Layakk - Atacando 3G Vol. 2 [rootedvlc2]
-
Upload
rootedcon -
Category
Technology
-
view
3.095 -
download
4
Transcript of Layakk - Atacando 3G Vol. 2 [rootedvlc2]
1Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó [email protected] Pérez [email protected]
www.layakk.com@layakk
2Rooted Satellite Valencia
AgendaIntroducciónEl problema de la configuración de la celda falsaIMSI CatchingDenegación de servicioTrabajos en marcha y futurosConclusiones
3Rooted Satellite Valencia
INTRODUCCIÓNy un poco de historia…
4Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa
5Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Ubicación de la infraestructura
6Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Caracterización de la celda
7Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Atacante comienza a emitir
8Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
La víctima campa en la celda falsa
9Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
El atacante toma control total de las comunicaciones de la víctima
010011101011001110011011000
10Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
11Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
12Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
13Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
14Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
15Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
16Rooted Satellite Valencia
¿Es posible aplicar estas técnicas a 3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
17Rooted Satellite Valencia
En 2014 ya pensábamos que una parte de los ataques era
posible…
18Rooted Satellite Valencia
Base teórica
19Rooted Satellite Valencia
EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA¿Quién vive en el vecindario?
20Rooted Satellite Valencia
Las celdas vecinas
21Rooted Satellite Valencia
Las celdas vecinas en 2G y en 3G
2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador
3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 para un operador
935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9
(*) En la práctica no se consideran solapamientos
22Rooted Satellite Valencia
Solución IdealUn sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados)
En progreso
23Rooted Satellite Valencia
Solución alternativaxgoldmon
– extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G
Ref.: xgoldmon (Tobias Engel)https://github.com/2b-as/xgoldmon
24Rooted Satellite Valencia
INFRAESTRUCTURA ESTACIÓN BASE 3G¿Qué hace falta?
25Rooted Satellite Valencia
OpenBTS-UMTS
USRP B200
- Int
el C
ore
i3 -
USB
3.0
Lo que nosotros utilizamos…
Ref.: OpenBTS-UMTShttp://openbts.org/w/index.php/OpenBTS-UMTS
Ref.: USRP B200http://www.ettus.com/product/details/UB200-KIT
26Rooted Satellite Valencia
Lo que nosotros utilizamos…
27Rooted Satellite Valencia
IMSI CATCHING¿En qué consiste?¿Por qué es peligroso?Pruebas en 3G
28Rooted Satellite Valencia
IMSI CatchingEl IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil
Está asociado a cada persona que lo compraEs el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariableSólo debe ser conocido por el operador y por el usuario
¿Qué es el IMSI?
IMSI
MCC MNC MSIN
29Rooted Satellite Valencia
IMSI CatchingConsiste en la captura no autorizada de IMSIsPuede hacerse utilizando diferentes técnicas– la que nos ocupa es la utilización de una estación
base falsa– en este caso, la captura se hace en el entorno del
atacante
Determina la presencia de un usuario en la zona
Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software.
¿Por qué es peligroso?
¿En qué consiste?
¿Qué se necesita?
30Rooted Satellite Valencia
IMSI Catching
D EMO
31Rooted Satellite Valencia
DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVALa técnica de LURCC aplicada a 3G (RAURCC)
32Rooted Satellite Valencia
Denegación de servicio de telefonía móvil
Ataque Masivo
Ataque Selectivo
Ataque Persistente
Transparente al usuario
Inhibidor de frecuencia
Agotamiento de canales de radio
en la BTSRedirección
mediante estación base falsa
Técnica LUPRCC
X
X
X X
X
X
X
X
Diferentes técnicas
33Rooted Satellite Valencia
Técnica LURCC (RAURCC)Fundamentos teóricos
34Rooted Satellite Valencia
Técnica LURCC (RAURCC)
Una infraestructura de estación base falsa UMTS como la descrita anteriormente
Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable
¿Qué se necesita?
35Rooted Satellite Valencia
RAURCC: “IMSI Unknown in HLR”
36Rooted Satellite Valencia
RAURCC: “Illegal MS”
37Rooted Satellite Valencia
Escenario de aplicación
38Rooted Satellite Valencia
Escenario de aplicación
39Rooted Satellite Valencia
TRABAJOS EN CURSO Y A FUTUROQué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro…
40Rooted Satellite Valencia
Geolocalización
41Rooted Satellite Valencia
Geolocalización
Portar el sistema ya realizado a 3G– modificar la estación base para que mantenga
los canales de radio abiertos el mayor tiempo posible
– obtener datos para triangular similares a los usados en 2G
¿Otros caminos?
Trabajo en curso
42Rooted Satellite Valencia
Downgrade selectivo a 2GDesarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON2014
43Rooted Satellite Valencia
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son igualmente posibles en redes 4G
44Rooted Satellite Valencia
CONCLUSIONES
45Rooted Satellite Valencia
ConclusionesEfectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la prácticaEstamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica)
46Rooted Satellite Valencia
¡ MUCHAS GRACIAS !
47Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó [email protected] Pérez [email protected]
www.layakk.com@layakk