Seguridad en comunicaciones móviles

Transcripción

www.layakk.com @layakk
XI CICLO DE CONFERENCIAS
UPM TASSI – AÑO 2015
Seguridad en comunicaciones
móviles
Un repaso a los ataques conocidos
José Picó García
David Pérez conde
© 2015 Layakk. Todos los derechos reservados.
En películas y series…
00:37
© 2015 Layakk
2
En películas y series…
© 2015 Layakk
3
Objetivos
Resumir el estado de la seguridad en comunicaciones
móviles

Enumerar y explicar brevemente las
vulnerabilidades conocidas

Ilustrar lo anterior con algunos ejemplos prácticos
(formato video)
© 2015 Layakk
4
Tecnología actual
VOZ
2G
DATOS
3G
VOZ y
DATOS
4G
VOZ y
DATOS
© 2015 Layakk
5
Terminología
Término
Descripción
SIM
Tarjeta inteligente que contiene el IMSI y la Ki del usuario
IMSI
Identificador del usuario
IMEI
Identificador del terminal (teléfono / modem)
Ki
Clave precompartida entre la tarjeta SIM y el operador
Kc
Clave de sesión (generada dinámicamente en cada sesión)
BTS/nodeB/
e-nodeB
Estación base. Llamada coloquialmente:
“antena del operador”
SGSN, GGSN
Nodos de la red del operador que cursan el tráfico IP
PLMN
© 2015 Layakk
Red de un operador (Public Land Mobile Network)
6
Arquitectura de red
Um
D
Gr
A
Gs
Red
de
Datos
Gf
Gi
Otra PLMN
Abis
Gb
AGPRS
© 2015 Layakk
Gn
Gp
7
Interceptación de
comunicaciones
Cifrado de las comunicaciones GSM

GSM cifra, a partir de un momento en la comunicación,
la voz y los datos de señalización.

Normalmente el cifrado se realiza con el algoritmo
A5/1

El algoritmo A5/1 es un algoritmo que genera un bitstream por
cada unidad de transmisión (ráfaga).

El bitstream se combina (XOR) con la ráfaga a transmitir

La generación del bitstream depende de una clave de sesión y
del número de trama TDMA.
© 2015 Layakk
9
Ataques contra A5/1:
A5 Security Project
Ráfaga Cifrada Interceptada
Ráfaga Conocida
Salida Generador Bloques
114-63=51 candidatos
a ser buscados
64 bits
COUNT
Otra Ráfaga Cifrada Interceptada
A5/1
© 2015 Layakk
10
¿Capturar tráfico GSM es difícil?
“… the GSM call has to be identified and
recorded from the radio interface. […] we
strongly suspect the team developing the
intercept approach has underestimated its
practical complexity. A hacker would need a
radio receiver system and the signal
processing software necessary to process
the raw radio data.”
GSMA, Aug.‘09
© 2015 Layakk
11
Sistema de captura de voz: 20€
10€
10€
OSMOCOM
OSMOCOM
Kc
KRAKEN
Captura ciertos
mensajes
cifrados pero
predecibles
© 2015 Layakk
27C3 (Dic.2010)
Nohl, Munaut
Security Research Labs
Escucha y
descifra la
conversación
12
¡Suplantación de usuarios!
02:51
© 2015 Layakk
13
13
Cifrado en GPRS

El cifrado se realiza entre el SGSN y la MS

Algoritmos obligatoriamente soportados por una MS
GPRS:

GEA0 = NO cifrado

GEA1 = Roto mediante algebraic attacks(*)

GEA2 ?

