Scribd Logo
Upload

Welcome to Scribd!

  • Con Ferenc I A David Perez Tassi 2015

    Uploaded by

    Enrique Sandoval
    20 views83 pages
    Con Ferenc i a David Perez Tassi 2015

    Original Title

    Con Ferenc i a David Perez Tassi 2015

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Con Ferenc i a David Perez Tassi 2015

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    20 views83 pages

    Con Ferenc I A David Perez Tassi 2015

    Uploaded by

    Enrique Sandoval
    Con Ferenc i a David Perez Tassi 2015

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 83

    www.layakk.

    com @layakk

    XI CICLO DE CONFERENCIAS
    UPM TASSI AO 2015

    Seguridad en comunicaciones
    mviles
    Un repaso a los ataques conocidos

    Jos Pic Garca


    David Prez conde

    2015 Layakk. Todos los derechos reservados.


    En pelculas y series

    00:37

    2015 Layakk 2
    En pelculas y series

    2015 Layakk 3
    Objetivos
    Resumir el estado de la seguridad en comunicaciones
    mviles
    Enumerar y explicar brevemente las
    vulnerabilidades conocidas
    Ilustrar lo anterior con algunos ejemplos prcticos
    (formato video)

    2015 Layakk 4
    Tecnologa actual

    VOZ

    2G
    DATOS

    VOZ y
    3G DATOS

    VOZ y
    4G DATOS

    2015 Layakk 5
    Terminologa

    Trmino Descripcin
    SIM Tarjeta inteligente que contiene el IMSI y la Ki del usuario
    IMSI Identificador del usuario
    IMEI Identificador del terminal (telfono / modem)
    Ki Clave precompartida entre la tarjeta SIM y el operador
    Kc Clave de sesin (generada dinmicamente en cada sesin)
    BTS/nodeB/ Estacin base. Llamada coloquialmente:
    e-nodeB antena del operador
    SGSN, GGSN Nodos de la red del operador que cursan el trfico IP
    PLMN Red de un operador (Public Land Mobile Network)

    2015 Layakk 6
    Arquitectura de red

    Um

    Gr
    A Gs Gf Red
    de
    Datos
    Gi
    Otra PLMN

    Abis Gn
    Gb
    AGPRS Gp

    2015 Layakk 7
    Interceptacin de
    comunicaciones
    Cifrado de las comunicaciones GSM

    GSM cifra, a partir de un momento en la comunicacin,


    la voz y los datos de sealizacin.
    Normalmente el cifrado se realiza con el algoritmo
    A5/1
    El algoritmo A5/1 es un algoritmo que genera un bitstream por
    cada unidad de transmisin (rfaga).
    El bitstream se combina (XOR) con la rfaga a transmitir
    La generacin del bitstream depende de una clave de sesin y
    del nmero de trama TDMA.

    2015 Layakk 9
    Ataques contra A5/1:
    A5 Security Project
    Rfaga Cifrada Interceptada
    Rfaga Conocida

    Salida Generador Bloques

    114-63=51 candidatos
    a ser buscados
    64 bits

    COUNT
    Otra Rfaga Cifrada Interceptada

    A5/1

    2015 Layakk 10
    Capturar trfico GSM es difcil?

    the GSM call has to be identified and


    recorded from the radio interface. [] we
    strongly suspect the team developing the
    intercept approach has underestimated its
    practical complexity. A hacker would need a
    radio receiver system and the signal
    processing software necessary to process
    the raw radio data.
    GSMA, Aug.09

    2015 Layakk 11
    Sistema de captura de voz: 20
    10 10
    OSMOCOM OSMOCOM

    Kc

    KRAKEN

    Captura ciertos Escucha y


    mensajes 27C3 (Dic.2010) descifra la
    cifrados pero Nohl, Munaut conversacin
    predecibles Security Research Labs

    2015 Layakk 12
    Suplantacin de usuarios!
    02:51

    2015 Layakk 13 13
    Cifrado en GPRS

    El cifrado se realiza entre el SGSN y la MS


    Algoritmos obligatoriamente soportados por una MS
    GPRS:
    GEA0 = NO cifrado
    GEA1 = Roto mediante algebraic attacks(*) Utilizados
    GEA2 ? comnmente

    GEA3 ?

