Resultados 1 al 2 de 2

MITM en GSM: ataque con falsa estación base

  1. #1 MITM en GSM: ataque con falsa estación base 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Puesto que la telefonía móvil 4G es ya una realidad, pudiera parecer que la tecnología GSM (2G) ha quedado relegada a un segundo plano. Pero no es así. Millones de suscriptores en el mundo siguen haciendo uso GSM cada día y la práctica totalidad de los terminales móviles 3G son compatibles con 2G. GSM es muy débil en cuestión de seguridad. ¿Cómo funcionaría un ataque con estación base falsa?

    Se puede suponer que una tecnología con semejante número de usuarios dispone de mecanismos que aseguran la seguridad de nuestras comunicaciones. Pero existe (y es más fácil de lo que parece) la posibilidad de que conversaciones o mensajes SMS acaben en manos de un tercero.

    Mapa mundial de frecuencias GSM. En azul, GSM 850/1900. En verde, GSM 900/1800. En rojo, sin cobertura GSM. Fuente: hardcorpstravel.com

    Realizar un ataque de hombre en el medio (MITM) en GSM es relativamente sencillo siempre y cuando se cuente con ciertos conocimientos técnicos concretos y presupuesto suficiente. A continuación veremos por qué se puede hacer, cómo se puede hacer y qué se podría conseguir.



    Para entender cómo funciona un ataque de estación base falsa es necesario familiarizarse con unas nociones básicas de la arquitectura GSM.

    Estructura jerárquica en GSM

    En GSM existen dos subsistemas bien diferenciados: por un lado tenemos el Network and Switching Subsystem (NSS), que representa el núcleo de la red y se encarga de realizar tareas de conmutación (MSC), gestión de movilidad y autenticación de usuarios (HLR y VLR, registros de ubicación local y visitante). Por otra parte está el Base Station Subsystem (BSS), que implementa el interfaz radioeléctrico GSM para la comunicación con los dispositivos de usuario (MS). Consta de dos elementos:


    • Controlador de estaciones base (BSC): es el elemento de control que gestiona los recursos de una o varias estaciones base. Asigna frecuencias y regula potencias de emisión, además de controlar procedimientos internos como el paso de llamada.
    • Estación base (BTS): es el dispositivo que da cobertura a las MS. Consta de una serie de antenas de emisión y transmisión, así como de moduladores y demás electrónica de comunicaciones. Cada BTS proporciona cobertura en un área determinada denominada célula o celda. Las estaciones base anuncian su presencia mediante el canal de beacon, de manera que las MS puedan localizarlas y registrarse en ellas.

    ¿Qué hace a GSM vulnerable?


    El estándar GSM presenta desde su concepción ciertos puntos débiles que le hacen especialmente vulnerable. Uno de ellos afecta al IMSI (identificador de suscriptor). El IMSI es una información considerada altamente confidencial, porque a partir de ella se puede inferir la localización geográfica de un usuario. El IMSI es un valor único que podría llegar a identificar a un usuario. Si quedara registrado en las torres en las que se suscribe el usuario, se podría literalmente "espiar" por dónde se mueve. Para solucionar este problema de privacidad, la norma establece que por defecto el IMSI no debe ser enviado por el interfaz radioeléctrico, y que en su lugar ha de utilizarse el TMSI (identificador temporal de suscriptor) al realizar actualizaciones de posición (registros en nuevos VLR). Aun así es posible recuperar el IMSI. Un VLR guarda una tabla de correspondencias IMSI-TMSI, pero si por algún motivo es incapaz de resolver un TMSI determinado, la red puede solicitar a la MS el envío de su IMSI en claro.

    Por otra parte, atendiendo a la confidencialidad de las comunicaciones, el estándar establece el A5/1 como algoritmo de cifrado por defecto. Pero también obliga a que todos los terminales GSM soporten A5/0 (transmisión sin cifrar). Además, la MS no tiene capacidad para decidir el método de cifrado, teniendo que aceptar el que le imponga la red.


    Sin embargo, el verdadero talón de Aquiles que encontramos en GSM es su protocolo de autenticación. A diferencia de las redes UMTS, donde ya vimos que la autenticación se realizaba en los dos sentidos, el estándar GSM sólo autentica al usuario frente a la red, mientras que la identidad de la red no se verifica. Esta carencia hace que sea relativamente fácil para un atacante suplantar a una estación base legítima y de esta manera interceptar y alterar las comunicaciones.


    Pero si se pretende suplantar una estación base, cabe plantearse por qué una MS (que ya está recibiendo servicio de una estación base legítima) se conectaría a la de un atacante. Existen varios eventos que pueden desencadenar un proceso de reselección de celda, y todos ellos pueden ser forzados por el atacante. Por ejemplo, con un inhibidor de frecuencias es posible provocar una pérdida de cobertura.

