Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Seguridad en las comunicaciones móviles
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Introducción
En la actualida...
Un poco de teoría sobre GSM
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Arquitectura de red 2G
Defin...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Arquitectura de red 3G/4G
La...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
2G
• Voz: GSM
• Datos: GPRS ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
GSM y su Seguridad
Años 90
L...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Algunos conceptos
MCC y MNC ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Cell ID
El parámetro CELL ID...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Prensa
Cada vez son más las ...
Ataques a las redes GSM
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Nokia Net Monitor
¿Quién no ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Cronología de los ataques a
...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Escenarios en 2G
Interceptac...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ataque pasivo: Key Cracking
...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ataques SMS
Existen otro tip...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ataques SS7
En el 25C3 (Año ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ataques SS7 (II)
Ataques SS7...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ataques SS7 (III)
Ataques SS...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
IMSI Catching
IMSI-Catching ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
IMSI Catcher
El IMSI (Intern...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
IMSI Catcher
En Wikileaks se...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
IMSI Catcher
En Wikileaks se...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Fake BTS
Según revelaciones ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Monta tu propia BTS
Para con...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Ebay
Sólo basta darse una vu...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Monta tu propia BTS
Cada vez...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Otros ataques….
• Enviar SMS...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
El negocio de la Vigilancia
...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Free Software
xgoldmon
Un sn...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Free Software
Hoy en día exi...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Analizando GSM con Airprobe ...
Otros vectores de ataque
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Otros vectores de Ataque
Aun...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Otros vectores de Ataque
Aun...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
SmallCells / FemtoCells
Para...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
¿Estamos seguros?
Si cada ve...
¿Cómo nos defendemos?
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
¿Cómo nos protegemos de
todo...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
¿Cómo nos protegemos de
todo...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
¿Qué herramientas tenemos a
...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Aplicaciones para la detecci...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
SnoopSnitch
Aplicación capaz...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Darshak
Aplicación capaz de ...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Seguridad
de las redes GSM e...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
La importancia
de la SEGURID...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Are there any viruses detect...
Alex Casanova
http://about.me/alex.casanova
Seguridad en Comunicaciones Móviles
Alex Casanova
Osmocom Project:
http://osmo...
Alex Casanova
@hflistener
alexbogus@gmail.com
digimodes.wordpress.com
about.me/alex.casanova
Upcoming SlideShare
Loading in …5
×

Seguridad en las comunicaciones móviles - Hack&Beers Valencia

3,782 views

Published on

Seguridad en las comunicaciones Móviles
Hack & Beers 2016 (Valencia)

Published in: Technology
  • Be the first to comment

Seguridad en las comunicaciones móviles - Hack&Beers Valencia

  1. 1. Seguridad en las comunicaciones móviles
