SlideShare una empresa de Scribd logo

Denegación de servicio GSM con falsa estación base

RootedCON
RootedCON

Grabar conversaciones, redirigir llamadas, suplantar llamantes, interceptar comunicaciones, etc. no es lo único que se puede hacer con una estación base falsa GSM/GPRS. Volvemos a traer el laboratorio para demostrarlo.

1 de 38
Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.com w w w. t a d d o n g . c o m @taddong
Introducción . 2
Terminología • BTS – Base Station Transceiver: – Estación base; estación de radio que constituye el acceso del móvil a la red • PLMN – Public Land Mobile Network: – El operador de telefonía • HPLMN – Home PLMN: – Es el operador que emite una tarjeta SIM y el único que conoce su clave precompartida Ki • IMSI – International Mobile Subscriber Identifier: – Identificar único de la tarjeta SIM (y del usuario) • TMSI – Temporary Mobile Subscriber Identifier: – Identificador temporal asignado por la red para que el móvil no tenga que revelar su IMSI constantemente . 3
Ataque con estación base falsa MS VL C / R SG GGSN SN HL R/ Au C B SC INTERNET BT S Ro ute r GSM / GPRS / EDGE . 4
Ataque con estación base falsa Voz Datos • Grabación de • Interceptación de llamadas y SMS tráfico • Suplantación • Redirección de número llamante tráfico • Suplantación • Posición destino privilegiada para (redirección) realizar todo tipo • Impersonación del de ataques IP usuario 5 .
Escenario objeto de esta charla . 6
Escenario objeto de esta charla Denegación de servicio de telefonía móvil 7
Denegación de Servicio GSM 8
Características de los ataques de denegación de servicio de telefonía móvil El ataque es capaz de causar una Ataque denegación de servicio de forma masiva e ‘Masivo’ indiscriminada en el alcance del sistema. El ataque es capaz de causar una Ataque denegación de servicio selectivamente sólo a ‘Selectivo’ algunos terminales móviles que pueden ser discriminados por el atacante. El ataque persiste en el tiempo (hasta una Ataque determinada condición) después de que el ‘Persistente’ atacante deja de actuar y sale del lugar. Ataque El usuario no percibe ninguna señal de que ‘Transparente’ ha perdido el servicio 9
Comparativa de técnicas para llevar a cabo una denegación de servicio GSM Ataque Ataque Ataque Transparente Masivo Selectivo Persistente al usuario Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Técnica LUPRCC 10
Agotamiento de canales de radio en la BTS (I) Ref.:  “Threats and countermeasures in GSM networks”.  Valer  Bocan, Bocan Cretu http://ojs.academypublisher.com/index.php/jnw/article/view/010618/655 11
Agotamiento de canales de radio en la BTS (II) Ref.:  “A practical DoS attack to the GSM  Network”.  Dieter  Spaar. http://www.mirider.com/GSM-DoS-Attack_Dieter_Spaar.pdf 12
VL C / R SG GGSN SN Redireccion mediante estación base falsa HL R/A uC C BS INTERNET BT S Ro ute r GSM / GPRS / Llamada saliente EDGE Demo 13
Denegación de Servicio GSM Técnica LUPRCC (Location Update Procedure Reject Cause Codes) . 14
Location Update Procedure MS PLMN 1 INICIO DEL PROCEDIMIENTO LOCATION UPDATING REQUEST 2 (Classmark Interrogation Procedure) 3 (Identification Procedure) 4 (Authentication Procedure) 5 (Start Ciphering Procedure) LOCATION UPDATING ACCEPT / REJECT 6 Reject Cause Code . 15
Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER . 16
Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER . 17
Comportamiento descrito por la norma ante LU Reject Cause Code: OTHER (sólo por curiosidad) 3GPP TS 24.008 - 4.4.4.7 "The MS waits for release of the RR connection as specified in sub-clause 4.4.4.8, and then proceeds as follows. TimerT3210 is stopped if still running. The RR Connection is aborted in case of timer T3210 timeout. The attempt counter isincremented. The next actions depend on the Location Area Identities (stored and received from the BCCH of thecurrent serving cell) and the value of the attempt counter." "– the update status is UPDATED, and the stored LAI is equal to the one received on the BCCH from the currentserving cell and the attempt counter is smaller than 4:The mobile station shall keep the update status to UPDATED, the MM IDLE sub-state after the RR connection release is NORMAL SERVICE. The mobile station shall memorize the location updating type used in the location updating procedure. It shall start timer T3211 when the RR connection is released. When timer T3211 expires the location updating procedure is triggered again with the memorized location updating type;" "– either the update status is different from UPDATED, or the stored LAI is different from the one received on theBCCH from the current serving cell, or the attempt counter is greater or equal to 4:The mobile station shall delete any LAI, TMSI, ciphering key sequence number stored in the SIM, set the updatestatus to NOT UPDATED and enter the MM IDLE sub-state ATTEMPTING TO UPDATE when the RRconnection is released (See sub-clause 4.2.2.2 for the subsequent actions). If the attempt counter is smaller than4, the mobile station shall memorize that timer T3211 is to be started when the RR connection is released,otherwise it shall memorize that timer T3212 is to be started when the RR connection is released." . 18
