atacando 3g - layakk.com
TRANSCRIPT
![Page 1: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/1.jpg)
1Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com
![Page 2: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/2.jpg)
2Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RootedCON en Valencia
![Page 3: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/3.jpg)
3Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Introducción
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
– Downgradeselectivo a 2G
Nota: La información teórica expuesta a continuación es un resumen de información que ya era de dominio público, aunque no muy divulgada.
![Page 4: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/4.jpg)
4Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
BACKGROUND TEÓRICO
.
![Page 5: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/5.jpg)
5Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Cómo es posible?
Los mensajes de señalización en 3G están
protegidos en integridad, gracias al security
mode command y a la estructura del protocolo
La criptografía detrás de la protección de
integridad y del cifrado no ha sido rota (al
menos públicamente).
¿Todos los mensajes?
.
![Page 6: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/6.jpg)
6Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Security mode set-up procedure
MS SRNC VLR/SGSN
Establecimiento de conexión RRC1
Mensaje inicial de nivel 3 (Id)2
Autenticación y establecimiento de clave4
Determinación de algoritmos de cifrado e integridad
5
Security Mode Command (UIAs, IK, UEAs, CK, etc.)
6
Inicio de cifrado y protección en integridad
7
Identificación de usuario3
.
![Page 7: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/7.jpg)
7Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Establecimiento de un canal de radio (protocolo RRC)
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION SETUP
2
RRC CONNECTION SETUP COMPLETE3
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
![Page 8: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/8.jpg)
8Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Rechazo de solicitud de establecimiento de conexión RRC
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION REJECT
2
(Establishment Cause, Initial UE Identity, …)
(Rejection Cause, Redirection info, …)
Frequency info Inter-RAT info
![Page 9: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/9.jpg)
9Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
HANDOVER TO UTRAN COMPLETE
PAGING TYPE 1
PUSCH CAPACITY REQUEST
PHYSICAL SHARED CHANNEL ALLOCATION
SYSTEM INFORMATION
SYSTEM INFORMATION CHANGE INDICATION
TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only)
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
RRC CONNECTION RELEASE (CCCH only)
Mensajes de señalización RRC no protegidos en integridad
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
![Page 10: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/10.jpg)
10Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Mensajes MM (DL) permitidos antes del security mode command
AUTHENTICATION REQUEST
AUTHENTICATION REJECT
IDENTITY REQUEST
LOCATION UPDATING REJECT
LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity)
CM SERVICE ACCEPT, if the following two conditions apply:– no other MM connection is established; and
– the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to ‘emergency call establishment’
CM SERVICE REJECT
ABORT
IDENTITY REQUEST
LOCATION UPDATING REJECT
![Page 11: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/11.jpg)
11Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
![Page 12: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/12.jpg)
12Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ATAQUESIMSI / IMEI Catching
Geolocalización de dispositivos
Denegación de Servicio
Downgrade selectivo a 2G
.
![Page 13: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/13.jpg)
13Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
IMSI / IMEI CatchingUE SRNC
Establecimiento de conexión RRC1
Location Update Request2
Identity Request (IMSI / IMEI / TMSI)3
Identity Response4
Location Update Reject5
.
![Page 14: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/14.jpg)
14Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Geolocalización de dispositivos
Los datos necesarios para la geolocalización
viajan en los canales de señalización
establecidos.
Tan sólo es necesario establecer el canal RRC
con un dispositivo y tras ese momento el resto
es idéntico al caso 2G
¿Hace falta aceptar el registro del terminal?
.
![Page 15: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/15.jpg)
15Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda
falsa
Geolocalización de dispositivosUE SRNC
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
![Page 16: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/16.jpg)
16Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Denegación de servicio 3G
Puesto que el mensaje “Location Update Reject” puede enviarse
previamente al establecimiento de la protección en integridad, el
ataque de denegación de servicio basado en los LU Reject Cause
Codes es totalmente posible en 3G
![Page 17: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/17.jpg)
17Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Downgrade selectivo a 2G
El downgrade selectivo a 2G puede realizarse de 2
formas (al menos):
– Si se conoce el identificador temporal del dispositivo (lo
cual puede obtenido mediante otra acción previa), puede
redirigirse el establecimiento de conexión selectivamente
a una celda 2G, mediante el uso de Inter-RAT info
– Con cualquier identificador del dispositivo, puede utilizarse
una celda configurada con el LAC de la celda (en el caso
de que existan 2 celdas en el entorno con diferentes LAC
pueden utilizarse 2 estaciones base) y rechazar el registro
con “Location Area not allowed”
![Page 18: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/18.jpg)
18Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
![Page 19: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/19.jpg)
19Rooted CON 2014 6-7-8 Marzo // 6-7-8 March.
![Page 20: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/20.jpg)
20Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DESARROLLO DE UN MODEM SW 3G
Para recepción de una señal en el downlink
.
![Page 21: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/21.jpg)
21Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura HW
CAPTURA
GigEUHD
UmTRX
https://code.google.com/p/umtrx/
.
![Page 22: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/22.jpg)
22Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 2G en plano IQ
CAPTURA
.
![Page 23: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/23.jpg)
23Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 3G en plano IQ
CAPTURA
![Page 24: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/24.jpg)
24Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
La frecuencia de muestreo debe
ser un múltiplo de la tasa de
símbolos por segundo
En UMTS se emiten 3,84 Msps (1
símbolo representa 1 chip)
13 Msps 3,84 Msps
CAPTURA
RESAMPLING
![Page 25: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/25.jpg)
25Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
IDENTIFICACIÓN DEL PSCH
![Page 26: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/26.jpg)
26Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
![Page 27: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/27.jpg)
27Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 28: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/28.jpg)
28Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 29: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/29.jpg)
29Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (I)
IDENTIFICACIÓN SCRAMBLING CODE
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 30: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/30.jpg)
30Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (II)
1
1
.
![Page 31: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/31.jpg)
31Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DEMO
.
![Page 32: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/32.jpg)
32Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
90850023aa1909143219218438c0b48000aa
Master Information Block
10010000 10000101 00000000 00100011 10101010 0001100100001001 00010100 00110010 00011001 00100001 1000010000111000 11000000 10110100 10000000 00000000 10101010
214 01
MCC MNC
(España) (Vodafone)
.
![Page 33: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/33.jpg)
33Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
![Page 34: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/34.jpg)
34Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
3G
.
– Downgradeselectivo a 2G
![Page 35: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/35.jpg)
35Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PARA SABER MÁS…
.
![Page 36: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/36.jpg)
36Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PREGUNTAS
.
![Page 37: Atacando 3G - layakk.com](https://reader031.vdocuments.net/reader031/viewer/2022020911/62010c31e3857569ec729eee/html5/thumbnails/37.jpg)
37Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com