Mobile Security - Angriffsszenarien auf mobile Dienste Wie (un-)sicher sind iphone,blackberry & Co.

Transkript

1 [The ICT-Security Experts] Mobile Security - Angriffsszenarien auf mobile Dienste Wie (un-)sicher sind iphone,blackberry & Co. [ Wirtschaftsinformatik-Forum Uni Koblenz ] Marco Di Filippo Darf ich mich vorstellen? Marco Di Filippo Seit 2008 als Regional Manager Germany/Austria bei Compass verheiratet, eine Tochter Werdegang: Von der TK-Security zur IT-Security Kompetenzen Empirische Sicherheitsprüfungen ICT- Security (VoIP, PSTN, GSM ) Hobbys Meine zwei Frauen Fußball-Schiedsrichter Electronic Music ICT-Security Slide 2

2 Nach Feierabend... Slide 3 Übrigens: Heute müssen Sie Ihr Telefon nicht ausschalten. Ich empfehle jedoch den Stumm-Modus ;-)

3 Was meinen Sie welche Investition ich hatte um meine Demos umzusetzen? Die Erfolgsstory

4 Die Geschichte Cap n Crunch Hack John Draper Slide 11 Die Geschichte. BlueBox BeigeBoxing Slide 12

5 Die Gegenwart 2008: Einführung der Dienstleistung Smartphone Security Resonanz: Eine Anfrage pro Quartal 2012: Positionierung der Dienstleistung Smartphone Security Aktuell: 5-7 Anfragen pro Woche Slide 13 Die Gegenwart Situation im Unternehmen: The CEO-Overwrite Overwrite I am the Boss go get me an Mediaphone! But Boss, Mediaphones are the source of all evil. It s so vulnerable. We would expose our network, open the firewall, data leakage and much more!!! Oh?! However I am the Boss go get me an Mediaphone! *sigh* Copyright Slideconcept Integralis Slide 15

6 Die Gegenwart Slide 16 Das Mobile Netzwerk

7 Mobile Network Architecture Ansatzpunkte möglicher Manipulationen Slide 19 Mobile Phone Interfaces Schnittstellen für den Malware-Zugang! Bluetooth GSM Anwendungen (Apps) Updates Internetseiten LAN / WAN / WLAN/UMTS Slide 20

8 Glauben Sie dass die Handy-Ortung James Bond & Co. vorenthalten ist? Wo bin ich? Ortung mittels GSM

9 Grundsätzliches Jeder, der Signale aussendet, kann prinzipiell auch geortet werden. Im Umkehrschluss kann man sich selbst orten, indem man Signale, welche von bekannten Positionen gesendet werden, auswertet. Slide 23 Vermittlungsweg im GSM-Netz PSTN HLR/ AuC MSC MSC MSC VLR VLR VLR BSC BSC =LAC BTS BTS =CellID BTS BTS BTS BTS BTS Slide 24

10 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Slide 25 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten Slide 26

11 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel Android/CellIDInfo-App) Installieren der App Cell ID Info Auslesen der GSM Cell Daten Slide 27 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel Siemens S45 Monitormode) CH Frequency Channel Number *) RX RXLEV Reception Level [dbm] CI Cell Identity (in Hex) C1 Path-loss Criterion xx Technological type SIM? (hier93) LAI Location Area Identity MCC Mobile Country Code (hier 23F4 = 324) MNC Mobile Network Code (hier 05 = 50) Format: c²c¹fc³n²n¹ kkkk LAC Location Area Code (hier 0538) TXPWR Allowed Transmit Power [dbm] RXAM Reception Acceptable Minimal Level [dbm] C2 Cell-reselection Criterion BSPA BSPA multiframe is feature of the network. Describes, how often the mobile must switch on the receiver. The range is between 2 and 9. The most networks use multiframe=6. A lower figure indicates more power consumption. BA BCCH Allocation P0, P1, P2, P3 Paging Slide 28

12 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) Slide 29 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Anhand der ersten Ziffer kann man eine kontinentale Einordnung vornehmen: 0 nicht vergeben 1 nicht vergeben 2 Europa 3 Nordamerika und Karibik 4 Asien, Indien, naher Osten 5 Australien und Ozeanien 6 Afrika 7 Südamerika 8 nicht vergeben 9 Welt Siehe auch Slide 30

