2015 Layakk. Todos los derechos reservados.

Seguridad en comunicaciones

mviles

Un repaso a los ataques conocidos

Jos Pic Garca

David Prez conde

www.layakk.com @layakk

XI CICLO DE CONFERENCIAS

UPM TASSI AO 2015

2 2015 Layakk

En pelculas y series

00:37

3 2015 Layakk

En pelculas y series

4 2015 Layakk

Enumerar y explicar brevemente las

vulnerabilidades conocidas

Ilustrar lo anterior con algunos ejemplos prcticos

(formato video)

Resumir el estado de la seguridad en comunicaciones

mviles

Objetivos

5 2015 Layakk

DATOS

VOZ

VOZ y

DATOS

Tecnologa actual

2G

3G

4GVOZ y

DATOS

6 2015 Layakk

Terminologa

Trmino Descripcin

SIM Tarjeta inteligente que contiene el IMSI y la Ki del usuario

IMSI Identificador del usuario

IMEI Identificador del terminal (telfono / modem)

Ki Clave precompartida entre la tarjeta SIM y el operador

Kc Clave de sesin (generada dinmicamente en cada sesin)

BTS/nodeB/

e-nodeB

Estacin base. Llamada coloquialmente:

antena del operador

SGSN, GGSN Nodos de la red del operador que cursan el trfico IP

PLMN Red de un operador (Public Land Mobile Network)

7 2015 Layakk

Arquitectura de red

A

Um

Gb

D

Gn

Red

de

Datos

Gp

GiOtra PLMN

Gs

Gr

Gf

AGPRS

Abis

Interceptacin de

comunicaciones

9 2015 Layakk

GSM cifra, a partir de un momento en la comunicacin,

la voz y los datos de sealizacin.

Normalmente el cifrado se realiza con el algoritmo

A5/1

El algoritmo A5/1 es un algoritmo que genera un bitstream por

cada unidad de transmisin (rfaga).

El bitstream se combina (XOR) con la rfaga a transmitir

La generacin del bitstream depende de una clave de sesin y

del nmero de trama TDMA.

Cifrado de las comunicaciones GSM

10 2015 Layakk

Ataques contra A5/1:

A5 Security Project

A5/1

Rfaga Cifrada Interceptada

Rfaga Conocida

114-63=51 candidatos

a ser buscados

Salida Generador Bloques

Otra Rfaga Cifrada Interceptada

COUNT

64 bits

11 2015 Layakk

Capturar trfico GSM es difcil?

the GSM call has to be identified and

recorded from the radio interface. [] we

strongly suspect the team developing the

intercept approach has underestimated its

practical complexity. A hacker would need a

radio receiver system and the signal

processing software necessary to process

the raw radio data.

GSMA, Aug.09

12 2015 Layakk

Sistema de captura de voz: 20

KRAKEN

10 10

OSMOCOM OSMOCOM

27C3 (Dic.2010)

Nohl, Munaut

Security Research Labs

Kc

Captura ciertos

mensajes

cifrados pero

predecibles

Escucha y

descifra la

conversacin

13 2015 Layakk

Suplantacin de usuarios!

13

02:51

14 2015 Layakk

El cifrado se realiza entre el SGSN y la MS

Algoritmos obligatoriamente soportados por una MS

GPRS:

GEA0 = NO cifrado

GEA1 = Roto mediante algebraic attacks(*)

GEA2 ?

GEA3 ?

Cifrado en GPRS

(*)http://events.ccc.de/camp/2011/Fahrplan/attachments

/1868_110810.SRLabs-Camp-GRPS_Intercept.pdf

Utilizados

comnmente

15 2015 Layakk

Captura de comunicaciones GPRS

Confidencialidad de GPRS: en la prctica osmocommBB(layer1 + gprsdecode)

Ref.: https://http://bb.osmocom.org/

.

02:00

https://http/bb.osmocom.org/

16 2015 Layakk

Algoritmos obligatoriamente soportados por una MS

UMTS:

Cifrado en UMTS (3G)

UEA2 = SNOW-3G UEA0 = NO cifrado

UEA1 = KASUMI

El mismo que se usa en A5/3

Probablemente roto por la NSA para claves de 64 bits.

Ref.:

http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defens

e-Karsten_Nohl-31C3-v1.pd

17 2015 Layakk

La escucha de UMTS mediante un ataque hbrido

radioSS7 es posible tambin, al igual que en GSM

Se necesita un equipo adicional HW/SW para la

escucha, demodulacin y decodificacin de la seal 3G,

lo cual ya est resuelto.

