4. 4
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los ataques con
estación base falsa
5. 5
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Ubicación de la
infraestructura
6. 6
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Caracterización de la
celda
7. 7
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
Atacante comienza a
emitir
8. 8
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
La víctima campa en
la celda falsa
9. 9
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
Ataque con estación
base falsa:
El atacante toma
control total de las
comunicaciones de la
víctima
010011101011001110011011000
10. 10
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
11. 11
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
12. 12
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
13. 13
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
14. 14
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
15. 15
Rooted Satellite Valencia
Las comunicaciones móviles 2G
son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación
de usuarios
>Geolocalización
>Denegación de
servicio
En la práctica…
16. 16
Rooted Satellite Valencia
¿Es posible aplicar estas técnicas a
3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
23. 23
Rooted Satellite Valencia
Solución alternativa
xgoldmon
– extrae algunos mensajes de los canales de control,
tanto de broadcast como dedicados, en las
comunicaciones entre un móvil y la red 3G
Ref.: xgoldmon (Tobias Engel)
https://github.com/2b-as/xgoldmon
28. 28
Rooted Satellite Valencia
IMSI Catching
El IMSI (Internation Mobile Subscriber Number) es el número
que identifica a los usuarios de la red móvil
Está asociado a cada persona que lo compra
Es el único identificador de usuario (en el nivel de movilidad de
la comunicaciones móviles) que es invariable
Sólo debe ser conocido por el operador y por el usuario
¿Qué es el IMSI?
IMSI
MCC MNC MSIN
29. 29
Rooted Satellite Valencia
IMSI Catching
Consiste en la captura no autorizada de IMSIs
Puede hacerse utilizando diferentes técnicas
– la que nos ocupa es la utilización de una estación base
falsa
– en este caso, la captura se hace en el entorno del
atacante
Determina la presencia de un usuario en la zona
Una infraestructura de estación base falsa como
la descrita anteriormente, sin necesidad de
modificaciones software.
¿Por qué es peligroso?
¿En qué consiste?
¿Qué se necesita?
32. 32
Rooted Satellite Valencia
Denegación de servicio de
telefonía móvil
Ataque
Masivo
Ataque
Selectivo
Ataque
Persistente
Transparente
al usuario
Inhibidor de
frecuencia
Agotamiento de
canales de radio
en la BTS
Redirección
mediante estación
base falsa
Técnica LUPRCC
Diferentes técnicas
34. 34
Rooted Satellite Valencia
Técnica LURCC (RAURCC)
Una infraestructura de estación base falsa
UMTS como la descrita anteriormente
Una modificación del software de la estación
base falsa para que pueda implementar el
ataque de forma selectiva y configurable
¿Qué se necesita?
41. 41
Rooted Satellite Valencia
Geolocalización
Portar el sistema ya realizado a 3G
– modificar la estación base para que mantenga los
canales de radio abiertos el mayor tiempo posible
– obtener datos para triangular similares a los usados
en 2G
¿Otros caminos?
Trabajo en curso
42. 42
Rooted Satellite Valencia
Downgrade selectivo a 2G
Desarrollo de la funcionalidad necesaria dentro
de OpenBTS-UMTS para probar las técnicas
descritas en RootedCON2014
43. 43
Rooted Satellite Valencia
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son
igualmente posibles en redes 4G
45. 45
Rooted Satellite Valencia
Conclusiones
Efectivamente, los ataques de IMSI Catching,
denegación de servicio son posibles en la
práctica
Estamos estudiando el caso de la
geolocalización y downgrade selectivo a 3G
(aunque tenemos pocas dudas de su viabilidad
técnica)
47. 47
Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó jose.pico@layakk.com
David Pérez david.perez@layakk.com
www.layakk.com
@layakk
Notas del editor
Aquí una introducción explicando de palabra cada uno de los puntos. El objetivo es explicar, sin entrar en los detalles:
- Que hay varias técnicas de ataque, pero que sólo estamos hablando de celda falsa.
- Todo lo que se puede hacer con celda falsa en 2G
- Que la infraestructura es barata
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Esta slide para ilustrar que todo esto ha sido demostrado en la práctica
Explicar por qué creíamos que era posible hacerlo
Explicar esto
La celda que da sericio informa de la lista de celdas vecinas.
El móvil empieza a ver las celdas vecinas que ha recibido
Algunas existen
Otras no
El móvil comienza a medir las celdas vecinas
El móvil hace un ranking con sus mediciones para decidir a dónde se va
Explicar esto: hay muchas menos celdas en 3G que en 2G
Hacer demo práctica (SII + cámara) que muestre las celdas vecinas en 2G y en 3G en el site donde se está haciendo la presentación