Comportamiento descrito por la norma ante LU Reject Cause Code: 0x0B (PLMN not allowed) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall delete any LAI, TMSI and ciphering key sequence number stored in the SIM/USIM, reset the attempt counter, and set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2). The mobile station shall store the PLMN identity in the ‘forbidden  PLMN list’.The MS shall perform a PLMN selection when back to the MM IDLE state according to 3GPP TS 23.122. An MS in GAN mode shall request a PLMN list in GAN (see 3GPP TS 44.318) prior to performing a PLMN selection from this list according to 3GPP TS 23.122." . 19
Pruebas de comportamiento ante LU Reject Cause Code: 0x0B (PLMN not allowed) Intentos de conexión del móvil en el tiempo desde el primer rechazo . 20
Comportamiento descrito por la norma ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2), and delete any TMSI, stored LAI and ciphering key sequence number and shall consider the SIM/USIM as invalid for non-GPRS services until switch-off or the SIM/USIM is removed.” . 21
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 6210 (Simyo) 22
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 3210 (Simyo) 23
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia N97(Movistar) 24
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Sony-Ericsson T290i (Movistar) 25
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Siemens A55 (Simyo) 26
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Motorola C123 (Simyo) 27
Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME iPhone (Movistar) 28
Pruebas de comportamiento ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) Demo Vídeo 29
Escenario de aplicación . 30
El ataque puede ser un ataque masivo • El atacante puede rechazar indiscriminadamente los intentos de conexión, sea cual sea el identificador de las víctimas • La capacidad de proceso no es determinante (el atacante sólo debe rechazar un registro de cada víctima) • Se puede realizar consecutivamente a varios operadores (o simultáneamente con varios equipos iguales) . 31
El ataque puede ser un ataque selectivo Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de la víctima • Existen varias técnicas para identificar a la víctima, por ejemplo: – Técnicas  de  “monitorización”  para  obtener  el  IMSI:   http://blog.taddong.com/2011/05/selective-attack- with-rogue-gsmgprs.html – Descubrir el TMSI y utilizarlo: http://events.ccc.de/congress/2011/Fahrplan/attachm ents/1994_111217.SRLabs-28C3- Defending_mobile_phones.pdf – Interrogar al HLR a través de la red global SS7: http://events.ccc.de/congress/2010/Fahrplan/attachm ents/1783_101228.27C3.GSM- Sniffing.Nohl_Munaut.pdf . 32
La denegación es persistente • El terminal no recupera el servicio hasta que el usuario lo apaga y lo enciende de nuevo La denegación NO es transparente • El mensaje al usuario depende del terminal: algunos terminales muestran en pantalla un mensaje para informar al usuario y otros simplemente que no hay cobertura 33 .
Contramedidas 34
Protección de los mensajes de nivel 3 en UMTS • En todas las conexiones de control N3 establecidas es obligatorio iniciar el procedimiento de protección de integridad de los mensajes de señalización. Existen 5 excepciones a esta norma (3GPP 33.102), que no aplican al Location Registration Reject procedure; explícitamente se describe  “(…)it shall be mandatory for the VLR/SGSN to start integrity protection before sending a reject signalling message that causes the CSG list on the UE to be modified  (…)”. • El procedimiento de protección de integridad se establece mediante el security mode command 35
Contramedidas USUARIOS Prohibir en nuestros terminales el uso de 2G OPERADORES Desplegar completamente 3G/4G y eliminar la cobertura 2G 36
Conclusión 37
Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.com w w w. t a d d o n g . c o m @taddong

