viernes, septiembre 05, 2014

Estaciones base falsas espían las llamadas telefónicas

En las comunicaciones móviles entre el terminal móvil y la antena de telefonía existen una gran variedad de tegnologías. Son los famosos GSM, Edge, GPRS, UMTS, LTE, que agrupados por distintas generaciones dan lugar a los protocolos 2G, 3G, el actual 4G y la más nueva familia de protocolos 5G. Estos protocolos, como cualquier otro sistema de informático ha sido y es atacado de diferentes formas a lo largo de la historia.

En el caso de GSM, no hace demasiado tiempo os publicaba un caso sencillo de cómo se podría sniffar el tráfico GSM, descifrar el tráfico y acabar capturando los mensajes SMS que se utilizaran por ejemplo como OTP (One-Time Password) para validar una operación o como Segundo Factor de Autenticación del proceso de login de una cuenta.

El ataque con Estación Base Falsa 2G

En el caso de las comunicaciones 2G (GSM/GPRS/EDGE) hace mucho tiempo que se aprovecha una sencilla debilidad de estos protocolos, y es que la red puede autenticar al dispositivo pero el dispositivo no valida a la red, así que cualquier estación BTS puede - técnicamente hablando - suplantar a cualquier red de comunicaciones haciendo que los terminales que estén en su alcance acaben conectándose a ellas. Todo esto lo tienes explicado en detalle en el libro de Hacking de Comunicaciones Móviles GSM/GRPS/UMTS/LTE (2ª Edición)

Figura 1: Escenario de pruebas de Estaciones Base Falsas en caja de Faraday

Estos ataques con Estación Falsa 2G son baratos y fáciles de realizar, ya que por algo menos de 300 USD puedes conseguir todo el material necesario. Eso sí, estos ataques están prohibidos y perseguidos en la mayoría de los países ya que para poder emitir en una frecuencia debes haber comprado el derecho de uso del espectro, por lo que hay que pagar una buena cantidad de dinero al estado.

Dejando a parte la legalidad, si un atacante decidiera poner una Estación Falsa 2G al alcance de unos terminales móviles, y alguien se conectara a ella, podría redirigir las llamadas, grabarlas, redirigir el tráfico de Internet, manipularlo en esquemas de man in the middle, etcétera. De esto, nuestros amigos de Layakk - entonces Taddong  y escritores del libro que os he citado antes -, dieron una charla en la Black Hat DC 2011.

Figura 2: Ejemplos de ataque a conexiones 2G con Estación Base Falsa en BlackHat DC 2011

Por supuesto, cuando se monta una Estación Base Falsa 2G con el objeto de interceptar las comunicaciones móviles, el cifrado es algo que se deja desactivado por la propia estación, para que sea todo mucho más rápido y sencillo a la hora de capturar las conversaciones y los datos.

Las Estaciones Base Falsas 2G y los terminales iPhone

Lo más curioso de todo es que los terminales más modernos, como iPhone o muchos Android no tienen en cuenta ninguna medida de seguridad para detectar este tipo de ataques y, mientas que iPhone tiene la posibilidad de deshabilitar 4G, no existe ninguna forma de deshabilitar 2G y forzar sólo conexiones 3G

Figura 3: El usuario puede activar o desactivar 4G en iOS, pero no 2G

Quitar 4G tiene sentido mientras que en algunos sitios está en "pruebas" o "implantación", pero quitar 2G puede ser una decisión de seguridad que tome un usuario para evitar estos ataques. No hay que olvidar que tanto en redes 3G como en redes 4G se autentica a la red, por lo que hacer un ataque de Estación Base Falsa no es trivial ni mucho menos.

Por otro lado, los terminales modernos tampoco muestran alertas cuando se ha deshabilitado el cifrado. Mientras que los viejos dumbphones te mostraban un iconito con el candadito abierto, los modernos iPhone no enseñan nada similar al usuario.

Figura 4: Nokia muestra que la conexión no está cifrada, iPhone no muestra nada

En el libro de Hacking iPhone se le dedicó un capítulo entero a cómo montar un escenario de ataque con Estación Base Falsa 2G, siendo posible hacer alguna cosa tan curiosa como sacar las fotos del carrete con el terminal bloqueado cambiando la hora del dispositivo desde la antena de telefonía.

Si a esto sumamos que en los terminales iPhone no se pueden instalar apps que controlen las antenas de telecomunicaciones y que para poder usar apps como Signal que ayuden a la detección de Estaciones Bases Falsas necesitas tener jailbreak en el terminal, hace que los dispositivos iPhone sean especialmente adecuados para este tipo de ataques.

Figura 5: Signal, una app para iPhone con Jailbreak
que informa de antenas usadas

Además, esto puede llegar a ser todo lo quirúrgico que se desee, ya que es posible, con cualquier IMSI Catcher extraer el IMSI del terminal objetivo y luego hacer un ataque dirigido con la Estación Base Falsa, dejando sin afectar al resto de los terminales, ya que sería como poner un filtro de conexión en la antena.

Detección de las antenas falsas

Detectar las antenas falsas no es una tarea imposible, sobre todo teniendo en cuenta que las capacidades y características que ponen las operadoras de telefonía son de unas características de potencia, configuración y seguridad distintas a las que se usan en ataques dirigidos o con Estaciones Base Falsa. Simplemente mirando características como el cifrado, la potencia de la antena o revisando toda la información que se ha configurado en ella es posible saber si se está ante una antena con alta probabilidad de ser falsa, si se está en una comunicación insegura sin cifrado, etcétera.

Figura 6: GSMK CryptoPhone

Esto lo detectan los famosos Cryptophones que se ponen en los terminales para monitorizar la seguridad de las llamadas y conexiones de datos, además de añadir capas de cifrado y seguridad adicionales. Por supuesto, esto también lo utilizan empresas y organizaciones de seguridad para monitorizar los entornos de sus instalaciones y evitar este tipo de ataques.

En Estados Unidos, la noticia ha saltado cuando Popular Science, en un recorrido por el país ha detectado varias Antenas de Comunicaciones con Estaciones Base Falsas que estaban funcionando sin cifrado, lo que hacía saltar las alertas en el software de protección de comunicaciones. Y estaban cerca de bases militares, lo que lleva a la pregunta. ¿Quién las puso y para qué?

Figura 7: Características detectadas de USA

Después de la publicación del artículo y el revuelo por todo el mundo, las antenas han sido eliminadas de sus ubicaciones, pero no se sabe exactamente cuántas habrá en Estados Unidos y el resto de los países, sobre todo teniendo en cuenta que está documentado cómo funcionan estos ataques y que el coste de montarlas no es muy caro.

Saludos Malignos!

3 comentarios:

  1. interesante articulo, junto con los estudios de layakk, se pone al descubierto más vectores de ataque a redes móviles que a día de hoy siguen sin corregirse.

    ResponderEliminar
  2. Hola,

    Muy buen artículo ! Si con un teléfono de no más de 20€ se puede montar una celda falsa como estas que has comentado, que es lo que harán gobiernos, empresas y agencias de espionaje ...

    En cuanto a la detección de celdas falsas, recomiendo fakebts.com, una aplicación que corre bajo Linux con muchos hardware OpenSource con el único fin de detectar estas celdas falsas.

    Un saludo.

    ResponderEliminar
  3. encontré esto relacionado http://demophi.e-paths.com/demo/?id=1

    ResponderEliminar