Professional Documents
Culture Documents
com @layakk
XI CICLO DE CONFERENCIAS
UPM TASSI AO 2015
Seguridad en comunicaciones
mviles
Un repaso a los ataques conocidos
00:37
2015 Layakk 2
En pelculas y series
2015 Layakk 3
Objetivos
Resumir el estado de la seguridad en comunicaciones
mviles
Enumerar y explicar brevemente las
vulnerabilidades conocidas
Ilustrar lo anterior con algunos ejemplos prcticos
(formato video)
2015 Layakk 4
Tecnologa actual
VOZ
2G
DATOS
VOZ y
3G DATOS
VOZ y
4G DATOS
2015 Layakk 5
Terminologa
Trmino Descripcin
SIM Tarjeta inteligente que contiene el IMSI y la Ki del usuario
IMSI Identificador del usuario
IMEI Identificador del terminal (telfono / modem)
Ki Clave precompartida entre la tarjeta SIM y el operador
Kc Clave de sesin (generada dinmicamente en cada sesin)
BTS/nodeB/ Estacin base. Llamada coloquialmente:
e-nodeB antena del operador
SGSN, GGSN Nodos de la red del operador que cursan el trfico IP
PLMN Red de un operador (Public Land Mobile Network)
2015 Layakk 6
Arquitectura de red
Um
Gr
A Gs Gf Red
de
Datos
Gi
Otra PLMN
Abis Gn
Gb
AGPRS Gp
2015 Layakk 7
Interceptacin de
comunicaciones
Cifrado de las comunicaciones GSM
2015 Layakk 9
Ataques contra A5/1:
A5 Security Project
Rfaga Cifrada Interceptada
Rfaga Conocida
114-63=51 candidatos
a ser buscados
64 bits
COUNT
Otra Rfaga Cifrada Interceptada
A5/1
2015 Layakk 10
Capturar trfico GSM es difcil?
2015 Layakk 11
Sistema de captura de voz: 20
10 10
OSMOCOM OSMOCOM
Kc
KRAKEN
2015 Layakk 12
Suplantacin de usuarios!
02:51
2015 Layakk 13 13
Cifrado en GPRS
GEA3 ?
(*)http://events.ccc.de/camp/2011/Fahrplan/attachments
/1868_110810.SRLabs-Camp-GRPS_Intercept.pdf
2015 Layakk 14
Captura de comunicaciones GPRS
osmocommBB
Confidencialidad de GPRS: en la prctica
(layer1 + gprsdecode)
02:00
Ref.: https://http://bb.osmocom.org/
2015 Layakk . 15
Cifrado en UMTS (3G)
Algoritmos obligatoriamente soportados por una MS
UMTS:
UEA0 = NO cifrado UEA2 = SNOW-3G
UEA1 = KASUMI
El mismo que se usa en A5/3
Probablemente roto por la NSA para claves de 64 bits.
Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defens
e-Karsten_Nohl-31C3-v1.pd
2015 Layakk 16
Escucha de UMTS
Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mob
ile_Self_Defense-Karsten_Nohl-31C3-v1.pd
2015 Layakk 17
Cifrado en LTE (4G)
Ref:
http://www.etsi.org/deliver/etsi_ts/133400_133499/13340
1/12.14.00_60/ts_133401v121400p.pdf
2015 Layakk 18
Escucha de LTE
Ref.:
http://media.ccc.de/browse/congress/2014/31c3_-_6531_-_en_-_saal_6_-
_201412272300_-
_ss7map_mapping_vulnerability_of_the_international_mobile_roaming_infrastructure_-
_laurent_ghigonis_-_alexandre_de_oliveira.html#video&t=2
2015 Layakk 19
Interceptacin de comunicaciones
mediante estacin base falsa
2015 Layakk 20
Location Update Procedure
MS PLMN
1 INICIO DEL PROCEDIMIENTO
3 (Identification Procedure)
4 (Authentication Procedure)
2015 Layakk 21
Interceptacin de trfico GSM con
estacin base falsa
El atacante se
convierte en el
operador
El ataque
puede
realizarse
selectivamente
CIFRADO: A5/0
(nulo)
010011101011001110011011000
2015 Layakk 22
Laboratorio GSM
CAJA DE
FARADAY
PC
USRP
2015 Layakk 23
Interceptacin de llamada
mediante estacin base falsa
02:52
2015 Layakk 24
Interceptacin de comunicaciones
GPRS/EDGE con estacin base falsa
http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf
2015 Layakk 25
Interceptacin de trfico GPRS/EDGE
mediante estacin base falsa
02:02
2015 Layakk 26
Manipulacin de
comunicaciones
Manipulacin de trfico GSM
con estacin base falsa
El atacante se
convierte en el
operador
El ataque
puede
realizarse
selectivamente
CIFRADO: A5/0
(nulo)
010011101011001110011011000
2015 Layakk 28
Manipulacin de trfico GSM
con estacin base falsa
00:41
Interceptacin de SMS
2015 Layakk 29
SS7 Redireccin
Mtodos de redireccin SS7
Un atacante con acceso a la red SS7 puede
potencialmente (si la red no filtra ese tipo de trfico),
redirigir llamadas a su antojo
Para ello puedo utilizar 2 mtodos:
Utilizar el protocolo CAMEL
2015 Layakk 30
Manipulacin de comunicaciones
GPRS/EDGE con estacin base falsa
http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf
2015 Layakk 31
Manipulacin de comunicaciones
GPRS/EDGE con estacin base falsa
Toma de control de un
Phising http Phising https
PC
Jailbreakme 3.0
Router GPRS Otros dispositivos
silencioso
2015 Layakk 32
Identificacin de usuarios
Identidad del usuario y del terminal
2015 Layakk 34
IMSI CATCHER: 2G, 3G, 4G
2015 Layakk 35
Geolocalizacin
Mtodos de geolocalizacin
2015 Layakk 37
Pero
2015 Layakk 38
Decidimos construir un
sistema de geolocalizacin
2015 Layakk 39
Consola grfica del sistema de
localizacin
01:00
2015 Layakk 40 40
Geolocalizacin en 3G y 4G?
2015 Layakk 41
Geolocalizacin mediante SS7
2 posibles mtodos
Un atacante con acceso a la red SS7 puede
potencialmente (si la red no filtra adecuadamente ese
tipo de trfico), interrogar al MSC que est dando
servicio al MS vctima acerca de la posicin de ste con
el mensaje ProvideSubscriberLocation (sin
autenticacin)
Adicionalmente, puede obtenerse el identificador (y
por tanto la ubicacin) de la celda que est dando
servicio al usuario vctima, lo que da una ubicacin
aproximada de la ubicacin del usuario
2015 Layakk 42
Denegacin de servicio
Jamming clsico
(generacin de interferencias)
2015 Layakk 44
Jamming clsico contra 2G
01:25
2015 Layakk 45
Jamming clsico contra 3G
01:48
2015 Layakk 46
Jamming inteligente
01:25
2015 Layakk 47
Una denegacin de servicio diferente
00:29
2015 Layakk 48
.
Comparativa de tcnicas para llevar a
cabo una denegacin de servicio GSM
Ataque Ataque Ataque Transparente
Masivo Selectivo Persistente al usuario
Inhibidor de
frecuencia
Agotamiento de
canales de radio
en la BTS
Redireccin
mediante
estacin base
falsa
Tcnica LUPRCC
2015 Layakk 49
Location Update Procedure
MS PLMN
1 INICIO DEL PROCEDIMIENTO
3 (Identification Procedure)
4 (Authentication Procedure)
2015 Layakk 50
Location Update Procedure
Reject Cause Codes
2015 Layakk 51
.
Comportamiento descrito por la norma
ante LU Reject
Cause Code: 0x0B (PLMN not allowed)
2015 Layakk 53
.
Comportamiento descrito por la norma
ante LU Reject
2015 Layakk 54
.
