layakk - atacando 3g vol. 2 [rootedvlc2]
TRANSCRIPT
![Page 1: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/1.jpg)
1Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó [email protected] Pérez [email protected]
www.layakk.com@layakk
![Page 2: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/2.jpg)
2Rooted Satellite Valencia
AgendaIntroducciónEl problema de la configuración de la celda falsaIMSI CatchingDenegación de servicioTrabajos en marcha y futurosConclusiones
![Page 3: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/3.jpg)
3Rooted Satellite Valencia
INTRODUCCIÓNy un poco de historia…
![Page 4: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/4.jpg)
4Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
<1.000
(*) NOTA: solamente teniendo en cuenta los ataques con estación base falsa
![Page 5: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/5.jpg)
5Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Ubicación de la infraestructura
![Page 6: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/6.jpg)
6Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Caracterización de la celda
![Page 7: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/7.jpg)
7Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
Atacante comienza a emitir
![Page 8: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/8.jpg)
8Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
La víctima campa en la celda falsa
![Page 9: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/9.jpg)
9Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
Ataque con estación base falsa:
El atacante toma control total de las comunicaciones de la víctima
010011101011001110011011000
![Page 10: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/10.jpg)
10Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 11: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/11.jpg)
11Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 12: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/12.jpg)
12Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 13: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/13.jpg)
13Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 14: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/14.jpg)
14Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 15: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/15.jpg)
15Rooted Satellite Valencia
Las comunicaciones móviles 2G son totalmente vulnerables
>Interceptación
>Manipulación
>Identificación de usuarios
>Geolocalización
>Denegación de servicio
En la práctica…
![Page 16: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/16.jpg)
16Rooted Satellite Valencia
¿Es posible aplicar estas técnicas a 3G?
En 3G existe autenticación bidireccional
La criptografía de 3G no está rota públicamente
sin embargo…
![Page 17: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/17.jpg)
17Rooted Satellite Valencia
En 2014 ya pensábamos que una parte de los ataques era
posible…
![Page 18: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/18.jpg)
18Rooted Satellite Valencia
Base teórica
![Page 19: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/19.jpg)
19Rooted Satellite Valencia
EL PROBLEMA DE LA CONFIGURACIÓN Y PARAMETRIZACIÓN DE LA CELDA FALSA¿Quién vive en el vecindario?
![Page 20: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/20.jpg)
20Rooted Satellite Valencia
Las celdas vecinas
![Page 21: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/21.jpg)
21Rooted Satellite Valencia
Las celdas vecinas en 2G y en 3G
2G: 74 ARFCNs (200KHz) en la banda de 900 sólo para un operador
3G: 3 ARFCNs(*) (5 MHz) en la banda de 2100 para un operador
935,1 935,3 935,5 935,7 935,9 936,1 936,3 936,5 936,7 936,9 937,1 937,3 937,5 937,7 937,9 938,1 938,3 938,5 938,7 938,9 939,1 939,3 939,5 939,7 939,9 940,1 940,3 940,5 940,7 940,9 941,1 941,3 941,5 941,7 941,9 942,1 942,3 942,5 942,7 942,9 943,1 943,3 943,5 943,7 943,9 944,1 944,3 944,5 944,7 944,9 945,1 945,3 945,5 945,7 945,9 946,1 946,3 946,5 946,7 946,9 947,1 947,3 947,5 947,7 947,9 948,1 948,3 948,5 948,7 948,9 949,1 949,3 949,5 949,7 949,9
(*) En la práctica no se consideran solapamientos
![Page 22: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/22.jpg)
22Rooted Satellite Valencia
Solución IdealUn sniffer de 3G, DL y UL, de los mensajes de control (Broadcast y algunos dedicados)
En progreso
![Page 23: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/23.jpg)
23Rooted Satellite Valencia
Solución alternativaxgoldmon
– extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G
Ref.: xgoldmon (Tobias Engel)https://github.com/2b-as/xgoldmon
![Page 24: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/24.jpg)
24Rooted Satellite Valencia
INFRAESTRUCTURA ESTACIÓN BASE 3G¿Qué hace falta?
![Page 25: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/25.jpg)
25Rooted Satellite Valencia
OpenBTS-UMTS
USRP B200
- Int
el C
ore
i3 -
USB
3.0
Lo que nosotros utilizamos…
Ref.: OpenBTS-UMTShttp://openbts.org/w/index.php/OpenBTS-UMTS
Ref.: USRP B200http://www.ettus.com/product/details/UB200-KIT
![Page 26: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/26.jpg)
26Rooted Satellite Valencia
Lo que nosotros utilizamos…
![Page 27: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/27.jpg)
27Rooted Satellite Valencia
IMSI CATCHING¿En qué consiste?¿Por qué es peligroso?Pruebas en 3G
![Page 28: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/28.jpg)
28Rooted Satellite Valencia
IMSI CatchingEl IMSI (Internation Mobile Subscriber Number) es el número que identifica a los usuarios de la red móvil
Está asociado a cada persona que lo compraEs el único identificador de usuario (en el nivel de movilidad de la comunicaciones móviles) que es invariableSólo debe ser conocido por el operador y por el usuario
¿Qué es el IMSI?
