ataques contra comunicaciones móviles de datos
DESCRIPTION
Charla impartida por José Picó en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.TRANSCRIPT
© 2011 Taddong S.L. All rights reserved
www.taddong.com
Amenazas de seguridad en
comunicaciones de datos
móviles
José Picó
© 2011 Taddong S.L. All rights reserved
Agenda
• Estado de las tecnologías
móviles
• Comunicaciones de datos
mediante dispositivos móviles
• Vectores de ataque
Introducción
• Suplantando una estación base
• Poniendo en práctica el ataque
• Potencia del ataque
• Extensión del ataque a 3G
Ejemplo
práctico de
ataque
• Contramedidas recomendadas Conclusiones
© 2011 Taddong S.L. All rights reserved
Estado de las tecnologías móviles
en 2011
© 2011 Taddong S.L. All rights reserved
Estado de las tecnologías móviles
en 2011
© 2011 Taddong S.L. All rights reserved
• El 68% de los habitantes del
planeta son usuarios de móviles...
¡y creciendo rápidamente!
El uso de Internet es cada
vez más móvil (*) Fuente: reporte «SIE[10» - Fundación Telefónica
• La tasa de usuarios de Internet
está creciendo, pero no así la de
instalación de líneas telefónicas
fijas
© 2011 Taddong S.L. All rights reserved
Evolución de escenario
Desde un acceso a Internet desde el hogar o la oficina mediante una conexión cableada...
Internet
© 2011 Taddong S.L. All rights reserved
Evolución del escenario
…al acceso desde cualquier
sitio utilizando redes móviles
Internet
Un nuevo interfaz
aparece en escena
© 2011 Taddong S.L. All rights reserved
¿Deberíamos preocuparnos?
© 2011 Taddong S.L. All rights reserved
Numerosos vectores de ataque
Vulnerabilidades
del protocolo
Ataques
criptográficos
Ataques OTA
Ataques internos en
la red del operador
Ataques a
la banda
base
© 2011 Taddong S.L. All rights reserved
Ataques criptográficos
Ataques OTA
Ataques internos en
la red del operador
Ataques
criptográficos
• A5/1 (algoritmo de cifrado para GSM)
ha sido roto por varios investigadores
utilizando la técnica de precomputación
de estados (rainbow tables) + backtrace
de los registros de estado del
generador de secuencias de cifrado
• A5/3 - KASUMI (algoritmo de cifrado
para 3G) está siendo estudiado por
criptólogos y se ha demostrado que es
más débil que MISTY (original)
© 2011 Taddong S.L. All rights reserved
Ataques OTA (Over-the-Air)
Ataques
criptográficos
Ataques internos en
la red del operador
• WAP Push: enlaces WAP embebidos
en un SMS:
• Algunas implementaciones
vulnerables permiten seguir los
enlaces sin intervención del usuario
• Código (applets java) destinado a la
SIM enviado mediante un SMS.
• Teóricamente, sólo el operador que
finaliza la SIM puede instalar código
en ella
Ataques OTA
© 2011 Taddong S.L. All rights reserved
Ataques OTA (Over-the-Air)
• Código binario destinado al dispositivo
mediante un SMS.
• Algunos investigadores han
conseguido mediante fuzzing
identificar vulnerabilidades que
permiten ser explotadas sin
intervención del usuario
Ataques OTA
© 2011 Taddong S.L. All rights reserved
Ataques a la banda base
Ataques
criptográficos
Ataques OTA
Ataques internos en
la red del operador
Ataques a
la banda
base
• Se ha demostrado que es posible
generar un error de
desbordamiento en el código que
gestiona la pila de protocolos de
comunicaciones y explotarlo para
introducir código malicioso en el
dispositivo
© 2011 Taddong S.L. All rights reserved
Vulnerabilidades del protocolo
Ataques
criptográficos
Ataques OTA
Ataques internos en
la red del operador
• La especificación de GSM/GPRS/EDGE
presenta vulnerabilidades que permiten
impersonar una estación base de una
celda vecina:
• No existe autenticación de la red
• El móvil debe aceptar A5/0 (“no
cifrado”) como método de cifrado si la
red se lo requiere
Vulnerabilidades
del protocolo
© 2011 Taddong S.L. All rights reserved
Veamos este último ataque con
más detalle y en la práctica
© 2011 Taddong S.L. All rights reserved
Arquitectura GPRS/EDGE
• Should we worry about it?
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa: paso 1
1 Caracterización de celda
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa: paso 1
1 Caracterización de celda
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa: paso 2
2 El atacante comienza a emitir
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa: paso 3
3 El dispositivo de la víctima
se conecta a la celda falsa
00:56
© 2011 Taddong S.L. All rights reserved
Location Update Procedure (MM)
General description
MS PLMN
LOCATION UPDATING REQUEST
INICIO DEL PROCEDIMIENTO 1
2 (Classmark Interrogation Procedure)
3 (Identification Procedure)
4 (Authentication Procedure)
5 (Start Ciphering Procedure)
LOCATION UPDATING ACCEPT 6
© 2011 Taddong S.L. All rights reserved
El dispositivo de la víctima
se conecta a la celda falsa
Ataque con estación base falsa: paso 3
3
© 2011 Taddong S.L. All rights reserved
Ataque con estación base falsa: paso 4
El atacante obtiene
control total (man-in-the-
middle) de las
comunicaciones de datos
y voz de la víctima
4
© 2011 Taddong S.L. All rights reserved
El atacante consigue una posición
privilegiada
Internet
© 2011 Taddong S.L. All rights reserved
¿Cómo de potente es el ataque?
Algunos videos grabados dentro de
nuestra jaula de Faraday
00:56
04:14
05:36
07:52
02:10
05:19
07:42
04:34
© 2011 Taddong S.L. All rights reserved
iPhone registrándose en una celda
falsa
00:56
© 2011 Taddong S.L. All rights reserved
Interceptando una búsqueda en
Google de un iPhone
02:10
© 2011 Taddong S.L. All rights reserved
Interceptando credenciales en
acceso http a página de banco
04:14
© 2011 Taddong S.L. All rights reserved
Interceptando credenciales en
acceso https a página de banco
05:19
© 2011 Taddong S.L. All rights reserved
Ataque a otros dispositivos
FTP
07:42
© 2011 Taddong S.L. All rights reserved
Tomando control de un PC via
GPRS (I)
remote desktop
user / password
07:52
© 2011 Taddong S.L. All rights reserved
Tomando control de un PC via
GPRS (II)
Internet
04:34
© 2011 Taddong S.L. All rights reserved
¿Y qué hay de 3G y tecnologías posteriores?
© 2011 Taddong S.L. All rights reserved
Estensión del ataque a UMTS:
simplemente se añade un paso previo
0 Bloquear las
frecuenciasUMTS
© 2011 Taddong S.L. All rights reserved
Contramedidas
• Específicas 2G/3G:
– Configurar el dispositivo para que sólo acepte
servicio 3G
• Generales:
– Firewall
– Antivirus
– Cifrado extremo a extremo
– etc.
© 2011 Taddong S.L. All rights reserved
Conclusiones
Al igual que en otros campos de la seguridad...
Conozcamos las vulnerabilidades y amenazas...
... e implantemos las contramedidas adecuadas.
© 2011 Taddong S.L. All rights reserved
www.taddong.com
Amenazas de seguridad en
comunicaciones de datos
móviles
José Picó – [email protected]
@taddong