Nuevos escenarios de ataque   con estación base falsa        GSM/GPRS                         #rootedgsm                  ...
Introducción.                  2
Terminología    • BTS – Base Station Transceiver:       – Estación base; estación de radio que constituye el         acces...
Ataque con estación base falsa              MS             VL C /               R                            SG           ...
Ataque con estación base falsa               Voz                   Datos    •   Grabación de        • Interceptación de   ...
Escenario objeto de esta charla.                                     6
Escenario objeto de esta charla    Denegación de      servicio de    telefonía móvil                                  7
Denegación de Servicio GSM                             8
Características de los ataques dedenegación de servicio de telefonía móvil                El ataque es capaz de causar una...
Comparativa de técnicas para llevar a  cabo una denegación de servicio GSM                  Ataque    Ataque     Ataque   ...
Agotamiento de canales de radio en la                 BTS (I)Ref.:  “Threats and countermeasures in GSM networks”.  Valer ...
Agotamiento de canales de radio en laBTS (II)       Ref.:  “A practical DoS attack to the GSM  Network”.  Dieter  Spaar.  ...
VL C /            R                         SG                          GGSN                           SNRedireccion media...
Denegación de Servicio GSM          Técnica LUPRCC          (Location Update Procedure Reject          Cause Codes).      ...
Location Update Procedure                  MS                                          PLMN    1   INICIO DEL PROCEDIMIENT...
Location Update Procedure                Reject Cause Codes     Dec   Hex                  Descripción      02   0x02 IMSI...
Location Update Procedure                Reject Cause Codes     Dec    Hex                 Descripción      02   0x02 IMSI...
Comportamiento descrito por la norma                 ante LU Reject    Cause Code: OTHER (sólo por curiosidad)            ...
Comportamiento descrito por la norma               ante LU Reject    Cause Code: 0x0B (PLMN not allowed)                  ...
Pruebas de comportamiento                   ante LU Reject    Cause Code: 0x0B (PLMN not allowed)               Intentos d...
Comportamiento descrito por la norma               ante LU Reject    Cause Code: 0x02 (IMSI unknown in HLR)    Cause Code:...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento ante                 LURejectTerminales probados en el laboratorio                        0x02  ...
Pruebas de comportamiento               ante LU RejectCause Code: 0x02 (IMSI unknown in HLR)Cause Code: 0x03 (Illegal MS)C...
Escenario de aplicación.                             30
El ataque puede ser un ataque                 masivo    • El atacante puede rechazar      indiscriminadamente los intentos...
El ataque puede ser un ataque                   selectivo    Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de...
La denegación es persistente     • El terminal no recupera el servicio hasta       que el usuario lo apaga y lo enciende d...
Contramedidas                34
Protección de los mensajes de nivel 3 en                 UMTS• En todas las conexiones de control N3  establecidas es obli...
Contramedidas USUARIOS  Prohibir en nuestros terminales el              uso de 2GOPERADORES  Desplegar completamente 3G/4G...
Conclusión             37
Nuevos escenarios de ataque   con estación base falsa        GSM/GPRS                         #rootedgsm                  ...
Upcoming SlideShare
Loading in …5
×

José Picó y David Pérez - Nuevos escenarios de ataque con estación base falsa GSM/GPRS [RootedCON 2012]

2,236 views

Published on

Grabar conversaciones, redirigir llamadas, suplantar llamantes, interceptar comunicaciones, etc. no es lo único que se puede hacer con una estación base falsa GSM/GPRS. Volvemos a traer el laboratorio para demostrarlo.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,236
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

José Picó y David Pérez - Nuevos escenarios de ataque con estación base falsa GSM/GPRS [RootedCON 2012]