IMSI
MCC MNC MSIN
![Page 29: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/29.jpg)
29Rooted Satellite Valencia
IMSI CatchingConsiste en la captura no autorizada de IMSIsPuede hacerse utilizando diferentes técnicas– la que nos ocupa es la utilización de una estación
base falsa– en este caso, la captura se hace en el entorno del
atacante
Determina la presencia de un usuario en la zona
Una infraestructura de estación base falsa como la descrita anteriormente, sin necesidad de modificaciones software.
¿Por qué es peligroso?
¿En qué consiste?
¿Qué se necesita?
![Page 30: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/30.jpg)
30Rooted Satellite Valencia
IMSI Catching
D EMO
![Page 31: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/31.jpg)
31Rooted Satellite Valencia
DENEGACIÓN DE SERVICIO PERSISTENTE Y SELECTIVALa técnica de LURCC aplicada a 3G (RAURCC)
![Page 32: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/32.jpg)
32Rooted Satellite Valencia
Denegación de servicio de telefonía móvil
Ataque Masivo
Ataque Selectivo
Ataque Persistente
Transparente al usuario
Inhibidor de frecuencia
Agotamiento de canales de radio
en la BTSRedirección
mediante estación base falsa
Técnica LUPRCC
X
X
X X
X
X
X
X
Diferentes técnicas
![Page 33: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/33.jpg)
33Rooted Satellite Valencia
Técnica LURCC (RAURCC)Fundamentos teóricos
![Page 34: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/34.jpg)
34Rooted Satellite Valencia
Técnica LURCC (RAURCC)
Una infraestructura de estación base falsa UMTS como la descrita anteriormente
Una modificación del software de la estación base falsa para que pueda implementar el ataque de forma selectiva y configurable
¿Qué se necesita?
![Page 35: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/35.jpg)
35Rooted Satellite Valencia
RAURCC: “IMSI Unknown in HLR”
![Page 36: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/36.jpg)
36Rooted Satellite Valencia
RAURCC: “Illegal MS”
![Page 37: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/37.jpg)
37Rooted Satellite Valencia
Escenario de aplicación
![Page 38: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/38.jpg)
38Rooted Satellite Valencia
Escenario de aplicación
![Page 39: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/39.jpg)
39Rooted Satellite Valencia
TRABAJOS EN CURSO Y A FUTUROQué es lo que estamos haciendo ahora y qué querríamos hacer en el futuro…
![Page 40: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/40.jpg)
40Rooted Satellite Valencia
Geolocalización
![Page 41: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/41.jpg)
41Rooted Satellite Valencia
Geolocalización
Portar el sistema ya realizado a 3G– modificar la estación base para que mantenga
los canales de radio abiertos el mayor tiempo posible
– obtener datos para triangular similares a los usados en 2G
¿Otros caminos?
Trabajo en curso
![Page 42: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/42.jpg)
42Rooted Satellite Valencia
Downgrade selectivo a 2GDesarrollo de la funcionalidad necesaria dentro de OpenBTS-UMTS para probar las técnicas descritas en RootedCON2014
![Page 43: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/43.jpg)
43Rooted Satellite Valencia
Trabajo futuro: Sniffer y 4G
Continuar el trabajo del sniffer 3G
Estudiar y probar si estas técnicas son igualmente posibles en redes 4G
![Page 44: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/44.jpg)
44Rooted Satellite Valencia
CONCLUSIONES
![Page 45: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/45.jpg)
45Rooted Satellite Valencia
ConclusionesEfectivamente, los ataques de IMSI Catching, denegación de servicio son posibles en la prácticaEstamos estudiando el caso de la geolocalización y downgrade selectivo a 3G (aunque tenemos pocas dudas de su viabilidad técnica)
![Page 46: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/46.jpg)
46Rooted Satellite Valencia
¡ MUCHAS GRACIAS !
![Page 47: Layakk - Atacando 3G Vol. 2 [rootedvlc2]](https://reader036.vdocumento.com/reader036/viewer/2022081502/5871261d1a28abe4448b62a9/html5/thumbnails/47.jpg)
47Rooted Satellite Valencia
Atacando 3G (Chapter II)
Satellite Edition
José Picó [email protected] Pérez [email protected]
www.layakk.com@layakk