificación

de usuarios

>Geolocalización

>Denegación de

servicio

En la práctica…


¿Es posible aplicar estas técnicas a 3G?

En 3G existe autenticación bidireccional

La criptografía de 3G no está rota públicamente

sin embargo…


En 2014 ya pensábamos que una parte de los ataques era posible…


Base teórica


EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA¿Quién vive en el vecindario?


Las celdas vecinas


Las celdas vecinas en 2G y en 3G

2G: 74 ARFCNs (200KHz) en la banda de 900

sólo para un operador

3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100

para un operador

935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9

(*) En la práctica no se consideran solapamientos


Solución Ideal

Un sniffer de 3G, DL y UL, de los mensajes de

control (Broadcast y algunos dedicados)

En progreso


Solución alternativa

xgoldmon

– extrae algunos mensajes de los canales de control,

tanto de broadcast como dedicados, en las

comunicaciones entre un móvil y la red 3G

Ref.: xgoldmon (Tobias Engel)https://github.com/2b-as/xgoldmon


INFRAESTRUCTURA ESTACIÓN BASE 3G¿Qué hace falta?


USRP B200

Lo que nosotros utilizamos…

Ref.: OpenBTS-UMTShttp://openbts.org/w/index.php/OpenBTS-UMTS

Ref.: USRP B200http://www.ettus.com/product/details/UB200-KIT


Lo que nosotros utilizamos…


IMSI CATCHING¿En qué consiste?

¿Por qué es peligroso?

Pruebas en 3G


IMSI Catching

El IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil

Está asociado a cada persona que lo compra

Es el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariable

Sólo debe ser conocido por el operador y por el usuario

¿Qué es el IMSI?

IMSI

MCC MNC MSIN


IMSI Catching

Consiste en la captura no autorizada de IMSIs

Puede hacerse utilizando diferentes técnicas– la que nos ocupa es la utilización de una estación base

falsa

– en este caso, la captura se hace en el entorno del atacante

Determina la presencia de un usuario en la zona

Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software.

¿Por qué es peligroso?

¿En qué consiste?

¿Qué se necesita?


IMSI Catching


DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVA

La técnica de LURCC aplicada a 3G (RAURCC)


Denegación de servicio de telefonía móvil

Ataque Masivo

Ataque Selectivo

Ataque Persistente

Transparente al usuario

Inhibidor de frecuencia

Agotamiento de canales de radio

en la BTS

Redirecciónmediante estación

base falsa

Técnica LUPRCC

Diferentes técnicas


Técnica LURCC (RAURCC)Fundamentos teóricos


Técnica LURCC (RAURCC)

Una infraestructura de estación base falsa

UMTS como la descrita anteriormente

Una modificación del software de la estación

base falsa para que pueda implementar el

ataque de forma selectiva y configurable

¿Qué se necesita?


RAURCC: “IMSI Unknown in HLR”


RAURCC: “Illegal MS”


Escenario de aplicación


TRABAJOS EN CURSO Y A FUTUROQué es lo que estamos haciendo ahora y qué querríamos hacer en

el futuro…


Geolocalización


Geolocalización

Portar el sistema ya realizado a 3G

– modificar la estación base para que mantenga los

canales de radio abiertos el mayor tiempo posible

– obtener datos para triangular similares a los usados

en 2G

¿Otros caminos?

Trabajo en curso


Downgrade selectivo a 2G

Desarrollo de la funcionalidad necesaria dentro

de OpenBTS-UMTS para probar las técnicas

descritas en RootedCON2014


Trabajo futuro: Sniffer y 4G

Continuar el trabajo del sniffer 3G

Estudiar y probar si estas técnicas son

igualmente posibles en redes 4G


CONCLUSIONES


Conclusiones

Efectivamente, los ataques de IMSI Catching,

denegación de servicio son posibles en la

práctica

Estamos estudiando el caso de la

geolocalización y downgrade selectivo a 3G

(aunque tenemos pocas dudas de su viabilidad

técnica)


¡ MUCHAS GRACIAS !


Atacando 3G (Chapter II)

Satellite Edition

José Picó [email protected]

David Pérez [email protected]

www.layakk.com

@layakk

Atacando 3G (Chapter II) - layakk.com · >Geolocalización >Denegación de servicio

Documents

Transcript of Atacando 3G (Chapter II) - layakk.com · >Geolocalización >Denegación de servicio