Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó [email protected] David Pérez...
Transcript of Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó [email protected] David Pérez...
![Page 2: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/2.jpg)
Objetivo
Es el año de saldar cuentas pendientes…
![Page 3: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/3.jpg)
Objetivo
Es el año de saldar cuentas pendientes…
![Page 4: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/4.jpg)
Objetivo
Es el año de saldar cuentas pendientes…
![Page 5: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/5.jpg)
Ataques 3G (estación base falsa)
• IMSI Catching es posible
• Geolocalización de dispositivos es posible
• Denegación de servicio es posible
• Downgrade selectivo a 2G es posible
![Page 6: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/6.jpg)
IMSI CATCHING 3GEl ataque en la práctica
![Page 7: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/7.jpg)
UMTS IMSI Catching
• Captura no autorizada de IMSIs
• Determina la presencia de un usuario en la zona
• Se necesita:
– Una infraestructura de estación base falsa
– Software de monitorización para la configuración adecuada de la celda falsa, basado en xgoldmon
Ref.: http://openbts.org/w/index.php?title=OpenBTS-UMTS
Ref.: https://github.com/2b-as/xgoldmon
![Page 8: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/8.jpg)
Caracterización UMTS
![Page 9: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/9.jpg)
UMTS IMSI Catching
![Page 10: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/10.jpg)
UMTS IMSI CatchingMS SRNC VLR/SGSN
Establecimiento de conexión RRC1
Mensaje inicial de nivel 32
Autenticación y establecimiento de clave4
Determinación de algoritmos de cifrado e integridad
5
Security Mode Command (UIAs, IK, UEAs, CK, etc.)
6
Generación de FRESHInicio de integridad
7
Identificación3
![Page 11: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/11.jpg)
UMTS IMSI Catching
![Page 12: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/12.jpg)
Ataques 3G (estación base falsa)
• IMSI Catching es posible
• Geolocalización de dispositivos es posible
• Denegación de servicio persistente es posible
• Downgrade selectivo a 2G es posible
![Page 13: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/13.jpg)
GEOLOCALIZACIÓN DE DISPOSITIVOSTécnicas de obtención de datos de señalización en el uplink
![Page 14: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/14.jpg)
Geolocalización de terminales móviles
![Page 15: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/15.jpg)
Obtención de datos para el cálculo
• En la versión 2G lo hacíamos con un canal de radio dedicado y permanente:
• En 3G no podemos establecer un canal de radio permanente
Llegan medidas continuamente
Es difícil mantener el canal abierto debido a la distancia, zonas de sombra, etc.
![Page 16: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/16.jpg)
Obtención de datos para el cálculo
0
0.2
0.4
0.6
0.8
1
1.2
0 1 2 3 4 5 6 7 8 9
Elapsed Time (min.)
MS Activity
Actividad en el uplink de una MS
![Page 17: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/17.jpg)
Mejora en la recepción de datosActividad en el uplink de una MS
0
0.2
0.4
0.6
0.8
1
1.2
0.00 1.00 2.00 3.00 4.00 5.00 6.00 7.00 8.00 9.00 10.00
Elapsed Time (min.)