  2. 2. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Introducción En la actualidad estamos expuestos a multitud de amenazas en diferentes planos. Por una parte, debemos tener en cuenta la seguridad de las comunicaciones ya que cada vez hacemos más uso de las redes de datos: 3G, LTE, Wireless, etc. Por desgracia los teléfonos móviles no fueron diseñados con la premisa de garantizar la privacidad y la seguridad de las comunicaciones. Su uso masivo no expone a múltiples amenazas: - Pérdida o robo del dispositivo - Infecciones por virus o malware - Robo de información - Suplantación de Información - Acceso a datos confidenciales - Acceso a conversaciones - Acceso a imágenes / vídeos. https://i2.wp.com/www.gadgetbridge.com/wp-content/uploads/2015/05/state-of-mobile-1.jpg?w=696 #hbvalencia
  3. 3. Un poco de teoría sobre GSM
  4. 4. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Arquitectura de red 2G Definiciones: • MT / TE: Mobile Terminal, se comunica con la red móvil a través de interface aire. • SIM: tarjeta inteligente que almacena de forma segura la clave de servicio del suscriptor para identificarse en la red. • BTS: estación base, compuesta por la antena y la electrónica que cubre cierta área geográfica (celda) • BSC (Base Station Controller) agrupa a un conjunto de BTS. • CS-MGW: Encargado de recibir el tráfico de voz del BSC y lo encamina a una red IP/ATM. • MSC Server: Realiza la función de control de llamadas • GMSC: Se encarga de “enrutar” las llamadas de Voz. • PSTN: Red telefónica #hbvalencia
  5. 5. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Arquitectura de red 3G/4G La arquitectura de una red 3G/4G es algo más complicada que una red 2G. Definiciones: • NodeB: UMTS Base Station • RNC: Radio Network Controller • SGSN: Serving GPRS Support Node • GGSN: Gateway GRPS Support Node • MSC: Mobile Switching Center #hbvalencia
  6. 6. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova 2G • Voz: GSM • Datos: GPRS / EDGE 3G • Voz y Datos: UMTS / HSPA 4G • Voz: voLTE • Datos: LTE Algunas definiciones Definiciones: • GPRS: General Packet Radio Service, creado en la década de los 80. Es una extensión del GSM para la transmisión de datos mediante conmutación de paquetes • EDGE: acrónimo para Enhanced Data Rates for GSM Evolution (tasas de Datos Mejoradas para la Evolución del GSM) y también conocida como Enhanced GPRS (EGPRS) o GPRS Mejorado • UMTS: Universal Mobile Telecommunications System es una de las tecnologías usadas por los móviles de tercera generación • HSPA: High-Speed Packet Access es la combinación de tecnologías posteriores y complementarias a la telefonía móvil (3G), como son el 3.5G o HSDPA y 3.5G Plus, 3.75G o HSUPA • voLTE: VoLTE es el acrónimo de "Voice over LTE". Sistema basado en la transmisión de la voz mediante IP (voip) a través de las redes LTE. #hbvalencia
  7. 7. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova GSM y su Seguridad Años 90 Las primeras especificaciones del protocolo GSM-900 data de los años 90. En aquellas especificaciones la seguridad de las redes GSM se basaba en varios pilares: - La dificultad de interceptar este tipo de comunicaciones, al tratarse de comunicaciones digitales - La identificación del abonado mediante el uso de tarjeta SIM. Otro de los pilares en los que se basaba su seguridad era el uso de algoritmo de cifrado. Estos algoritmos, se definieron para la autenticación del usuario en la red, para la generación de la clave de sesión usada para el cifrado, y para el cifrado de las conversaciones y los mensajes (SMS). #hbvalencia
  8. 8. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Algunos conceptos MCC y MNC son las siglas en Inglés de Mobile Country Code y Mobile Network Code. Estos códigos numéricos son usados para identificar el país y los operadores de telefonía móvil. MCC y MNC forman parte del IMSI (International Subscriber Identity) que permite identificar a un dispositivo de manera única. #hbvalencia
  9. 9. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Cell ID El parámetro CELL ID (Cell Identification) es el que nos permite identificar una celda en dónde un usuario se ubica. Existen aplicaciones móviles y aplicaciones Web, que nos permiten conocer la ubicaciones de estas celdas. Para contribuir a realizar este tipo de mapas se pueden utilizar varias aplicaciones móviles: - Tower Collector - InViu OpenCellID - CellID Info Mapa: OpenCellID http://opencellid.org/ #hbvalencia
