Layakk - Atacando 3G Vol. 2 [rootedvlc2]

1Rooted Satellite Valencia

Atacando 3G (Chapter II)

Satellite Edition

José Picó [email protected] Pérez [email protected]

www.layakk.com@layakk


AgendaIntroducciónEl problema de la configuración de la celda falsaIMSI CatchingDenegación de servicioTrabajos en marcha y futurosConclusiones


INTRODUCCIÓNy un poco de historia…


Las comunicaciones móviles 2G son totalmente vulnerables

>Interceptación

>Manipulación

>Identificación de usuarios

>Geolocalización

>Denegación de servicio

<1.000

(*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa



Ataque con estación base falsa:

Ubicación de la infraestructura




Caracterización de la celda




Atacante comienza a emitir




La víctima campa en la celda falsa




El atacante toma control total de las comunicaciones de la víctima

010011101011001110011011000



>Interceptación

>Manipulación


>Geolocalización


En la práctica…


¿Es posible aplicar estas técnicas a 3G?

En 3G existe autenticación bidireccional

La criptografía de 3G no está rota públicamente

sin embargo…


En 2014 ya pensábamos que una parte de los ataques era

posible…


Base teórica


EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA¿Quién vive en el vecindario?


Las celdas vecinas


Las celdas vecinas en 2G y en 3G

2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador

3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 para un operador

935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9

(*) En la práctica no se consideran solapamientos


Solución IdealUn sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados)

En progreso


Solución alternativaxgoldmon

– extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G

Ref.: xgoldmon (Tobias Engel)https://github.com/2b-as/xgoldmon


INFRAESTRUCTURA ESTACIÓN BASE 3G¿Qué hace falta?


OpenBTS-UMTS

USRP B200

- Int

el C

ore

i3 -

USB

3.0

Lo que nosotros utilizamos…

Ref.: OpenBTS-UMTShttp://openbts.org/w/index.php/OpenBTS-UMTS

Ref.: USRP B200http://www.ettus.com/product/details/UB200-KIT


Lo que nosotros utilizamos…


IMSI CATCHING¿En qué consiste?¿Por qué es peligroso?Pruebas en 3G


IMSI CatchingEl IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil

Está asociado a cada persona que lo compraEs el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariableSólo debe ser conocido por el operador y por el usuario

¿Qué es el IMSI?

IMSI

MCC MNC MSIN


IMSI CatchingConsiste en la captura no autorizada de IMSIsPuede hacerse utilizando diferentes técnicas– la que nos ocupa es la utilización de una estación

base falsa– en este caso, la captura se hace en el entorno del

atacante

Determina la presencia de un usuario en la zona

Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software.

¿Por qué es peligroso?

¿En qué consiste?

¿Qué se necesita?


IMSI Catching

D EMO


DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVALa técnica de LURCC aplicada a 3G (RAURCC)


Denegación de servicio de telefonía móvil

Ataque Masivo

Ataque Selectivo

Ataque Persistente

Transparente al usuario

Inhibidor de frecuencia

Agotamiento de canales de radio

en la BTSRedirección

mediante estación base falsa

Técnica LUPRCC

X

X

X X

X

X

X

X

Diferentes técnicas


Técnica LURCC (RAURCC)Fundamentos teóricos


Técnica LURCC (RAURCC)

Una infraestructura de estación base falsa UMTS como la descrita anteriormente

Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable

¿Qué se necesita?


RAURCC: “IMSI Unknown in HLR”


RAURCC: “Illegal MS”


Escenario de aplicación


TRABAJOS EN CURSO Y A FUTUROQué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro…


Geolocalización


Geolocalización

Portar el sistema ya realizado a 3G– modificar la estación base para que mantenga

los canales de radio abiertos el mayor tiempo posible

– obtener datos para triangular similares a los usados en 2G

¿Otros caminos?

Trabajo en curso


Downgrade selectivo a 2GDesarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON2014


Trabajo futuro: Sniffer y 4G

Continuar el trabajo del sniffer 3G

Estudiar y probar si estas técnicas son igualmente posibles en redes 4G


CONCLUSIONES


ConclusionesEfectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la prácticaEstamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica)


¡ MUCHAS GRACIAS !


Atacando 3G (Chapter II)

Satellite Edition

José Picó [email protected] Pérez [email protected]

www.layakk.com@layakk

Layakk - Atacando 3G Vol. 2 [rootedvlc2]

Technology

Transcript of Layakk - Atacando 3G Vol. 2 [rootedvlc2]