Slide 1

Slide 1 text

Cartographie et audit du réseau GSM avec des outils Open Source Renaud Lifchitz Toulouse Hacker Space Factory 25-27 mai 2012, Toulouse

Slide 2

Slide 2 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 2 Introduction Les réseaux mobiles sont le quotidien de millions de citoyens et reposent sur des technologies fermées et propriétaires. L’atelier analyse les signaux radios utilisés et les problèmes liés à la sécurité des utilisateurs: géo­localisation et traçage des utilisateurs de téléphone mobile, atteinte à la confidentialité des communications, information et repérage des mouvements des portables. Les outils utilisés sont d'anciens téléphones mobiles modifiés.

Slide 3

Slide 3 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 3 Bio ● Ingénieur en sécurité informatique français ● Activités principales : – Audits de sécurité et tests d'intrusion – Formations sécurité – Recherche en sécurité ● Intérêts : – Sécurité des protocoles (authentification, cryptographie, fuites d'information, preuves zero-knowledge...) – Théorie des nombres (factorisation, tests de primalité, courbes elliptiques...)

Slide 4

Slide 4 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 4 Infrastructure du réseau GSM

Slide 5

Slide 5 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 5 GSM ● “Global System for Mobile Communications” ● En Europe, 2 normes principales : – GSM 900 – GSM 1800 (aussi appellée DCS 1800) ● Confidentialité assurée par les chiffrements A5/1 et A5/2 ● Couverture d'une cellule GSM jusqu'à 50 km !

Slide 6

Slide 6 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 6 GSM - Fréquences

Slide 7

Slide 7 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 7 Structure simplifiée du réseau GSM

Slide 8

Slide 8 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 8 Quelques moyens d'identifier les utilisateurs d'un réseau GSM... ● Numéro de téléphone (MSISDN) ● IMSI (« International Mobile Subscriber Identity ») : numéro d'abonné international unique = MCC (pays) + MNC (réseau) + HLR (h1 h2) + MSIN ● CCID : numéro de série de la carte SIM ● IMEI : numéro de série du téléphone (*#06#)

Slide 9

Slide 9 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 9 Présentation d'OsmocomBB

Slide 10

Slide 10 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 10 OsmocomBB ● “Open Source Mobile COMmunications Base Band” ● Projet Open Source d'ouverture du protocole GSM ● Créé par Harald Welte en Janvier 2010 ● Compatible avec de vieux téléphones (20 à 30€) : Motorola C115/C123/C140/C155...

Slide 11

Slide 11 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 11 Scan et cartographie des opérateurs et antennes GSM

Slide 12

Slide 12 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 12 Scan des opérateurs et antennes GSM ● Parcours des fréquences GSM (channel hopping) à l'écoute d'informations émises par les réseaux (broadcast) ● Recensement des ARFCN utilisées ● Récupération des informations sur les cellules voisines

Slide 13

Slide 13 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 13 Géolocalisation des cellules ● Chaque cellule GSM (BTS) est identifiée par 4 nombres : – MCC: Mobile Country Code – MNC: Mobile Network Code – LAC: Location Area Code – CID: Cell ID  (MCC: 262, MNC: 01) = T-Mobile® Deutschland

Slide 14

Slide 14 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 14 ● Plusieurs tentatives ont vu le jour pour recenser et géolocaliser les cellules : Source: Wikipedia (http://en.wikipedia.org/wiki/Cell_ID) Géolocalisation des cellules

Slide 15

Slide 15 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 15 ● Pourquoi ne pas utiliser la puissance de Google ? ● Base gigantesque et continuellement mise à jour grâce aux : “Google Cars” & Téléphones Android Flickr photo by PhyreWorX Licensed under theCC Attribution-Share Alike 2.0 Generic license Géolocalisation des cellules

Slide 16

Slide 16 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 16 Géolocalisation des cellules POST /loc/json HTTP/1.1 Accept­Charset: utf­8 Accept­Encoding: plain Cache­Control: no­cache Connection: close Content­Length: 242 Content­Type: application/json Host: www.google.com {"radio_type": "gsm", "address_language": "fr_FR", "host": "maps.google.com", "version": "1.1.0", "cell_towers": [{"mobile_network_code": 1, "cell_id": 32755, "mobile_country_code": 208, "location_area_code": 24832}], "request_address": true} Requête sur l'API de géolocalisation GSM de Google Gears

Slide 17

Slide 17 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 17 Géolocalisation des cellules {"location": {"latitude":48.886363,"longitude":2.246213,"address": {"country":"France","country_code":"FR","region":"Ile­de­ France","county":"Hauts­de­ Seine","city":"Puteaux","street":"Rue Paul Lafargue","street_number":"16","postal_code":"92800"},"acc uracy":500.0},"access_token":"2:1dxrwvFk6ejLzSpv:BDHb9oizx wm0bwsb"} Corps de la réponse ● Détails intéressants : – Latitude et longitude – Adresse postale (comprenant numéro et nom de rue, code postale, ville, région et pays !) – Précision (en mètres) → couverture de la cellule ?

Slide 18

Slide 18 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 18 Géolocalisation des cellules Extraction des numéros de cellule GSM $ tshark ­i lo udp ­V gsm_a.cell_ci | grep ­A2 'Cell CI' Cell CI: 0x3198 (12696) Location Area Identification ­ LAC (0x1005) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0x31fe (12798) Location Area Identification ­ LAC (0x1005) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0x3806 (14342) Location Area Identification ­ LAC (0x044c) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0xe0ba (57530) Location Area Identification ­ LAC (0x044c) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10

Slide 19

Slide 19 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 19 Recensement et identification des utilisateurs GSM dans un périmètre

Slide 20

Slide 20 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 20 Utilisateurs GSM ● Normalement, les IMSI utilisateurs ne doivent peu ou pas transiter en clair sur le réseau ● Utilisation d'identifiants temporaires (TMSI) ● En pratique, les IMSI en clair sont fréquents et nombreux (reconnexions fréquentes au réseau) ● Il est donc facile d'avoir des statistiques précises sur : – Les pays d'origine des utilisateurs – Leur opérateur GSM d'origine – Les réseaux sur lesquels ils sont

Slide 21

Slide 21 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 21 Présentation d'un outil de visualisation des réseaux et utilisateurs GSM

Slide 22

Slide 22 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 22 Fonctionnalités de l'outil ● Upload du firmware modifié dans le téléphone (couche 1) ● Lancement des couches 2 et 3 côté PC ● Ecoute des trames GSM côté PC ● Pilotage du téléphone par l'interface telnet d'OsmocomBB ● Recensement et identification des opérateurs, antennes et utilisateurs GSM ● Cartographie automatique des antennes GSM

Slide 23

Slide 23 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 23

Slide 24

Slide 24 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 24

Slide 25

Slide 25 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 25 Bref état de l'art sur les attaques GSM

Slide 26

Slide 26 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 26 GSM : les risques ? ● Géolocalisation ● Déni de service : brouillage radio, demande de slots radio en boucle, flood des téléphones... ● Interception / Ecoute : communications de service, SMS, voix, data, ... ● Falsification / Usurpation d'identité

Slide 27

Slide 27 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 27 Pour aller plus loin... ● Projet OsmocomBB : http://bb.osmocom.org/trac/ ● API Google Gears Geolocation (obsolète !) : http://code.google.com/p/gears/wiki/GeolocationAPI ● OpenLayers : http://openlayers.org/

Slide 28

Slide 28 text

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 28 Merci ! Des questions ?