    (*)http://events.ccc.de/camp/2011/Fahrplan/attachments
    /1868_110810.SRLabs-Camp-GRPS_Intercept.pdf
    2015 Layakk 14
    Captura de comunicaciones GPRS
    osmocommBB
    Confidencialidad de GPRS: en la prctica
    (layer1 + gprsdecode)
    02:00

    Ref.: https://http://bb.osmocom.org/
    2015 Layakk . 15
    Cifrado en UMTS (3G)
    Algoritmos obligatoriamente soportados por una MS
    UMTS:
    UEA0 = NO cifrado UEA2 = SNOW-3G
    UEA1 = KASUMI
    El mismo que se usa en A5/3
    Probablemente roto por la NSA para claves de 64 bits.

    Ref.:
    http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defens
    e-Karsten_Nohl-31C3-v1.pd

    2015 Layakk 16
    Escucha de UMTS

    La escucha de UMTS mediante un ataque hbrido


    radioSS7 es posible tambin, al igual que en GSM
    Se necesita un equipo adicional HW/SW para la
    escucha, demodulacin y decodificacin de la seal 3G,
    lo cual ya est resuelto.

    Ref.:
    http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mob
    ile_Self_Defense-Karsten_Nohl-31C3-v1.pd
    2015 Layakk 17
    Cifrado en LTE (4G)

    Algoritmos obligatoriamente soportados por una MS


    LTE:
    EEA0 = NO cifrado
    128-EEA1 = SNOW-3G
    128-EEA2 = AES EA2

    128-EEA3 = ZUC (soporte de momento opcional)

    Ref:
    http://www.etsi.org/deliver/etsi_ts/133400_133499/13340
    1/12.14.00_60/ts_133401v121400p.pdf
    2015 Layakk 18
    Escucha de LTE

    El ataque de escucha mediante radioDiameter


    (equivalente a SS7) parece viable debido a que:
    La tarea de construir un sistema de bajo coste para escuchar el
    trfico LTE es totalmente abordable
    La definicin del equivalente de SS7 en LTE (Diameter) ha
    arrastrado muchas de las vulnerabilidades existentes en SS7

    Ref.:
    http://media.ccc.de/browse/congress/2014/31c3_-_6531_-_en_-_saal_6_-
    _201412272300_-
    _ss7map_mapping_vulnerability_of_the_international_mobile_roaming_infrastructure_-
    _laurent_ghigonis_-_alexandre_de_oliveira.html#video&t=2

    2015 Layakk 19
    Interceptacin de comunicaciones
    mediante estacin base falsa

    2015 Layakk 20
    Location Update Procedure

    MS PLMN
    1 INICIO DEL PROCEDIMIENTO

    LOCATION UPDATING REQUEST

    2 (Classmark Interrogation Procedure)

    3 (Identification Procedure)

    4 (Authentication Procedure)

    5 (Start Ciphering Procedure)

    LOCATION UPDATING ACCEPT


    6

    2015 Layakk 21
    Interceptacin de trfico GSM con
    estacin base falsa

    El atacante se
    convierte en el
    operador
    El ataque
    puede
    realizarse
    selectivamente
    CIFRADO: A5/0
    (nulo)
    010011101011001110011011000

    2015 Layakk 22
    Laboratorio GSM

    CAJA DE
    FARADAY

    PC

    USRP

    2015 Layakk 23
    Interceptacin de llamada
    mediante estacin base falsa
    02:52

    2015 Layakk 24
    Interceptacin de comunicaciones
    GPRS/EDGE con estacin base falsa

    http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

    2015 Layakk 25
    Interceptacin de trfico GPRS/EDGE
    mediante estacin base falsa
    02:02

    2015 Layakk 26
    Manipulacin de
    comunicaciones
    Manipulacin de trfico GSM
    con estacin base falsa

    El atacante se
    convierte en el
    operador
    El ataque
    puede
    realizarse
    selectivamente
    CIFRADO: A5/0
    (nulo)
    010011101011001110011011000

    2015 Layakk 28
    Manipulacin de trfico GSM
    con estacin base falsa

    00:56 00:50 00:47

    Mvil registrndose en Suplantacin de Redireccin de


    la estacin base falsa origen de llamada destino de llamada

    00:41

    Interceptacin de SMS

    2015 Layakk 29
    SS7 Redireccin
    Mtodos de redireccin SS7
    Un atacante con acceso a la red SS7 puede
    potencialmente (si la red no filtra ese tipo de trfico),
    redirigir llamadas a su antojo
    Para ello puedo utilizar 2 mtodos:
    Utilizar el protocolo CAMEL