  10. 10. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Prensa Cada vez son más las noticias que aparecen en los medios de comunicación que hacen referencias a escuchas en las comunicaciones móviles. Que no disponemos de privacidad en nuestras comunicaciones, no es algo que podamos pensar, sino una realidad. #hbvalencia
  11. 11. Ataques a las redes GSM
  12. 12. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Nokia Net Monitor ¿Quién no ha tenido un móvil como este? Seguro que en algún momento hemos visto ese modo “Hacker” del Nokia que nos proporcionaba información sobre la arquitectura de la red. • Cellular Diagnostic Tool • ARFCN Identification • Canal de Señalización (BCCH) • Uplink Traffic Channel En algunos móviles Nokia se podía habilitar un modo ingeniero llamado “Net Monitor” con el que se podían obtener diversos valores de la red GSM a la que estaba conectado el dispositivo. #hbvalencia
  13. 13. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Cronología de los ataques a GSM El 28 de Diciembre de 2010 marcó un antes y un después en la seguridad de las comunicaciones Móviles [Slides][vídeos]. Un grupo de Hackers lograban romper la seguridad de las redes GSM, en directo, con un presupuesto de 50-70€. También hay que mencionar el proyecto OSMOCOMBB y al grupo de investigadores liderado por Harald Welte. Los cuales crearon una pila GSM de Software libre que funciona sobre cierto tipo de teléfonos que ya no se fabrican. 1994: Ross Anderson publicó el algoritmo A5 (“secreto”) y avisó de que era demasiado débil, alegando que esta era la razón por la cual no querían que fuera publicado 1998: Primera vulnerabilidad descubierta por dos investigadores de la Universidad de Berkeley. El Algoritmo de cifrado A3 se podía romper en menos de un día. 2010: Sylvain Munaut y Karsteln Nohl durante el 27 Congreso del CCC en Berlín, demostraron como con 4 teléfonos de 15€ c/u se pueden pinchar llamadas de teléfono GSM. Salvando así la última barrera, la interceptación de las comunicaciones Presente y Futuro: Las comunicaciones ya no son seguras. Cada día aparecen nuevas formas de explotar la seguridad de las redes GSM. En los principales congresos de seguridad siempre aparece una charla de seguridad GSM. 1994 1998 2010 2016 #hbvalencia
  14. 14. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Escenarios en 2G Interceptación: • Un atacante es capaz de grabar las llamadas y/o interceptar los mensajes SMS. Rompiendo el cifrado en tiempo real o en mediante un proceso batch (after recording) Impersonificación: • Realizar llamadas usando la identidad de la víctima • Enviar SMS usando la identidad de la victima. • Recibir las llamadas que van destinadas a la víctima. Tracking: • Localización de la víctima en una celda determinada. • Localización de la víctima de forma Global. #hbvalencia
  15. 15. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ataque pasivo: Key Cracking En 1998 Karsten Nohl demostró que el algoritmo A5/1 utilizado en las comunicaciones móviles era susceptible de ser atacado mediante ataques de pre- computación How to? • Intercepación de las llamadas con un teléfono reprogramado (Motorola de 20€) • Se crackea la sesión key usando rainbow tables (1-2 TB). Actualmente se puede tardar segundos usando procesamiento GPU. Evolución del cifrado: - A5/3: Conocido como KASUMI, es la versión mejorada del algoritmo de cifrado. - A5/4 y UMTS UEA/1 actualmente considerados seguros ya que utilizan una key de 128 bits. #hbvalencia
  16. 16. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ataques SMS Existen otro tipo de ataques que se pueden realizar mediante el envío de mensajes SMS especialmente formados. • WAP Push: • Se envía un mensaje espcialmente formado que permite interpretar si el usuario está conectado o no. • Envío de mensajes con contenido malicioso. • MMS: • Lo más comunes son mensajes con enlaces a URLs maliciosas para tratar de explotar alguna vulnerabilidad del terminal. • SMS en modo PDU: • Ataque consistente en enviar un SMS especialmente formado con contenido destinado a la tarjeta SIM que consigue saltarse los controles de seguridad de la misma. WAP Push Notification message • El atacante envía un mensaje del tipo WAP Push notification a la víctima Phone ignores this kind of payloads • En el teléfono de la victima no se muestra ningún mensaje Mobile Operator sends a delivery Report • El operador envía un informe indicando que nos permite saber si la víctima tiene el móvil encendido #hbvalencia
