Your SlideShare is downloading. ×
0
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

José Pico & David Pérez – Atacando 3G [Rooted CON 2014]

321

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
321
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Atacando 3G José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk www.layakk.com
  • 2. 2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RootedCON en Valencia
  • 3. 3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Introducción Ataques posibles en 2G utilizando la técnica de estación base falsa: – IMSI Catching – Geolocalización de dispositivos – Denegación de servicio – Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques… … en esta charla os contamos que gran parte de lo anterior sí puede hacerse… … pero sobre todo queremos ¿desvelar? cómo. – Downgrade selectivo a 2G
  • 4. 4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March BACKGROUND TEÓRICO .
  • 5. 5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¿Cómo es posible? Los mensajes de señalización en 3G están protegidos en integridad, gracias al security mode command y a la estructura del protocolo La criptografía detrás de la protección de integridad y del cifrado no ha sido rota (al menos públicamente). ¿Todos los mensajes? .
  • 6. 6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Security mode set-up procedure MS SRNC VLR/SGSN Establecimiento de conexión RRC1 Mensaje inicial de nivel 3 (Id)2 Autenticación y establecimiento de clave4 Determinación de algoritmos de cifrado e integridad 5 Security Mode Command (UIAs, IK, UEAs, CK, etc.) 6 Inicio de cifrado y protección en integridad 7 Identificación de usuario3 .
  • 7. 7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Establecimiento de un canal de radio (protocolo RRC) UE SRNC RRC CONNECTION REQUEST 1 RRC CONNECTION SETUP 2 RRC CONNECTION SETUP COMPLETE 3 (Establishment Cause, Initial UE Identity, …) (Frequency info, secondary CCPCH, …) (RRC transaction identifier, UE radio access capability, …) .
  • 8. 8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Rechazo de solicitud de establecimiento de conexión RRC UE SRNC RRC CONNECTION REQUEST 1 RRC CONNECTION REJECT 2 (Establishment Cause, Initial UE Identity, …) (Rejection Cause, Redirection info, …) Frequency info Inter-RAT info
  • 9. 9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March HANDOVER TO UTRAN COMPLETE PAGING TYPE 1 PUSCH CAPACITY REQUEST PHYSICAL SHARED CHANNEL ALLOCATION SYSTEM INFORMATION SYSTEM INFORMATION CHANGE INDICATION TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only) RRC CONNECTION REQUEST RRC CONNECTION SETUP RRC CONNECTION SETUP COMPLETE RRC CONNECTION REJECT RRC CONNECTION RELEASE (CCCH only) Mensajes de señalización RRC no protegidos en integridad RRC CONNECTION REQUEST RRC CONNECTION SETUP RRC CONNECTION SETUP COMPLETE RRC CONNECTION REJECT
  • 10. 10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Mensajes MM (DL) permitidos antes del security mode command AUTHENTICATION REQUEST AUTHENTICATION REJECT IDENTITY REQUEST LOCATION UPDATING REJECT LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity) CM SERVICE ACCEPT, if the following two conditions apply: – no other MM connection is established; and – the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to ‘emergency call establishment’ CM SERVICE REJECT ABORT IDENTITY REQUEST LOCATION UPDATING REJECT
  • 11. 11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Infraestructura necesaria: estación base 3G Infraestructura HW necesaria – Emisor / receptor de radio con ancho de banda de al menos 5 MHz – Tasa de muestreo >= 3,84 Msps – Frecuencia y precisión de reloj adecuada Infraestructura SW – Módem SW 3G – Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe
  • 12. 12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ATAQUES IMSI / IMEI Catching Geolocalización de dispositivos Denegación de Servicio Downgrade selectivo a 2G .
  • 13. 13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March IMSI / IMEI Catching UE SRNC Establecimiento de conexión RRC1 Location Update Request 2 Identity Request (IMSI / IMEI / TMSI) 3 Identity Response 4 Location Update Reject 5 .
  • 14. 14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Geolocalización de dispositivos Los datos necesarios para la geolocalización viajan en los canales de señalización establecidos. Tan sólo es necesario establecer el canal RRC con un dispositivo y tras ese momento el resto es idéntico al caso 2G ¿Hace falta aceptar el registro del terminal? .
  • 15. 15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda falsa Geolocalización de dispositivos UE SRNC RRC CONNECTION REQUEST RRC CONNECTION SETUP RRC CONNECTION SETUP COMPLETE (Establishment Cause, Initial UE Identity, …) (Frequency info, secondary CCPCH, …) (RRC transaction identifier, UE radio access capability, …) .