Recomendados

Novedades ict 2011
Novedades ict 2011Novedades ict 2011
Novedades ict 2011artorius1968
 
Nuevo catálogo de Soluciones Locales Satel Spain
Nuevo catálogo de Soluciones Locales Satel SpainNuevo catálogo de Soluciones Locales Satel Spain
Nuevo catálogo de Soluciones Locales Satel SpainSatel Spain
 
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]RootedCON
 
Jdsu cinit ago09
Jdsu cinit ago09Jdsu cinit ago09
Jdsu cinit ago09Maqta Rebelde
 
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]RootedCON
 
Espectro ensanchado por secuencia directa dsss unidad514
Espectro ensanchado por secuencia directa dsss unidad514Espectro ensanchado por secuencia directa dsss unidad514
Espectro ensanchado por secuencia directa dsss unidad514Comunicaciones2
 
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011 Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011 #Jão Pablo
 
Sistema de telecontrol m2 m rf gate
Sistema de telecontrol m2 m rf gateSistema de telecontrol m2 m rf gate
Sistema de telecontrol m2 m rf gateSatel Spain
 

Recomendados

Novedades ict 2011
Novedades ict 2011Novedades ict 2011
Novedades ict 2011artorius1968
 
Nuevo catálogo de Soluciones Locales Satel Spain
Nuevo catálogo de Soluciones Locales Satel SpainNuevo catálogo de Soluciones Locales Satel Spain
Nuevo catálogo de Soluciones Locales Satel SpainSatel Spain
 
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]RootedCON
 
Jdsu cinit ago09
Jdsu cinit ago09Jdsu cinit ago09
Jdsu cinit ago09Maqta Rebelde
 
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]RootedCON
 
Espectro ensanchado por secuencia directa dsss unidad514
Espectro ensanchado por secuencia directa dsss unidad514Espectro ensanchado por secuencia directa dsss unidad514
Espectro ensanchado por secuencia directa dsss unidad514Comunicaciones2
 
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011 Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011
Lauro - Curso TV Digital Terrestre Buenos Aires - Marzo 2011 #Jão Pablo
 
Sistema de telecontrol m2 m rf gate
Sistema de telecontrol m2 m rf gateSistema de telecontrol m2 m rf gate
Sistema de telecontrol m2 m rf gateSatel Spain
 
Docsis 3-0
Docsis 3-0Docsis 3-0
Docsis 3-0Jorge Luis Gomez Ponce
 
Emisoras
EmisorasEmisoras
Emisorasjoaquingps
 
Enh916 p nwy v4-um_sp
Enh916 p nwy v4-um_spEnh916 p nwy v4-um_sp
Enh916 p nwy v4-um_spJosemaria Meneses Sanchez
 
Sesión 1
Sesión 1Sesión 1
Sesión 1pjludena
 
Espectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones IIIEspectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones IIIAndy Juan Sarango Veliz
 
RADIO NEC 5000 CAP2
RADIO NEC 5000 CAP2RADIO NEC 5000 CAP2
RADIO NEC 5000 CAP2PEDRO MARIO PAVON LEMARROY
 
Digitalización de las señales de abonado
Digitalización de las señales de abonadoDigitalización de las señales de abonado
Digitalización de las señales de abonadoEng. Fernando Mendioroz, MSc.
 
Dsss
DsssDsss
DsssComunicaciones2
 
Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)stonexepm
 
Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].rubendavidsuarez
 
Operacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de AnritsuOperacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de AnritsuLeonardo Marin Dolz
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]RootedCON
 
Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)Silvia Kao
 
Horizon
HorizonHorizon
HorizonTELE-satellite esp
 
Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPW Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPWasaretmartinez
 
Tema7
Tema7Tema7
Tema7takumi2307
 
Presentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en UnicaucaPresentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en UnicaucaEng. Fernando Mendioroz, MSc.
 