  17. 17. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ataques SS7 En el 25C3 (Año 2008) Tobias Engel, publicaba un método para localizar a cualquier víctima de la red GSM, utilizando para ellos mensajes de protocolos de la red SS7. Para entender rápidamente SS7, podemos pensar en una serie de protocolos que, por ejemplo, permiten establecer dinámicamente los circuitos para realizar una llamada (señalización), y determinar dónde se encuentran los abonados que se quieren intercomunicar. Ataques SS7: - Información filtrada o mal securizada. - Fuzzing de protocolos (DoS, Resource Exhaustion, etc.) - Reconocimiento y enumeración de la red (mapa y escaneo de nodos, puertos, etc.) - Inyección de paquetes (SendRoutingInfo, ProvideSubscriberLocation, etc.) http://ss7map.p1sec.com/ #hbvalencia
  18. 18. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ataques SS7 (II) Ataques SS7: - Localización del objetivo - Escucha de las llamadas - Interceptación de los mensajes - Redirección de las llamadas - Monitorizar los movimientos del “objetivo” - Suplantación de identidad Aunque no han llegado a la primera plana de las noticias muchos ataques se han realizado utilizando estas técnicas. La Empresa de Seguridad “AdaptiveMobile” pudo demostrar que muchos móviles Ucranianos habían sido espiados desde orígenes Rusos para obtener información en los últimos años. El periódico “The Guardian” también se hizo eco en alguna ocasión de un incidente relacionado con SS7 que dejó una gran red de un operador Noruego “offline” debido a “eventos extraños en la red SS7” Enlaces de Interés: http://www.9jumpin.com.au/show/60minutes/storie s/2015/august/phone-hacking/ #hbvalencia
  19. 19. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ataques SS7 (III) Ataques SS7: La información de tracking depende de mensajes no cifrados como CellID que permite a un atacante conocer la posición de la torre a la que está conectado la “victima”. ¿Os acordáis del mapa de las primeras slides dónde se veía un mapa de Barcelona con la ubicación de las torres de comunicaciones (BTS)? #hbvalencia
  20. 20. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova IMSI Catching IMSI-Catching es una técnica que permite la escucha y/o monitorización del tráfico generado por teléfonos móviles. El dispositivo simula ser una estación base, de forma que los teléfonos que están a su alrededor, al recibir una señal más potente que la estación base “real”, tratarán de conectarse a esa estación base. ¿En qué consiste? Un ataque de IMSI-Catching consiste básicamente, en la captura no autorizada de IMSIs. Este ataque es realmente peligroso ya que con la captura del IMSI podemos determinar que el usuario X tiene presencia en una zona determinada. #hbvalencia
  21. 21. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova IMSI Catcher El IMSI (International Mobile Subscriber Identity) es un parámetro de 15 dígitos alojado en la tarjeta SIM, que permite identificar a un subscriptor. Para llevar a cabo este tipo de ataque, bastará con desplegar una estación base falsa que permita mantener una conversación con el “objetivo”. El dispositivo “objetivo” de repente, detecta una nueva estación base, con más potencia que a la que está conectada y solicita hacer un cambio a dicha antena (Location Update). Aquí vemos cómo podría ser una conversación entre el móvil objetivo y la estación base falsa. #hbvalencia
  22. 22. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova IMSI Catcher En Wikileaks se publicaron documentos, filtrados por Edward Snowden relativos a que la NSA pudiera estar montando estaciones falsas con el fin de poder realizar escuchas telefónicas. En esos documentos, se desveló el StingRay; nombre utilizado para un producto con funciones de IMSI-Catcher creado por la firma Harris Corporation y diseñado para uso por las las fuerzas armadas y las agencias de Inteligencia. A raíz de las filtraciones de Snowden, este producto se hizo tan famoso, que hoy en día, muchos dispositivos con funciones similares son referenciados como StingRay. #hbvalencia
