Este documento describe cómo un atacante podría realizar un ataque de intermediario entre dos partes (MITM) en una red GSM para obtener información confidencial de usuarios, como su número IMSI, e interceptar transacciones como la compra de juegos. Explica que se puede acceder a la identidad del dispositivo móvil (IMEI) y del usuario (IMSI) en teléfonos Android rooteados. También describe cómo hacer consultas a la base de datos HLR para obtener un IMSI a partir de un número de teléfono, y analizar una aplicación de comp
2. WHOAMI
CTO izit
Speaker mobile
Cursos de seguridad WEB y Móvil
@JulianZarate
Julian.m.zarate@gmail.com
http://computacionmovil-ar.blogspot.com.ar/
3. Diccionario Spanish - Chilenean
• No no no y NO digas que “estoy tomando del pico”.
• ¿Quién habrá programado este componente? = ¿Quien xuxa
hizo esta wea?
• Upps se cayo el servidor = está wea no anda
• ¿En serio? = ¿me tai webiando?
• Mira como se cayo esa pobre persona = mira el weon se saco
la cresta
• El no está familiarizado con el tema = Ese weon no cacha na’
• Mi jefe me consulta mucho = Este weon me tiene pa’l weveo
suyo
5. Redes celulares
• El consorcio europeo GSM (Global System
for Mobile Communications) es la red de
telefonía móvil mas implementada en el
mundo.
• Una derivación del Sistema TDMA creado por
Motorola en 1994, se llamo iDEn
(Integrated Digital Enhanced Network ),
Push To Talk, o apretar para hablar, en Argentina
quien provee este tipo de servicios es la
empresa Nextel.
6. • A partir de 2G, Service Always on Conectivity
• Datos y voz simultáneamente.
• Handover, momento en el que un teléfono
cambia de una celda a otra, no Hangover…
que es otra cosa :-P
• El último protocolo 4G se llama LTE Advanced
8. Mobile station
• Mobile Equipment (ME)
• Subscriber Identity Module (SIM)
• El IMEI y El IMSI son independientes
Función Principal: Permitir al usuario recibir y
realizar llamadas desde cualquier parte de la zona
de servicio de la red.
9. Mobile station
Subscriber Identity Module (SIM)
UICC (Universal Integrated Circuit Card): Hardware
USIM (Universal Subscriber Identity Module): Software
Hasta 512 KB con aplicaciones.
Datos que almacena:
ICCD (Integrated Circuit Card ID):
IMSI (International Mobile Subscriber Identity) MCC+MNC+MSIN
Ki (Clave de autenticación)
LAI (Location Area Identify) cambia
11. BSS (Base Station Subsystem)
Conecta MS<->NSS, encargado de la transmisión y recepción.
1) BTS la Estación Base Transceptora proporciona la interface radio a la estación
móvil (equipo celular). La BTS contiene todo el equipamiento de radio
(transceptores y antenas) requeridos para dar servicio a cada celda en la red
celular. Un grupo de BTS's son controlados por el BSC.
2) BSC El Controlador de Estación Base provee todas las funciones de control y
los enlaces físicos entre el MSC y las BTS's. soporta funciones como:
handover, datos de configuración de la celda y el control de los niveles de
potencia de radio frecuencia en las BTS's. Un grupo de BSC's son
administrados por el MSC.
3) TRC/TRAU dispositivo que suministra tasas de adaptación. El TRC disminuye
la tasa de bits por canal de 64 Kbits/s a 16 Kbits/s
12. NSS (Network Switching Subsystem)
Administra las conexiones entre los diferentes usuarios de la red.
1) MSC (Mobile Services Switching Centre) El Centro de Conmutación de
Servicios Móviles realiza las funciones de conmutación telefónica del sistema.
Controla las llamadas desde y hacia otro teléfono.
2) GMSC (Gateway MSC) La interfaz MSC es un nodo que interconecta dos o
más redes, tales como la Red de Telefonía Pública Conmutada (PSTN)
3) HLR (Home Location Register) es una base de datos para almacenamiento y
administración de las suscripciones, perfil de servicio, ubicación y sus últimas
actividades (llamadas, nuevos contactos, etc)
4) VLR (Visitor Location Register) es una base de datos que contiene
información de los suscriptores temporales requeridos por la MSC para dar
servicio a cualquier suscriptor visitante
5) AuC (Authentication Centre) El Centro de Autenticación proporciona los
parámetros de autenticación y encriptación que verifican la identidad del
usuario y aseguran la confidencialidad de cada llamada.
13. NSS (Network Switching Subsystem)
1) EIR (Equipment Identity Register) es una base de datos que contiene
información acerca del equipo móvil, con la finalidad de prevenir las llamadas
fraudulentas, no autorizadas o en el peor de los casos, equipos robados.
2) VAS (Servicios de Valor agregado) Encargados de servicios adicionales,
además de voz y datos, como Voice mail, SMS, MMS.
3) GGSN/GSN/SGSN (GRPS Suport Node, Serving, Gateway) es la plataforma
encargada de dar servicios relacionados a la transferencia de datos, mail,
navegación.
4) BGW (Billing Gateway) Recolectar información de facturación y tasación de
servicios.
14. VAS (Value Added Services)
Los Servicios de Valor Añadido (VAS por sus siglas en inglés) son servicios
prestados por terceras empresas que hacen uso de los operadores móviles para
ofrecer sus servicios. Estos servicios requieren una tarificación especial.
En este caso nos vamos a centrar en uno especial que es la de compra de juegos
para celulares.
15. Soft y hardware usado
1)Smartphone Android con Rooting.
2)BURP.
3)ProxyDroid.
4)DDMs.
18. ¿Por qué Android?
- Porque tiene muchas herramientas ya hechas
para poder trabajar.
- Se puede acceder a el IMSI y el IMEI.
getSuscriberId() y getDeviceId(), IOS no.
- Es por está ultima razón que probablemente que
la aplicación no este disponible para IOS
20. Contramedidas de seguridad aplicadas
Está app filtra las peticiones que vienen
de otras IP’s que no vienen de los nodos
SGSN/GSN/GGN
¿Cómo saltear esta medida?
21. Ingenieria inversa de la app
Upps… es una webapp (Cordova), solo
hace falta desempaquetar y analizar los
HTML junto con sus Javascript, mas fácil
todavia
22. ¿Cómo obtener un IMSI a partir de un
MSISDN?
Búsquedas de HLR (HLR Query) permiten comprobar el
estado de cualquier número de teléfono celular GSM . Al
hacer una consulta al Registro de Localización (HLR) , el
servicio de búsqueda determina si ese número es válido, si
está activo actualmente en una red móvil , y si es así cuál es
la red , si se ha portado de otra red , y si está en itinerancia .
La consulta también regresará meta-información como el IMSI
, MSC , MCC y MNC .