GEA3 ?
Utilizados
comúnmente
(*)http://events.ccc.de/camp/2011/Fahrplan/attachments
/1868_110810.SRLabs-Camp-GRPS_Intercept.pdf
© 2015 Layakk
14
Captura de comunicaciones GPRS
Confidencialidad de GPRS: en la práctica
osmocommBB
(layer1 + gprsdecode)
02:00
Ref.: https://http://bb.osmocom.org/
© 2015 Layakk
.
15
Cifrado en UMTS (3G)

UMTS:

UEA0 = NO cifrado

UEA1 = KASUMI


El mismo que se usa en A5/3

Probablemente roto por la NSA para claves de 64 bits.
UEA2 = SNOW-3G
Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mobile_Self_Defens
e-Karsten_Nohl-31C3-v1.pd
© 2015 Layakk
16
Escucha de UMTS

La escucha de UMTS mediante un ataque híbrido
radioSS7 es posible también, al igual que en GSM

Se necesita un equipo adicional HW/SW para la
escucha, demodulación y decodificación de la señal 3G,
lo cual ya está resuelto.
Ref.:
http://events.ccc.de/congress/2014/Fahrplan/system/attachments/2493/original/Mob
ile_Self_Defense-Karsten_Nohl-31C3-v1.pd
© 2015 Layakk
17
Cifrado en LTE (4G)

LTE:

EEA0 = NO cifrado

128-EEA1 = SNOW-3G

128-EEA2 = AES

128-EEA3 = ZUC (soporte de momento opcional)
EA2
Ref:
http://www.etsi.org/deliver/etsi_ts/133400_133499/13340
1/12.14.00_60/ts_133401v121400p.pdf
© 2015 Layakk
18
Escucha de LTE

El ataque de escucha mediante radioDiameter
(equivalente a SS7) parece viable debido a que:

La tarea de construir un sistema de bajo coste para escuchar el
tráfico LTE es totalmente abordable

La definición del equivalente de SS7 en LTE (Diameter) ha
arrastrado muchas de las vulnerabilidades existentes en SS7
Ref.:
http://media.ccc.de/browse/congress/2014/31c3_-_6531_-_en_-_saal_6__201412272300__ss7map_mapping_vulnerability_of_the_international_mobile_roaming_infrastructure__laurent_ghigonis_-_alexandre_de_oliveira.html#video&t=2
© 2015 Layakk
19
Interceptación de comunicaciones
mediante estación base falsa
© 2015 Layakk
20
Location Update Procedure
MS
1
PLMN
INICIO DEL PROCEDIMIENTO
LOCATION UPDATING REQUEST
2
(Classmark Interrogation Procedure)
3
(Identification Procedure)
4
(Authentication Procedure)
5
(Start Ciphering Procedure)
LOCATION UPDATING ACCEPT
© 2015 Layakk
6
21
Interceptación de tráfico GSM con
estación base falsa

El atacante se
convierte en el
operador

El ataque
puede
realizarse
selectivamente

CIFRADO: A5/0
(nulo)
010011101011001110011011000
© 2015 Layakk
22
Laboratorio GSM
CAJA DE
FARADAY
PC
USRP
© 2015 Layakk
23
Interceptación de llamada
02:52
© 2015 Layakk
24
Interceptación de comunicaciones
GPRS/EDGE con estación base falsa
http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf
© 2015 Layakk
25
Interceptación de tráfico GPRS/EDGE
02:02
© 2015 Layakk
26
Manipulación de
comunicaciones
Manipulación de tráfico GSM
con estación base falsa

El atacante se
convierte en el
operador

El ataque
puede
realizarse
selectivamente

CIFRADO: A5/0
(nulo)
010011101011001110011011000
© 2015 Layakk
28
Manipulación de tráfico GSM
con estación base falsa
00:56
00:50
Móvil registrándose en
la estación base falsa
00:47
Suplantación de
origen de llamada
Redirección de
destino de llamada
00:41
Interceptación de SMS
© 2015 Layakk
29
SS7 Redirección
Métodos de redirección SS7
 Un atacante con acceso a la red SS7 puede
potencialmente (si la red no filtra ese tipo de tráfico),
redirigir llamadas a su antojo

Para ello puedo utilizar 2 métodos:

Utilizar el protocolo CAMEL

Utilizar el mensaje updateLocation para indicar al HLR de la
víctima que está en roaming en su red (falsa)
© 2015 Layakk
30
Manipulación de comunicaciones
http://www.layakk.com/docs/RootedCon2011-AtaquePracticoGPRS.pdf
© 2015 Layakk
31
Manipulación de comunicaciones
Phising http
Phising https
Toma de control de un
PC
Jailbreakme 3.0
silencioso
Router GPRS
Otros dispositivos
© 2015 Layakk
32
Identificación de usuarios
Identidad del usuario y del terminal

En el Identification Procedure, la estación base puede
preguntar al móvil su IMSI y su IMEI, y el móvil está
obligado a responder
© 2015 Layakk
34
IMSI CATCHER: 2G, 3G, 4G
© 2015 Layakk
35
Geolocalización
Métodos de geolocalización
 Servicios
de localización GSM – LCS:
 basados
en la red
 basados
en el móvil
 asistidos
 Software
por el móvil
de localización instalado en el
móvil
© 2015 Layakk
37
Pero…
¿Y si el móvil “no quiere” ser
localizado?
© 2015 Layakk
38
Decidimos construir un
sistema de geolocalización
© 2015 Layakk
39
Consola gráfica del sistema de
localización
01:00
© 2015 Layakk
40
40
¿Geolocalización en 3G y 4G?

Creemos que se podría hacer de forma muy similar

No se podría completar el registro, pero el diálogo
previo quizás se pueda alargar lo suficiente
© 2015 Layakk
41
Geolocalización mediante SS7
2 posibles métodos
 Un atacante con acceso a la red SS7 puede
potencialmente (si la red no filtra adecuadamente ese
tipo de tráfico), interrogar al MSC que está dando
servicio al MS víctima acerca de la posición de éste con
el mensaje ProvideSubscriberLocation (sin
autenticación)

Adicionalmente, puede obtenerse el identificador (y
por tanto la ubicación) de la celda que está dando
servicio al usuario víctima, lo que da una ubicación
aproximada de la ubicación del usuario
© 2015 Layakk
42
Denegación de servicio
Jamming clásico
(generación de interferencias)
© 2015 Layakk
44
Jamming clásico contra 2G
01:25
© 2015 Layakk
45
Jamming clásico contra 3G
01:48
© 2015 Layakk
46
Jamming inteligente