MS Activity
![Page 18: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/18.jpg)
Geolocalización: conclusión
• El número de muestras útiles para calcular la posición es menor y más espaciado en el tiempo (como se esperaba):
• No obstante:
El proceso se ralentiza
El grado de precisión se reduce ligeramente
La geolocalización mediante esta técnica es totalmente viable
![Page 19: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/19.jpg)
Ataques 3G (estación base falsa)
• IMSI Catching es posible
• Geolocalización de dispositivos es posible
• Denegación de servicio persistente es posible
• Downgrade selectivo a 2G es posible
![Page 20: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/20.jpg)
DENEGACIÓN DE SERVICIOEl ataque RAUPRCC en la práctica
![Page 21: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/21.jpg)
Denegación de servicio de telefonía móvilDiferentes técnicas
![Page 22: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/22.jpg)
Denegación de servicio de telefonía móvilLocation Update Procedure Reject Cause Code
IMSI unknown in HLRIllegal MSIllegal MEPLMN not allowedLocation Area not allowedRoaming not allowed in this location areaNo Suitable Cells In Location Area
![Page 23: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/23.jpg)
UMTS Denial of ServiceRouting Area Update Procedure Reject Cause Code:
“Illegal MS”
![Page 24: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/24.jpg)
Escenario de aplicación
![Page 25: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/25.jpg)
Escenario de aplicación
![Page 26: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/26.jpg)
Ataques 3G (estación base falsa)
• IMSI Catching es posible
• Geolocalización de dispositivos es posible
• Denegación de servicio persistente es posible
• Downgrade selectivo a 2G es posible
![Page 27: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/27.jpg)
DOWNGRADE SELECTIVO A 2GEl ataque en la práctica
![Page 28: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/28.jpg)
Downgrade selectivo a 2G
• En 3G el ataque completo con estación base falsa no es posible
• Para hacer downgrade a 2G, es posible utilizar un inhibidor. Problemas:
– Alcance
– Filtrado adecuado de las bandas
– Consumo / disipación de calor
– Interferencia con dispositivos propios (del atacante)
– Detectable más fácilmente
– No puede hacerse de forma selectiva
![Page 29: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/29.jpg)
Downgrade selectivo a 2G
RedirectionInformation
![Page 30: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/30.jpg)
Downgrade a 2G
![Page 31: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/31.jpg)
Downgrade a 2G
0
![Page 32: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/32.jpg)
Downgrade a 2G
1
RRC Connection Request
RRC Connection Reject
Redirect to GSM
![Page 33: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/33.jpg)
Downgrade a 2G
2
![Page 34: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/34.jpg)
Downgrade a 2G
![Page 35: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/35.jpg)
Downgrade selectivo a 2G
• Aunque se disponga de comunicaciones 3G, un atacante puede forzar las comunicaciones 2G del terminal víctima, lo que implica control completo de las mismas
– Salvo que el terminal víctima esté configurado para no aceptar servicio 2G
![Page 36: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/36.jpg)
Ataques 3G (estación base falsa)
• IMSI Catching es posible
• Geolocalización de dispositivos es posible
• Denegación de servicio persistente es posible
• Downgrade selectivo a 2G es posible
![Page 37: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/37.jpg)
CONTRAMEDIDASRecomendaciones para usuarios y fabricantes
![Page 38: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/38.jpg)
Recomendaciones
• Posibilidad de deshabilitar el servicio 2G (y dejarlo deshabilitado por defecto)
• Aviso al usuario cuando el servicio es 2G,
– especialmente si se fuerza a servicio no cifrado
• Aviso al usuario ante ciertos mensajes de señalización extremadamente infrecuentes:
– Location Area / Routing Area Update Reject
• [ Illegal MS ]
– RRC Connection Reject
• [ Redirection ]
Fabricantes
![Page 39: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/39.jpg)
Recomendaciones
• Desactivar el servicio 2G cuando sea posible
• Desplegar sistemas de detección de estaciones base falsas
• Solicitar y premiar a los fabricantes que implementen este tipo de medidas de protección en banda base
Usuarios
![Page 40: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/40.jpg)
Recomendaciones
RecomendaciónIMSI
Catching GeolocalizaciónDenegaciónpersistente
DowngradeSelectivo
Opción Deshabilitar 2G
Aviso servicio 2GAviso servicio no cifrado
Aviso mensajesseñalización sospechosos
Desactivar 2G
Desplegar sistemas de detección
Solicitar y premiar medidas de seguridad en banda base
![Page 41: Atacando 3G vol. III - LAYAKKAtacando 3G vol. III José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk](https://reader030.fdocuments.net/reader030/viewer/2022040411/5ed2df3e00aa243d381d0156/html5/thumbnails/41.jpg)
Aún tenemos temas pendientes