Vulnerabilidades en redes móviles UMTS (3G)

La arquitectura de seguridad de UMTS ofrece cierta protección contra amenazas conocidas. El estándar asegura con éxito los datos de usuario, así como la confidencialidad y la integridad de los datos de señalización. Sin embargo, algunas vulnerabilidades se han identificado [32].

 Vulnerabilidades del Sistema de Autenticación

Suplantación de la red: un intruso puede atacar a las redes UMTS suplantando la red, sin embargo la mayoría de los ataques de este tipo se basan principalmente en las debilidades de GSM. El escenario de ataque es el siguiente: el atacante suplanta una BTS GSM que es válida al usuario y utiliza un inhibidor de frecuencias de móvil capaz de inhibir las frecuencias UMTS/HSPA en un lugar determinado, sin perturbar las frecuencias de GSM/GPRS/EDGE.

Por tanto un móvil que tiene la capacidad para conectarse a ambos tipos de sistemas, tanto UMTS como GSM, al no obtener cobertura 3G se puede conectar a la red 2G. De esta manera el atacante puede tener éxito en realizar un ataque man-in-the-middle consiguiendo modificar los datos y deshabilitar el cifrado o al menos conseguir los algoritmos de cifrado de su elección [33].

 Vulnerabilidades de la Confidencialidad de la Identidad del Suscriptor

Pérdida de la Identidad del Abonado: aunque el IMSI se sustituye por el TMSI después de la petición de conexión inicial, el IMSI se envía en texto claro durante la primera RRC

Esto es suficiente para atraer a un atacante permitiéndole identificar al usuario e incluso localizarlo [33].

En particular, el primer mensaje de solicitud de conexión se envía en el canal de acceso aleatorio que es un canal común y puede ser interceptado. Existen diversas investigaciones sobre GSM para extraer el IMSI durante una conexión [33].

Los receptores IMSIbasados en GSM están disponibles en el mercado, pero sus precios son altos y sólo se venden a los organismos gubernamentales. Actualmente algunos investigadores están interesados en la construcción de receptores IMSI que tengan todas las capacidades de los equipos comerciales [26].

UMTS ha evolucionado de GSM y ha adoptado la funcionalidad del envío del IMSI en texto claro en el inicio de la solicitud de conexión. Por lo tanto los dispositivos anteriores también se pueden utilizar para obtener el IMSI de un abonado UMTS [33].

Un posible escenario para obtener el IMSI de un abonado UMTS se muestra en la figura 2.3. El atacante tendría que suplantar un UMTS VLR/SGSN. Durante el RRC Connection

Request la víctima puede utilizar el TMSI. Si el TMSI no se puede resolver, entonces la red

puede realizar una solicitud de identidad. En tal caso, el UE tiene que enviar su IMSI en texto claro.

 Vulnerabilidad a los ataques DoS

Los ataques de denegación de servicio son difíciles de llevar a cabo en la arquitectura UMTS ya que esta tecnología incluye protección de la integridad en los mensajes de señalización y evita el ataque DoS usando la cancelación del registro del usuario. Sin embargo los mensajes no protegidos antes del comando de modo seguro pueden ser utilizados para lanzar ataques de denegación de servicio.

DoS utilizando el mensaje RRC Connection Reject: este es un ataque específico al usuario. En la primera fase el atacante debe conocer el IMSI del usuario. Ahora el atacante espera por la RRC Connection Request del usuario a atacar. La identidad inicial del UE es el identificador único de este mensaje. Esta identidad inicial puede ser TMSI, P-TMSI, IMSI o IMEI. El primer mensaje RRC Connection Request generalmente contiene el IMSI del usuario. El atacante entonces responde con el mensaje RRC Connection Reject. La única manera de evaluar la autenticidad de este mensaje es la comparación del valor de la Identidad del UE inicial con el valor de la recibida en el RRC Connection Reject. Si los valores son diferentes, el UE ignora el resto del mensaje y el UE termina la conexión. De ahí que un intruso sabiendo el IMSI de la víctima puede generar un genuino mensaje RRC

Connection Reject y causar DoS al usuario [33].

DoS a un usuario por modificación de las capacidades iniciales de seguridad del UE o de los parámetros de autenticación: esta vulnerabilidad funciona en dos partes. Primero, el atacante ya debe haber obtenido el IMSI de la víctima. Después el atacante tiene que esperar que este usuario en particular (IMSI) solicite la conexión. Cuando el RRC

Connection Request se lleva a cabo por este usuario, el atacante modifica el mensaje1 de la

figura 2.4 que contiene las capacidades de seguridad iniciales del UE. Este mensaje no está protegido, por lo tanto un intruso puede modificar las capacidades de seguridad del UE y este cambio permanecerá sin ser detectado hasta que el comando de modo seguro alcanza el UE que se muestra en el mensaje 8 de la figura 2.4. En caso de no coincidir los mensajes que contienen las capacidades de seguridad (mensaje 1 y 8 de la figura 2.4) el procedimiento de conexión terminará. Este procedimiento capaz de cambiar las capacidades iniciales de seguridad de la MS puede dar lugar a una DoS al usuario [33].

La modificación de algunos de los parámetros de autenticación incluyendo AUTN, RAND, o RES (mensaje 3 de la figura 2.4) también resulta en una denegación de servicio. Estos mensajes no se cifran ni se protege la integridad de los mismos. Cualquier cambio en ellos se traducirá en una autenticación fallida de la red o el usuario[33].

Fig. 2.4 Procedimiento de modo seguro en el estándar UMTS [33].

Denegación de servicio inundando el HLR/AuC: este es un ataque mucho más peligroso. Con este ataque, los servicios del VLR/SGSN de un operador móvil en particular pueden ser bloqueados [12] . El ataque es efectuado en dos fases: en la fase I el atacante construye

una base de datos IMSI correspondiente al operador víctima. En la fase II el atacante genera el RRC Connection Requests correspondiente a cada IMSI mediante un procedimiento automático. Para cada solicitud, el VLR/SGSN envía el IMSI al HLR/AuC donde se comprueba la validez del IMSI. Si el atacante ha obtenido todos los números IMSI válidos en la fase I, el HLR calcula 5 AV correspondientes a cada IMSI. Este es un proceso engorroso de calcular pues se calcula el RAND, MAC, XRES, CK, IK, AK para cada IMSI. Los AV correspondientes a cada IMSI se envían entonces al VLR/SGSN. Para cada IMSI, el VLR/GSN selecciona una AV y envía el RAND y AUTN para la autenticación. Es la etapa en la que el atacante no será autenticado, ya que no puede calcular RES sin el conocimiento de la clave secreta de la USIM. Pero este no es el objetivo del atacante, su objetivo es el agotamiento de los recursos del HLR/AuC inundándolo cada vez más. Esto también puede causar agotamiento del ancho de banda entre el VLR/SGSN y el HLR/AuC. Este agotamiento de los recursos se traducirá en una DoS a los nuevos usuarios que intentan conectarse [33].

2.4 Herramientas para la explotación de vulnerabilidades en redes móviles