  23. 23. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova IMSI Catcher En Wikileaks se publicaron documentos, filtrados por Edward Snowden relativos a que la NSA pudiera estar montando estaciones falsas con el fin de poder realizar escuchas telefónicas. En esos documentos, se desveló el StingRay; nombre utilizado para un producto con funciones de IMSI-Catcher creado por la firma Harris Corporation y diseñado para uso por las las fuerzas armadas y las agencias de Inteligencia. A raíz de las filtraciones de Snowden, este producto se hizo tan famoso, que hoy en día, muchos dispositivos con funciones similares son referenciados como StingRay. #hbvalencia
  24. 24. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Fake BTS Según revelaciones de algunos medios de información, el Departamento de Justicia de EEUU pudiera estar obteniendo información de los dispositivos móviles de los usuarios utilizando “Dirtboxes” ubicadas en avionetas. #hbvalencia
  25. 25. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Monta tu propia BTS Para construir una Fake BTS necesitamos 2 elementos: - Transceiver: BladeRF / USRP - Software: OpenBTS / YateBTS Nota Importante: Transmitir en bandas reservadas para a GSM es un delito, cualquier prueba debe realizarse con una Jaula de Faraday para aislar el alcance de nuestra transmisión. #hbvalencia
  26. 26. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Ebay Sólo basta darse una vuelta por Ebay para comprobar que sin invertir una gran fortuna se pueden conseguir Nano BTS que nos permitirían realizar los ataques anteriormente descritos. Nota Importante: Transmitir en bandas reservadas para a GSM es un delito, cualquier prueba debe realizarse con una Jaula de Faraday para aislar el alcance de nuestra transmisión. #hbvalencia
  27. 27. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Monta tu propia BTS Cada vez aparecen más manuales y Howto para desplegar una “BTS false” con medios económicos. Recientemente han aparecido una serie de artículos que demuestran la capacidad de desplegar una BTS falsa con equipamiento que no asciende a más de 1000€ y que además es portable.. En el manual se detalla como desplegar la BTS aunque no se detallan ataques de downgrade. Imaginemos por un momento que el atacante es capaz de desplegar esta BTS junto con un Asterisk (VoIP) para capturar todo nuestro tráfico de voz o incluso de desplegar 3g/GRPS para ofrecernos datos. Nota Importante: Transmitir en bandas reservadas para a GSM es un delito, cualquier prueba debe realizarse con una Jaula de Faraday para aislar el alcance de nuestra transmisión. #hbvalencia
  28. 28. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Otros ataques…. • Enviar SMS con remitentes spoofeados • Llamadas con remitentes spoofeados • Mobile Identity Spoofing (recibir llamadas y SMS de la víctima) • Disconnect mobile network from the network: attacker who knows IMSI and TMSI number of the target, can disconnect target's mobile phone with special commands. • Shut down of a part of a mobile network: making a flooding attack. • Ataques a la BaseBand de los teléfonos • Ataques contra la SIM • Ataques Location Update Procedure Reject: causan la desconexión temporal del dispositivo (denegación del servicio) • Agotamiento de los recursos radio de la BTS (D • Jamming • Etc…. https://pravokator.si/wp-content/uploads/2014/01/GSM_security_2013.pdf #hbvalencia
  29. 29. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova El negocio de la Vigilancia En un artículo publicado recientemente, un periodista nos relata la historia de cómo, a través de Skype contactando con un vendedor de China le ofrecía el equipamiento que realiza las funciones de IMSI-CATCHER, por $15000 que podía ser operado mediante una aplicación móvil Android. En el vídeo se puede observar cómo el sistema puede ser operado mediante una app Android que recoge información de todos los móviles que se encuentran a su alrededor. En la aplicación se puede ver el IMSI (International Mobile Subscriber Identity) que es el identificador único para cada tarjeta SIM, el IMEI (International Mobile Equipment Identity) que identifica de forma unequívoca al terminal móvil, y por supuesto los números de teléfono de todas las personas que están en la zona de acción del IMSI-CATCHER #hbvalencia
  30. 30. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Free Software xgoldmon Un sniffer de 3G, DL y UL, de los mensajes de control. Extrae algunos mensajes de los canales de control, tanto de broadcast como dedicados, en las comunicaciones entre un móvil y la red 3G. xgoldmon (Tobias Engel) https://github.com/2b-as/xgoldmon #hbvalencia