    Utilizar el mensaje updateLocation para indicar al HLR de la


    vctima que est en roaming en su red (falsa)

    2015 Layakk 30
    Manipulacin de comunicaciones
    GPRS/EDGE con estacin base falsa

    http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

    2015 Layakk 31
    Manipulacin de comunicaciones
    GPRS/EDGE con estacin base falsa

    Toma de control de un
    Phising http Phising https
    PC

    Jailbreakme 3.0
    Router GPRS Otros dispositivos
    silencioso
    2015 Layakk 32
    Identificacin de usuarios
    Identidad del usuario y del terminal

    En el Identification Procedure, la estacin base puede


    preguntar al mvil su IMSI y su IMEI, y el mvil est
    obligado a responder

    2015 Layakk 34
    IMSI CATCHER: 2G, 3G, 4G

    2015 Layakk 35
    Geolocalizacin
    Mtodos de geolocalizacin

    Servicios de localizacin GSM LCS:


    basados en la red
    basados en el mvil
    asistidos por el mvil

    Software de localizacin instalado en el


    mvil

    2015 Layakk 37
    Pero

    Y si el mvil no quiere ser


    localizado?

    2015 Layakk 38
    Decidimos construir un
    sistema de geolocalizacin

    2015 Layakk 39
    Consola grfica del sistema de
    localizacin
    01:00

    2015 Layakk 40 40
    Geolocalizacin en 3G y 4G?

    Creemos que se podra hacer de forma muy similar


    No se podra completar el registro, pero el dilogo
    previo quizs se pueda alargar lo suficiente

    2015 Layakk 41
    Geolocalizacin mediante SS7
    2 posibles mtodos
    Un atacante con acceso a la red SS7 puede
    potencialmente (si la red no filtra adecuadamente ese
    tipo de trfico), interrogar al MSC que est dando
    servicio al MS vctima acerca de la posicin de ste con
    el mensaje ProvideSubscriberLocation (sin
    autenticacin)
    Adicionalmente, puede obtenerse el identificador (y
    por tanto la ubicacin) de la celda que est dando
    servicio al usuario vctima, lo que da una ubicacin
    aproximada de la ubicacin del usuario

    2015 Layakk 42
    Denegacin de servicio
    Jamming clsico
    (generacin de interferencias)

    2015 Layakk 44
    Jamming clsico contra 2G

    01:25

    2015 Layakk 45
    Jamming clsico contra 3G

    01:48

    2015 Layakk 46
    Jamming inteligente

    Ejemplo: ocultacin de celdas 2G

    01:25

    2015 Layakk 47
    Una denegacin de servicio diferente

    00:29

    2015 Layakk 48
    .
    Comparativa de tcnicas para llevar a
    cabo una denegacin de servicio GSM
    Ataque Ataque Ataque Transparente
    Masivo Selectivo Persistente al usuario
    Inhibidor de
    frecuencia
    Agotamiento de
    canales de radio
    en la BTS
    Redireccin
    mediante
    estacin base
    falsa

    Tcnica LUPRCC

    2015 Layakk 49
    Location Update Procedure

    MS PLMN
    1 INICIO DEL PROCEDIMIENTO

    LOCATION UPDATING REQUEST

    2 (Classmark Interrogation Procedure)

    3 (Identification Procedure)

    4 (Authentication Procedure)

    5 (Start Ciphering Procedure)

    LOCATION UPDATING ACCEPT / REJECT


    6
    Reject Cause Code

    2015 Layakk 50
    Location Update Procedure
    Reject Cause Codes

    Dec Hex Descripcin


    02 0x02 IMSI unknown in HLR
    03 0x03 Illegal MS
    06 0x06 Illegal ME
    11 0x0B PLMN not allowed
    12 0x0C Location Area not allowed
    13 0x0D Roaming not allowed in this location area
    15 0x0F No Suitable Cells In Location Area
    OTHER OTHER OTHER