    Dos tipos de ataque


    Antes de profundizar en los pasos del ataque, debe quedar claro que existen dos tipos, en función de cómo se comporta el atacante respecto a la red.

    • Por un lado está el ataque completo, en el que no solo se suplanta a la estación base sino que además se suplanta al usuario frente a la red. De esta manera la comunicación es totalmente bidireccional y el abanico de posibilidades de que disponemos se multiplica. El problema es que este tipo de ataque es muy complejo (sobre todo a la hora de sincronizar la señalización entre BTS, suplantador y víctima), y desde luego las herramientas necesarias no son tan fáciles de conseguir,
    • Un ataque parcial, en el que solo se suplanta la estación base. En él, se restringe la comunicación un único sentido. En otras palabras, el usuario podrá realizar llamadas, pero no recibirlas. En esta entrada nos centraremos en este, mucho más sencillo.


    ¿Qué se necesita para suplantar a una estación base?


    Para acometer un ataque de esta naturaleza, el atacante (dando por sentado que posee conocimientos de informática y telecomunicaciones lo suficientemente extensos) necesita un conjunto de elementos hardware y software muy específicos (en este libro, se entra en detalle sobre el funcionamiento y conocimiento necesarios)


    USRP N120. Fuente: Ettus.com

    Respecto a la parte hardware, el elemento principal es un dispositivo capaz de emitir en la banda de frecuencias de GSM (900 MHz y 1800 MHz en Europa), como por ejemplo alguno de la familia USRP de Ettus Research. El precio de estos aparatos oscila entre los mil y los tres mil euros (véase como ejemplo el N210). Además, son necesarias al menos dos antenas direccionales para la transmisión y recepción de datos, así como un modulador-demodulador de GMSK, que es la modulación empleada en GSM.

    En general, el hardware del atacante tendrá una potencia de transmisión y una capacidad de gestión muy inferior a las de una estación base real, lo que obligará a situarse en una zona próxima al objetivo.


    Con respecto al software, existe una gran variedad de herramientas de libre distribución que desempeña las funcionalidades de una estación base de GSM. Por un lado disponemos de OpenBTS (Open Base Transceiver Station), que hace las veces de punto de acceso software de GSM, implementando toda su pila de protocolos asociada. Y por otro lado tenemos Asterisk, que permite desarrollar las funciones de una central de conmutación. Por último, también será necesaria alguna herramienta que permita capturar el tráfico, como por ejemplo Airprobe.

    Con los elementos anteriores u otros equivalentes, es posible iniciar el ataque.
    Cristóbal Bordiú @ http://blog.elevenpaths.com/2014/02/mitm-en-gsm-ataque-con-falsa-estacion.html
    [email protected]
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2 MITM en GSM: ataque con falsa estación base 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    Puesto que la telefonía móvil 4G es ya una realidad, pudiera parecer que la tecnología GSM (2G) ha quedado relegada a un segundo plano. Pero no es así. Millones de suscriptores en el mundo siguen haciendo uso de esta tecnología cada día y la práctica totalidad de los terminales móviles 3G son compatibles con GSM. GSM es muy débil en cuestión de seguridad. ¿Cómo funcionaría un ataque con estación base falsa?

    Suplantando una BTS de un operador legítimo

    Un atacante necesita, para comenzar, información sobre su objetivo. En especial si se pretende realizar un ataque dirigido. En un escenario ideal para el atacante, debe poder identificar a la víctima con su operador de red y su IMSI. Este último parámetro se almacena en la SIM del usuario y en el registro de ubicación base (HLR) de la red, que es una base de datos que almacena información estática sobre los usuarios.

    Existen varias formas de obtener el IMSI de un suscriptor:

    • Algunos servicios web ofrecen la posibilidad de consultar directamente los HLR de las operadoras, y en algunos casos obtener el IMSI de un determinado número.
    • Otro método consiste en que sea el propio atacante el que utilice la BTS como IMSI-Catcher. Para conseguirlo, se debe acercar a la ubicación física del objetivo, y cuando las MS intenten registrarse contra la BTS falsa, indicarles que no es posible resolver su TMSI. Como el protocolo contempla que si esto ocurre, el teléfono envíe el IMSI, lo hará. El atacante puede rechazar el registro pero también almacenar el IMSI para así confeccionar una lista. Puesto que lo habitual es que se tengan muchas peticiones de otros usuarios que no sean la víctima concreta, deberá realizar esto mismo en diferente localizaciones donde sepa que se encuentra el objetivo... cruzar las listas y determinar el IMSI común.

    El atacante también debe obtener información que le permita caracterizar su estación base con parámetros reales de estaciones base legítimas. De esta forma, a ojos del móvil, su BTS será más creíble, y aumentarán las posibilidades de realizar el ataque con éxito. Para esto se suele monitorizar el espectro radioeléctrico, en busca de señales de beacon provenientes de BTS legítimas.