  31. 31. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Free Software Hoy en día existe una gran cantidad de Software que nos permite experimentar con las redes GSM. • OpenBTS: estable • OpenBSC: estable • OsmocomBB: estable • OpenBTS-UMTS: faltan “features” de voz • OpenLTE: inestable • srsLTE: sólo para escanear redes LTE. #hbvalencia
  32. 32. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Analizando GSM con Airprobe y un receptor SDR (RTL-SDR) En Wireshark utilizaremos el disector “GSMTAP” que encapsula la información recibida vía RF en paquetes UDP para su posterior procesamiento. Lo que nos permite ver el tráfico desde una BTS hacía un MS (Mobile Subscriber). Muy útil para analizar el tráfico GSM. #hbvalencia
  33. 33. Otros vectores de ataque
  34. 34. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Otros vectores de Ataque Aunque nos hemos centrado básicamente en el protocolo GSM para analizar la seguridad de las comunicaciones móviles. Existen otros “actores” que forman parte de las comunicaciones y que pueden ser posibles vectores de ataque. • Equipamiento móvil • 3G/4G USB Módems • Routers / Access Points • SmartPhones • Femtoceldas / SmallCelss • SIM cards • Cracking SIM update keys • Deploy SIM malware • eSIM • Radio / IP Access Network • Radio Access Network • IP Access Network #hbvalencia
  35. 35. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Otros vectores de Ataque Aunque nos hemos centrado básicamente en el protocolo GSM para analizar la seguridad de las comunicaciones móviles. Existen otros “actores” que forman parte de las comunicaciones y que pueden ser posibles vectores de ataque. • SIM cards • Las tarjetas SIM tiene su propia clave OTA (over-the-air) que se utiliza por los operadores para instalar actualizaciones. • Si la clave OTA es comprometida (algunas tarjetas todavía utilizan DES) se podría instalar “malware” en los teléfonos. • Se podría enviar un mensaje OTA malformado donde la SIM responda con la clave criptográfica (DES) y el atacante podría crear SMS firmados que permitan a la SIM bajar applets de JAVA. • La NSA ya ha desarrollado ataques de este tipo y aparecen en su catálogo de “juguetes” #hbvalencia
  36. 36. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova SmallCells / FemtoCells Para dar respuesta ante la crecente demanda de cobertura es necesario un incremento en el número de celdas/emplazamientos para poder ofrecer una mayor capacidad de datos. Ampliando por tanto la capacidad de la red. Actualmente en las grandes ciudades se pueden ver pequeñas antenas instaladas utilizando mobiliario urbano, pero cada vez serán más las instalaciones que tendremos a nuestro alcance para garantizar la alta demanda de acceso a la red, donde cada vez se necesita mayor velocidad de acceso y dónde cada vez son más los dispositivos que se conectarán a estas redes. #hbvalencia
  37. 37. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova ¿Estamos seguros? Si cada vez tenemos las BTS más cerca de nosotros para garantizar mayor cobertura y mayor ancho de banda. Los ataques clásicos vistos en esta presentación pueden ser más dirigidos o incluso se pueden implementar otros vectores de ataque ya que el HW pasa a ser más económico y más del lado del cliente. - Ataques MitM entre operador y cliente - Fake Operator BTS (MCC/MNC) - HW Hacking - FW con fallos de seguridad - SW con fallos de seguridad - Fallos en la autenticación, transporte de la información. En el 2009 ya se consiguió hackear una femtocelda de VF: http://wiki.thc.org/Vodafone. BlackHat 2011: En algunos estudios de las FemtoCeldas se ha detectado que sólo el tráfico entre la Femtocelda y el teléfono va cifrado. Toda la parte de cifrado/descifrado de las comunicaciones se realizada “on the box”. Los ataques dejan de suceder en el interface aire-aire, para para pasar al plano Hardware. Ataques a la FemtoCelda para que se conecte contra nuestro “GAN Proxy” y nos permite hacer un MitM. Ya no es necesario centrarse en atacar el interface aire- aire. Se pueden realizar ataques de “SMS Inject” con un propósito malicioso (p. ejemplo: “IMSI detach message” que causaría una interrupción del servicio en el MS. #hbvalencia
  38. 38. ¿Cómo nos defendemos?