  • 16. 16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Denegación de servicio 3G Puesto que el mensaje “Location Update Reject” puede enviarse previamente al establecimiento de la protección en integridad, el ataque de denegación de servicio basado en los LU Reject Cause Codes es totalmente posible en 3G
  • 17. 17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Downgrade selectivo a 2G El downgrade selectivo a 2G puede realizarse de 2 formas (al menos): – Si se conoce el identificador temporal del dispositivo (lo cual puede obtenido mediante otra acción previa), puede redirigirse el establecimiento de conexión selectivamente a una celda 2G, mediante el uso de Inter-RAT info – Con cualquier identificador del dispositivo, puede utilizarse una celda configurada con el LAC de la celda (en el caso de que existan 2 celdas en el entorno con diferentes LAC pueden utilizarse 2 estaciones base) y rechazar el registro con “Location Area not allowed”
  • 18. 18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Infraestructura necesaria: estación base 3G Infraestructura HW necesaria – Emisor / receptor de radio con ancho de banda de al menos 5 MHz – Tasa de muestreo >= 3,84 Msps – Frecuencia y precisión de reloj adecuada Infraestructura SW – Módem SW 3G – Emulación de las partes del protocolo que nos interesan Supongamos (de momento) que todo esto existe
  • 19. 19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March.
  • 20. 20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March DESARROLLO DE UN MODEM SW 3G Para recepción de una señal en el downlink .
  • 21. 21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Infraestructura HW CAPTURA GigE UHD UmTRX https://code.google.com/p/umtrx/ .
  • 22. 22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Cómo es una señal 2G en plano IQ CAPTURA .
  • 23. 23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Cómo es una señal 3G en plano IQ CAPTURA
  • 24. 24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink La frecuencia de muestreo debe ser un múltiplo de la tasa de símbolos por segundo En UMTS se emiten 3,84 Msps (1 símbolo representa 1 chip) 13 Msps  3,84 Msps CAPTURA RESAMPLING
  • 25. 25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink CAPTURA RESAMPLING IDENTIFICACIÓN DEL PSCH
  • 26. 26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink CAPTURA RESAMPLING SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DEL PSCH
  • 27. 27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink IDENTIFICACIÓN DE SSC GROUP CAPTURA RESAMPLING SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DEL PSCH .
  • 28. 28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink SINCRONIZACIÓN DE FRAME IDENTIFICACIÓN DE SSC GROUP CAPTURA RESAMPLING SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DEL PSCH .
  • 29. 29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink (I) IDENTIFICACIÓN SCRAMBLING CODE SINCRONIZACIÓN DE FRAME IDENTIFICACIÓN DE SSC GROUP CAPTURA RESAMPLING SINCRONIZACIÓN DE TIMESLOT IDENTIFICACIÓN DEL PSCH .
  • 30. 30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Recepción en el downlink (II) 1 1 .
  • 31. 31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March DEMO .
  • 32. 32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March 90850023aa1909143219218438c0b48000aa Master Information Block 10010000 10000101 00000000 00100011 10101010 00011001 00001001 00010100 00110010 00011001 00100001 10000100 00111000 11000000 10110100 10000000 00000000 10101010 214 01 MCC MNC (España) (Vodafone) .
  • 33. 33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Infraestructura necesaria: estación base 3G Infraestructura HW necesaria – Emisor / receptor de radio con ancho de banda de al menos 5 MHz – Tasa de muestreo >= 3,84 Msps – Frecuencia y precisión de reloj adecuada Infraestructura SW – Módem SW 3G – Emulación de las partes del protocolo que nos interesan
  • 34. 34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones Ataques posibles en 2G utilizando la técnica de estación base falsa: – IMSI Catching – Geolocalización de dispositivos – Denegación de servicio – Interceptación de comunicaciones En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques… … en esta charla os contamos que gran parte de lo anterior sí puede hacerse… … pero sobre todo queremos ¿desvelar? cómo. 3G . – Downgrade selectivo a 2G
  • 35. 35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March PARA SABER MÁS… .
  • 36. 36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March PREGUNTAS .
  • 37. 37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Atacando 3G José Picó jose.pico@layakk.com David Pérez david.perez@layakk.com @layakk www.layakk.com

×