Principios WDM
Principios WDMPrincipios WDM
Principios WDMAndy Juan Sarango Veliz
 
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...José López Pérez
 
PPT ROAMING 2015
PPT ROAMING 2015PPT ROAMING 2015
PPT ROAMING 2015Diego Quintana, MBA
 
Gprs
GprsGprs
GprsDidier Alexander
 
Capítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía MóvilCapítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía MóvilAndy Juan Sarango Veliz
 

Más contenido relacionado

La actualidad más candente

Espectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones IIIEspectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones IIIAndy Juan Sarango Veliz
 
Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)stonexepm
 
Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].rubendavidsuarez
 
Operacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de AnritsuOperacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de AnritsuLeonardo Marin Dolz
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]RootedCON
 
Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)Silvia Kao
 
Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPW Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPWasaretmartinez
 
Presentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en UnicaucaPresentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en UnicaucaEng. Fernando Mendioroz, MSc.
 

La actualidad más candente (18)

Docsis 3-0
Docsis 3-0Docsis 3-0
Docsis 3-0
 
Emisoras
EmisorasEmisoras
Emisoras
 
Enh916 p nwy v4-um_sp
Enh916 p nwy v4-um_spEnh916 p nwy v4-um_sp
Enh916 p nwy v4-um_sp
 
Sesión 1
Sesión 1Sesión 1
Sesión 1
 
Espectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones IIIEspectro Ensanchado - Telecomunicaciones III
Espectro Ensanchado - Telecomunicaciones III
 
RADIO NEC 5000 CAP2
RADIO NEC 5000 CAP2RADIO NEC 5000 CAP2
RADIO NEC 5000 CAP2
 
Digitalización de las señales de abonado
Digitalización de las señales de abonadoDigitalización de las señales de abonado
Digitalización de las señales de abonado
 
Dsss
DsssDsss
Dsss
 
Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)Catalogo S9 GNSS Diamonds 2011 spa (europe)
Catalogo S9 GNSS Diamonds 2011 spa (europe)
 
Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].Intalacion De Cable Coaxial[1].
Intalacion De Cable Coaxial[1].
 
Operacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de AnritsuOperacion del Sitemaster 251C de Anritsu
Operacion del Sitemaster 251C de Anritsu
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
 
Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)Telminales de Líne Óptica (OLT)
Telminales de Líne Óptica (OLT)
 
Horizon
HorizonHorizon
Horizon
 
Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPW Protocolo de comunicación SAE J1850 VPW
Protocolo de comunicación SAE J1850 VPW
 
Tema7
Tema7Tema7
Tema7
 
Presentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en UnicaucaPresentación del Curso Sistemas de Conmutación en Unicauca
Presentación del Curso Sistemas de Conmutación en Unicauca
 
Principios WDM
Principios WDMPrincipios WDM
Principios WDM
 

Similar a Denegación de servicio GSM con falsa estación base

Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...José López Pérez
 
Capítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía MóvilCapítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía MóvilAndy Juan Sarango Veliz
 
Capítulo IV - Arquitectura de la Red Móvil 2G / GSM
Capítulo IV - Arquitectura de la Red Móvil 2G / GSMCapítulo IV - Arquitectura de la Red Móvil 2G / GSM
Capítulo IV - Arquitectura de la Red Móvil 2G / GSMAndy Juan Sarango Veliz
 
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)Andy Juan Sarango Veliz
 
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SIT
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SITInformación de tráfico al usuario. Hacia un nuevo paradigma ante los SIT
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SITJosep Laborda
 
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3ronalbarrientos
 
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓN
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓNIMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓN
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓNÁngel Leonardo Torres
 
EXPOSICION NTRIP LIMPIO...pptx
EXPOSICION NTRIP LIMPIO...pptxEXPOSICION NTRIP LIMPIO...pptx
EXPOSICION NTRIP LIMPIO...pptxGroverIgnacio1
 
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍA
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍAMIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍA
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍAPJC
 