  39. 39. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova ¿Cómo nos protegemos de todos estos ataques? #hbvalencia
  40. 40. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova ¿Cómo nos protegemos de todos estos ataques? Usuarios: • Protegener nuestras comunicaciones con cifrado E2E (extremo a extremo) • Prohibir que nuestros terminales usen 2G • Utilización de Software para la detección de Fake BTS • Informarse acerca de la seguridad de las redes de nuestro operador Operadores: • Terminar de desplegar completamente redes 3G y 4G y eliminar la cobertura 2G • Establecer mecanismos adicionales de filtrado para mensajes SS7 (ver ataques SS7) • Acciones de mitigación para los ataques más conocidos (ver gráfico de ataques / mitigación) • Implementar medidas de seguridad en SMS (SMS Home Routing) • Detección de intrusión en frecuencias legítimas #hbvalencia
  41. 41. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova ¿Qué herramientas tenemos a nuestro alcance?: Apps móviles. También disponemos de apps para los dispositivos móviles que nos permiten conocer los parámetros técnicos de la red. Esta información es muy útil para poder depurar GSM, o incluso preparar el terreno para realizar un ataque. A la derecha podemos algunos screenshots de la aplicación móvil: G-Nettrack #hbvalencia
  42. 42. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Aplicaciones para la detección de estaciones falsas El equipo de Karsten Nohl creó una herramienta llamada “catchercatcher” para detectar posibles ataques. Esta herramienta se publicó en el 28C3 basándose en el proyecto OsmocomBB. #hbvalencia
  43. 43. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova SnoopSnitch Aplicación capaz de recoger trazas de las redes GSM y analizarlas para detección de anomalías. Características: - Detección de estaciones falsas mediante el análisis de configuraciones sospechosas en las BTS que detecta - Capaz de detectar “user tracking” - Capaz de detectar ataques SS7 Requisitos: - Móvil Android “rooteado” con versión >= 4.1 - Chipset Qualcomm - Samsumg Galaxy S4/S5 - Sony Z1 - Moto E #hbvalencia
  44. 44. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Darshak Aplicación capaz de detectar distintos ataques: Características: - Detección de “Silent SMS2 - Detección de “IMSI catchers” - Muestra el cifrado de la red (A5/1,…) - Crea perfiles por localización para buscar anomalías. Requisitos: - Móvil Android “rooteado” versión >= 4.1.2 - Galaxy S3 #hbvalencia
  45. 45. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Seguridad de las redes GSM en España Las redes móviles en España, aplican algunas medidas de seguridad pero no todas las que se desearían. • VF ha comenzado a cifrar su red con A5/3 • VF y ORANGE están protegiendo a sus abonados frente a ataques de “Tracking” • Ataques de impersonificación en redes 2G siguen siendo posibles en España Spain Report 2016 #hbvalencia
  46. 46. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova La importancia de la SEGURIDAD en las comunicaciones móviles Estos ataques a las comunicaciones móviles han sido documentados en varias Conferencias de Seguridad: - BlackHat - CCC - DefCON - RootedCON - Navaja Negra - Etc. Esto además se hace cada vez más accesible al público en general con el abaratamiento de los dispositivos SDR y los proyectos de Software como OpenBTS y/o Osmo-BTS. Ya no es necesario ningún HW excesivamente caro para perpetrar un ataque de esta envergadura. #hbvalencia
  47. 47. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Are there any viruses detected in the wild which use SIM cards as a carrier/medium to infect smartphones? - The NSA's SIM heist could have given it the power to plant spyware on any phone - SIM card flaw said to allow hijacking of millions of phones - Rooting SIM cards - SIM Card Malware and how it works - SIM card phone hacking — How It May Affect You - SIM cards: attack of the clones - The evolution of the SIM card - Researchers look sideways to crack SIM card AES-128 encryption
  48. 48. Alex Casanova http://about.me/alex.casanova Seguridad en Comunicaciones Móviles Alex Casanova Osmocom Project: http://osmocom.org GSM-cracking with USRP/SDR https://srlabs.de/decrypting_gsm 2010 Blackhat: Karsten Nohl GSM Sniffing and Cracking https://www.youtube.com/watch?v=0hjn-BP8nro BlackHat 2011: Layakk ataque a redes GSM https://media.blackhat.com/bh-dc-11/Perez-Pico/BlackHat_DC_2011_Perez-Pico_Mobile_Attacks-Slides.pdf Practical CellPhone Spying – DefCON 18 https://www.youtube.com/watch?feature=player_embedded&v=xKihq1fClQg Secret Phone Sureillance Across London https://news.vice.com/article/vice-news-investigation-finds-signs-of-secret-phone-surveillance-across-london SS7: Locate. Track. Manipulate https://www.youtube.com/watch?v=lQ0I5tl0YLY Mobile Self-Defense (SnoopSnitch) https://www.youtube.com/watch?v=GeCkO0fWWqc LTE & IMSI Catcher Myths https://www.youtube.com/watch?v=t6q97Vzu5Uk Layakk http://www.criptored.upm.es/descarga/ConferenciaDavidPerezTASSI2015.pdf
  49. 49. Alex Casanova @hflistener alexbogus@gmail.com digimodes.wordpress.com about.me/alex.casanova

×