Escucha de UMTS

Ref.:

http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mob

ile_Self_Defense-Karsten_Nohl-31C3-v1.pd

18 2015 Layakk

Algoritmos obligatoriamente soportados por una MS

LTE:

EEA0 = NO cifrado

128-EEA1 = SNOW-3G

128-EEA2 = AES

128-EEA3 = ZUC (soporte de momento opcional)

Cifrado en LTE (4G)

Ref:

http://www.etsi.org/deliver/etsi_ts/133400_133499/13340

1/12.14.00_60/ts_133401v121400p.pdf

EA2

19 2015 Layakk

El ataque de escucha mediante radioDiameter

(equivalente a SS7) parece viable debido a que:

La tarea de construir un sistema de bajo coste para escuchar el

trfico LTE es totalmente abordable

La definicin del equivalente de SS7 en LTE (Diameter) ha

arrastrado muchas de las vulnerabilidades existentes en SS7

Escucha de LTE

Ref.:

http://media.ccc.de/browse/congress/2014/31c3_-_6531_-_en_-_saal_6_-

_201412272300_-

_ss7map_mapping_vulnerability_of_the_international_mobile_roaming_infrastructure_-

_laurent_ghigonis_-_alexandre_de_oliveira.html#video&t=2

20 2015 Layakk

Interceptacin de comunicaciones

mediante estacin base falsa

21 2015 Layakk

Location Update Procedure

MS PLMN

LOCATION UPDATING REQUEST

INICIO DEL PROCEDIMIENTO1

2 (Classmark Interrogation Procedure)

3 (Identification Procedure)

4 (Authentication Procedure)

5 (Start Ciphering Procedure)

LOCATION UPDATING ACCEPT6

22 2015 Layakk

El atacante se

convierte en el

operador

El ataque

puede

realizarse

selectivamente

CIFRADO: A5/0

(nulo)

Interceptacin de trfico GSM con

estacin base falsa

010011101011001110011011000

23 2015 Layakk

Laboratorio GSM

CAJA DE

FARADAY

PC

USRP

24 2015 Layakk

Interceptacin de llamada

mediante estacin base falsa

02:52

25 2015 Layakk

Interceptacin de comunicaciones

GPRS/EDGE con estacin base falsa

http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

26 2015 Layakk

Interceptacin de trfico GPRS/EDGE

mediante estacin base falsa02:02

Manipulacin de

comunicaciones

28 2015 Layakk

El atacante se

convierte en el

operador

El ataque

puede

realizarse

selectivamente

CIFRADO: A5/0

(nulo)

Manipulacin de trfico GSM

con estacin base falsa

010011101011001110011011000

29 2015 Layakk

Manipulacin de trfico GSM

con estacin base falsa

Mvil registrndose en

la estacin base falsa

Suplantacin de

origen de llamada

Redireccin de

destino de llamada

Interceptacin de SMS

00:56 00:50 00:47

00:41

//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_falsificacion_numero_llamante.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_falsificacion_numero_llamante.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_interceptacion_sms.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_interceptacion_sms.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_redireccion_llamada.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/GSM_redireccion_llamada.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/video00_iPhoneRegistering.wmv//lkfile01/LK_Proyectos/Videos/2G3G/Demos Layakk/video00_iPhoneRegistering.wmv

30 2015 Layakk

Un atacante con acceso a la red SS7 puede

potencialmente (si la red no filtra ese tipo de trfico),

redirigir llamadas a su antojo

Para ello puedo utilizar 2 mtodos:

Utilizar el protocolo CAMEL

Utilizar el mensaje updateLocation para indicar al HLR de la

vctima que est en roaming en su red (falsa)

Mtodos de redireccin SS7

SS7 Redireccin

31 2015 Layakk

Manipulacin de comunicaciones

GPRS/EDGE con estacin base falsa

http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf

32 2015 Layakk

Manipulacin de comunicaciones

GPRS/EDGE con estacin base falsa

Phising httpsToma de control de un

PCPhising http

Jailbreakme 3.0

silenciosoRouter GPRS Otros dispositivos

Identificacin de usuarios

34 2015 Layakk

En el Identification Procedure, la estacin base puede

preguntar al mvil su IMSI y su IMEI, y el mvil est

obligado a responder

Identidad del usuario y del terminal

35 2015 Layakk

IMSI CATCHER: 2G, 3G, 4G

Geolocalizacin

37 2015 Layakk

Servicios de localizacin GSM LCS:

basados en la red

basados en el mvil

asistidos por el mvil

Software de localizacin instalado en el

mvil

Mtodos de geolocalizacin

38 2015 Layakk

Pero

Y si el mvil no quiere ser

localizado?

39 2015 Layakk

Decidimos construir un