Temas eje 4 actividad 1 doc 2
Temas eje 4 actividad 1 doc 2Temas eje 4 actividad 1 doc 2
Temas eje 4 actividad 1 doc 2Joseangel Lg
 
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...RootedCON
 
Fr
FrFr
Fr1 2d
 
Quiz tema 3 - 2 g (gsm) parte ii
Quiz tema 3 - 2 g (gsm) parte iiQuiz tema 3 - 2 g (gsm) parte ii
Quiz tema 3 - 2 g (gsm) parte iimastelecentro
 

Similar a Denegación de servicio GSM con falsa estación base (20)

Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
Security in GSM --- Seguridad redes GSM -- Seguridad en Sistemas de Infor...
 
PPT ROAMING 2015
PPT ROAMING 2015PPT ROAMING 2015
PPT ROAMING 2015
 
Gprs
GprsGprs
Gprs
 
Capítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía MóvilCapítulo III - Tópicos en Telefonía Móvil
Capítulo III - Tópicos en Telefonía Móvil
 
Capítulo IV - Arquitectura de la Red Móvil 2G / GSM
Capítulo IV - Arquitectura de la Red Móvil 2G / GSMCapítulo IV - Arquitectura de la Red Móvil 2G / GSM
Capítulo IV - Arquitectura de la Red Móvil 2G / GSM
 
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)
Capitulo 4 - Core de Voz: Interfaces y Protocolos (3G)
 
GPRS - EDGE
GPRS - EDGEGPRS - EDGE
GPRS - EDGE
 
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SIT
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SITInformación de tráfico al usuario. Hacia un nuevo paradigma ante los SIT
Información de tráfico al usuario. Hacia un nuevo paradigma ante los SIT
 
T12-Telefonia-celular.pptx
T12-Telefonia-celular.pptxT12-Telefonia-celular.pptx
T12-Telefonia-celular.pptx
 
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3
Introducción a la red de telefonía celular GSM-2G y Wimax-3G Parte-3
 
Tema 6-gsm
Tema 6-gsmTema 6-gsm
Tema 6-gsm
 
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓN
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓNIMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓN
IMPLEMENTACIÓN DE UN HANDOVER CON ESTACIONES BASE DE SEGUNDA GENERACIÓN
 
UMTS
UMTSUMTS
UMTS
 
EXPOSICION NTRIP LIMPIO...pptx
EXPOSICION NTRIP LIMPIO...pptxEXPOSICION NTRIP LIMPIO...pptx
EXPOSICION NTRIP LIMPIO...pptx
 
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍA
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍAMIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍA
MIGRACION DE GSM A UMTS DISPOSITIVOS MÓVILES Y TECNOLOGÍA
 
Temas eje 4 actividad 1 doc 2
Temas eje 4 actividad 1 doc 2Temas eje 4 actividad 1 doc 2
Temas eje 4 actividad 1 doc 2
 
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...
Alfonso Muñoz & Jorge Cuadrado - Phreaking is alive! Abusing GSM: Covert chan...
 
HTTP Break-header VAS using GSM Networks
HTTP Break-header VAS using GSM NetworksHTTP Break-header VAS using GSM Networks
HTTP Break-header VAS using GSM Networks
 
Fr
FrFr
Fr
 
Quiz tema 3 - 2 g (gsm) parte ii
Quiz tema 3 - 2 g (gsm) parte iiQuiz tema 3 - 2 g (gsm) parte ii
Quiz tema 3 - 2 g (gsm) parte ii
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