    2015 Layakk 51
    .
    Comportamiento descrito por la norma
    ante LU Reject
    Cause Code: 0x0B (PLMN not allowed)

    3GPP TS 24.008 - 4.4.4.7


    "The mobile station shall delete any LAI, TMSI and ciphering
    key sequence number stored in the SIM/USIM, reset the
    attempt counter, and set the update status to ROAMING
    NOT ALLOWED (and store it in the SIM/USIM according to
    subclause 4.1.2.2). The mobile station shall store the PLMN
    identity in the forbidden PLMN list.The MS shall perform a
    PLMN selection when back to the MM IDLE state according
    to 3GPP TS 23.122. An MS in GAN mode shall request a
    PLMN list in GAN (see 3GPP TS 44.318) prior to performing
    a PLMN selection from this list according to 3GPP TS
    23.122."
    .
    2015 Layakk 52
    Pruebas de comportamiento
    ante LU Reject
    Cause Code: 0x0B (PLMN not allowed)

    Intentos de conexin del mvil en el


    tiempo desde el primer rechazo

    2015 Layakk 53
    .
    Comportamiento descrito por la norma
    ante LU Reject

    Cause Code: 0x02 (IMSI unknown in HLR)


    Cause Code: 0x03 (Illegal MS)
    Cause Code: 0x05 (Illegal ME)

    3GPP TS 24.008 - 4.4.4.7


    "The mobile station shall set the update status to ROAMING
    NOT ALLOWED (and store it in the SIM/USIM according to
    subclause 4.1.2.2), and delete any TMSI, stored LAI and
    ciphering key sequence number and shall consider the
    SIM/USIM as invalid for non-GPRS services until switch-off or
    the SIM/USIM is removed.

    2015 Layakk 54
    .
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Nokia 6210
    (Simyo)

    2015 Layakk 55
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Nokia 3210
    (Simyo)

    2015 Layakk 56
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Nokia
    N97(Movistar)

    2015 Layakk 57
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Sony-Ericsson
    T290i
    (Movistar)

    2015 Layakk 58
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Siemens A55
    (Simyo)

    2015 Layakk 59
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    Motorola C123
    (Simyo)

    2015 Layakk 60
    Pruebas de comportamiento ante
    LUReject
    Terminales probados en el laboratorio

    0x02 0x03 0x06


    IMSI unknown in HLR Illegal MS Illegal ME

    iPhone
    (Movistar)

    2015 Layakk 61
    Escenario de aplicacin

    2015 Layakk 62
    .
    LURCC en 3g y 4g

    En teora, el ataque LURCC es posible tambin en 3G y


    probablemente tambin en 4G
    Que sepamos, la prueba prctica no ha sido realizada

    2015 Layakk 63
    Otros ataques
    Ataques mediante mensajes

    Ataques WAP-Push
    Se enva contenido malicioso (por ejemplo de configuracin del
    terminal) mediante un mensaje del tipo WAP-Push
    El contenido es aceptado bien sea por un error del usuario o
    porque el terminal est incorrectamente configurado y acepta el
    contenido sin la intervencin del destinatario.
    Ataques MMS
    Los ms comunes son aquellos que envan un link a contenido
    malicioso destinado a explotar alguna vulnerabilidad del software
    del terminal
    Ataques mediante SMS en modo PDU
    Se enva un SMS con contenido destinado a la SIM que consigue
    saltarse los controles de seguridad de la misma e instalar ese
    contenido.

    2015 Layakk 65
    Atacando la SIM para obtener Ki
    Ataque OTA (Over-the-air)

    Ref.: https://www.blackhat.com/us-13/archives.html#Nohl

    2015 Layakk 66
    Atacando la SIM para obtener Ki
    Ataque OTA (Over-the-air)

    Ref.: https://www.blackhat.com/us-13/archives.html#Nohl

    2015 Layakk 67
    Atacando la SIM para obtener Ki
    Ataque OTA (Over-the-air)

    Ref.: https://www.blackhat.com/us-13/archives.html#Nohl

    2015 Layakk 68
    Atacando la SIM para obtener Ki
    Ataque OTA (Over-the-air)

    Ref.: https://www.blackhat.com/us-13/archives.html#Nohl

    2015 Layakk 69
    Atacando la SIM para obtener Ki
    Ataque OTA (Over-the-air):Impacto
    FUNCIONES ACCESIBLES SI SE
    FUNCIONES ESTANDAR DEL STK VULNERA LA PROTECCIN DE LA SAND
    BOX DE JAVA

