Sicurezza delle reti cellulari A tutt'oggi il GSM (Global System for Mobile Communications), sebbene progettualmente datato (1987), è lo standard di radio-comunicazione cellulare più diffuso al mondo contando, infatti, più di 4.4 miliardi di utenti in più di 200 stati. La sua popolarità e diffusione a livello globale, ha garantito, nel tempo, la possibilità di comunicare mantenendo un'efficiente mobilità, grazie la quale à massivamente utilizzato non solo dalla gente comune, ma anche da criminali ed organizzazioni terroristiche. Al fine di combattere queste ultime, è stato introdotto il cosiddetto sistema di Lawful Interception, il quale garantisce alle forze di Polizia, previo autorizzazione della Magistratura, la possibilità di localizzare ed intercettare determinate utenze attraverso l'utilizzo di diverse tecniche, tra le quali l'uso di IMSI-Catcher: particolari apparati portatili molto costosi in grado di tracciare e intercettare un telefono cellulare. Gli IMSI-Catcher sono utilizzati principalmente nel caso in cui non si conoscano (a priori e in dettaglio) i dati sugli utenti da tracciare e intercettare, o nel caso si sospetti la presenza d'insiders all'interno delle stesse compagnie telefoniche, i quali potrebbero compromettere le indagini. Il seguente intervento tratterà diverse tematiche inerenti lo stato dell'arte della sicurezza delle reti cellulari. Quali vulnerabilità risiedono in esse. E quali tool vengono utilizzati per portare a termine con successo attacchi agli utenti e alla rete. Verranno inoltre presentati alcuni casi di studio reali e alcune ricerche condotte.

1. Mobile Network Security:
quanto sono sicure le reti cellulari?
Version:
Author:
Responsible:
Date:
Confidentiality Class:
Luca Bongiorni
Mobile Network Security:
1.0
L. Bongiorni
L. Bongiorni
23.10.2013
Public
quanto sono sicure le reti cellulari?

2. Chi sono
Luca Bongiorni
Work at . . .
 Security Consultant
 Telco Enthusiast
 Interests: break stuff , lockpicking
& collect PayPhones
a
2
Mobile Network Security:
quanto sono sicure le reti cellulari?
company

3. La Rete GSM
A tutt'oggi, sebbene progettualmente datato (1987), lo standard di radiocomunicazione cellulare più diffuso al mondo è il GSM (Global System for Mobile
Communications), esso conta, infatti, oltre 4.4 miliardi di utenti in più di 200
stati.
Esso ha garantito negli anni, la possibilità di comunicare mantenendo
un'efficiente mobilità, grazie la quale è massivamente utilizzato non solo dalla
gente comune, ma anche da criminali ed organizzazioni terroristiche.
3
Mobile Network Security:
quanto sono sicure le reti cellulari?

4. Breaking News:
The (un)Lawfull Interception
Taksim Square, Turkey, June 2013
4
Mobile Network Security:
quanto sono sicure le reti cellulari?

5. Breaking News:
The Italian Job
5
Mobile Network Security:
quanto sono sicure le reti cellulari?

6. Breaking News:
The Bad Guys ‘aka’ Money Loss!
“… police had been detecting unauthorized IMSI catchers being used
across the country, though had not been able to catch any of the
perpetrators. … Former Czech intelligence agency chief A. Sandor said
that businesses could be using them to spy on one another. … it’s
possible that criminal gangs could be using them for extortion”
• What happens if competitors use it to take advantage of your company?
• What happens if someone intercept you and then extorts you money?
• And many other Scenarios are still possible…
Think about it…
6
Mobile Network Security:
quanto sono sicure le reti cellulari?

7. Negli ultimi 5 anni un gran numero di Progetti OpenSource ed Attacchi
Pratici sono stati resi pubblici…
A5/1 Cracking
Um Passive Sniffing
IMSI-Detach
Um Active MITM
GPRS Sniffing
RachDoS
GSM + OpenSource == FUN
7
Mobile Network Security:
quanto sono sicure le reti cellulari?

