un ataque práctico contra comunicaciones móviles · las herramientas • capaz de inhibir las...
TRANSCRIPT
![Page 1: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/1.jpg)
Un ataque práctico contra
comunicaciones móviles
David Pérez -
José Picó -
![Page 2: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/2.jpg)
Contenido
• Introducción
• Arquitectura general de GPRS
• Vectores de ataque
• Ataque con estación base falsa
– Vulnerabilidades
– Herramientas
– Proceso de ataque
– Extensión a UMTS (3G)
• Ejemplos de uso del ataque con estación base falsa
– Captura de una búsqueda en google
– Ataque de phishing redirigiendo tráfico HTTPS
– Toma de control de un PC
– Ataque a dispositivos situados tras un router 3G
– Ataque a otros dispositivos 2G/3G
• Medidas de protección
![Page 3: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/3.jpg)
Introducción
![Page 4: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/4.jpg)
Dispositivos móviles como fuente
de amenaza
• Cada vez más, los dispositivos móviles
tienen acceso a información sensible
– Correo electrónico
– Acceso a servicios “cloud”
– Aplicaciones corporativas
• Son ya una de las vías de ataque en
proceso de investigación
![Page 5: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/5.jpg)
Dispositivos móviles 2G/3G
• Teléfonos (smartphones)
• Tablets (ej. iPad, Kindle)
• Portátiles con modem 2G/3G
• Routers 3G
• Y más…
![Page 6: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/6.jpg)
¿Amenaza?
• ¿Existen entidades (personas,
organizaciones, gobiernos) interesadas en
obtener y/o manipular las conexiones
móviles de datos de otras entidades?
• ¿Con $10,000 de presupuesto?
![Page 7: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/7.jpg)
Arquitectura general de GPRS
![Page 8: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/8.jpg)
Arquitectura GPRS/EDGE
![Page 9: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/9.jpg)
Vectores de ataque
![Page 10: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/10.jpg)
Vectores de ataque a
comunicaciones móviles
Vulnerabilidades
del protocolo
Ataques
criptográficosAtaques OTA
Desde el operador
Corrupción
de
memoria
![Page 11: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/11.jpg)
Ataque con estación base falsa
![Page 12: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/12.jpg)
Vulnerabilidades
• Autenticación unidireccional
• Soporte a GEA0 (no cifrado)
• Soporte a degradación
UMTSGPRS/EDGE
Igual que en GSM
![Page 13: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/13.jpg)
Herramientas
![Page 14: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/14.jpg)
Las herramientas
Nosotros realizamos
todas nuestras
pruebas en una caja
de Faraday, para
evitar emisiones en
el espacio público
radioeléctrico (Um)
Un atacante no necesitará esto, pero...
![Page 15: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/15.jpg)
Las herramientas
•BTS comercial
•Soporta GSM/GPRS/EDGE
•Fabricada by ip.acccess
(www.ipaccess.com)
• Intefaz IP-over-Ethernet
Abis
ip.access nanoBTS
![Page 16: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/16.jpg)
Las herramientas
• S.O. GNU/Linux
• Acceso a Internet
• Un pequeño netbook es
suficiente
PC
![Page 17: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/17.jpg)
Las herramientas
• Código desarrollado por Harald Welte,
Dieter Spaar, Andreas Evesberg y Holger
Freyther
• http://openbsc.osmocom.org/trac/
OpenBSC
“[OpenBSC] is a project aiming to create a Free Software,
GPL-licensed Abis (plus BSC/MSC/HLR) implementation for
experimentation and research purpose. What this means:
OpenBSC is a GSM network in a box software, implementing
the minimal necessary parts to build a small, self-contained
GSM network.”
