0
Un ataque práctico contracomunicaciones móvilesDavid Pérez - david@taddong.com  José Picó - jose@taddong.com
Contenido•   Introducción•   Arquitectura general de GPRS•   Vectores de ataque•   Ataque con estación base falsa     –   ...
Introducción
Dispositivos móviles como fuente             de amenaza• Cada vez más, los dispositivos móviles  tienen acceso a informaci...
Dispositivos móviles 2G/3G•   Teléfonos (smartphones)•   Tablets (ej. iPad, Kindle)•   Portátiles con modem 2G/3G•   Route...
¿Amenaza?• ¿Existen entidades (personas,  organizaciones, gobiernos) interesadas en  obtener y/o manipular las conexiones ...
Arquitectura general de GPRS
Arquitectura GPRS/EDGE
Vectores de ataque
Vectores de ataque a              comunicaciones móviles                       Ataques                    criptográficos  ...
Ataque con estación base falsa
Vulnerabilidades• Autenticación unidireccional• Soporte a GEA0 (no cifrado)• Soporte a degradación  UMTSGPRS/EDGE        ...
Herramientas
Las herramientasUn atacante no necesitará esto, pero...Nosotros realizamostodas nuestraspruebas en una cajade Faraday, par...
Las herramientasip.access nanoBTS                    •BTS comercial                    •Soporta GSM/GPRS/EDGE             ...
Las herramientasPC          • S.O. GNU/Linux          • Acceso a Internet          • Un pequeño netbook es          sufici...
Las herramientasOpenBSC• Código desarrollado por Harald Welte,  Dieter Spaar, Andreas Evesberg y Holger  Freyther• http://...
Las herramientasOsmoSGSN• Código incluido en OpenBSC• http://openbsc.osmocom.org/trac/wiki/osmo-sgsn  “OsmoSGSN (also spel...
Las herramientasOpenGGSN• Código iniciado por: Jens Jakobsen• Actualmente mantenido por: Harald Welte• http://sourceforge....
Las herramientasInhibidor de frecuencias de móvil (jammer)                  • Capaz de inhibir las frecuencias            ...
El ataque: punto de partida
El ataque: paso 11   Caracterización de la celda real
El ataque: paso 22   El atacante comienza a emitir
El ataque: paso 3  El dispositivo vícitima se3 conecta a la celda falsa
El ataque: paso 4             4     El atacante logra  control total (man-in-    the-middle) de las   comunicaciones de   ...
El ataque en acciónUn iPhone cae en la trampa
¿Qué ha sucedido?
Extensión del ataque a UMTS¿Cómo podemos extender este ataquepara que sea efectivo contra dispositivosUMTS (3G)?
Extensión del ataque a UMTS:Simplemente, añadir un paso previo     Inhibir las  0 frecuencias      de UMTS
Ejemplos de uso delataque con estación base falsa
Aprovechando el ataque: ejemplo 1Captura de una búsqueda en Google de un iPhone
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 2Ataque de phishing contra un iPad (usando https)
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 3Toma de control de un PC a través de GPRS/EDGE
¿Qué ha sucedido?              user / password remote desktop
Aprovechando el ataque: ejemplo 4Control del tráfico de todos los dispositivos ubicados trasun router 3G
¿Qué ha sucedido?
Aprovechando el ataque: ejemplo 5Ataques contras otro dispositivos GPRS/EDGE
¿Qué ha sucedido?                    FTP
Medidas de protección
Medidas de protección• Configurar nuestros dispositivos móviles  para aceptar sólo 3G, rechazando 2G• Cifrar nuestras comu...
Un ataque práctico contracomunicaciones móviles                www.taddong.com                @taddong                davi...
Upcoming SlideShare
Loading in...5
×

David Pérez + José Picó - Un ataque práctico contra comunicaciones móviles [RootedCON 2011]

6,044

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,044
On Slideshare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
232
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "David Pérez + José Picó - Un ataque práctico contra comunicaciones móviles [RootedCON 2011]"