Ejemplo: ocultación de celdas 2G
01:25
© 2015 Layakk
47
Una denegación de servicio diferente…
00:29
.
© 2015 Layakk
48
Comparativa de técnicas para llevar a
cabo una denegación de servicio GSM
Ataque
Masivo
Ataque
Selectivo
Ataque
Persistente
Transparente
al usuario
Inhibidor de
frecuencia
Agotamiento de
canales de radio
en la BTS
Redirección
mediante
estación base
falsa
Técnica LUPRCC
© 2015 Layakk
49
MS
1
PLMN
INICIO DEL PROCEDIMIENTO
LOCATION UPDATING REQUEST
2
(Classmark Interrogation Procedure)
3
(Identification Procedure)
4
(Authentication Procedure)
5
(Start Ciphering Procedure)
LOCATION UPDATING ACCEPT / REJECT
6
Reject Cause Code
© 2015 Layakk
50
Reject Cause Codes
Dec
02
03
06
11
12
13
15
OTHER
.
© 2015 Layakk
Hex
0x02
0x03
0x06
0x0B
0x0C
0x0D
0x0F
OTHER
Descripción
IMSI unknown in HLR
Illegal MS
Illegal ME
PLMN not allowed
Location Area not allowed
Roaming not allowed in this location area
No Suitable Cells In Location Area
OTHER
51
Comportamiento descrito por la norma
ante LU Reject
Cause Code: 0x0B (PLMN not allowed)
3GPP TS 24.008 - 4.4.4.7
"The mobile station shall delete any LAI, TMSI and ciphering
key sequence number stored in the SIM/USIM, reset the
attempt counter, and set the update status to ROAMING
NOT ALLOWED (and store it in the SIM/USIM according to
subclause 4.1.2.2). The mobile station shall store the PLMN
identity in the ‘forbidden PLMN list’.The MS shall perform a
PLMN selection when back to the MM IDLE state according
to 3GPP TS 23.122. An MS in GAN mode shall request a
PLMN list in GAN (see 3GPP TS 44.318) prior to performing
a PLMN selection from this list according to 3GPP TS
23.122."
.
© 2015 Layakk
52
Pruebas de comportamiento
ante LU Reject
Cause Code: 0x0B (PLMN not allowed)
Intentos de conexión del móvil en el
tiempo desde el primer rechazo
.
© 2015 Layakk
53
Comportamiento descrito por la norma
ante LU Reject
Cause Code: 0x02 (IMSI unknown in HLR)
Cause Code: 0x03 (Illegal MS)
Cause Code: 0x05 (Illegal ME)
3GPP TS 24.008 - 4.4.4.7
"The mobile station shall set the update status to ROAMING
NOT ALLOWED (and store it in the SIM/USIM according to
subclause 4.1.2.2), and delete any TMSI, stored LAI and
ciphering key sequence number and shall consider the
SIM/USIM as invalid for non-GPRS services until switch-off or
the SIM/USIM is removed.”
.
© 2015 Layakk
54
Pruebas de comportamiento ante
LUReject
Terminales probados en el laboratorio
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Nokia 6210
(Simyo)
© 2015 Layakk
55
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Nokia 3210
(Simyo)
© 2015 Layakk
56
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Nokia
N97(Movistar)
© 2015 Layakk
57
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Sony-Ericsson
T290i
(Movistar)
© 2015 Layakk
58
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Siemens A55
(Simyo)
© 2015 Layakk
59
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
Motorola C123
(Simyo)
© 2015 Layakk
60
LUReject
0x02
IMSI unknown in HLR
0x03
Illegal MS
0x06
Illegal ME
iPhone
(Movistar)
© 2015 Layakk
61
Escenario de aplicación
.
© 2015 Layakk
62
LURCC en 3g y 4g

En teoría, el ataque LURCC es posible también en 3G y
probablemente también en 4G

Que sepamos, la prueba práctica no ha sido realizada
© 2015 Layakk
63
Otros ataques
Ataques mediante mensajes


Ataques WAP-Push

Se envía contenido malicioso (por ejemplo de configuración del
terminal) mediante un mensaje del tipo WAP-Push

El contenido es aceptado bien sea por un error del usuario o
porque el terminal está incorrectamente configurado y acepta el
contenido sin la intervención del destinatario.
Ataques MMS


Los más comunes son aquellos que envían un link a contenido
malicioso destinado a explotar alguna vulnerabilidad del software
del terminal
Ataques mediante SMS en modo PDU

© 2015 Layakk
Se envía un SMS con contenido destinado a la SIM que consigue
saltarse los controles de seguridad de la misma e instalar ese
contenido.
65
Atacando la SIM para obtener Ki
Ataque OTA (Over-the-air)
Ref.: https://www.blackhat.com/us-13/archives.html#Nohl
© 2015 Layakk
66
© 2015 Layakk
67
© 2015 Layakk
68
© 2015 Layakk
69
Ataque OTA (Over-the-air):Impacto
FUNCIONES ESTANDAR DEL STK
FUNCIONES ACCESIBLES SI SE
VULNERA LA PROTECCIÓN DE LA SAND
BOX DE JAVA