Denegación de servicio GSM con falsa estación base

  • 1. Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.com w w w. t a d d o n g . c o m @taddong
  • 3. Terminología • BTS – Base Station Transceiver: – Estación base; estación de radio que constituye el acceso del móvil a la red • PLMN – Public Land Mobile Network: – El operador de telefonía • HPLMN – Home PLMN: – Es el operador que emite una tarjeta SIM y el único que conoce su clave precompartida Ki • IMSI – International Mobile Subscriber Identifier: – Identificar único de la tarjeta SIM (y del usuario) • TMSI – Temporary Mobile Subscriber Identifier: – Identificador temporal asignado por la red para que el móvil no tenga que revelar su IMSI constantemente . 3
  • 4. Ataque con estación base falsa MS VL C / R SG GGSN SN HL R/ Au C B SC INTERNET BT S Ro ute r GSM / GPRS / EDGE . 4
  • 5. Ataque con estación base falsa Voz Datos • Grabación de • Interceptación de llamadas y SMS tráfico • Suplantación • Redirección de número llamante tráfico • Suplantación • Posición destino privilegiada para (redirección) realizar todo tipo • Impersonación del de ataques IP usuario 5 .
  • 6. Escenario objeto de esta charla . 6
  • 7. Escenario objeto de esta charla Denegación de servicio de telefonía móvil 7
  • 9. Características de los ataques de denegación de servicio de telefonía móvil El ataque es capaz de causar una Ataque denegación de servicio de forma masiva e ‘Masivo’ indiscriminada en el alcance del sistema. El ataque es capaz de causar una Ataque denegación de servicio selectivamente sólo a ‘Selectivo’ algunos terminales móviles que pueden ser discriminados por el atacante. El ataque persiste en el tiempo (hasta una Ataque determinada condición) después de que el ‘Persistente’ atacante deja de actuar y sale del lugar. Ataque El usuario no percibe ninguna señal de que ‘Transparente’ ha perdido el servicio 9
  • 10. Comparativa de técnicas para llevar a cabo una denegación de servicio GSM Ataque Ataque Ataque Transparente Masivo Selectivo Persistente al usuario Inhibidor de frecuencia Agotamiento de canales de radio en la BTS Redirección mediante estación base falsa Técnica LUPRCC 10
  • 11. Agotamiento de canales de radio en la BTS (I) Ref.:  “Threats and countermeasures in GSM networks”.  Valer  Bocan, Bocan Cretu http://ojs.academypublisher.com/index.php/jnw/article/view/010618/655 11
  • 12. Agotamiento de canales de radio en la BTS (II) Ref.:  “A practical DoS attack to the GSM  Network”.  Dieter  Spaar. http://www.mirider.com/GSM-DoS-Attack_Dieter_Spaar.pdf 12
  • 13. VL C / R SG GGSN SN Redireccion mediante estación base falsa HL R/A uC C BS INTERNET BT S Ro ute r GSM / GPRS / Llamada saliente EDGE Demo 13
  • 14. Denegación de Servicio GSM Técnica LUPRCC (Location Update Procedure Reject Cause Codes) . 14
  • 15. Location Update Procedure MS PLMN 1 INICIO DEL PROCEDIMIENTO LOCATION UPDATING REQUEST 2 (Classmark Interrogation Procedure) 3 (Identification Procedure) 4 (Authentication Procedure) 5 (Start Ciphering Procedure) LOCATION UPDATING ACCEPT / REJECT 6 Reject Cause Code . 15
  • 16. Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER . 16
  • 17. Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER . 17
  • 18. Comportamiento descrito por la norma ante LU Reject Cause Code: OTHER (sólo por curiosidad) 3GPP TS 24.008 - 4.4.4.7 "The MS waits for release of the RR connection as specified in sub-clause 4.4.4.8, and then proceeds as follows. TimerT3210 is stopped if still running. The RR Connection is aborted in case of timer T3210 timeout. The attempt counter isincremented. The next actions depend on the Location Area Identities (stored and received from the BCCH of thecurrent serving cell) and the value of the attempt counter." "– the update status is UPDATED, and the stored LAI is equal to the one received on the BCCH from the currentserving cell and the attempt counter is smaller than 4:The mobile station shall keep the update status to UPDATED, the MM IDLE sub-state after the RR connection release is NORMAL SERVICE. The mobile station shall memorize the location updating type used in the location updating procedure. It shall start timer T3211 when the RR connection is released. When timer T3211 expires the location updating procedure is triggered again with the memorized location updating type;" "– either the update status is different from UPDATED, or the stored LAI is different from the one received on theBCCH from the current serving cell, or the attempt counter is greater or equal to 4:The mobile station shall delete any LAI, TMSI, ciphering key sequence number stored in the SIM, set the updatestatus to NOT UPDATED and enter the MM IDLE sub-state ATTEMPTING TO UPDATE when the RRconnection is released (See sub-clause 4.2.2.2 for the subsequent actions). If the attempt counter is smaller than4, the mobile station shall memorize that timer T3211 is to be started when the RR connection is released,otherwise it shall memorize that timer T3212 is to be started when the RR connection is released." . 18