13 Ortung durch LBS Location Based ID MCC (Mobile Country Code) Die zweite und dritte Ziffer definiert das Land (Auswahl): 262 Germany 228 Switzerland 232 Austria 234 United Kingdom 235 United Kingdom 310 bis 316 United States of America Siehe auch Slide 31 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) Slide 32

14 Ortung durch LBS Location Based ID MNC (Mobile Network Code) Der MNC steht für den Netzbetreiber Deutschland 01,06 T-Mobile 02,04,09 Vodafone 07,08,11 O 2 Schweiz 01 Swisscom Mobile 02 Sunrise 03 Orange Slide 33 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Slide 34

15 Ortung durch LBS Location Based ID Relevante Daten der momentan aktiven/befindlichen Zelle lokal auslesen (Beispiel iphone) Aktivieren des Feldtest-Modus Auslesen der GSM Cell Daten MCC (Mobile Country Code) MNC (Mobile Network Code) LAC (Location Area Code) organisatorische Zusammenfassung von Zellen Cell ID, zwei Bytes die eine Zelle innerhalb einer LAC identifizieren Slide 35 Ortung durch LBS Location Based ID In unserem Beispiel wäre die eindeutige Location Based ID MCC MNC LAC CID Aktuelle Position (LAI) (01d765d) Slide 36

16 Was nun? Die Ermittlung des Standortes ist auch eine Frage der richtigen Datenbank Ermittlung der Referenzkoordinaten Die Ermittlung des Standortes ist eine Frage der Datenbank. Ziel: Cell-ID zu Koordinaten (z.b. UTM-System, Gauß-Krüger, Google etc.) Datenbank der Netzbetreiber Nachteil: Non-Public, nur den Netzbetreibern und Behörden zugänglich Nutzung freier Datenbanken Nachteil: Örtlich begrenzt, unvollständig Googledaten??? Nachteil: Non-Public Slide 40

17 Ermittlung der Referenzkoordinaten Mittels OpenCellID Slide 41 LiveDemo [Use Google's Dataset]

18 Ermittlung der Referenzkoordinaten Wie sammelt Google seine Daten? Übermittlung der Daten Slide 43 Ortung mittels SS7-Protokoll

19 Ortung mittels SS7 Was ist SS7? Eine Sammlung von Protokollen und Verfahren für die Signalisierung in Telekommunikationsnetzen. Welche Routing-Infos werden zurück gegeben? die IMSI (die echte Rufnummer) Die Kennung der genutzten MSC Benutzer-Fehler (z. B. "Absent Subscriber" == das Telefon ist ausgeschaltet) Slide 49 LiveDemo [Ortung mittels SS7 Abfrage]

20 Ortung mittels SS7 Auch hier ist die Nutzung der richtigen Datenbank essentiell! T-Mobile Germany Vodafone Germany Berlin Hamburg Frankfurt Stuttgart München Slide 51 Ortung mittels SS7 Ermitteln des MSC in Koblenz! T-Mobile Germany Vodafone Germany Slide 52

21 Selbsttest [ ] + Eingriff in die Luftschnittstelle

22 oder Wardriving 2.0 Simulation einer BTS BTS =CellID Slide 61

23 The OpenBTS Project Das OpenBTS Projekt simuliert eine GSM-Funkzelle Open-Source Unix Applikation Nutzt das Universal Software Radio Peripheral (USRP) Stellt ein GSM-Funkzelle zur Verfügung Nutzt die Open-Source Asterisk Software PBX zum Connectieren der Calls Siehe auch Slide 62 LiveDemo [OpenBTS] +