    Monitorización de los canales de señalización GSM con GNURadio, Airprobe y Wireshark. Fuente: rtl-sdr.com
    Para su configuración, los parámetros más importantes que se deben determinar mediante el análisis de estas señales son:

    • La frecuencia a la que debe emitir la estación base falsa. Resulta un factor clave, porque se debe evitar interferir con un canal de la estación base de la célula en la que se encuentra el atacante y que, de esta forma, la presencia de la base pase inadvertida. Lo habitual es utilizar frecuencias de estaciones base de celdas adyacentes, lo que añadirá veracidad al ataque.
    • La potencia de emisión es también otro factor determinante, puesto que a mayor potencia, mejor recepción de la señal del atacante en el dispositivo del usuario y por tanto más fácil será que se conecte a la BTS.

    Una vez configurada, se procede a emitir. Lo habitual es utilziar un inhibidor de frecuencia para saturar el espectro radioeléctrico en las frecuencias de la celda en la que se encuentran atacante y víctima, y de esta manera forzar al dispositivo de la víctima a registrarse en la BTS falsa. Otra manera es situarse lo suficientemente cerca para que la señal que reciba con más fuerza sea la falsa. De esta forma el móvil creerá que ha cambiado de celda y, si la BTS está correctamente caracterizada con la información que se ha obtenido anteriormente, se conectará.

    Cuando la víctima intente conectarse se debe aceptar el registro automáticamente, pudiendo incluso obviar el proceso de autenticación. Como ya mencionamos, la MS no tiene capacidad para decidir qué tipo de cifrado emplear en las comunicaciones sino que utiliza el que le imponga la red. Basta con pedirle que utilice A5/0 y las comunicaciones irán en texto plano. Para la víctima, todo este proceso es transparente.

    Estructura del ataque. Fuente: criptored.upm.es
    A partir de este momento el usuario está aislado de la red del operador en el sentido de que no podrá recibir comunicaciones entrantes. Si alguien intenta contactar con él, aparecerá como fuera de cobertura. Sin embargo, gracias a Asterisk el atacante podría redirigir llamadas salientes hacia la red.

    El atacante está en medio ¿y ahora qué?

    Una vez el atacante dispone del control de las comunicaciones del usuario, es posible hacer "de todo": escuchas, denegación de servicio, redirección de llamadas…

    Veamos un caso práctico, entre muchos otros posibles. Supongamos que el atacante quiere robar los datos bancarios de la víctima. Podría empezar por mandarle un SMS haciendo coincidir el número de origen con el de su entidad bancaria. Esto es tremendamente sencillo porque el servicio SMS no implementa comprobación del número de origen (de hecho, para este paso no hace falta ninguna infraestructura específica puesto que ya hay servicios web gratuitos que permiten esta funcionalidad). En el SMS se comunica a la víctima que, debido a una actualización de la base de datos, es necesario que contacte con su banco para proporcionar unos datos.

    Es posible que el usuario llame a la centralita de su entidad bancaria, pero la BTS falsa redirigirá la llamada a un teléfono controlado por el atacante. Como es la propia víctima quien realiza la llamada, es improbable que sospeche. El atacante, haciéndose pasar por un empleado del banco, podría solicitar su número de cuenta y clave de acceso.

    En general, GSM es una tecnología muy vulnerable. Todos sus elementos de seguridad están obsoletos y su arquitectura presenta importantes brechas de seguridad. Su uso es desaconsejable aunque sigue estando muy extendido. Quizás con la expansión de las redes 4G su popularidad vaya decayendo paulatinamente, pero es probable sea necesario mucho tiempo hasta que se convierta en marginal, puesto que, a su favor, tiene los poderosos motivos de compatibilidad.


    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

Temas similares

  1. Ataque selectivo con estación base falsa GSM/GPRS
    Por LUK en el foro TELEFONÍA MOVIL
    Respuestas: 0
    Último mensaje: 14-04-2011, 18:18
  2. Buscando una estacion multimedia
    Por jandrito3 en el foro HARDWARE
    Respuestas: 4
    Último mensaje: 26-01-2010, 02:16
  3. Duda con MITM
    Por kili4n en el foro GENERAL
    Respuestas: 7
    Último mensaje: 03-12-2009, 07:19
  4. Conexion vfp de estacion a server??
    Por AlexK13081 en el foro GENERAL
    Respuestas: 1
    Último mensaje: 20-10-2004, 00:17
  5. estacion por la red
    Por thmx en el foro APLICACIONES
    Respuestas: 1
    Último mensaje: 15-05-2004, 14:27

Marcadores

Marcadores