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Nokia 6210
(Simyo)
2015 Layakk 55
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Nokia 3210
(Simyo)
2015 Layakk 56
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Nokia
N97(Movistar)
2015 Layakk 57
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Sony-Ericsson
T290i
(Movistar)
2015 Layakk 58
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Siemens A55
(Simyo)
2015 Layakk 59
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
Motorola C123
(Simyo)
2015 Layakk 60
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
iPhone
(Movistar)
2015 Layakk 61
Escenario de aplicacin
2015 Layakk 62
.
LURCC en 3g y 4g
2015 Layakk 63
Otros ataques
Ataques mediante mensajes
Ataques WAP-Push
Se enva contenido malicioso (por ejemplo de configuracin del
terminal) mediante un mensaje del tipo WAP-Push
El contenido es aceptado bien sea por un error del usuario o
porque el terminal est incorrectamente configurado y acepta el
contenido sin la intervencin del destinatario.
Ataques MMS
Los ms comunes son aquellos que envan un link a contenido
malicioso destinado a explotar alguna vulnerabilidad del software
del terminal
Ataques mediante SMS en modo PDU
Se enva un SMS con contenido destinado a la SIM que consigue
saltarse los controles de seguridad de la misma e instalar ese
contenido.
2015 Layakk 65
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air)
Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
2015 Layakk 66
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air)
Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
2015 Layakk 67
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air)
Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
2015 Layakk 68
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air)
Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
2015 Layakk 69
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air):Impacto
FUNCIONES ACCESIBLES SI SE
FUNCIONES ESTANDAR DEL STK VULNERA LA PROTECCIN DE LA SAND
BOX DE JAVA
2015 Layakk 71
Ataques contra la banda base
2015 Layakk 72
Ataques a la banda base
CPU de banda
base
Ejemplo de
exploit: ATS0=1
Nota: la CPU de
BB suele tener
acceso a audio y
video
https://www.usenix.org/conference/woot12/24-baseband-attacks-remote-
exploitation-memory-corruptions-cellular-protocol
http://www.blackhat.com/html/bh-dc-11/bh-dc-11-archives.html#Weinmann
2015 Layakk 73
Conclusiones
GSM
Caractersticas de seguridad
Autenticacin de la red
Confidencialidad de la
identidad del usuario
Confidencialidad en las
comunicaciones de
sealizacin y de
usuario
Autenticacin del
usuario
2015 Layakk 75
GPRS/EDGE
Autenticacin de la
Tampoco existe
red
2015 Layakk . 76
UMTS
Caractersticas principales de seguridad
Autenticacin
bidireccional
Confidencialidad de las
comunicaciones
Integridad de las
comunicaciones
Confidencialidad de la
identidad del usuario
2015 Layakk 77
LTE
Notas sobre la seguridad LTE
Caractersticas mejoradas en el nivel RRC y NAS:
Mejor proteccin de los datos de identificacin del usuario
IMEI no se transmite sin proteccin de integridad
Proteccin de datos de sealizacin tiles para geolocalizacin se
transmiten cifrados
Mejor proteccin de integridad
Proteccin de integridad del protocolo RRC
Proteccin de integridad con validez de contexto de seguridad EPS
Soporte a cifrado (opcional) en sealizacin NAS y RRC
Vulnerabilidades heredadas:
El protocolo Diameter hereda muchas de las vulnerabilidades
descubiertas en los protocolos SS7
Nuevas potenciales vulnerabilidades:
La red core LTE es totalmente IP, lo cual genera nuevas vas
potenciales de ataque que tienen que ser estudiadas a fondo.
2015 Layakk 78
Recomendaciones
Contramedidas
USUARIOS
Proteger nuestras comunicaciones con
mecanismos extremo a extremo
Prohibir en nuestros terminales el uso de 2G
Detectar posibles ataques con estacin base
falsa:
https://opensource.srlabs.de/projects/snoopsnitch
Conocer el estado de nuestro operador
respecto a la seguridad
http://gsmmap.org
http://ss7map.p1sec.com/
2015 Layakk 80
Contramedidas
OPERADORES
2015 Layakk 81
Para saber ms.
www.layakk.com @layakk
XI CICLO DE CONFERENCIAS
UPM TASSI AO 2015
Seguridad en comunicaciones
mviles
Un repaso a los ataques conocidos