josé pico & david pérez – atacando 3g [rooted con 2014]
DESCRIPTION
TRANSCRIPT
![Page 1: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/1.jpg)
1Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com
![Page 2: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/2.jpg)
2Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RootedCON en Valencia
![Page 3: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/3.jpg)
3Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Introducción
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
– Downgradeselectivo a 2G
![Page 4: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/4.jpg)
4Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
BACKGROUND TEÓRICO
.
![Page 5: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/5.jpg)
5Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Cómo es posible?
Los mensajes de señalización en 3G están
protegidos en integridad, gracias al security
mode command y a la estructura del protocolo
La criptografía detrás de la protección de
integridad y del cifrado no ha sido rota (al
menos públicamente).
¿Todos los mensajes?
.
![Page 6: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/6.jpg)
6Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Security mode set-up procedure
MS SRNC VLR/SGSN
Establecimiento de conexión RRC1
Mensaje inicial de nivel 3 (Id)2
Autenticación y establecimiento de clave4
Determinación de algoritmos de cifrado e integridad
5
Security Mode Command (UIAs, IK, UEAs, CK, etc.)
6
Inicio de cifrado y protección en integridad
7
Identificación de usuario3
.
![Page 7: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/7.jpg)
7Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Establecimiento de un canal de radio (protocolo RRC)
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION SETUP
2
RRC CONNECTION SETUP COMPLETE3
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
![Page 8: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/8.jpg)
8Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Rechazo de solicitud de establecimiento de conexión RRC
UE SRNC
RRC CONNECTION REQUEST1
RRC CONNECTION REJECT
2
(Establishment Cause, Initial UE Identity, …)
(Rejection Cause, Redirection info, …)
Frequency info Inter-RAT info
![Page 9: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/9.jpg)
9Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
HANDOVER TO UTRAN COMPLETE
PAGING TYPE 1
PUSCH CAPACITY REQUEST
PHYSICAL SHARED CHANNEL ALLOCATION
SYSTEM INFORMATION
SYSTEM INFORMATION CHANGE INDICATION
TRANSPORT FORMAT COMBINATION CONTROL (TM DCCH only)
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
RRC CONNECTION RELEASE (CCCH only)
Mensajes de señalización RRC no protegidos en integridad
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
RRC CONNECTION REJECT
![Page 10: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/10.jpg)
10Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Mensajes MM (DL) permitidos antes del security mode command
AUTHENTICATION REQUEST
AUTHENTICATION REJECT
IDENTITY REQUEST
LOCATION UPDATING REJECT
LOCATION UPDATING ACCEPT (at periodic location update with no change of location area or temporary identity)
CM SERVICE ACCEPT, if the following two conditions apply:– no other MM connection is established; and
– the CM SERVICE ACCEPT is the response to a CM SERVICE REQUEST with CM SERVICE TYPE IE set to ‘emergency call establishment’
CM SERVICE REJECT
ABORT
IDENTITY REQUEST
LOCATION UPDATING REJECT
![Page 11: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/11.jpg)
11Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
![Page 12: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/12.jpg)
12Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ATAQUESIMSI / IMEI Catching
Geolocalización de dispositivos
Denegación de Servicio
Downgrade selectivo a 2G
.
![Page 13: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/13.jpg)
13Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
IMSI / IMEI CatchingUE SRNC
Establecimiento de conexión RRC1
Location Update Request2
Identity Request (IMSI / IMEI / TMSI)3
Identity Response4
Location Update Reject5
.
![Page 14: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/14.jpg)
14Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Geolocalización de dispositivos
Los datos necesarios para la geolocalización
viajan en los canales de señalización
establecidos.
Tan sólo es necesario establecer el canal RRC
con un dispositivo y tras ese momento el resto
es idéntico al caso 2G
¿Hace falta aceptar el registro del terminal?
.
![Page 15: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/15.jpg)
15Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Este canal radio puede mantenerse abierto el tiempo suficiente para realizar mediciones, hasta que finalmente el móvil desiste en su intento de registrarse en la celda
falsa
Geolocalización de dispositivosUE SRNC
RRC CONNECTION REQUEST
RRC CONNECTION SETUP
RRC CONNECTION SETUP COMPLETE
(Establishment Cause, Initial UE Identity, …)
(Frequency info, secondary CCPCH, …)
(RRC transaction identifier, UE radio access capability, …)
.