  1. 1. Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.comw w w. t a d d o n g . c o m@taddong
  2. 2. Introducción. 2
  3. 3. Terminología • BTS – Base Station Transceiver: – Estación base; estación de radio que constituye el acceso del móvil a la red • PLMN – Public Land Mobile Network: – El operador de telefonía • HPLMN – Home PLMN: – Es el operador que emite una tarjeta SIM y el único que conoce su clave precompartida Ki • IMSI – International Mobile Subscriber Identifier: – Identificar único de la tarjeta SIM (y del usuario) • TMSI – Temporary Mobile Subscriber Identifier: – Identificador temporal asignado por la red para que el móvil no tenga que revelar su IMSI constantemente. 3
  4. 4. Ataque con estación base falsa MS VL C / R SG GGSN SN HL R/ Au C B SC INTERNET BT S Ro ute r GSM / GPRS / EDGE. 4
  5. 5. Ataque con estación base falsa Voz Datos • Grabación de • Interceptación de llamadas y SMS tráfico • Suplantación • Redirección de número llamante tráfico • Suplantación • Posición destino privilegiada para (redirección) realizar todo tipo • Impersonación del de ataques IP usuario 5.
  6. 6. Escenario objeto de esta charla. 6
  7. 7. Escenario objeto de esta charla Denegación de servicio de telefonía móvil 7
  8. 8. Denegación de Servicio GSM 8
  9. 9. Características de los ataques dedenegación de servicio de telefonía móvil El ataque es capaz de causar una Ataque denegación de servicio de forma masiva e ‘Masivo’ indiscriminada en el alcance del sistema. El ataque es capaz de causar una Ataque denegación de servicio selectivamente sólo a ‘Selectivo’ algunos terminales móviles que pueden ser discriminados por el atacante. El ataque persiste en el tiempo (hasta una Ataque determinada condición) después de que el ‘Persistente’ atacante deja de actuar y sale del lugar. Ataque El usuario no percibe ninguna señal de que‘Transparente’ ha perdido el servicio 9
  10. 10. Comparativa de técnicas para llevar a cabo una denegación de servicio GSM Ataque Ataque Ataque Transparente Masivo Selectivo Persistente al usuario Inhibidor de frecuenciaAgotamiento de canales deradio en la BTS Redirección medianteestación base falsa Técnica LUPRCC 10
  11. 11. Agotamiento de canales de radio en la BTS (I)Ref.:  “Threats and countermeasures in GSM networks”.  Valer  Bocan, Bocan Cretu http://ojs.academypublisher.com/index.php/jnw/article/view/010618/655 11
  12. 12. Agotamiento de canales de radio en laBTS (II) Ref.:  “A practical DoS attack to the GSM  Network”.  Dieter  Spaar. http://www.mirider.com/GSM-DoS-Attack_Dieter_Spaar.pdf 12
  13. 13. VL C / R SG GGSN SNRedireccion mediante estación base falsa HL R/A uC C BS INTERNET BT S Ro ute r GSM / GPRS / Llamada saliente EDGE Demo 13
  14. 14. Denegación de Servicio GSM Técnica LUPRCC (Location Update Procedure Reject Cause Codes). 14
  15. 15. Location Update Procedure MS PLMN 1 INICIO DEL PROCEDIMIENTO LOCATION UPDATING REQUEST 2 (Classmark Interrogation Procedure) 3 (Identification Procedure) 4 (Authentication Procedure) 5 (Start Ciphering Procedure) LOCATION UPDATING ACCEPT / REJECT 6 Reject Cause Code. 15
  16. 16. Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER. 16
  17. 17. Location Update Procedure Reject Cause Codes Dec Hex Descripción 02 0x02 IMSI unknown in HLR 03 0x03 Illegal MS 06 0x06 Illegal ME 11 0x0B PLMN not allowed 12 0x0C Location Area not allowed 13 0x0D Roaming not allowed in this location area 15 0x0F No Suitable Cells In Location Area OTHER OTHER OTHER. 17
  18. 18. Comportamiento descrito por la norma ante LU Reject Cause Code: OTHER (sólo por curiosidad) 3GPP TS 24.008 - 4.4.4.7 "The MS waits for release of the RR connection as specified in sub-clause 4.4.4.8, and then proceeds as follows. TimerT3210 is stopped if still running. The RR Connection is aborted in case of timer T3210 timeout. The attempt counter isincremented. The next actions depend on the Location Area Identities (stored and received from the BCCH of thecurrent serving cell) and the value of the attempt counter." "– the update status is UPDATED, and the stored LAI is equal to the one received on the BCCH from the currentserving cell and the attempt counter is smaller than 4:The mobile station shall keep the update status to UPDATED, the MM IDLE sub-state after the RR connection release is NORMAL SERVICE. The mobile station shall memorize the location updating type used in the location updating procedure. It shall start timer T3211 when the RR connection is released. When timer T3211 expires the location updating procedure is triggered again with the memorized location updating type;" "– either the update status is different from UPDATED, or the stored LAI is different from the one received on theBCCH from the current serving cell, or the attempt counter is greater or equal to 4:The mobile station shall delete any LAI, TMSI, ciphering key sequence number stored in the SIM, set the updatestatus to NOT UPDATED and enter the MM IDLE sub-state ATTEMPTING TO UPDATE when the RRconnection is released (See sub-clause 4.2.2.2 for the subsequent actions). If the attempt counter is smaller than4, the mobile station shall memorize that timer T3211 is to be started when the RR connection is released,otherwise it shall memorize that timer T3212 is to be started when the RR connection is released.". 18
