sábado, 27 de diciembre de 2014

Defenderse de las redes móviles

En esta charla, Karsen Nohl, nos cuenta cómo defendernos de ataques mediante redes móviles.
La charla continúa la charla anterior de Tobías, con un planteamiento diferente.
Se identifican cinco tipos de ataques que se pueden realizar mediante SS7: localización de un usuario, interceptación de llamadas, mensajes y datos de internet, denegación de servicio (impedir recibir o hacer llamadas, etc.), fraude (cargar servicios a otro usuario) y envío de spam.
De esos cinco tipos, esta charla se centra en las posibilidades de interceptación de llamadas.
  1. Uno de los problemas es que se permite acceder a un mensaje pensado para ser hecho internamente que pide la clave de encriptación actual.
  2. Otro es el problema de lo IMSI catcher, que son nodos GSM falsos que permiten pedir a los terminales (aprovechando que la red GSM no tiene autenticación de la red) informaciones como su número IMSI. En 3G se autentica la red, pero un nodo falso podría pedir autenticación a otro nodo y utilizar su información para hacerle creer al terminal que es legítimo.
  3. Redirección de llamadas. Con esto se ha demostrado que mediante estos ataques se permite desviar la llamada de un usuario a otro teléfono que se registra como el primero (que luego podría desregistrar el desvío y llamar al usuario de destino real e interceptar la llamada).
De los tres ataques, el 1 se puede bloquear sin perdida de funcionalidad, pero los problemas 2 y 3 no se solucionan tan fácilmente porque esos mensajes son necesarios para que la red funcione correctamente, pero como mínimo es necesario que los originadores de los mensajes sean verosímiles y que el volumen de mensajes de ese tipo que se recibe de un determinado usuario sea consistente (las operaciones de intervención intervienen miles de números a la vez).
Demostración que obtiene primero el IMSI, luego la MSC y la ubicación (el cell-id). Después nos movemos a esa ubicación y vemos un mensaje para ese IMSI, podemos capturar su información de cifrado, y de ahí podemos escuchar y descifrar sus SMS. Esto ya ha sido bloqueado en 2 de las 4 redes de Alemania.
En charlas anteriores, se mostró que con un teléfono osmocom y el crack de la cifra A5/1 se podrían descifrar llamadas GSM. Para 3G, se tiene que usar un hardware más sofisticado pero todavía con una pregunta SS7 conseguir los datos necesarios para descifrar (no es posible descifrar directamente con la información escuchada).
Por eso Karsten ha creado la herramienta GSM map, que indica los operadores que están aplicando o no las medidas de seguridad (por ejemplo, en 3G se requiere que se cifren las llamadas y se cambien los TMSI frecuentemente).
Otro problema es que muchos SIM todavía utilizan cifrados de 64 bits, en lugar de los 128 bits que podrían soportar nuevos USIM. De las revelaciones de Snowden se sabe que ellos tienen capacidad de descifrar las claves A5/3 de GSM de 64 bits, por lo que sólo las SIM con capacidad de 128 bits serían seguras. Esto también se sigue en GSM map pero hace falta que muchos usuarios envíen sus datos para hacer ese mapa.
Karten quiere atacar estos tres tipos de problemas que tienen una cosa en común: los teléfonos tienen capacidad de detectar los ataques, pero no son capaces de reportarlos. Esto lo ha hecho mediante una herramienta recientemente publicada, denominada Snoopsnitch, que basado en la ingeniería inversa del código de banda base de los chipset de Qualcomm, detecta los ataques y envía la información a una App que lo puede informar al usuario. La herramienta es sólo un punto de partida, ya que prevén mejorarla soportando más chipsets, y les servirá para recoger datos de los usuarios que quieran compartir sus alertas de seguridad.

No hay comentarios:

Publicar un comentario en la entrada