  1. 1. Un ataque práctico contracomunicaciones móvilesDavid Pérez - david@taddong.com José Picó - jose@taddong.com
  2. 2. Contenido• Introducción• Arquitectura general de GPRS• Vectores de ataque• Ataque con estación base falsa – Vulnerabilidades – Herramientas – Proceso de ataque – Extensión a UMTS (3G)• Ejemplos de uso del ataque con estación base falsa – Captura de una búsqueda en google – Ataque de phishing redirigiendo tráfico HTTPS – Toma de control de un PC – Ataque a dispositivos situados tras un router 3G – Ataque a otros dispositivos 2G/3G• Medidas de protección
  3. 3. Introducción
  4. 4. Dispositivos móviles como fuente de amenaza• Cada vez más, los dispositivos móviles tienen acceso a información sensible – Correo electrónico – Acceso a servicios “cloud” – Aplicaciones corporativas• Son ya una de las vías de ataque en proceso de investigación
  5. 5. Dispositivos móviles 2G/3G• Teléfonos (smartphones)• Tablets (ej. iPad, Kindle)• Portátiles con modem 2G/3G• Routers 3G• Y más…
  6. 6. ¿Amenaza?• ¿Existen entidades (personas, organizaciones, gobiernos) interesadas en obtener y/o manipular las conexiones móviles de datos de otras entidades?• ¿Con $10,000 de presupuesto?
  7. 7. Arquitectura general de GPRS
  8. 8. Arquitectura GPRS/EDGE
  9. 9. Vectores de ataque
  10. 10. Vectores de ataque a comunicaciones móviles Ataques criptográficos Ataques OTAVulnerabilidades del protocolo Corrupción de memoria Desde el operador
  11. 11. Ataque con estación base falsa
  12. 12. Vulnerabilidades• Autenticación unidireccional• Soporte a GEA0 (no cifrado)• Soporte a degradación UMTSGPRS/EDGE Igual que en GSM
  13. 13. Herramientas
  14. 14. Las herramientasUn atacante no necesitará esto, pero...Nosotros realizamostodas nuestraspruebas en una cajade Faraday, paraevitar emisiones enel espacio públicoradioeléctrico (Um)
  15. 15. Las herramientasip.access nanoBTS •BTS comercial •Soporta GSM/GPRS/EDGE •Fabricada by ip.acccess (www.ipaccess.com) •Intefaz IP-over-Ethernet Abis
  16. 16. Las herramientasPC • S.O. GNU/Linux • Acceso a Internet • Un pequeño netbook es suficiente
  17. 17. Las herramientasOpenBSC• Código desarrollado por Harald Welte, Dieter Spaar, Andreas Evesberg y Holger Freyther• http://openbsc.osmocom.org/trac/ “[OpenBSC] is a project aiming to create a Free Software, GPL-licensed Abis (plus BSC/MSC/HLR) implementation for experimentation and research purpose. What this means: OpenBSC is a GSM network in a box software, implementing the minimal necessary parts to build a small, self-contained GSM network.”
  18. 18. Las herramientasOsmoSGSN• Código incluido en OpenBSC• http://openbsc.osmocom.org/trac/wiki/osmo-sgsn “OsmoSGSN (also spelled osmo-sgsn when referring to the program name) is a Free Software implementation of the GPRS Serving GPRS Support Node (SGSN). As such it implements the GPRS Mobility Management (GMM) and SM (Session Management). The SGSN connects via the Gb-Interface to the BSS (e.g. the ip.access nanoBTS), and it connects via the GTP protocol to a Gateway GPRS Support Node (GGSN) like OpenGGSN”
  19. 19. Las herramientasOpenGGSN• Código iniciado por: Jens Jakobsen• Actualmente mantenido por: Harald Welte• http://sourceforge.net/projects/ggsn/ “OpenGGSN is a Gateway GPRS Support Node (GGSN). It is used by mobile operators as the interface between the Internet and the rest of the mobile network infrastructure.”
  20. 20. Las herramientasInhibidor de frecuencias de móvil (jammer) • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias de GSM/GPRS/EDGE “A mobile phone jammer is an instrument used to prevent cellular phones from from receiving signals from base stations. When used, the jammer effectively disables cellular phones.” [Source: Wikipedia]AVISO: Incluso poseer un jammer es ilegal en muchos sitios
  21. 21. El ataque: punto de partida
  22. 22. El ataque: paso 11 Caracterización de la celda real
  23. 23. El ataque: paso 22 El atacante comienza a emitir
  24. 24. El ataque: paso 3 El dispositivo vícitima se3 conecta a la celda falsa
  25. 25. El ataque: paso 4 4 El atacante logra control total (man-in- the-middle) de las comunicaciones de datos (y voz) de la víctima
  26. 26. El ataque en acciónUn iPhone cae en la trampa
  27. 27. ¿Qué ha sucedido?
  28. 28. Extensión del ataque a UMTS¿Cómo podemos extender este ataquepara que sea efectivo contra dispositivosUMTS (3G)?
  29. 29. Extensión del ataque a UMTS:Simplemente, añadir un paso previo Inhibir las 0 frecuencias de UMTS
  30. 30. Ejemplos de uso delataque con estación base falsa
  31. 31. Aprovechando el ataque: ejemplo 1Captura de una búsqueda en Google de un iPhone
  32. 32. ¿Qué ha sucedido?
  33. 33. Aprovechando el ataque: ejemplo 2Ataque de phishing contra un iPad (usando https)
  34. 34. ¿Qué ha sucedido?
  35. 35. Aprovechando el ataque: ejemplo 3Toma de control de un PC a través de GPRS/EDGE
  36. 36. ¿Qué ha sucedido? user / password remote desktop
  37. 37. Aprovechando el ataque: ejemplo 4Control del tráfico de todos los dispositivos ubicados trasun router 3G
  38. 38. ¿Qué ha sucedido?
  39. 39. Aprovechando el ataque: ejemplo 5Ataques contras otro dispositivos GPRS/EDGE
  40. 40. ¿Qué ha sucedido? FTP
  41. 41. Medidas de protección
  42. 42. Medidas de protección• Configurar nuestros dispositivos móviles para aceptar sólo 3G, rechazando 2G• Cifrar nuestras comunicaciones de datos en niveles superiores (HTTPS, SSH, IPSEC, etc.)• Instalar y configurar un firewall software en nuestros dispositivos móviles
  43. 43. Un ataque práctico contracomunicaciones móviles www.taddong.com @taddong david@taddong.com jose@taddong.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×