Ataques a terminales con una red GSM emulada

Otra charla más sobre ataques de GSM, complementaria de la más famosa donde se desvelaba el ataque a la cifra A5/1, fue la de Harald Welte sobre el uso de Open BSC para emular una red GSM y a base de enviar mensajes incorrectos desde la red, comprobar la robustez de los terminales a mensajes malformados. Harald fue el que el año pasado comentó acerca de sus primeros pasos con Open BSC para crear una red GSM de prueba basada en una BTS comprada en eBay.

En la charla, además de una introducción a GSM parecida a la del año pasado, se contó una actualización del estado de Open BSC, que ya está operativa, y además de la BTS de Siemens de la que habló el año pasado también soporta una picocelda de ip.access: nanoGSM, a la que se conecta por el interfaz A-bis sobre IP (mucho más fácil de usar).

En este momento soporta señalización, voz y mensajes cortos, y de hecho durante toda la conferencia se mostraba el log del programa y se podía ver cómo los usuarios enviaban los mensajes cortos. De hecho, puede ser un buen sustituto de los teléfonos DECT que se usaban hasta ahora para la comunicación dentro del CCC congress. Desafortunadamente no conseguí registrar el mío a tiempo ... :-( Para el futuro, se trabajará en la implementación de GPRS/EDGE, MMS y UMTS, con lo que se podrá comprobar la seguridad de los protocolos más relevantes de las redes móviles hoy en día.

Este es uno de los puntos que Harald mencionaba sobre los posibles ataques a los teléfonos: que tienen tantos protocolos y opciones que apenas se usan que casi seguro que están llenos de problemas de seguridad, porque es un código que se usa poco. Además también mencionó que muchos teléfonos utilizan el último TMSI (el número local que sustituye al número universal IMSI cuando el usuario se conecta a la red, para evitar la localización de alguien a base de escuchas pasivas) recibido cuando hacen roaming en una nueva red y que casi todos los teléfonos se mueren al recibir mensajes incorrectos, por lo que es muy probable que estén plagados de agujeros de seguridad.

Respecto a los ataques a los terminales, en la charla se contaban los métodos empleados: poner un proxy en el interfaz A-bis sobre IP (el que usa la nanocelda), con un par de puertos UDP para recibir los mensajes inyectados, que se generan a base de implementar los protocolos de GSM en scapy, y como los datos por ese interfaz sólo se envían cuando hay una llamada establecida, Open BSC utiliza una opción propia denominada "llamada silenciosa" que establece una conexión con un terminal móvil pero sin realmente efectuar una llamada, y por ahí se envían los paquetes inyectados y borrosos. Aunque se citaba que se está probando desde agosto con 860 teléfonos, no se hizo ninguna demostración de ninguna vulnerabilidad específica encontrada... (igual es que a pesar de todo no hay muchas).