![Page 18: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/18.jpg)
Las herramientas
• Código incluido en OpenBSC
• http://openbsc.osmocom.org/trac/wiki/osmo-sgsn
OsmoSGSN
“OsmoSGSN (also spelled osmo-sgsn when referring to the
program name) is a Free Software implementation of the GPRS
Serving GPRS Support Node (SGSN). As such it implements
the GPRS Mobility Management (GMM) and SM (Session
Management). The SGSN connects via the Gb-Interface to the
BSS (e.g. the ip.access nanoBTS), and it connects via the GTP
protocol to a Gateway GPRS Support Node (GGSN) like
OpenGGSN”
![Page 19: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/19.jpg)
Las herramientas
• Código iniciado por: Jens Jakobsen
• Actualmente mantenido por: Harald Welte
• http://sourceforge.net/projects/ggsn/
OpenGGSN
“OpenGGSN is a Gateway GPRS Support Node (GGSN). It is
used by mobile operators as the interface between the Internet
and the rest of the mobile network infrastructure.”
![Page 20: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/20.jpg)
Las herramientas
• Capaz de inhibir las frecuencias
asignadas a UMTS/HSPA en un lugar
determinado, sin perturbar las
frecuencias de GSM/GPRS/EDGE
Inhibidor de frecuencias de móvil (jammer)
“A mobile phone jammer is an instrument used to
prevent cellular phones from from receiving
signals from base stations. When used, the
jammer effectively disables cellular phones.”
[Source: Wikipedia]
AVISO: Incluso poseer un jammer es ilegal en muchos sitios
![Page 21: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/21.jpg)
El ataque: punto de partida
![Page 22: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/22.jpg)
El ataque: paso 1
1 Caracterización de la celda real
![Page 23: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/23.jpg)
El ataque: paso 2
2 El atacante comienza a emitir
![Page 24: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/24.jpg)
El ataque: paso 3
3El dispositivo vícitima se
conecta a la celda falsa
![Page 25: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/25.jpg)
El ataque: paso 4
El atacante logra
control total (man-in-
the-middle) de las
comunicaciones de
datos (y voz) de la
víctima
4
![Page 26: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/26.jpg)
El ataque en acciónUn iPhone cae en la trampa
![Page 27: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/27.jpg)
¿Qué ha sucedido?
![Page 28: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/28.jpg)
Extensión del ataque a UMTS
¿Cómo podemos extender este ataque
para que sea efectivo contra dispositivos
UMTS (3G)?
![Page 29: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/29.jpg)
Extensión del ataque a UMTS:
Simplemente, añadir un paso previo
0Inhibir las
frecuencias
de UMTS
![Page 30: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/30.jpg)
Ejemplos de uso del
ataque con estación base falsa
![Page 31: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/31.jpg)
Aprovechando el ataque: ejemplo 1
Captura de una búsqueda en Google de un iPhone
![Page 32: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/32.jpg)
¿Qué ha sucedido?
![Page 33: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/33.jpg)
Aprovechando el ataque: ejemplo 2Ataque de phishing contra un iPad (usando https)
![Page 34: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/34.jpg)
¿Qué ha sucedido?
![Page 35: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/35.jpg)
Aprovechando el ataque: ejemplo 3Toma de control de un PC a través de GPRS/EDGE
![Page 36: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/36.jpg)
¿Qué ha sucedido?
remote desktop
user / password
![Page 37: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/37.jpg)
Aprovechando el ataque: ejemplo 4Control del tráfico de todos los dispositivos ubicados tras
un router 3G
![Page 38: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/38.jpg)
¿Qué ha sucedido?
![Page 39: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/39.jpg)
Aprovechando el ataque: ejemplo 5
Ataques contras otro dispositivos GPRS/EDGE
![Page 40: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/40.jpg)
¿Qué ha sucedido?
FTP
![Page 41: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/41.jpg)
Medidas de protección
![Page 42: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/42.jpg)
Medidas de protección
• Configurar nuestros dispositivos móviles
para aceptar sólo 3G, rechazando 2G
• Cifrar nuestras comunicaciones de datos
en niveles superiores (HTTPS, SSH,
IPSEC, etc.)
• Instalar y configurar un firewall software
en nuestros dispositivos móviles
![Page 43: Un ataque práctico contra comunicaciones móviles · Las herramientas • Capaz de inhibir las frecuencias asignadas a UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias](https://reader033.vdocuments.net/reader033/viewer/2022042203/5ea4aba7bac9c0529c2f2bdd/html5/thumbnails/43.jpg)
Un ataque práctico contra
comunicaciones móviles
www.taddong.com
@taddong