  • 19. Comportamiento descrito por la norma ante LU Reject Cause Code: 0x0B (PLMN not allowed) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall delete any LAI, TMSI and ciphering key sequence number stored in the SIM/USIM, reset the attempt counter, and set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2). The mobile station shall store the PLMN identity in the ‘forbidden  PLMN list’.The MS shall perform a PLMN selection when back to the MM IDLE state according to 3GPP TS 23.122. An MS in GAN mode shall request a PLMN list in GAN (see 3GPP TS 44.318) prior to performing a PLMN selection from this list according to 3GPP TS 23.122." . 19
  • 20. Pruebas de comportamiento ante LU Reject Cause Code: 0x0B (PLMN not allowed) Intentos de conexión del móvil en el tiempo desde el primer rechazo . 20
  • 21. Comportamiento descrito por la norma ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2), and delete any TMSI, stored LAI and ciphering key sequence number and shall consider the SIM/USIM as invalid for non-GPRS services until switch-off or the SIM/USIM is removed.” . 21
  • 22. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 6210 (Simyo) 22
  • 23. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 3210 (Simyo) 23
  • 24. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia N97(Movistar) 24
  • 25. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Sony-Ericsson T290i (Movistar) 25
  • 26. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Siemens A55 (Simyo) 26
  • 27. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Motorola C123 (Simyo) 27
  • 28. Pruebas de comportamiento ante LUReject Terminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME iPhone (Movistar) 28
  • 29. Pruebas de comportamiento ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) Demo Vídeo 29
  • 31. El ataque puede ser un ataque masivo • El atacante puede rechazar indiscriminadamente los intentos de conexión, sea cual sea el identificador de las víctimas • La capacidad de proceso no es determinante (el atacante sólo debe rechazar un registro de cada víctima) • Se puede realizar consecutivamente a varios operadores (o simultáneamente con varios equipos iguales) . 31
  • 32. El ataque puede ser un ataque selectivo Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de la víctima • Existen varias técnicas para identificar a la víctima, por ejemplo: – Técnicas  de  “monitorización”  para  obtener  el  IMSI:   http://blog.taddong.com/2011/05/selective-attack- with-rogue-gsmgprs.html – Descubrir el TMSI y utilizarlo: http://events.ccc.de/congress/2011/Fahrplan/attachm ents/1994_111217.SRLabs-28C3- Defending_mobile_phones.pdf – Interrogar al HLR a través de la red global SS7: http://events.ccc.de/congress/2010/Fahrplan/attachm ents/1783_101228.27C3.GSM- Sniffing.Nohl_Munaut.pdf . 32
  • 33. La denegación es persistente • El terminal no recupera el servicio hasta que el usuario lo apaga y lo enciende de nuevo La denegación NO es transparente • El mensaje al usuario depende del terminal: algunos terminales muestran en pantalla un mensaje para informar al usuario y otros simplemente que no hay cobertura 33 .
  • 35. Protección de los mensajes de nivel 3 en UMTS • En todas las conexiones de control N3 establecidas es obligatorio iniciar el procedimiento de protección de integridad de los mensajes de señalización. Existen 5 excepciones a esta norma (3GPP 33.102), que no aplican al Location Registration Reject procedure; explícitamente se describe  “(…)it shall be mandatory for the VLR/SGSN to start integrity protection before sending a reject signalling message that causes the CSG list on the UE to be modified  (…)”. • El procedimiento de protección de integridad se establece mediante el security mode command 35
  • 36. Contramedidas USUARIOS Prohibir en nuestros terminales el uso de 2G OPERADORES Desplegar completamente 3G/4G y eliminar la cobertura 2G 36
  • 38. Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.com w w w. t a d d o n g . c o m @taddong