24 The OpenBSC Project Forciert die Entwicklung eines Open-Source Base-Station- Controllers (BSC) für GSM-Netze Wurde auf dem Chaos Communication Congress 2008 vorgestellt Simuliert einen BSC Die Software beherrscht SMS-Versand und das Durchstellen von Gesprächen. Momentan werden Softwareseitig folgende BTSen unterstützt: BS11 mikro BTS von Siemens (E1 Primärmultiplex Schnittstelle) ip.access nano BTS (PoE Schnittstelle) Siehe auch Slide 64 The OsmocomBB Project Auch mit günstigen Handy s ist das GSM-Sniffing möglich Wurde auf dem Chaos Communication Congress 2010 durch Karsten Nohl vorgestellt Kostengünstiger GSM-Sniffer Debugger für eigene Calls Single timeslot sniffer Multi timeslot sniffer Uplink + downlink sniffer Siehe auch Slide 65

25 LiveDemo [OsmocomBB] + Please Call Me [ ]

26 Identifikationsfälschung [SMS-ID-Spoofing] SMS-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Ähnlich wie mittels Rufnummernidentifizierung kann Social- Engineering unterstützend eingesetzt werden. Anstatt Nummern-Identifizierung kann der Absender direkt benannt werden. Phishing via SMS ist noch weitgehend unbekannt und daher aussichtsreicher. Keine Content-Filter vorhanden (wie z.b. bei s) Slide 69

27 SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Originalnachricht des Netzbetreibers Slide 70 SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Beispiel einer Phishing-SMS Gefälschte Nachricht auf Grundlage der Netzbetreiber-SMS Slide 71

28 SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing Den Wettbewerber zuhause lassen Slide 73 SMS-ID-Spoofing Beispiele Slide 74

29 SMS-ID-Spoofing Beispiele Slide 75 LiveDemo [SMS-ID-Spoofing]

30 SMS-ID-Spoofing Beispiel: SMS-Phishing mittels SMS-Spoofing zur Ortung Beispiel einer Phishing-SMS zum orten eines Teilnehmers Slide 80 Capture the (Apple) icloud Slide 81

31 Identifikationsfälschung [Call-ID-Spoofing] Call-ID-Spoofing Weshalb ein Angriff mittels gefälschter Rufnummer? Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.b. bei Telefongesprächen, Fernzugängen, Anwendungen etc.) Zugriffsbeschränkungen mittels Rufnummernidentifizierung können umgangen, bzw. beim Social-Engineering unterstützend eingesetzt werden. Matching der Rufnummern in EU-Endgeräten erfolgt nur bis zur max. 7. Stelle Slide 83

32 Call-ID-Spoofing The Real Word! Slide 84 Call-ID-Spoofing Anbieter kommerzieller Call-ID-Spoofing-Dienste Slide 85

33 Call-ID-Spoofing Werkzeuge zum Call-ID-Spoofing Telefonanschluss mit Dienstmerkmal CLIP -no screeningoder SIP-Gateway ins PSTN (z.b. Softphone (z.b. Slide 86 LiveDemo [Call-ID-Spoofing] +

34 Call-ID-Spoofing (MITM-Angriff) Call-ID ID-Spoofing Spoofing-Angriff Eingehender Anruf: Paris Hilton Freiton Slide 88 Angriffe auf mobile Endgeräte mittels Malware [Trojaner & Co.]

35 Mobile Phone Malware Kommerzielle Trojaner: MOBILE SPY überwacht iphone und viele anderen Handys ab $49.00 im Quartal Inkl. 24/7 Support Slide 107 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Für fast alle Plattformen verfügbar Slide 108

36 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 109 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Konfigmenü von FlexiSpy Slide 110

37 Mobile Phone Malware Kommerzielle Trojaner: Der Klassiker FlexiSpy. Slide 111 Mobile Phone Malware Wie sammelt FlexiSpy die User-Daten? Der Trojaner übermittelt alle Daten wie SMS, Calls, , etc. in definierten Intervallen direkt an den Server. Der Angreifer kann die Daten jederzeit übers Internet abrufen. WWW Database Slide 112

38 LiveDemo [Handy-Trojaner] Capture the (Apple) icloud Noch einfacher... Slide 114

39 Capture the (Apple) icloud Slide 115 Capture the (Apple) icloud Slide 116

40 Offene Diskussion Fragen?! Slide 134 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! Slide 135

41 Kontakt Compass Security Network Computing CH Jona Secure File Exchange: /filebox PGP-Fingerprint: Slide 136