Envío de SMS

Acceso a Ki

Realizar llamadas

Acceso al resto de claves OTA

Teclear tonos DTMF

Acceso a los procesos de Java

Enviar códigos USSD

Escritura en Flash o EEPROM

Interrogar al terminal por su
localización

Abrir contenido en un
navegador
© 2014 Layakk
70
Ataque mediante femtocelda manipulada
BH US 2011 - Borgaonkar, Golde, Redon
Jul’11 – The Hacker’s Choice – Vodafone
http://wiki.thc.org/vodafone
© 2015 Layakk
71
Ataques contra la banda base
© 2015 Layakk
72
Ataques a la banda base

CPU de banda
base

Ejemplo de
exploit: ATS0=1

Nota: la CPU de
BB suele tener
acceso a audio y
video
https://www.usenix.org/conference/woot12/24-baseband-attacks-remoteexploitation-memory-corruptions-cellular-protocol
http://www.blackhat.com/html/bh-dc-11/bh-dc-11-archives.html#Weinmann
© 2015 Layakk
73
Conclusiones
GSM
Características de seguridad

Autenticación de la red

Confidencialidad de la
identidad del usuario

Confidencialidad en las
comunicaciones de
señalización y de
usuario

Autenticación del
usuario
© 2015 Layakk
75
GPRS/EDGE
Autenticación de la
red
• Tampoco existe
Confidencialidad de
la identidad del
usuario
• Idéntico problema a GSM (uso de
identificadores temporales –PTMSI- y
obligatoriedad de contestar a la red
ante la solicitud de IMSI)
Confidencialidad de
la información de
datos y señalización
• Comprometida por:
• Obligatoriedad de soportar GEA/0
• Criptoanálisis del algoritmo GEA/1
Autenticación del
usuario
• Comprometida por la posibilidad de
obtener GPRS Kc
© 2015 Layakk .
76
UMTS
Características principales de seguridad

Autenticación
bidireccional

Confidencialidad de las
comunicaciones

Integridad de las
comunicaciones

Confidencialidad de la
identidad del usuario
© 2015 Layakk
77
LTE
Notas sobre la seguridad LTE

Características mejoradas en el nivel RRC y NAS:

Mejor protección de los datos de identificación del usuario
IMEI no se transmite sin protección de integridad
 Protección de datos de señalización útiles para geolocalización se
transmiten cifrados
 Mejor protección de integridad
 Protección de integridad del protocolo RRC
 Protección de integridad con validez de contexto de seguridad EPS
 Soporte a cifrado (opcional) en señalización NAS y RRC


Vulnerabilidades heredadas:


El protocolo Diameter hereda muchas de las vulnerabilidades
descubiertas en los protocolos SS7
Nuevas potenciales vulnerabilidades:

La red core LTE es totalmente IP, lo cual genera nuevas vías
potenciales de ataque que tienen que ser estudiadas a fondo.
© 2015 Layakk
78
Recomendaciones
Contramedidas
USUARIOS
Proteger nuestras comunicaciones con
mecanismos extremo a extremo
 Prohibir en nuestros terminales el uso de 2G
 Detectar posibles ataques con estación base
falsa:



https://opensource.srlabs.de/projects/snoopsnitch
Conocer el estado de nuestro operador
respecto a la seguridad


© 2015 Layakk
http://gsmmap.org
http://ss7map.p1sec.com/
80
Contramedidas
OPERADORES


Desplegar completamente 3G/4G y eliminar la
cobertura 2G
Realizar algunas tareas de configuración que pueden
mitigar algunas de las vulnerabilidades expuestas

Acciones de mitigación que hacen más difícil la implementación real de
muchos de los ataques sobre el interfaz de radio expuestos

Implementar SMS Home Routing

Establecer mecanismos adicionales de filtrado de mensajes SS7
© 2015 Layakk
81
Para saber más….
www.layakk.com @layakk
XI CICLO DE CONFERENCIAS
UPM TASSI – AÑO 2015
Seguridad en comunicaciones
móviles
Un repaso a los ataques conocidos
José Picó García
David Pérez conde
© 2015 Layakk. Todos los derechos reservados.

Seguridad en comunicaciones móviles

Transcripción

Documentos relacionados