8. Minaccia Reale o Finzione?
Some of the Threats that You should be aware:
• IMSI-Catchers (e.g. Location Disclosure, Calls, SMS, Banking mTAN
Interception, Highjacking Emergency Calls, User Impersonation, etc.)
• Passive Sniffing / Cracking (If the operator uses a weak encryption algorithm
your data, calls, SMS can be easily intercepted by everyone!)
8
Mobile Network Security:
quanto sono sicure le reti cellulari?

9. Alcuni Casi di Studio…
• IMSI-Catcher:
• Known Victim Mode (Italia)
• GPRS & Data Connections
• GPRS Passive Sniffing:
• XXXXX (EU Nation 1)
• XXXXX (Italia)
• XXXXX (EU Nation 2)
• What’s Next?!
• GSM-R (Catching & DoSsing)
9
Mobile Network Security:
quanto sono sicure le reti cellulari?

10. Vulnerabilità Architetturali Sfruttate
• No Mutua Autenticazione
o La rete autentica la MS e non viceversa
• Mobilità degli utenti
o Il segnale più forte vince
(Cell Selection e Reselection)
o Location Update forzato
(if LACPLMN != LACIMSI-Catcher then
swtich to IMSI-Catcher)
• La Cifratura è Opzionale
o
A5/0 No Encryption
10
Mobile Network Security:
quanto sono sicure le reti cellulari?

11. IMSI-Catcher: Il Prototipo
Prototipo
Lab’s
Configuration
11
Mobile Network Security:
quanto sono sicure le reti cellulari?

12. Known Victim Mode (Italia)
Location Disclosure
CallerID
vittima
Lista Città
ed IMSI
Catch-and-Relay
12
Mobile Network Security:
quanto sono sicure le reti cellulari?
Local
Area

13. Known Victim Mode (Italia):
Location Disclosure
13
Mobile Network Security:
quanto sono sicure le reti cellulari?

14. Known Victim Mode (Italia):
Catch & Relay
+ CRO = 63 (max)
+ T3212 = 0
14
Mobile Network Security:
quanto sono sicure le reti cellulari?

15. Qualche Risultato…
• Spoofing CallerID
• Intercettazione Chiamate
ed SMS in uscita
• Dirottamento Chiamate
d’Emergenza
15
Mobile Network Security:
quanto sono sicure le reti cellulari?

16. Interoperabilità con UMTS & LTE
What happens if we JAM the UMTS & LTE frequencies?!
Le UE: “Nice to meet you again sir GSM”
Le GSM: “Welcome back my dear”
16
Mobile Network Security:
quanto sono sicure le reti cellulari?

17. 17
Mobile Network Security:
quanto sono sicure le reti cellulari?

18. Welcome home IMSI-Catcher 2.0
E’ una Picocella commerciale sviluppata da ip.Access
100% compatibile con OpenBSC (software OpenSource)
GPRS
[the newest one, also EDGE]
IP connection
18
Mobile Network Security:
quanto sono sicure le reti cellulari?
PCS band (1900 MHz)
PoE powered
Encryption A5/1 – A5/2

19. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Attacchi Man-In-The-Middle verso interessanti
ME!
•Point-Of-Sale
• Smart Meters
• Mobile HotSpots
• Video Poker
• SCADA Remote Stations
• Alarm Systems
A quale scopo?! Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
19
Mobile Network Security:
quanto sono sicure le reti cellulari?

20. Es.: Point-Of-Sale 2G (test preliminare)
20
Mobile Network Security:
quanto sono sicure le reti cellulari?

21. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
2G Antenna
• Point-Of-Sale
•Video Poker
• Smart Meters
• Mobile HotSpots
• SCADA Remote Stations
• Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
21
Mobile Network Security:
quanto sono sicure le reti cellulari?

22. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
• Point-Of-Sale
• Video Poker
•Smart Meters
• Mobile HotSpots
• SCADA Remote Stations
• Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
22
Mobile Network Security:
quanto sono sicure le reti cellulari?

23. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
• Point-Of-Sale
• Video Poker
• Smart Meters
•SCADA Remote Stations
• Mobile HotSpots
• Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
23
Mobile Network Security:
quanto sono sicure le reti cellulari?

24. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
• Point-Of-Sale
• Video Poker
• Smart Meters
•Mobile HotSpots
• SCADA Remote Stations
• Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
24
Mobile Network Security:
quanto sono sicure le reti cellulari?

25. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
• Point-Of-Sale
• Smart Meters
• Mobile HotSpots
• Video Poker
• SCADA Remote Stations
•Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
25
Mobile Network Security:
quanto sono sicure le reti cellulari?

26. IMSI-Catcher 2.0 for Fun & Profit
Cosa potremmo mai farci?! Uhm… Man-In-The-Middle Attacks verso interessanti
ME!
• Point-Of-Sale
• Smart Meters
• Mobile HotSpots
• Video Poker
• SCADA Remote Stations
• Alarm Systems
A quale scopo? Principalmente tutti gli attacchi
disponibili tramite TCP/IP!
•
•
•
•
•
•
Sniffing communications (e.g. Wireshark + SSLstrip)
Hijacking trusted connections (e.g. Stealing Credentials)
Deploying malicious software (e.g. Squid + Metasploit)
Malware Analysis
Protocol Analysis
Etc.
What about UMTS and LTE?!
26
Mobile Network Security:
quanto sono sicure le reti cellulari?

27. Catturare ed Intercettare un modem LTE
27
Mobile Network Security:
quanto sono sicure le reti cellulari?

28. GPRS Passive Sniffing
“GPRS Intercept Wardriving phone networks”
by Nohl & Melette, 2011
They patched OsmocomBB and developed GPRSDecode to analyze GPRS packets.
http://tinyurl.com/gprs-nohl-slides
Alcuni Casi di Studio...
28
Mobile Network Security:
quanto sono sicure le reti cellulari?

29. GPRS Passive Sniffing (EU Nation 1)
Col fine di stimolare traffico dati, é stato utilizzato un vecchio modem GPRS Telit MG10.
Come sniffer invece, un Pirelli DP-L10 con un firmware ad-hoc basato su Osmocom-BB.
29
Mobile Network Security:
quanto sono sicure le reti cellulari?

30. GPRS Passive Sniffing (Italia)
30
Mobile Network Security:
quanto sono sicure le reti cellulari?

31. GPRS Passive Sniffing (Italia)
31
Mobile Network Security:
quanto sono sicure le reti cellulari?

32. GPRS Passive Sniffing (Italia)
Analisi del 14/09/2013 del canale ARFCN 983
(222-88 – Wind Italia)
32
Mobile Network Security:
quanto sono sicure le reti cellulari?

33. GPRS Passive Sniffing (EU Nation 2)
Quale tipologia di sevizio potrebbe utilizzare le reti cellulari come
mezzo di comunicazione?
33
Mobile Network Security:
quanto sono sicure le reti cellulari?

34. GPRS Passive Sniffing (EU Nation 2)
“Securing your World. G4S is the world’s leading international
security solutions group”
From http://www.g4s.com/
34
Mobile Network Security:
quanto sono sicure le reti cellulari?

35. What’s Next?: GSM-R Catching
35
Mobile Network Security:
quanto sono sicure le reti cellulari?

36. What’s Next?: GSM-R DoSsing
36
Mobile Network Security:
quanto sono sicure le reti cellulari?

37. Fine
37
Mobile Network Security:
quanto sono sicure le reti cellulari?

38. References
http://www.openbts.org
http://openbsc.osmocom.org
http://bb.osmocom.org
https://srlabs.de/gprs
http://tinyurl.com/gprs-nohl-slides
http://www.youtube.com/watch?v=vqjnhKYEDs0
http://patentscope.wipo.int/search/en/WO2008104739
http://www.tombom.co.uk/blog/?p=262
http://www.etsi.org/deliver/etsi_ts/101100_101199/101181/08.05.
00_60/ts_101181v080500p.pdf
38
Mobile Network Security:
quanto sono sicure le reti cellulari?

39. Contatti
Austria
Lituania
Mooslackengasse 17
A-1190 Vienna
Austria
Saulėtekio al. 15,
LT-10224, Vilnius
Lituania
Tel: +43 (0)1 890 30 43-0
Fax: +43 (0)1 890 30 43-15
Tel. (Office): +370 671 84203
Email: office@sec-consult.com
www.sec-consult.com
39
Mobile Network Security:
quanto sono sicure le reti cellulari?
Email: l.bongiorni@sec-consult.com
Email: office-vilnius@sec-consult.com
www.sec-consult.com