![Page 16: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/16.jpg)
16Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Denegación de servicio 3G
Puesto que el mensaje “Location Update Reject” puede enviarse
previamente al establecimiento de la protección en integridad, el
ataque de denegación de servicio basado en los LU Reject Cause
Codes es totalmente posible en 3G
![Page 17: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/17.jpg)
17Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Downgrade selectivo a 2G
El downgrade selectivo a 2G puede realizarse de 2
formas (al menos):
– Si se conoce el identificador temporal del dispositivo (lo
cual puede obtenido mediante otra acción previa), puede
redirigirse el establecimiento de conexión selectivamente
a una celda 2G, mediante el uso de Inter-RAT info
– Con cualquier identificador del dispositivo, puede utilizarse
una celda configurada con el LAC de la celda (en el caso
de que existan 2 celdas en el entorno con diferentes LAC
pueden utilizarse 2 estaciones base) y rechazar el registro
con “Location Area not allowed”
![Page 18: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/18.jpg)
18Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
Supongamos (de momento) que todo esto
existe
![Page 19: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/19.jpg)
19Rooted CON 2014 6-7-8 Marzo // 6-7-8 March.
![Page 20: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/20.jpg)
20Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DESARROLLO DE UN MODEM SW 3G
Para recepción de una señal en el downlink
.
![Page 21: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/21.jpg)
21Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura HW
CAPTURA
GigEUHD
UmTRX
https://code.google.com/p/umtrx/
.
![Page 22: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/22.jpg)
22Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 2G en plano IQ
CAPTURA
.
![Page 23: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/23.jpg)
23Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Cómo es una señal 3G en plano IQ
CAPTURA
![Page 24: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/24.jpg)
24Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
La frecuencia de muestreo debe
ser un múltiplo de la tasa de
símbolos por segundo
En UMTS se emiten 3,84 Msps (1
símbolo representa 1 chip)
13 Msps 3,84 Msps
CAPTURA
RESAMPLING
![Page 25: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/25.jpg)
25Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
IDENTIFICACIÓN DEL PSCH
![Page 26: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/26.jpg)
26Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
![Page 27: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/27.jpg)
27Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 28: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/28.jpg)
28Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 29: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/29.jpg)
29Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (I)
IDENTIFICACIÓN SCRAMBLING CODE
SINCRONIZACIÓN DE FRAME
IDENTIFICACIÓN DE SSC GROUP
CAPTURA
RESAMPLING
SINCRONIZACIÓN DE TIMESLOT
IDENTIFICACIÓN DEL PSCH
.
![Page 30: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/30.jpg)
30Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Recepción en el downlink (II)
1
1
.
![Page 31: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/31.jpg)
31Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
DEMO
.
![Page 32: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/32.jpg)
32Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
90850023aa1909143219218438c0b48000aa
Master Information Block
10010000 10000101 00000000 00100011 10101010 0001100100001001 00010100 00110010 00011001 00100001 1000010000111000 11000000 10110100 10000000 00000000 10101010
214 01
MCC MNC
(España) (Vodafone)
.
![Page 33: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/33.jpg)
33Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Infraestructura necesaria: estación base 3G
Infraestructura HW necesaria
– Emisor / receptor de radio con ancho de
banda de al menos 5 MHz
– Tasa de muestreo >= 3,84 Msps
– Frecuencia y precisión de reloj adecuada
Infraestructura SW
– Módem SW 3G
– Emulación de las partes del protocolo que
nos interesan
![Page 34: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/34.jpg)
34Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Ataques posibles en 2G utilizando la técnica de estación base falsa:
– IMSI Catching
– Geolocalización de dispositivos
– Denegación de servicio
– Interceptación de comunicaciones
En 3G existen dispositivos comerciales que cubren parte de la funcionalidad anterior
Algunos investigadores “de renombre” dicen que en 3G no se pueden realizar estos ataques…
… en esta charla os contamos que gran parte de lo anterior sípuede hacerse…
… pero sobre todo queremos ¿desvelar? cómo.
3G
.
– Downgradeselectivo a 2G
![Page 35: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/35.jpg)
35Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PARA SABER MÁS…
.
![Page 36: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/36.jpg)
36Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
PREGUNTAS
.
![Page 37: José Pico & David Pérez – Atacando 3G [Rooted CON 2014]](https://reader034.vdocuments.mx/reader034/viewer/2022042601/547bd4b45806b5d13f8b464f/html5/thumbnails/37.jpg)
37Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Atacando 3G
José Picó[email protected]
David Pé[email protected]
@layakk
www.layakk.com