    Envo de SMS Acceso a Ki


    Realizar llamadas Acceso al resto de claves OTA
    Teclear tonos DTMF Acceso a los procesos de Java
    Enviar cdigos USSD Escritura en Flash o EEPROM
    Interrogar al terminal por su
    localizacin
    Abrir contenido en un
    navegador
    Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
    2014 Layakk 70
    Ataque mediante femtocelda manipulada

    BH US 2011 - Borgaonkar, Golde, Redon

    Jul11 The Hackers Choice Vodafone


    http://wiki.thc.org/vodafone

    2015 Layakk 71
    Ataques contra la banda base

    2015 Layakk 72
    Ataques a la banda base

    CPU de banda
    base
    Ejemplo de
    exploit: ATS0=1
    Nota: la CPU de
    BB suele tener
    acceso a audio y
    video
    https://www.usenix.org/conference/woot12/24-baseband-attacks-remote-
    exploitation-memory-corruptions-cellular-protocol
    http://www.blackhat.com/html/bh-dc-11/bh-dc-11-archives.html#Weinmann

    2015 Layakk 73
    Conclusiones
    GSM
    Caractersticas de seguridad

    Autenticacin de la red
    Confidencialidad de la
    identidad del usuario
    Confidencialidad en las
    comunicaciones de
    sealizacin y de
    usuario
    Autenticacin del
    usuario

    2015 Layakk 75
    GPRS/EDGE

    Autenticacin de la
    Tampoco existe
    red

    Confidencialidad de Idntico problema a GSM (uso de


    identificadores temporales PTMSI- y
    la identidad del obligatoriedad de contestar a la red
    usuario ante la solicitud de IMSI)

    Confidencialidad de Comprometida por:


    la informacin de Obligatoriedad de soportar GEA/0
    datos y sealizacin Criptoanlisis del algoritmo GEA/1

    Autenticacin del Comprometida por la posibilidad de


    usuario obtener GPRS Kc

    2015 Layakk . 76
    UMTS
    Caractersticas principales de seguridad

    Autenticacin
    bidireccional

    Confidencialidad de las
    comunicaciones
    Integridad de las
    comunicaciones

    Confidencialidad de la
    identidad del usuario

    2015 Layakk 77
    LTE
    Notas sobre la seguridad LTE
    Caractersticas mejoradas en el nivel RRC y NAS:
    Mejor proteccin de los datos de identificacin del usuario
    IMEI no se transmite sin proteccin de integridad

    Proteccin de datos de sealizacin tiles para geolocalizacin se
    transmiten cifrados
    Mejor proteccin de integridad
    Proteccin de integridad del protocolo RRC
    Proteccin de integridad con validez de contexto de seguridad EPS
    Soporte a cifrado (opcional) en sealizacin NAS y RRC

    Vulnerabilidades heredadas:
    El protocolo Diameter hereda muchas de las vulnerabilidades
    descubiertas en los protocolos SS7
    Nuevas potenciales vulnerabilidades:
    La red core LTE es totalmente IP, lo cual genera nuevas vas
    potenciales de ataque que tienen que ser estudiadas a fondo.

    2015 Layakk 78
    Recomendaciones
    Contramedidas

    USUARIOS
    Proteger nuestras comunicaciones con
    mecanismos extremo a extremo
    Prohibir en nuestros terminales el uso de 2G
    Detectar posibles ataques con estacin base
    falsa:
    https://opensource.srlabs.de/projects/snoopsnitch
    Conocer el estado de nuestro operador
    respecto a la seguridad
    http://gsmmap.org
    http://ss7map.p1sec.com/

    2015 Layakk 80
    Contramedidas

    OPERADORES

    Desplegar completamente 3G/4G y eliminar la


    cobertura 2G
    Realizar algunas tareas de configuracin que pueden
    mitigar algunas de las vulnerabilidades expuestas
    Acciones de mitigacin que hacen ms difcil la implementacin real de
    muchos de los ataques sobre el interfaz de radio expuestos
    Implementar SMS Home Routing
    Establecer mecanismos adicionales de filtrado de mensajes SS7

    2015 Layakk 81
    Para saber ms.
    www.layakk.com @layakk

    XI CICLO DE CONFERENCIAS
    UPM TASSI AO 2015

    Seguridad en comunicaciones
    mviles
    Un repaso a los ataques conocidos

    Jos Pic Garca


    David Prez conde

    2015 Layakk. Todos los derechos reservados.

    You might also like