  19. 19. Comportamiento descrito por la norma ante LU Reject Cause Code: 0x0B (PLMN not allowed) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall delete any LAI, TMSI and ciphering key sequence number stored in the SIM/USIM, reset the attempt counter, and set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2). The mobile station shall store the PLMN identity in the ‘forbidden  PLMN list’.The MS shall perform a PLMN selection when back to the MM IDLE state according to 3GPP TS 23.122. An MS in GAN mode shall request a PLMN list in GAN (see 3GPP TS 44.318) prior to performing a PLMN selection from this list according to 3GPP TS 23.122.". 19
  20. 20. Pruebas de comportamiento ante LU Reject Cause Code: 0x0B (PLMN not allowed) Intentos de conexión del móvil en el tiempo desde el primer rechazo. 20
  21. 21. Comportamiento descrito por la norma ante LU Reject Cause Code: 0x02 (IMSI unknown in HLR) Cause Code: 0x03 (Illegal MS) Cause Code: 0x05 (Illegal ME) 3GPP TS 24.008 - 4.4.4.7 "The mobile station shall set the update status to ROAMING NOT ALLOWED (and store it in the SIM/USIM according to subclause 4.1.2.2), and delete any TMSI, stored LAI and ciphering key sequence number and shall consider the SIM/USIM as invalid for non-GPRS services until switch-off or the SIM/USIM is removed.”. 21
  22. 22. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 6210 (Simyo) 22
  23. 23. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME Nokia 3210 (Simyo) 23
  24. 24. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME NokiaN97(Movistar) 24
  25. 25. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal MESony-Ericsson T290i (Movistar) 25
  26. 26. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal MESiemens A55 (Simyo) 26
  27. 27. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal MEMotorola C123 (Simyo) 27
  28. 28. Pruebas de comportamiento ante LURejectTerminales probados en el laboratorio 0x02 0x03 0x06 IMSI unknown in HLR Illegal MS Illegal ME iPhone (Movistar) 28
  29. 29. Pruebas de comportamiento ante LU RejectCause Code: 0x02 (IMSI unknown in HLR)Cause Code: 0x03 (Illegal MS)Cause Code: 0x05 (Illegal ME) Demo Vídeo 29
  30. 30. Escenario de aplicación. 30
  31. 31. El ataque puede ser un ataque masivo • El atacante puede rechazar indiscriminadamente los intentos de conexión, sea cual sea el identificador de las víctimas • La capacidad de proceso no es determinante (el atacante sólo debe rechazar un registro de cada víctima) • Se puede realizar consecutivamente a varios operadores (o simultáneamente con varios equipos iguales). 31
  32. 32. El ataque puede ser un ataque selectivo Sólo es necesario poder identificar a la SIM (IMSI o TMSI) de la víctima • Existen varias técnicas para identificar a la víctima, por ejemplo: – Técnicas  de  “monitorización”  para  obtener  el  IMSI:   http://blog.taddong.com/2011/05/selective-attack- with-rogue-gsmgprs.html – Descubrir el TMSI y utilizarlo: http://events.ccc.de/congress/2011/Fahrplan/attachm ents/1994_111217.SRLabs-28C3- Defending_mobile_phones.pdf – Interrogar al HLR a través de la red global SS7: http://events.ccc.de/congress/2010/Fahrplan/attachm ents/1783_101228.27C3.GSM- Sniffing.Nohl_Munaut.pdf. 32
  33. 33. La denegación es persistente • El terminal no recupera el servicio hasta que el usuario lo apaga y lo enciende de nuevo La denegación NO es transparente • El mensaje al usuario depende del terminal: algunos terminales muestran en pantalla un mensaje para informar al usuario y otros simplemente que no hay cobertura 33.
  34. 34. Contramedidas 34
  35. 35. Protección de los mensajes de nivel 3 en UMTS• En todas las conexiones de control N3 establecidas es obligatorio iniciar el procedimiento de protección de integridad de los mensajes de señalización. Existen 5 excepciones a esta norma (3GPP 33.102), que no aplican al Location Registration Reject procedure; explícitamente se describe  “(…)it shall be mandatory for the VLR/SGSN to start integrity protection before sending a reject signalling message that causes the CSG list on the UE to be modified  (…)”.• El procedimiento de protección de integridad se establece mediante el security mode command 35
  36. 36. Contramedidas USUARIOS Prohibir en nuestros terminales el uso de 2GOPERADORES Desplegar completamente 3G/4G y eliminar la cobertura 2G 36
  37. 37. Conclusión 37
  38. 38. Nuevos escenarios de ataque con estación base falsa GSM/GPRS #rootedgsm José Picó - jose@taddong.com David Pérez - david@taddong.comw w w. t a d d o n g . c o m@taddong

×